互联网网络安全加固配置要求.doc

中国电信CHINANET 中国电信集团公司网络运行维护事业部 二零一零年三月 目录 1 概述 1 2 CHINANET网络设备安全加固策略 1 2.1 C/D路由器安全加固策略 1 2.1.1 数据平面安全加固策略 1 2.1.2 控制层面安全加固策略 3 2.1.3 管理层面安全加固策略 6 2.2 E路由器安全加固策略 8 2.2.1 数据平面安全加固策略 8 2.2.2 控制层面安全加固策略 9 2.2.3 管理层面安全加固策略 11 2.3 X/F路由器安全加固策略 12 2.3.1 数据平面安全加固策略 12 2.3.2 控制层面安全加固策略 14 2.3.3 管理层面安全加固策略 15 2.4 I路由器安全加固策略 17 2.4.1 数据平面安全加固策略 17 2.4.2 控制层面安全加固策略 17 2.4.3 管理层面安全加固策略 18 2.5 其它省管设备安全加固策略 19 2.5.1 S路由器安全加固策略 19 2.6 RR路由器安全加固策略 23 2.6.1 数据平面安全加固策略 23 2.6.2 控制层面安全加固策略 24 2.6.3 管理层面安全加固策略 24 3 省内互联网络安全加固策略 26 3.1 城域网安全加固策略 26 3.1.1 城域网出口路由器安全加固策略 26 3.1.2 其它设备安全加固策略 29 3.2 IDC网络安全加固策略 32 3.2.1 数据层面安全加固策略 32 3.2.2 控制层面安全加固策略 32 3.2.3 管理层面安全加固策略配置要求 33 概述 随着中国电信互联网的发展，网络需求在网络安全问题日渐突出的情况下，CHINANET网络必须提供一个有效的安全结构，适应今后CHINANET网络的可持续，可监控性发展的需要。 根据目前CHINANET网络的结构和业务运行的实际情况，CHINANET网络的安全防护主要针对以下几个层面进行： 数据平面：数据层面承载了CHINANET网络的主要流量 控制平面：用于创建和维护网络状态和路由接口信息（路由、信令，链路状态），由CHINANET各类设备产生和处理管理平面：用于访问、管理和监视所有网络元素的流量CHINANET网络安全 1、关闭 IP数据平面中的功能特定中需要，但对于多数常见的IP通信则不是必须的。由于IP选项导致IP数据包的可变长度和复杂处理的需要，具有IP选项的数据包会通过数据平面转发的慢速路径进行处理，在ChinaNET骨干网中，不需要也没有必要对IP选项进行处理，因此，应该禁用IP选项技术IP直接广播IP直接广播是其目的地址是一个IP子网（或网络）的一个有效广播地址的数据包，该子网（或网络）是来自源地址的一个多个路由器。IP直接广播运行IP广播进行远程传输，这就为DoS攻击提供了一定的条件，在CHINANET网络中，应该禁止IP直接广播远程触发黑洞过滤通过结合BGP路由协议，使用黑洞路由技术可以对攻击触发整个网络范围内的响应。利用BGP的路由，可以对网络的攻击在整个CHINANET网络。 远程触发黑洞过滤技术（RTBH）的缺点是丢失了所有到达目标的流量-包括攻击流量和合法流量。在D路由器的外部接口上对进入CHINANET区域的数据流量进行过滤，通过使用接口ACL技术，可以有效的阻止一些有害的流量进入CHINANET。 需要在接口上阻止的流量主要有以下几类： 常见及危害程度较大的病毒、木马端口deny udp any any eq 1434 //sql worm病毒端口 deny udp any any eq 1433 //sql worm病毒端口 deny udp any any eq 1027-1028 //灰鸽子木马端口 deny udp any any eq 135-139 //禁止netbios端口 deny udp any any eq netbios-ss //禁止netbios端口 deny udp any any eq 445 //禁止netbios端口 禁止如下端口的TCP流量： deny tcp any any eq 4444 //冲击波病毒端口 deny tcp any any eq 445 //传送冲击波病毒端口 deny tcp any any eq 5554 //冲击波病毒端口，在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒RFC定义的私有地址、组播地址数据流在所有C/D端口上采用分组过滤技术拒绝目的地址明显非法的数据包，如127.*.*.*，1.*.*.*，1.16-31.*.*，192.*.*.*等不应出现在公网上的数据包。deny ip 55 any