【51CTO.com 综合消息】网络改造方案

安全特性及措施

分级配置用户口令

将网络交换机的登录口令分为4级：参观级、监控级、配置级、管理级，不同的级别所能做的操作都不相同。

参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH客户端、RLOGIN）等，该级别命令不允许进行配置文件保存的操作。

监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。

配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。

管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议规定、非RFC规定）等。

建议分级设置登录口令，以便于对于不同的维护人员提供不同的口令。

对任何方式登陆的用户都要认证，也可采用SSH

建议对于各种登录设备的方式（通过TELNET、CONSOLE口、AUX口）都进行认证。

在默认的情况下，CONSOLE口不进行认证，在使用时建议对于CONSOLE口登录配置上认证。

对于安全级别一般的设备，建议认证方式采用本地认证，认证的时候要求对用户名和密码都进行认证，配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。

对于安全级别比较高的设备，建议采用AAA方式到RADIUS去认证。 

对网络上已知病毒使用的端口进行过滤

现在网络上的很多病毒发作时，对网络上的主机进行扫描搜索，该攻击虽然不是针对设备本身，但是在攻击过程中会涉及到发ARP探询主机位置等操作，某些时候对于网络设备的资源消耗十分大，同时会占用大量的带宽。对于这些常见的病毒，通过分析它们的工作方式，可知道他们所使用的端口号。

为了避免这些病毒对于设备运行的影响，建议在设备上配置ACL，对已知的病毒所使用的TCP、UDP端口号进行过滤。一方面保证了设备资源不被病毒消耗，另一方面阻止了病毒的传播，保护了网络中的主机设备。

关闭危险的服务

如果在不使用以下服务的时候，建议将这些服务关闭，防止那些通过这些服务的攻击对设备的影响。

1、禁止HDP(Huawei Discovery Protocol)。

2、禁止其他的TCP、UDP Small服务。路由器提供一些基于TCP和UDP协议的小服务如：echo、chargen和discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过滤机制。

3、禁止Finger、NTP服务。Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其他任务出错。

4、建议禁止HTTP服务。路由器操作系统支持Http协议进行远端配置和监视，而针对Http的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保护，这使得用Http进行管理相当危险。

5、禁止BOOTp服务。

6、禁止IP Source Routing。

7、明确的禁止IP Directed Broadcast。

8、禁止IP Classless。

9、禁止ICMP协议的IP Unreachables,Redirects,Mask－Replies。

10、如果没必要则禁止WINS和DNS服务。

11、禁止从网络启动和自动从网络下载初始配置文件。

12、禁止FTP服务，网络上存在大量的FTP服务，使用不同的用户名和密码进行尝试登录设备，一旦成功登录，就可以对设备的文件系统操作，十分危险。

使用SNMP协议的建议

在不使用网管的时候，建议关闭SNMP协议。

出于SNMPv1/v2协议自身不安全性的考虑，建议尽量使用SNMPv3，除非网管不支持SNMPv3，只能用SNMPv1/v2。

在配置SNMPv3时，最好既鉴别又加密，以更有效地加强安全。鉴别协议可通过MD5或SHA，加密协议可通过DES。

在SNMP服务中，提供了ACL过滤机制，该机制适用于SNMPv1/v2/v3三个版本，建议通过访问控制列表来限制SNMP的客户端。

SNMP服务还提供了视图控制，可用于SNMPv1/v2/v3。建议使用视图来限制用户的访问权限。

在配置SNMPv1/v2的community名字时，建议避免使用public、private这样公用的名字。并且在配置community时，将RO和RW的community分开，不要配置成相同的名字。如果不需要RW的权限，则建议不要配置RW的community。

关闭不使用的物理端口

为了防止误接设备而引起网络的异常，建议对于不使用的物理端口在配置上将其关闭，防止误接。

保持系统日志打开

网络设备的系统日志会记录设备的运行信息，维护人员做了哪些操作，执行了哪些命令。系统日志建议一直打开，以便于网络异常的时候，查找相关的记录。

系统日志缺省向console口、日志缓冲区输出。

系统日志可以向Telnet终端和哑终端（monitor）、日志主机（loghost）输出，但需要配置。

注意检查设备的系统时间是否正确

为了保证日志时间的准确性，建议定期（每月一次）检查设备的系统时间是否准确，和实际时间误差不超过1分钟。

在设备上开启URPF功能

URPF通过获取报文的源地址和入接口，以源地址为目的地址，在转发表中查找源地址对应的接口是否与入接口匹配，如果不匹配，认为源地址是伪装的，丢弃该报文。通过这种方式，URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。通过URPF，可以防止基于源地址欺骗的网络攻击行为。

防攻击的措施

这类防范措施请根据实际网络和遭受攻击的情况进行。配置会对网络造成一定影响，请慎重实施。

目前，网络上最大也是最难解决的攻击是DOS攻击。大多数的Dos攻击都是通过发送大量的无用包，从而占用路由器和带宽的资源，导致网络和设备过载，这种攻击也称为”洪泛攻击”。对于这种攻击的防范首先要明确瓶颈在哪里。

ICMP协议的安全配置：

ICMP协议很多具有一些安全隐患，因此在骨干网络上，如果没有特别需要建议禁止一些ICMP协议报文：ECHO、Redirect、Mask request。同时禁止TraceRoute命令的探测。对于流出的ICMP流，可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。这些的措施通过ACL功能都可以实现。

DDOS攻击的防范：

DDoS(分布式拒绝服务)，它的英文全称为Distributed Denial of Service，它是一种基于DoS的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比如商业公司，搜索引擎和政府部门的站点。

该攻击需要在发现问题后接入层面实施，先探测到DDOS攻击源和攻击使用的端口（这个功能可以通过端口镜像，将数据流镜像到专门的设备上进行分析，以获取攻击源和攻击使用的端口），然后对攻击源的通信进行限制，这类防范手段也可以通过ACL来实现。

Smurf攻击的防范：

Smurf攻击是向一个子网的广播地址发一个带有特定请求（如ICMP回应请求）的包，并且将源地址伪装成想要攻击的主机地址。子网上所有主机都回应广播包请求而向被攻击主机发包，使该主机受到攻击。

该攻击需要在发现问题后接入层面实施，先探测到Smurf攻击源和攻击使用的端口（这个功能可以通过端口镜像，将数据流镜像到专门的设备上进行分析，以获取攻击源和攻击使用的端口），然后对攻击源的通信进行限制，这类防范手段也可以通过ACL来实现。

TCP SYN攻击的防范：

利用TCP连接机制的攻击。Synflood: 该攻击以多个随机的源主机地址向目的主机发送SYN包，而在收到目的主机的SYN ACK后并不回应，这样，目的主机就为这些源主机建立了大量的连接队列，而且由于没有收到ACK一直维护着这些队列，造成了资源的大量消耗而不能向正常请求提供服务。

该攻击需要在发现问题后接入层面实施，先探测到TCP SYN攻击源和攻击使用的端口（这个功能可以通过端口镜像，将数据流镜像到专门的设备上进行分析，以获取攻击源和攻击使用的端口），然后对攻击源的通信进行限制，这类防范手段也可以通过ACL来实现。

LAND.C攻击的防范：

攻击者将一个包的源地址和目的地址都设置为目标主机的地址，然后将该包通过IP欺骗的方式发送给被攻击主机，这种包可以造成被攻击主机因试图与自己建立连接而陷入死循环，从而很大程度地降低了系统性能。

该攻击需要在发现问题后接入层面实施，先探测到LAND.C攻击源和攻击使用的端口（这个功能可以通过端口镜像，将数据流镜像到专门的设备上进行分析，以获取攻击源和攻击使用的端口），然后对攻击源的通信进行限制，这类防范手段也可以通过ACL来实现。