管理信息網(wǎng)路由器配置

管理信息網(wǎng)路由器配置管理信息網(wǎng)路由器配置管理信息網(wǎng)路由器配置xxx公司管理信息網(wǎng)路由器配置文件編號：文件日期：修訂次數(shù)：第1.0次更改批準審核制定方案設計，管理制度****-**-**實施2009-**-**發(fā)布XX省電力公司管理信息網(wǎng)路由器配置規(guī)范（討論稿）****-**-**實施2009-**-**發(fā)布XX省電力公司管理信息網(wǎng)路由器配置規(guī)范（討論稿）目次TOC\o"1-2"\h\z前言 II1范圍 12規(guī)范性引用文件 13術語和定義 14管理平面的安全配置 25控制平面的安全配置 46數(shù)據(jù)平面的安全配置 4

前言為規(guī)范XX省電力公司管理信息網(wǎng)路由器的配置、使用和管理，明確管理信息網(wǎng)路由器配置管理工作內(nèi)容，規(guī)范路由器在配置、使用和管理中所應遵守的管理平面安全原則、控制平面安全原則、數(shù)據(jù)平面安全原則，特編寫本標準。本標準由XX省電力公司信息技術中心提出并歸口。本標準主要起草單位：XX省電力公司信息技術中心、XX省電力設計院。本標準主要起草人：本標準由XX省電力公司信息技術中心負責解釋。XX省電力公司管理信息網(wǎng)路由器配置規(guī)范范圍本規(guī)范規(guī)定了XX省電力公司管理信息網(wǎng)路由器的管理平面安全配置、控制平面管安全配置、數(shù)據(jù)平面安全配置要求。本規(guī)范適用于XX省電力公司管理信息網(wǎng)路由器的配置、使用和管理，作為XX省電力公司管理信息網(wǎng)網(wǎng)絡管理的依據(jù)之一，在路由器的配置、使用和管理中落實各項規(guī)程內(nèi)容。規(guī)范性引用文件下列文件中的條款通過本規(guī)范的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本規(guī)范，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本規(guī)范。GB/T－2005標準化工作導則標準的結(jié)構(gòu)和編寫規(guī)則GB/T－2005標準化工作導則引用標準的規(guī)定GB/T13016－2004標準體系表編制原則和要求GB/T－2003標準編寫規(guī)則術語和定義下列術語和定義適用于本規(guī)范。AAAAAA指的是Authentication（鑒別），Authorization（授權(quán)），Accounting（審計）。SNMPSimpleNetworkManagementProtocol簡單網(wǎng)絡管理協(xié)議。MPLSMulti-ProtocolLabelSwitching多協(xié)議標記交換。OSPFOpenShort-PathFirst開放式最短路徑優(yōu)先協(xié)議BGPBorderGatewayProtocol邊界網(wǎng)關協(xié)議Loopback軟件環(huán)回接口IPspoofingIPSpoofingIP欺騙DOSDenialofService拒絕服務URPFUnicastReversePathForwarding單播逆向路徑轉(zhuǎn)發(fā)RPFReversePathForwarding逆向路徑轉(zhuǎn)發(fā)管理平面的安全配置配置命名路由器的名稱應具有較強可讀性和一致性，需包含的信息有：網(wǎng)絡區(qū)域、網(wǎng)絡角色、設備角色、設備屬性、場所性質(zhì)、場所描述、設備編號等。在設備配置中，需對使用的設備端口進行說明，以提高設備的可維護性、增加配置文件的可讀性，對于互聯(lián)端口，必須進行規(guī)范描述，描述規(guī)則可為：To對端設備名所連端口。對于Loopback端口，要求描述該端口的設定功能。對于VPN的命名，要求能體現(xiàn)包含的VPN業(yè)務內(nèi)容，控制列表的命名要求能體現(xiàn)感興趣流的內(nèi)容。Loopback地址使用Loopback地址是路由器的軟件接口地址，具有穩(wěn)定性高的特點，凡是以路由器為主體的IP包發(fā)起，均使用Loopback接口地址作為該路由器發(fā)起IP包的源地址，以提高路由器的可識別性和安全性。在認證服務器中，需通過過濾以確保認證服務器只允許從Loopback地址來訪問認證服務器端口。在NTP中，需通過過濾以確保NTP系統(tǒng)只允許從Loopback地址來訪問NTP端口，以提高它的安全性。在路由協(xié)議中，需用Loopback地址作為RouterID，以提高其穩(wěn)定性。在MPLS-VPN網(wǎng)絡中，MP-IBGP需使用Loopback地址建立會話。MPLS-VPN的組播環(huán)境中，需使用不同的Loopback地址建立相應的BGP會話鄰居。登陸安全關閉Aux口登錄路由器。對遠程登錄路由器的方法應加以限制。遠程登錄應盡可能采用SSH登錄，并利用控制列表和登陸超時時間在登陸線程中加以限制，在復雜的網(wǎng)絡環(huán)境中，還可考慮采用基于上下文控制列表或動態(tài)控制列表的方式實現(xiàn)安全登陸。登陸后需配置提示信息，以警示非法登錄者。應具有登錄失敗處理功能，限制非法登錄次數(shù)。網(wǎng)絡登錄連接應設定超時，以防止被非法用戶利用?；蛴捎诒徽加盟锌墒褂枚丝?，導致在緊急情況下無法登陸設備。認證及權(quán)限管理采用AAA集中認證，每個地區(qū)局部署一套AAA認證系統(tǒng)，為包含縣局在內(nèi)的所有網(wǎng)絡設備提供服務。通過鑒別（Authentication）功能，在服務器端修改用戶口令，完成所涉及網(wǎng)絡設備訪問密碼的修改，做到周期性修改口令。對于臨時訪問用戶，需創(chuàng)建臨時賬號，并對該賬號屬性設置多種有限策略，例如有限時間、訪問權(quán)限等。利用授權(quán)（Authorization）功能提高網(wǎng)絡的安全管理的水平。通過對采用集中認證的網(wǎng)絡設備進行分層分權(quán)限管理，對處于不同的網(wǎng)絡層次設備、網(wǎng)絡設備的重要性等級進行設備分組，然后通過授權(quán)功能授予不同登陸賬號的不同訪問設備分組、不同的操作命令權(quán)限。利用審計（Accounting）功能所收集、記錄用戶對網(wǎng)絡資源的使用情況，提高事后分析能力。從長遠角度考慮，可部署用戶口令動態(tài)認證系統(tǒng)或CA，結(jié)合現(xiàn)有AAA認證軟件，實現(xiàn)雙因素認證系統(tǒng)，提高口令的安全性。syslog和NTP配置應配備日志服務器，將所有網(wǎng)絡設備的告警信息輸入到該服務器，以保證告警信息不會丟失，并可根據(jù)自定義字段查詢相關日志信息通過配置實現(xiàn)主機和網(wǎng)絡設備根據(jù)不同等級的告警信息傳送到指定軟件終端上，還可通過發(fā)送郵件的形式將日志信息發(fā)送到指定維護人員得信箱里。在網(wǎng)絡設備上配置日志，需要注意日志的時間戳表示，設備發(fā)送日志的地址為該設備的Loopback地址以增加可讀性。路由器的時間配置使用NTP協(xié)議，可選擇核心設備當作時鐘源，作為NTP主服務器，其他路由器為NTP客戶端，NTP服務器與客戶端做認證，有條件可以專門選擇時鐘源設備作為NTP服務器。日志信息的時間戳以本地時間的毫秒方式顯示。有條件可以專門選擇時鐘源設備作為NTP服務器。SNMP配置SNMP盡可能采用Version3及以上版本，需利用訪問列表允許特定工作站的SNMP訪問。SNMP只允許開啟只讀功能，必須關閉讀寫功能，嚴禁通過SNMP對網(wǎng)絡設備進行配置。按最小特權(quán)原則，關閉不必要的服務關閉重定向，防止利用ICMP路由重定向消息進行攻擊禁止TCP、UDPSmall服務禁止Finger服務禁止從網(wǎng)絡啟動和自動從網(wǎng)絡下載初始配置文件。禁用HTTP服務，該服務的安全漏洞較多。禁用IP源路由，防止路由欺騙。禁止DHCP服務針對接口，禁止針對廣播地址的單播流量轉(zhuǎn)換為廣播流量針對接口，禁用“Internet消息控制協(xié)議”(ICMP)主機未達消息，防止攻擊者使用這些消息來獲取網(wǎng)絡映射信息。針對在接口，禁用代理“地址解析協(xié)議”(ARP)，作為計算機網(wǎng)關的路由器上需要實施計算機IP和MAC的綁定?？刂破矫娴陌踩渲寐酚蓞f(xié)議安全啟用OSPF路由協(xié)議時，必須定義Router-id；修改系統(tǒng)參考帶寬；修改以太網(wǎng)互聯(lián)端口類型；將所有端口默認設置為Passive被動端口，僅將需要和其他路由器交換路由的端口設置為no-passive；配置OSPFMD5加密認證；OSPF路由重分布配置TYPE-1路由，同時接收無類路由；配置OSPF鄰居變化日志。啟用ISIS路由協(xié)議時，必須修改ISIS端口COST；修改以太網(wǎng)互聯(lián)端口類型；把僅僅需要通過ISIS宣告，而不需要和其他路由器建立鄰居，交換路由信息的端口配置為Passive；指定ISIS端口類型；配置ISISMD5加密認證；配置ISIS鄰居變化日志。啟用BGP路由器協(xié)議時，必須定義Router-id；配置BGP鄰居變化日志；配置BGPMD5加密認證；BGP團體屬性配置為2各16Bit數(shù)字；配置BGP鄰居最大路由子網(wǎng)數(shù)量告警；配置BGP路由過濾；關閉同步和路由自動匯總。在任何需要進行路由重分布時候，必須進行路由過濾，并且盡量進行精確路由過濾(即匹配路由的網(wǎng)段，也檢查路由的掩碼)，或者通過事先做好的標記(TAG)進行控制，同時對于注入的路由手動設置相應的metric值。靜態(tài)路由下一跳的地址必須屬于本機的直連網(wǎng)段，同時明確指明下一跳端口，并且通常情況下靜態(tài)路由僅僅應用于動態(tài)路由網(wǎng)絡的最末端。若有可能，在配置靜態(tài)路由時候加上相應的注釋和標記，注釋便于理解，標記用于在路由重分布時候進行路由的控制和過濾。需對進入CPU的流量進行分類，并進行相應的流量限制，只允許合理的流量（如路由協(xié)議、路由更新、ARP、ICMP、Netflow、Syslog、SNMP等）進入CPU，并限制在一定的速率以下，避免因受到Denialofservice攻擊而造成路由器的CPU升高直至宕機。路由過濾通過對內(nèi)部路由器IP地址的合理分配，在路由器上特別是在邊界路由器上進行有效的路由過濾，確保網(wǎng)內(nèi)路由器上的路由表簡潔、有效。路由震蕩抑制進行路由區(qū)域劃分。在IGP路由需要進入BGP路由表時采用手工注入、半自動注入，慎用動態(tài)注入。通過邊界路由匯總減少路由震蕩帶來的影響。在BGP協(xié)議中，啟用路由懲罰。數(shù)據(jù)平面的安全配置防范碎片攻擊針對帶寬消耗的碎片攻擊、采用不讓其大包進行包分割的辦法，從而達到該包丟棄。防范IPspoofing攻擊通過uRPF逆向路徑檢測解決IPspoofing攻擊。阻止這類攻擊的簡單辦法就是放棄以地址為基礎的驗證。不允許r＊類遠程調(diào)用命令的使用。阻止IP欺騙的另一種方法是在通信時要求加密傳輸和驗證。當有多種手段并存時，加密方法最為適用。防范TCPSYN-flooding攻擊采用TCP攔截監(jiān)控模式，監(jiān)控TCP半開連接數(shù)，當受到TCPSYN-flooding攻擊時，采用TCP攔截，將超過門限的半開連接進行主動阻斷。防范組播的攻擊當受到組播攻擊(DOS攻擊)時，限制其IGMP報文的數(shù)量。在三層以太網(wǎng)組播中，采用將最上層的三層匯聚交換機的出端口的端口屬性設置成拒絕發(fā)生RP