互联网网络安全加固配置要求.docx

1、互联网网络安全加固配置要求中国电信CHINANET网络及省内相关互联网络安全加固配置要求（修订）中国电信集团公司网络运行维护事业部二零一零年三月1 概述2 随着中国电信宽带互联网业务的不断发展，CHINANET网络承载的用户业务量越来越大，对于CHINANET网络安全、稳定运行不断提出了新的需求。在网络安全问题日渐突出的情况下，CHINANET网络必须提供一个有效的安全结构，以适应今后CHINANET网络的可持续，可监控性发展的需要。根据目前CHINANET网络的结构和业务运行的实际情况，CHINANET网络的安全防护主要针对以下几个层面进行： 数据平面：数据层面承载了CHINANET网络的主

2、要流量，主要对基础设施访问进行控制、对典型的病毒、垃圾流量进行控制； 控制平面：用于创建和维护网络状态和路由接口信息（路由、信令，链路状态），由CHINANET各类设备产生和处理； 管理平面：用于访问、管理和监视所有网络元素的流量。 3 CHINANET网络设备安全加固策略4 4.1 C/D路由器安全加固策略4.2 随着网络结构调整，C、D路由器主要与城域网和IDC互联（目前还存在少数AS4134中尚未下放至城域网的A路由器，如果未能尽快下放要参照D路由器进行加固）。4.2.1 数据平面安全加固策略4.2.2 1、关闭IP选项IP数据平面中的IP选项功能一般在特定情况中需要应用，但对于多数常见

3、的IP通信则不是必须的。由于IP选项导致IP数据包的可变长度和复杂处理的需要，具有IP选项的数据包会通过数据平面转发的慢速路径进行处理，在ChinaNET骨干网中，不需要也没有必要对IP选项进行处理，因此，应该禁用IP选项技术。注：如ChinaNET骨干网以后需要部署MPLS/TE、IP Multicast等网络特征，则需重新开启IP选项功能。2、关闭IP直接广播IP直接广播是其目的地址是一个IP子网（或网络）的一个有效广播地址的数据包，该子网（或网络）是来自源地址的一个或多个路由器。IP直接广播运行IP广播进行远程传输，这就为DoS攻击提供了一定的条件，在CHINANET网络中，应该禁止IP

4、直接广播。3、部署远程触发黑洞过滤通过结合BGP路由协议，使用黑洞路由技术可以对攻击触发整个网络范围内的响应。利用BGP的路由部署特性，可以对网络的攻击在整个CHINANET网络范围得到防护。远程触发黑洞过滤技术（Remote Blackhole，RTBH）的缺点是丢失了所有到达目标的流量-包括攻击流量和合法流量。为保护受攻击的对象（通常是IDC中的部分主机服务器或者是政企客户），集团在在上海部署了的Blackhole trigger路由器，用来发布blackhole的路由，并设定其发布community 为4134:666，在RR上修改该路由的next-hop为172.20.20.1，另外设

5、定静态路由ip route static172.20.20.1 255.255.255.255 null0。从而在CHINANET范围内任何路由器上，凡是有流量到达这些被防护的主机地址，均被丢弃，从而实现了对业务主机的保护。4、典型垃圾流量过滤在C/D路由器的外部接口上，如连接城域网、IDC互联网接口，对进入CHINANET区域的数据流量进行过滤，通过使用接口ACL技术，可以有效的阻止一些有害的流量进入CHINANET。需要在外部接口上阻止的流量主要有以下几类： 常见及危害程度较大的病毒、木马端口，主要如下： 禁止如下端口UDP流量：deny udp any any eq 1434 /sql

6、worm病毒端口deny udp any any eq 1433 /sql worm病毒端口deny udp any any eq 1027-1028 /灰鸽子木马端口deny udp any any eq 135-139 /禁止netbios端口deny udp any any eq netbios-ss /禁止netbios端口deny udp any any eq 445 /禁止netbios端口禁止如下端口的TCP流量： deny tcp any any eq 4444 /冲击波病毒端口 deny tcp any any eq 445 /传送冲击波病毒端口deny tcp any an

7、y eq 5554 /冲击波病毒端口，在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒 过滤RFC定义的私有地址、组播地址数据流 在所有C/D路由器面向城域网、面向IDC接入的端口上采用分组过滤技术拒绝目的地址明显非法的数据包，如127.*.*.*，10.*.*.*，172.16-31.*.*，192.*.*.*等不应出现在公网上的数据包。deny ip 127.0.0.0 0.255.255.255 any /Loopbackdeny ip 10.0.0.0 0.255.255.255 any /RFC 1918deny ip 172.16.0.0 0.15.255.2

8、55 any deny ip 192.168.0.0 0.0.255.255 any deny ip 169.254.0.0 0.0.255.255 any /Link local reserveddeny ip 224.0.0.0 31.255.255.255 any /Filter out any traffic with a source IP in the multicast or experimental rangedeny icmp any any fragments /Drop all ICMP fragments，以防范DDOS攻击；目标为CHINANET网络自用地址的数据流P

9、ermit tcp any 202.97.0.0 0.0.128.255 eq bgp /放开179端口，允许BGP；如要严格控制，则any使用地址段取代；Permit ip x.x.x.x y.y.y.y 202.97.0.0 0.0.128.255 /在面向集团网管接入的接口，x.x.x.x y.y.y.y为集团管网段；在面向省网管接入的接口，x.x.x.x y.y.y.y为省网管网段；Permit udp a.a.a.a b.b.b.b 202.97.0.0 0.0.128.255 /在面向城域网的接口，允许城域网设备loopback地址段对ChinaNet骨干设备的访问，其中a.a.a

10、.a b.b.b.b为城域网设备的loopback地址网段，需要各省上报集团；deny ip any 202.97.0.0 0.0.128.255 /面向城域网的接口，过滤直接访问163骨干设备的地址。deny ip any 59.43.0.0 0.0.255.255 /面向城域网的接口，阻止城域网通过163访问CN2设备网段Permit ip any any /允许其它访问4.2.3 控制层面安全加固策略4.2.4 1、ISIS安全防护为了防止非法用户通过和CHINANET路由器建立ISIS邻居，向CN2网络产生虚假路由，可同时导致IGP路由表剧增和全网流量的寻路混乱，保护ISIS协议免受非

11、法用户的攻击。在CHINANET路由器与城域网、IDC网络互联接口禁止ISIS协议（含其它IGP路由协议）运行。此外，为了保障ISIS路由协议的稳定和更好的管理，需要对CHINANET网络ISIS协议确定一个较大的缺省metric值，目前该值暂定100000。2、BGP安全防护BGP作为CHINANET网络的主要外部协议，是外部攻击的常见目标，也非常容易受外部攻击的影响，而IGP和其它内部控制协议不易受外部攻击影响。由于BGP协议配置的灵活性和复杂性，BGP的一个主要安全隐患是由于误配置而无意触发的DoS事件或安全性事件，这样会直接严重影响CHINANET网络的稳定性，因此需要考虑部署特定于B

12、GP的保护机制。BGP的保护机制主要包含以下几个方面：1）BGP前缀过滤机制 对CHINANET骨干网络而言，在C/D路由器上，需要对城域网及IDC广播的 BGP路由进行匹配过滤，具体策略如下： 对于使用私有AS的城域网和IDC，仅在面向RR的IBGP PEER的播出策略上针对城域网及IDC发送过来的路由使用本省的汇总路由进行模糊匹配过滤，原则上只向RR发送掩码为/24或以内（指/23、/22、/21.等路由）的路由，如：ip prefix-list filter 10 permit 202.102.0.0/16 le 21。对于不符合以上条件的路由使用严格匹配进行过滤。如：存在/25的路由，

13、则需要进行严格匹配，ip prefix-list filter 20 permit 202.102.10.128/25。 对使用公有AS的城域网和IDC（北京、上海城域网除外），在EBGP PEER上使用AS-PATH严格匹配城域网及IDC广播的路由，并使用ip prefix-list过滤缺省和私有路由。同时，在面向RR的IBGP PEER的播出策略上针对城域网及IDC发送过来的路由使用本省及跨省互联城域网（如重庆）的汇总路由进行模糊匹配过滤，原则上只向RR发送掩码为/24或以内（指/23、/22、/21.等路由）的路由，对于不符合以上条件的路由使用严格匹配进行过滤。 对于北京城域网及北京ID

14、C，在EBGP PEER上使用AS-PATH严格匹配城域网及IDC广播的路由，并使用ip prefix-list过滤缺省和私有路由。 对于上海城域网，在EBGP PEER上使用AS-PATH严格匹配城域网及IDC广播的路由，并使用ip prefix-list过滤缺省和私有路由。对于上海城域网跨省接入的C路由器，在上海城域网跨省接入的C路由器上部署面向RR的IBGP PEER策略时，需通过匹配community的方式向RR首先宣告上海城域网的路由，然后再采取其他策略。 向城域网和IDC的EBGP发送策略：CHINANET骨干发送路由给城域网时，除需要接收全球互联网Internet路由的城域网外，

15、对于其它城域网原则上通过COMMUNITY方式发送国内互联网路由（包含中国电信及中国其它运营商的IP 路由）和缺省路由。 在接收城域网和IDC的路由时原则上不做路由条目的限制。 2）BGP前缀汇总要求 为便于向国际运营商发布中国电信的IP路由，在C/D路由器对按省对省内城域网的路由进行汇总。 对于有公有AS的城域网，由城域网进行路由汇总，要求同上。 汇总路由的掩码原则上应大于/21。 3）AS-PATH长度的要求为了保障整个CHINANET网络路由层面的稳定性和可控性，需要对接收的eBGP路由AS-PATH长度进行一定限制。C/D路由器与城域网、IDC互联接收的eBGP路由AS-PATH长度不

16、超过8。4）eBGP邻居安全保障为了保障整个CHINANET网络路由层面的稳定性和可控性，对于非直接电路连接的eBGP互联，应通过MD5认证的方式进行eBGP邻居关系的建立。主要在与以下网络互联时实施： 城域网、IDC互联； 与ISP或大型政企用户网络互联。 5）TTL安全检查对于多跳eBGP互联邻居，为避免路由震荡和攻击，在可确定跳数的情况下，应启用BGP TTL security check功能，如CHINANET与城域网两路由器之间多链路互联时，使用loopback地址实现ebgp multihop互联。 3、关闭控制平面未使用的服务按照网络安全的基本要求，在网络中的每个设备上需要禁用未

17、使用的设备和协议，因此在CHINANET网络设备上，需要禁止以下不使用的协议： 代理ARP（no ip proxy-arp） IP源路由（no ip source-route） 4、控制引擎防护为实现对路由器控制引擎的防护，在C/D路由器上应使用rACL和CoPP等类似技术部署引擎防护策略，增强设备本身的安全性，具体配置见安全加固配置模板。4.2.5 管理层面安全加固策略4.2.6 1、禁用未使用的管理平面服务对于CHINANET网络设备不经常或不使用的管理平面服务，需要在设备上强制进行关闭，目前需要关闭的服务有：Bootp，CDP，DHCP，DNS lookup，小TCP/UDP服务，HTT

18、P服务。以CISCO为例如下：no service tcp-small-serversno service udp-small-serversno ip fingerno service fingerno ip http serverno cdp enableno bootp server 2、密码安全用于控制或限制设备的终端访问的秘密保护的使用时设备安全的基本元素，同时，需要保证在设备配置文件中，不能存在密码的明文，因此，需要在设备上启用密码加密机制，该机制配置示例如下（Cisco IOS）：service password-encryption3、SNMP安全SNMP协议方便了网络设备的远

19、程管理。SNMP在SNMP管理器和SNMP代理之间进行操作。CHINANET网络设备目前已经全面配置SNMP，因此为了保障SNMP安全可靠的工作，需要进行以下安全保护： SNMP community SNMP ACL：严格限制对设备SNMP进程访问的源IP地址，目前应该只允许集团和省级CHINANET网络管理地址段对设备的SNMP进程进行访问。 4、远程终端访问安全作为目前CHINANET网络设备管理和控制的首要机制，远程终端访问的安全性必须要得到较大的保障。目前可以通过以下机制实现： 通过AAA控制对CHINANET网络设备的访问，并根据不同的操作级别授予相应的操作权限，并做到对设备访问的实

20、名制，以便于安全隐患的排查和跟踪。 由于Telnet协议在终端与设备之间采用非加密通信，应该严格限制使用Telnet协议对CHINANET网络设备的访问，除CHINANET网络网管地址所必须的Telnet访问外，禁止任何其他方式的Telnet访问。 对于需要通过远程终端对CHINANET网络设备进行管理和控制的人员，应该首先采用SSH协议或者VPN方式（如IPSEC）登录到网管中心，然后通过网管中心作为跳板进行Telnet访问CHINANET设备。 5、Syslog安全为了对CHINANET网络安全事件进行跟踪和问题排查，需要在CHINANET网络设备上配置syslog服务，将设备产生的log

21、信息发送至syslog server，同时为了保障syslog信息的安全性，必须严格限制syslog发送的目的设备。如果省内需要从C/D路由器采集syslog数据，只能配置一个省内采集系统地址，省内其他系统再有需求，不直接从C/D路由器取。6、NTP部署为了更好的跟踪和分析CHINANET网络安全事件，需要在CHINANET网络设备上配置NTP，以提供一致的时间便于事件的分析。CHINANET网内的设备统一使用CN2的上海、广州和武汉的NTP Server做为主备NTP Server，CHINANET从京沪穗与CN2的互联点接收NTP Server的路由，为保证安全性，CN2的NTP Serv

22、er路由仅在CHINANET网内有效。同时，对于没有接入NTP Server的城域网，可以选取所在省的C/D设备做为城域网设备的NTP Server,为保证安全性，在NTP Server上需通过ACL方式对NTP Client进行接入限制。7、开启Netflow数据采集为了便于对全网的流量进行分析，以确定安全问题的类型，建立相应的处理机制，需要对全网的数据流量通过Netflow进行采集和分析。在C/D路由器开启NetFlow功能采集功能，采集入方向的流量的NetFlow数据，数据采集的比例为5000：1，NetFlow数据向集团网管数据采集设备发送；如果省内需要从C/D路由器采集NetFlow

23、数据，只能配置一个省内采集系统地址，省内其他系统再有需求，不直接从C/D路由器取。4.3 E路由器安全加固策略4.4 4.4.1 数据平面安全加固策略4.4.2 1、关闭IP选项IP数据平面中的IP选项功能一般在特定情况中需要应用，但对于多数常见的IP通信则不是必须的，因此，在E路由器禁用IP选项技术。注：如ChinaNET骨干网以后需要部署MPLS/TE、IP Multicast等网络特征，则需重新开启IP选项功能。2、关闭IP直接广播IP直接广播运行IP广播进行远程传输，这就为DoS攻击提供了一定的条件，因此在E路由器禁止IP直接广播。3、部署远程触发黑洞过滤为保护受攻击的对象（通常是ID

24、C中的部分主机服务器或者是政企客户），集团在在上海部署了的Blackhole trigger路由器，用来发布blackhole的路由，并设定其发布community 为4134:666，在RR上修改该路由的next-hop为172.20.20.1，另外设定静态路由ip route static172.20.20.1 255.255.255.255 null0。因此在E路由器凡是有流量到达这些被防护的主机地址，均被丢弃，从而实现了对业务主机的保护。4、典型垃圾流量过滤在E路由器的外部接口上，如国内ISP用户接口，对进入CHINANET区域的数据流量进行过滤，通过使用接口ACL技术，可以有效的阻止

25、一些有害的流量进入CHINANET。需要在外部接口上阻止的流量主要有以下几类： 常见及危害程度较大的病毒、木马端口，主要如下： 禁止如下端口UDP流量：deny udp any any eq 1434 /sql worm病毒端口deny udp any any eq 1433 /sql worm病毒端口deny udp any any eq 1027-1028 /灰鸽子木马端口deny udp any any eq 135-139 /禁止netbios端口deny udp any any eq netbios-ss /禁止netbios端口deny udp any any eq 445 /禁止

26、netbios端口禁止如下端口的TCP流量： deny tcp any any eq 4444 /冲击波病毒端口 deny tcp any any eq 445 /传送冲击波病毒端口deny tcp any any eq 5554 /冲击波病毒端口，在感染“震荡波”病毒后会通过5554端口向其他感染的计算机传送蠕虫病毒 过滤RFC定义的私有地址、组播地址数据流 在所有E路由器面向ISP接入的端口上采用分组过滤技术拒绝目的地址明显非法的数据包，如127.*.*.*，10.*.*.*，172.16-31.*.*，192.*.*.*等不应出现在公网上的数据包。deny ip 127.0.0.0 0.

27、255.255.255 any /Loopbackdeny ip 10.0.0.0 0.255.255.255 any /RFC 1918deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 169.254.0.0 0.0.255.255 any /Link local reserveddeny ip 224.0.0.0 31.255.255.255 any /Filter out any traffic with a source IP in the multicast or exper

28、imental rangedeny icmp any any fragments /Drop all ICMP fragments，以防范DDOS攻击；目标为CHINANET网络自用地址的数据流Permit tcp any 202.97.0.0 0.0.128.255 eq bgp /放开179端口，允许BGP；如要严格控制，则any使用地址段取代；deny ip any 202.97.0.0 0.0.128.255 /面向ISP互联的接口，过滤直接访问163骨干设备的地址。deny ip any 59.43.0.0 0.0.255.255 /阻止ISP通过163访问CN2设备网段Permit

29、 ip any any /允许其它访问4.4.3 控制层面安全加固策略4.4.4 1、ISIS安全防护在CHINANET E路由器与其它运营商互联接口禁止ISIS协议（含其它IGP路由协议）运行。此外，为了保障ISIS路由协议的稳定和更好的管理，需要对CHINANET网络ISIS协议确定一个较大的缺省metric值，目前该值暂定100000。2、BGP安全防护BGP的保护机制主要包含以下几个方面：1）BGP前缀过滤机制 E路由器接收customer（国内客户）路由的策略：使用ip prefix模糊匹配，原则上只接收掩码为/24或以内（指/24、/23、/22.等路由）的路由； E路由器接收pe

30、er（国内运营商）路由的策略：对于接收的路由采取AS-PATH严格匹配策略，并使用ip prefix-list过滤缺省和私有路由。同时，设置最大路由条目限制。路由条目限制策略如下： 接收路由0-100，设置接收的最大路由限制为1000； 接收路由101-500，设置接收的最大路由限制为2000； 接收路由501-1000，设置接收的最大路由限制为3000； 接收路由1001-5000，设置接收的最大路由限制为接收路由的3倍； 接收路由5001-10000，设置接收的最大路由限制为接收路由的2倍； 接收路由10000以上，设置接收的最大路由限制为接收路由的1.5倍。 2）AS-PATH控制 E路由器接收的国内ISP运营商eBGP路由AS-PATH长度不超过8； 3）eBGP邻居安全保障为了保障整个CHINANET网络路由层面的稳定性和可控性，需要： 与ISP互联，原则上使用直连接口地址建立ebgp邻居关系； 如的确需要与ISP采用多跳互联，优先选择通过MD5认证的方式建立eBGP邻居关系。 3、关闭控制平面未使用的服务在E路由器设备上，需要禁止以下不使用的协议： 代理ARP（no ip proxy-arp） IP源路由（no ip source-route） 4、控制引擎防护为实现对路由器控制引擎的防护，在C/D路由器上应使用rACL和C