中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)路由器設(shè)備安全防護(hù)要求V

1、中國(guó)電信安全策略體系文檔文檔編號(hào) : SOC 02-02-003中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)路由器設(shè)版?zhèn)浔咎?hào)安：全1.防0.0護(hù)要求發(fā)布日期：中國(guó)電 修信訂記集錄團(tuán)公司修訂日期修訂內(nèi)容修訂人網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部目次前言 .21引言 .31.1目的 .31.2范圍 .32防護(hù)策略劃分 .43管理平面防護(hù)策略 .53.1管理口防護(hù) .53.2賬號(hào)與口令 .53.3認(rèn)證 .63.4授權(quán) .63.5審計(jì) .錯(cuò)誤 !未定義書(shū)簽。3.6遠(yuǎn)程管理 .63.7SNMP安全 .73.8系統(tǒng)日志 .73.9NTP.83.10banner 信息 .83.11未使用的管理平面服務(wù) .84數(shù)據(jù)轉(zhuǎn)發(fā)平面防護(hù)策略 .94.1流量

2、控制 .94.2典型垃圾流量過(guò)濾 .94.3ToFab.95控制平面防護(hù)策略 .105.1ACL控制 .105.2路由安全防護(hù) .105.3協(xié)議報(bào)文防護(hù) .105.4引擎防護(hù)策略 .11前言為進(jìn)一步落實(shí)中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)安全策略總綱要求，促進(jìn)中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié)的規(guī)范化運(yùn)作，明確路由器設(shè)備必須滿(mǎn)足的基本安全防護(hù)要求（相關(guān)安全防護(hù)要求獨(dú)立于具體廠(chǎng)家），特制定本防護(hù)要求（以下簡(jiǎn)稱(chēng)“要求”）。各省公司可以根據(jù)實(shí)際情況，在本要求的基礎(chǔ)上制定相應(yīng)的實(shí)施細(xì)則并具體實(shí)施。本文檔起草單位：中國(guó)電信集團(tuán)公司網(wǎng)絡(luò)運(yùn)行維護(hù)事業(yè)部本文檔解釋單位：中國(guó)電信集團(tuán)公司網(wǎng)

3、絡(luò)運(yùn)行維護(hù)事業(yè)部引言1.1目的為促進(jìn)中國(guó)電信互聯(lián)網(wǎng)及相關(guān)網(wǎng)絡(luò)在路由器設(shè)備選型、工程驗(yàn)收以及運(yùn)維階段等環(huán)節(jié)的規(guī)范化運(yùn)作，明確路由器設(shè)備必須滿(mǎn)足的基本安全防護(hù)要求（相關(guān)安全防護(hù)要求獨(dú)立于具體廠(chǎng)家），特制定本要求。1.2范圍本要求適用于中國(guó)電信的互聯(lián)網(wǎng)與相關(guān)網(wǎng)絡(luò)及系統(tǒng)，主要包括IP 承載網(wǎng)，以及承載在其上的各種業(yè)務(wù)網(wǎng)、業(yè)務(wù)平臺(tái)和支撐系統(tǒng)。IP 承載網(wǎng)包括中國(guó)電信ChinaNet、CN2、城域網(wǎng)、 DCN 等網(wǎng)絡(luò)；業(yè)務(wù)網(wǎng)包括C 網(wǎng)分組域、軟交換等；業(yè)務(wù)平臺(tái)包括C 網(wǎng)業(yè)務(wù)平臺(tái)、全球眼、互聯(lián)星空等；支撐系統(tǒng)包括DNS、網(wǎng)管系統(tǒng)、認(rèn)證系統(tǒng)等。防護(hù)策略劃分根據(jù)國(guó)內(nèi)外運(yùn)營(yíng)商網(wǎng)絡(luò)及結(jié)合中國(guó)電信的實(shí)際情況，可將路由

4、交換設(shè)備的安全域邏輯劃分為管理平面、控制平面、轉(zhuǎn)發(fā)平面等三大平面，每個(gè)平面的具體安全策略不同。具體如下：管理平面：管理平面防護(hù)的主要安全策略是保護(hù)設(shè)備遠(yuǎn)程管理及本地服務(wù)的安全性，降低設(shè)備受到網(wǎng)絡(luò)攻擊或被入侵的可能性。轉(zhuǎn)發(fā)平面：數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對(duì)異常流量進(jìn)行控制，防止因網(wǎng)絡(luò)蠕蟲(chóng)、拒絕服務(wù)攻擊等流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。控制平面：控制平面的主要安全策略是保證設(shè)備系統(tǒng)資源的可用性，使得設(shè)備可以正常的實(shí)現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)、協(xié)議更新。管理平面防護(hù)策略管理平面防護(hù)的主要目的是保護(hù)路由器遠(yuǎn)程管理及本地服務(wù)的安全性，降低路由器受到網(wǎng)絡(luò)攻擊或被入侵的可能性。管理平面防護(hù)的措施主要包括以下幾

5、方面：3.1管理口防護(hù)編號(hào)內(nèi)容設(shè)備應(yīng)關(guān)閉未使用的管理口（ AUX、或者沒(méi)開(kāi)啟業(yè)務(wù)的端口）。設(shè)備應(yīng)配置 console 口密碼保護(hù)。3.2賬號(hào)與口令本地認(rèn)證編號(hào)內(nèi)容應(yīng)對(duì)不同的用戶(hù)分配不同的賬號(hào)，避免不同用戶(hù)間賬號(hào)共享。應(yīng)禁止配置與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)；2應(yīng)禁止使用設(shè)備默認(rèn)賬號(hào)與口令并嚴(yán)格控制本地認(rèn)證賬號(hào)數(shù)量。對(duì)于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備：應(yīng)支持口令長(zhǎng)度及復(fù)雜度驗(yàn)證機(jī)制（強(qiáng)制要求口令應(yīng)由數(shù)字、大寫(xiě)字母、小寫(xiě)字母和特殊符號(hào)4 類(lèi)字符構(gòu)成，自動(dòng)拒絕用戶(hù)設(shè)置不符合復(fù)雜度要求的口令。）；口令應(yīng)以密文形式存放，并采用安全可靠的單向散列加密算法（如 md5、 sha1 等）；口令定期更改，最長(zhǎng)不得

6、超過(guò) 90 天。認(rèn)證服務(wù)器認(rèn)證編號(hào)內(nèi)容建議使用動(dòng)態(tài)口令認(rèn)證技術(shù)。口令定期更改，最長(zhǎng)不得超過(guò) 90 天。應(yīng)為設(shè)備配置用戶(hù) 連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)上限時(shí)，設(shè)備自動(dòng)斷開(kāi)該用戶(hù)賬號(hào)的連接，并在一定時(shí)間內(nèi)禁止該用戶(hù)賬號(hào)重新認(rèn)證。設(shè)備應(yīng)通過(guò)對(duì)用戶(hù)組的認(rèn)證實(shí)現(xiàn)對(duì)用戶(hù)組及組內(nèi)賬號(hào)、口令的相關(guān)控制。3.3認(rèn)證編號(hào)內(nèi)容1除本地認(rèn)證外，設(shè)備原則上還應(yīng)通過(guò)與認(rèn)證服務(wù)器（RADIUS或 TACACS服務(wù)器）聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶(hù)的認(rèn)證。3.4授權(quán)編號(hào)內(nèi)容設(shè)備原則上應(yīng)采用預(yù)定義級(jí)別的授權(quán)方法，實(shí)現(xiàn)對(duì)不同用戶(hù)權(quán)限的控制。除本地授權(quán)外，設(shè)備原則上應(yīng)通過(guò)與認(rèn)證服務(wù)器（ RADIUS服務(wù)器或 TACACS

7、服務(wù)器）聯(lián)動(dòng)的方式實(shí)現(xiàn)對(duì)用戶(hù)的授權(quán)。對(duì)用戶(hù)授權(quán)時(shí)，建議采用逐條授權(quán)的方式，盡量避免或減少使用一次性授權(quán)的方式。原則上應(yīng)采用對(duì)命令組或命令進(jìn)行授權(quán)的方法，實(shí)現(xiàn)對(duì)用戶(hù)權(quán)限細(xì)粒度的控3制的能力。3.5記賬編號(hào)內(nèi)容原則上應(yīng)采用與認(rèn)證服務(wù)器(RADIUS 或 TACACS服務(wù)器 ) 聯(lián)動(dòng)的方式，實(shí)現(xiàn)對(duì)用戶(hù)登錄日志的記錄和審計(jì)。記錄和審計(jì)范圍應(yīng)包括但不限于：用戶(hù)登錄的1方式、使用的賬號(hào)名、登錄是否成功、登錄時(shí)間、以及遠(yuǎn)程登錄時(shí)用戶(hù)使用的 IP 地址。原則上應(yīng)采用與認(rèn)證服務(wù)器(RADIUS 或 TACACS服務(wù)器 ) 聯(lián)動(dòng)的方式，實(shí)現(xiàn)對(duì)用戶(hù)操作行為的記錄和審計(jì)，記錄和審計(jì)范圍應(yīng)包括但不限于：賬號(hào)創(chuàng)建、2刪除

8、和權(quán)限修改，口令修改，設(shè)備配置修改，執(zhí)行操作的行為和操作結(jié)果等。3.6遠(yuǎn)程管理編號(hào)內(nèi)容應(yīng)配置超時(shí)退出。應(yīng)限制 VTY 口的數(shù)量，通常情況下 VTY 口數(shù)量不超過(guò) 16 個(gè)。應(yīng)設(shè)定 VTY口的防護(hù)策略，避免由于惡意攻擊或者錯(cuò)誤操作等導(dǎo)致VTY 口不可用情況的發(fā)2生。（如：網(wǎng)管系統(tǒng)盡量采用snmp 方式對(duì)設(shè)備進(jìn)行操作，避免使用對(duì)設(shè)備CPU負(fù)載較大的 telnet方式。）對(duì)于 VTY 口訪(fǎng)問(wèn)的認(rèn)證，應(yīng)采用認(rèn)證服務(wù)器認(rèn)證或者本地認(rèn)證的方式，避免3使用 VTY口下設(shè)置密碼的方式認(rèn)證。應(yīng)通過(guò) ACL限制可遠(yuǎn)程管理設(shè)備的 IP 地址段。建議使用 SSH或帶 SSH的 telnet 等加密的遠(yuǎn)程管理方式。3.

9、7SNMP安全編號(hào)內(nèi)容設(shè)備應(yīng)支持并使用V2 或 V2 以上版本的 SNMP協(xié)議，對(duì)于支持V3 版本的設(shè)1備，必須使用 V3 版本 SNMP協(xié)議。應(yīng)對(duì)發(fā)起 SNMP訪(fǎng)問(wèn)的源 IP 地址進(jìn)行限制，并對(duì)設(shè)備接收端口進(jìn)行限制。應(yīng)關(guān)閉未使用的 SNMP協(xié)議，盡量不開(kāi)啟 SNMP的 RW權(quán)限。應(yīng)修改 SNMP協(xié)議 RO和 RW的默認(rèn) Community字符串，并設(shè)置復(fù)雜的字符串4作為 SNMP的 Community。建議支持對(duì) SNMP協(xié)議 RO、RW的 Community 字符串的加密存放。3.8系統(tǒng)日志編號(hào)內(nèi)容應(yīng)調(diào)整 system log 的緩沖區(qū)大小。2應(yīng)設(shè)置發(fā)送 system log 的源地址為

10、loopback 地址。3設(shè)備的 System log messages 不記錄到控制臺(tái)。應(yīng)具備將指定級(jí)別的日志發(fā)送到日志服務(wù)器或其它位置的能力。3.9NTP編號(hào)內(nèi)容1應(yīng)開(kāi)啟 NTP，保證設(shè)備日志記錄時(shí)間的準(zhǔn)確性。通過(guò) ACL對(duì) NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制。3.10 banner 信息編號(hào)內(nèi)容應(yīng)隱藏設(shè)備缺省的 banner 信息。3.11 未使用的管理平面服務(wù)編號(hào)內(nèi)容應(yīng)關(guān)閉設(shè)備上不必要的服務(wù) ( 如 CDP、 DNS lookup、DHCP、finger 、udp-1、http 、bootp 、IP 源路由、 PAD等)small-server 、tcp-small-server數(shù)據(jù)轉(zhuǎn)

11、發(fā)平面防護(hù)策略在數(shù)據(jù)轉(zhuǎn)發(fā)平面的主要安全策略是對(duì)異常流量進(jìn)行控制，防止網(wǎng)絡(luò)蠕蟲(chóng)、拒絕服務(wù)攻擊流量在網(wǎng)絡(luò)中的泛濫，造成網(wǎng)絡(luò)的擁塞或不可用。轉(zhuǎn)發(fā)平面防護(hù)的措施主要包括以下幾個(gè)方面：4.1流量控制編號(hào)內(nèi)容1應(yīng)支持 NetFlow 采集功能，采集設(shè)備入方向的流量的 NetFlow 。2設(shè)備應(yīng)通過(guò) CAR等技術(shù)對(duì)報(bào)文進(jìn)行分類(lèi)，對(duì)協(xié)議端口進(jìn)行流量控制。4.2典型垃圾流量過(guò)濾編號(hào)內(nèi)容1應(yīng)采用 uRPF技術(shù)預(yù)防偽造源地址的攻擊。應(yīng)在相關(guān)接口（例如：在 ChinaNet 網(wǎng)絡(luò)中的 C/D 路由器面向城域網(wǎng)、面向IDC 接入的端口、 ChinaNet 網(wǎng)絡(luò)中 X/F/S 路由器面向其他運(yùn)營(yíng)商接入的端2口）上采用分組

12、過(guò)濾技術(shù)拒絕目的地址是私有地址、組播地址或者其他保留地址的非法數(shù)據(jù)流。應(yīng)在相關(guān)路由器上使用白名單方式，對(duì)網(wǎng)絡(luò)間的訪(fǎng)問(wèn)進(jìn)行合理控制。（例3如： CN2網(wǎng)絡(luò)中，在 X/F 路由器上使用白名單方式限制國(guó)外運(yùn)營(yíng)商地址對(duì)CN2網(wǎng)絡(luò)及設(shè)備地址的訪(fǎng)問(wèn)等）4應(yīng)合理的拒絕 ICMP分片報(bào)文。5屏蔽不使用的端口。4.3ToFab編號(hào)內(nèi)容應(yīng)通過(guò)相關(guān)配置，防止ToFab方向的矩陣緩沖區(qū)耗盡導(dǎo)致的協(xié)議數(shù)據(jù)和轉(zhuǎn)發(fā)1流量異?？刂破矫娣雷o(hù)策略控制平面防護(hù)的主要目的是對(duì)進(jìn)出路由器自身流量進(jìn)行控制，避免惡意流量或錯(cuò)誤配置、軟件 bug和其它原因產(chǎn)生的泛洪流量，引起設(shè)備引擎過(guò)載，而導(dǎo)致設(shè)備數(shù)據(jù)轉(zhuǎn)發(fā)性能下降或不可用事件發(fā)生?？刂破矫?/p>

13、防護(hù)的措施主要包括以下幾個(gè)方面：5.1ACL控制編號(hào)內(nèi)容應(yīng)使用合理的 ACL或其它分組過(guò)濾技術(shù)，對(duì)設(shè)備控制流量、管理流量及其它由路由器引擎直接處理的流量（如 traceroute 、ICMP流量）進(jìn)行控制，實(shí)現(xiàn)對(duì)路由器引擎的保護(hù)。5.2路由安全防護(hù)編號(hào)內(nèi)容應(yīng)部署適當(dāng)?shù)穆酚砂踩呗?，避免設(shè)備發(fā)布或接收不安全的路由信息。（如：開(kāi)1啟動(dòng)態(tài)路由協(xié)議認(rèn)證功能且認(rèn)證口令采用MD5加密、使用 ip prefix-list過(guò)濾缺省和私有路由、設(shè)置最大路由條目限制、嚴(yán)格限制BGP PEER的源地址等）應(yīng)部署適當(dāng)?shù)穆酚砂踩呗?, 保障整個(gè)網(wǎng)絡(luò)路由層面的穩(wěn)定性和可控性。( 如：對(duì)2接收的 eBGP路由 AS-PATH長(zhǎng)度進(jìn)行一定限制、啟用BGP TTL security check 功能防御路由震蕩攻擊、采用 BGP協(xié)議作為 EGP協(xié)議時(shí)，應(yīng)使用 Route flapdamping 功能防止路由風(fēng)暴等 )3啟用 LDP標(biāo)簽分發(fā)協(xié)議時(shí)，應(yīng)合理使用LDP協(xié)議認(rèn)證及加密功能，確保與可信方進(jìn)行 LDP協(xié)議交互。5.