N設(shè)備網(wǎng)絡(luò)安全技術(shù)白皮書(shū)

1、PTN設(shè)備技術(shù)白皮書(shū)聲明版權(quán)所有 華為技術(shù)有限公司 2006。 保留一切權(quán)利。非經(jīng)本公司書(shū)面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標(biāo)聲明和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊(cè)商標(biāo)，由各自的所有人擁有。注意由于產(chǎn)品版本升級(jí)或其他原因，本文檔內(nèi)容會(huì)不定期進(jìn)行更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。技術(shù)支持技術(shù)支援網(wǎng)址：http客戶服務(wù)郵箱：s客戶服務(wù)電話：8008302118真址：深圳市龍崗區(qū)坂田華

2、為總部辦公樓郵編：518129目錄 TOC o 1-3 h z u HYPERLINK l _Toc237665840 聲明 PAGEREF _Toc237665840 h 1 HYPERLINK l _Toc237665841 版權(quán)所有 華為技術(shù)有限公司 2006。 保留一切權(quán)利。 PAGEREF _Toc237665841 h 1 HYPERLINK l _Toc237665842 非經(jīng)本公司書(shū)面許可，任何單位和個(gè)人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。 PAGEREF _Toc237665842 h 1 HYPERLINK l _Toc237665843 商標(biāo)聲

3、明 PAGEREF _Toc237665843 h 1 HYPERLINK l _Toc237665844 注意 PAGEREF _Toc237665844 h 1 HYPERLINK l _Toc237665845 技術(shù)支持 PAGEREF _Toc237665845 h 1 HYPERLINK l _Toc237665846 1概述 PAGEREF _Toc237665846 h 5 HYPERLINK l _Toc237665847 2網(wǎng)絡(luò)安全威脅 PAGEREF _Toc237665847 h 5 HYPERLINK l _Toc237665848 2.1網(wǎng)絡(luò)安全威脅的定義 PAGER

4、EF _Toc237665848 h 5 HYPERLINK l _Toc237665849 2.2網(wǎng)絡(luò)安全威脅的分類 PAGEREF _Toc237665849 h 5 HYPERLINK l _Toc237665850 2.3網(wǎng)絡(luò)設(shè)備的安全威脅 PAGEREF _Toc237665850 h 6 HYPERLINK l _Toc237665851 數(shù)據(jù)傳送層面 PAGEREF _Toc237665851 h 6 HYPERLINK l _Toc237665852 控制信令層面 PAGEREF _Toc237665852 h 6 HYPERLINK l _Toc237665853 設(shè)備管理層

5、面 PAGEREF _Toc237665853 h 6 HYPERLINK l _Toc237665854 3PTN設(shè)備安全能力介紹 PAGEREF _Toc237665854 h 6 HYPERLINK l _Toc237665855 3.1數(shù)據(jù)傳送層面的安全能力 PAGEREF _Toc237665855 h 6 HYPERLINK l _Toc237665856 MAC地址表容量攻擊防護(hù)告警能力 PAGEREF _Toc237665856 h 6 HYPERLINK l _Toc237665857 廣播/組播報(bào)文速率限制 PAGEREF _Toc237665857 h 7 HYPERLI

6、NK l _Toc237665858 二層業(yè)務(wù)環(huán)路防護(hù)能力 PAGEREF _Toc237665858 h 7 HYPERLINK l _Toc237665859 黑白名單功能 PAGEREF _Toc237665859 h 7 HYPERLINK l _Toc237665860 端口環(huán)回檢測(cè) PAGEREF _Toc237665860 h 8 HYPERLINK l _Toc237665861 接入認(rèn)證 PAGEREF _Toc237665861 h 8 HYPERLINK l _Toc237665862 3.1.7地址掃描攻擊防護(hù)能力 PAGEREF _Toc237665862 h 8 H

7、YPERLINK l _Toc237665863 靜態(tài)MAC地址表項(xiàng)和ARP表項(xiàng)綁定能力 PAGEREF _Toc237665863 h 8 HYPERLINK l _Toc237665864 防止CPU受沖擊能力 PAGEREF _Toc237665864 h 8 HYPERLINK l _Toc237665865 3.1.10強(qiáng)大的ACL能力 PAGEREF _Toc237665865 h 9 HYPERLINK l _Toc237665866 3.2控制信令層面的安全能力 PAGEREF _Toc237665866 h 9 HYPERLINK l _Toc237665867 ARP協(xié)議攻

8、擊防護(hù)能力 PAGEREF _Toc237665867 h 9 HYPERLINK l _Toc237665868 地址盜用防護(hù)能力 PAGEREF _Toc237665868 h 9 HYPERLINK l _Toc237665869 路由協(xié)議攻擊防護(hù)能力 PAGEREF _Toc237665869 h 10 HYPERLINK l _Toc237665870 3.3設(shè)備管理層面的安全能力 PAGEREF _Toc237665870 h 10 HYPERLINK l _Toc237665871 認(rèn)證管理 PAGEREF _Toc237665871 h 10 HYPERLINK l _Toc2

9、37665872 授權(quán)管理 PAGEREF _Toc237665872 h 10 HYPERLINK l _Toc237665873 網(wǎng)絡(luò)安全管理 PAGEREF _Toc237665873 h 11 HYPERLINK l _Toc237665874 網(wǎng)元安全日記管理 PAGEREF _Toc237665874 h 11 HYPERLINK l _Toc237665875 Syslog日記管理 PAGEREF _Toc237665875 h 11概述隨著互聯(lián)網(wǎng)技術(shù)的不斷演進(jìn)、規(guī)模的爆炸性發(fā)展，互聯(lián)網(wǎng)應(yīng)用已經(jīng)從起初的科研領(lǐng)域逐漸延伸到當(dāng)代社會(huì)生活的方方面面，越來(lái)越多基于網(wǎng)絡(luò)的關(guān)鍵業(yè)務(wù)蓬勃興起，

10、網(wǎng)絡(luò)成為人類提高生產(chǎn)力、提升生活質(zhì)量的新的推動(dòng)力。然而，互聯(lián)網(wǎng)的技術(shù)基礎(chǔ)，即IP網(wǎng)絡(luò)，卻在天然上存在著諸如安全、服務(wù)質(zhì)量、運(yùn)營(yíng)模式等問(wèn)題。其中，IP網(wǎng)絡(luò)的安全問(wèn)題是其中非常重要的一個(gè)方面，由于IP網(wǎng)絡(luò)的開(kāi)放性，又使得它的安全問(wèn)題變得十分復(fù)雜。IP網(wǎng)絡(luò)的簡(jiǎn)單和開(kāi)放在促成互聯(lián)網(wǎng)迅猛發(fā)展的同時(shí)，也造成了IP網(wǎng)絡(luò)容易引入安全漏洞的弱點(diǎn)。同時(shí)，隨著技術(shù)的發(fā)展、信息傳遞的迅捷，針對(duì)IP網(wǎng)絡(luò)安全攻擊的技術(shù)難度越來(lái)越小，攻擊工具自動(dòng)化程度則越來(lái)越高，攻擊技術(shù)趨向平民化。網(wǎng)絡(luò)攻擊事件數(shù)量每年都在大幅增加，造成的損失日益巨大，影響范圍不再僅限于少數(shù)公司，甚至波及國(guó)家信息安全。網(wǎng)絡(luò)安全威脅給網(wǎng)絡(luò)世界進(jìn)一步的發(fā)展蒙上

11、了陰影。網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅的定義所謂的網(wǎng)絡(luò)安全威脅，即是通過(guò)特定技術(shù)或工具，對(duì)在網(wǎng)絡(luò)、服務(wù)器和桌面上存儲(chǔ)和傳輸?shù)臄?shù)據(jù)未經(jīng)授權(quán)進(jìn)行訪問(wèn)，甚至破壞或者修改這些數(shù)據(jù)，是當(dāng)今網(wǎng)絡(luò)安全中面臨的基本威脅。網(wǎng)絡(luò)安全威脅的分類IP網(wǎng)絡(luò)的安全威脅分為兩個(gè)方面：一是主機(jī)（包括用戶主機(jī)和應(yīng)用服務(wù)器等）的安全，二是網(wǎng)絡(luò)自身（主要是網(wǎng)絡(luò)設(shè)備，包括路由器、交換機(jī)等）的安全。用戶主機(jī)所感知的安全威脅主要是針對(duì)特定操作系統(tǒng)（主要是Windows系統(tǒng)）的攻擊，諸如病毒、木馬。網(wǎng)絡(luò)設(shè)備主要面對(duì)的是基于TCP/IP協(xié)議的攻擊。本文主要討論網(wǎng)絡(luò)自身，即網(wǎng)絡(luò)設(shè)備的安全問(wèn)題。網(wǎng)絡(luò)設(shè)備的安全威脅網(wǎng)絡(luò)設(shè)備的功能可以分為以下幾個(gè)層面：網(wǎng)

12、絡(luò)數(shù)據(jù)傳送、控制信令、網(wǎng)絡(luò)設(shè)備管理。相應(yīng)地，網(wǎng)絡(luò)設(shè)備的安全威脅即是針對(duì)于這幾個(gè)層面展開(kāi)的。數(shù)據(jù)傳送層面網(wǎng)絡(luò)數(shù)據(jù)傳送層面的功能是負(fù)責(zé)處理進(jìn)入設(shè)備的數(shù)據(jù)流。它有可能受到基于流量的攻擊，如大流量攻擊、畸形報(bào)文攻擊。這些攻擊的主要目的是占用設(shè)備CPU的處理時(shí)間，造成正常的數(shù)據(jù)流量無(wú)法得到處理，使設(shè)備的可用性降低。由于網(wǎng)絡(luò)數(shù)據(jù)傳送層面負(fù)責(zé)用戶數(shù)據(jù)的轉(zhuǎn)發(fā)，因此也會(huì)受到針對(duì)用戶數(shù)據(jù)的攻擊，主要是對(duì)用戶數(shù)據(jù)的惡意竊取、修改、刪除等，使用戶數(shù)據(jù)的機(jī)密性和完整性受到破壞?？刂菩帕顚用婢W(wǎng)絡(luò)控制信令層面的主要功能是維護(hù)各層網(wǎng)絡(luò)協(xié)議的運(yùn)行，以控制數(shù)據(jù)流的路由和交換。這一層面受到的最主要威脅來(lái)自對(duì)路由信息的竊取，對(duì)IP地

13、址的偽造等，這會(huì)造成網(wǎng)絡(luò)路由信息的泄漏或?yàn)E用。設(shè)備管理層面網(wǎng)絡(luò)設(shè)備管理層面提供了對(duì)設(shè)備的遠(yuǎn)程管理功能。威脅來(lái)自于兩個(gè)方面，一個(gè)是系統(tǒng)管理所使用的協(xié)議（如Telnet協(xié)議、HTTP協(xié)議等）的漏洞，另一個(gè)是不嚴(yán)密的管理，如設(shè)備管理賬號(hào)的泄露等。PTN設(shè)備安全能力介紹數(shù)據(jù)傳送層面的安全能力MAC地址表容量攻擊防護(hù)告警能力所謂MAC地址表容量攻擊，是指攻擊源發(fā)送源MAC地址不斷變化的報(bào)文，網(wǎng)絡(luò)設(shè)備在收到這種報(bào)文后，會(huì)進(jìn)行源MAC地址學(xué)習(xí)。由于MAC地址表容量是有限的，當(dāng)MAC地址表項(xiàng)達(dá)到最大容量后，正常報(bào)文的MAC地址學(xué)習(xí)將無(wú)法完成。在進(jìn)行二層轉(zhuǎn)發(fā)時(shí)，這些報(bào)文將會(huì)在VLAN內(nèi)廣播，嚴(yán)重影響網(wǎng)絡(luò)帶寬，同

14、時(shí)也會(huì)對(duì)網(wǎng)絡(luò)設(shè)備下掛主機(jī)造成沖擊。PTN提供設(shè)置VSI允許學(xué)習(xí)的最大MAC地址數(shù)目的功能。用戶可以根據(jù)VSI下掛的主機(jī)數(shù)目來(lái)設(shè)置該VSI最大允許學(xué)習(xí)的MAC地址數(shù)目，防止一個(gè)VSI就把系統(tǒng)的MAC地址表項(xiàng)耗盡。廣播/組播報(bào)文速率限制網(wǎng)絡(luò)中存在大量的廣播或者組播報(bào)文，會(huì)占用寶貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。而且當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備存在環(huán)路時(shí)，廣播和組播報(bào)文會(huì)在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓。PTN具有強(qiáng)大的廣播/組播/未知單播報(bào)文過(guò)濾功能?？梢园凑斩丝谒俾实陌俜直葋?lái)限制端口允許通過(guò)的廣播/組播/未知單播報(bào)文速率。同時(shí)，還可以通過(guò)ACL規(guī)則設(shè)置特定端口廣播、組播和未知單播報(bào)文允許通過(guò)的速率。

15、二層業(yè)務(wù)環(huán)路防護(hù)能力PTN設(shè)備具有防止2層業(yè)務(wù)存在環(huán)路的能力，PTN設(shè)備支持MSTP/RSTP，可避免網(wǎng)絡(luò)中出現(xiàn)環(huán)路而導(dǎo)致帶寬耗盡嚴(yán)重影響設(shè)備轉(zhuǎn)發(fā)性能的情況出現(xiàn)。同時(shí)PTN具有對(duì)業(yè)務(wù)端口進(jìn)行水平分割的能力，可隔離網(wǎng)絡(luò)側(cè)的報(bào)文的轉(zhuǎn)發(fā)，即從NNI側(cè)端口進(jìn)入的報(bào)文禁止發(fā)往另一個(gè)NNI端口，從而消除網(wǎng)絡(luò)環(huán)路的情況。黑白名單功能網(wǎng)絡(luò)中存在合法用戶和非法用戶，非法用戶的接入不僅僅會(huì)占用的網(wǎng)絡(luò)帶寬，還對(duì)網(wǎng)絡(luò)安全存在一定的威脅。黑白名單功能是防止非法用戶攻擊網(wǎng)絡(luò)的一種基本手段，黑名單就是禁止名單上的用戶設(shè)備進(jìn)入網(wǎng)絡(luò)，允許其他設(shè)備報(bào)文進(jìn)入網(wǎng)絡(luò)；白名單則是只允許名單上的用戶設(shè)備報(bào)文進(jìn)入網(wǎng)絡(luò)，其他用戶設(shè)備則過(guò)濾掉。

16、PTN設(shè)備提供基于端口和基于二層交換業(yè)務(wù)的黑白名單功能，用戶可以按端口或者VSI來(lái)配置黑白名單，以此保證合法用戶的接入，過(guò)濾非法用戶。端口環(huán)回檢測(cè)端口環(huán)回對(duì)網(wǎng)絡(luò)安全存在威脅，可能引起廣播風(fēng)暴耗盡網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)拓?fù)涓淖?，或者?dǎo)致協(xié)議報(bào)文過(guò)多沖擊設(shè)備CPU處理能力。因此需要對(duì)設(shè)備端口環(huán)回具備檢測(cè)功能。PTN設(shè)備可以根據(jù)配置檢測(cè)端口是否存在環(huán)回，發(fā)現(xiàn)端口環(huán)回提供告警給用戶，并根據(jù)配置阻塞端口。接入認(rèn)證PTN設(shè)備提供接入認(rèn)證功能，支持802.1x的接入認(rèn)證，支持基于端口或者M(jìn)AC的接入認(rèn)證。地址掃描攻擊防護(hù)能力地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)

17、設(shè)備的直連網(wǎng)段時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。PTN設(shè)備實(shí)現(xiàn)了地址掃描攻擊的防護(hù)能力。當(dāng)設(shè)備收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄表項(xiàng)，以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)。否則，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)設(shè)備造成影響，又保證正常業(yè)務(wù)流程的暢通。靜態(tài)MAC地址表項(xiàng)和ARP表項(xiàng)綁

18、定能力PTN設(shè)備提供配置靜態(tài)MAC地址表項(xiàng)和靜態(tài)ARP表項(xiàng)的功能。用戶可以通過(guò)配置靜態(tài)MAC地址表項(xiàng)，保證二層數(shù)據(jù)報(bào)文正確的轉(zhuǎn)發(fā)；用戶還可以通過(guò)配置靜態(tài)ARP表項(xiàng)，綁定MAC地址和IP地址，確保IP地址不會(huì)被偽用戶盜用。防止CPU受沖擊能力網(wǎng)絡(luò)中CPU處理的協(xié)議報(bào)文過(guò)多，會(huì)對(duì)CPU造成較大的影響，甚至導(dǎo)致設(shè)備復(fù)位。PTN設(shè)備可對(duì)各種上報(bào)CPU的報(bào)文進(jìn)行流量控制，超過(guò)帶寬部分被丟棄，以免CPU受到較大的沖擊。強(qiáng)大的ACL能力在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在各種各樣的攻擊報(bào)文，可能攻擊網(wǎng)絡(luò)設(shè)備，也可能攻擊網(wǎng)絡(luò)設(shè)備下掛的主機(jī)。PTN設(shè)備提供強(qiáng)大而豐富的ACL功能，能夠?qū)?bào)文的數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層各字段

19、進(jìn)行識(shí)別、限流和過(guò)濾。控制信令層面的安全能力ARP協(xié)議攻擊防護(hù)能力ARP協(xié)議沒(méi)有任何驗(yàn)證方式，而ARP在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關(guān)重要的，攻擊者常偽造ARP報(bào)文進(jìn)行攻擊。PTN設(shè)備能夠檢測(cè)并且防范ARP報(bào)文的攻擊。當(dāng)攻擊者采用某個(gè)或者某幾個(gè)固定的攻擊源，向設(shè)備發(fā)送大量的ARP報(bào)文進(jìn)行攻擊時(shí)，PTN能夠檢測(cè)并且防范這種ARP協(xié)議報(bào)文的攻擊。當(dāng)PTN設(shè)備收到ARP報(bào)文時(shí)，會(huì)根據(jù)報(bào)文源MAC地址記錄單位時(shí)間收到的ARP報(bào)文數(shù)目。當(dāng)檢測(cè)到單位時(shí)間內(nèi)CPU收包出現(xiàn)丟包且某些固定源MAC地址的主機(jī)超出一定限度，認(rèn)為該主機(jī)在進(jìn)行ARP攻擊。如果用戶啟用ARP防攻擊功能，則會(huì)打印提示信息并記錄到日志信息中，且下發(fā)一條

20、源MAC地址丟棄的表項(xiàng)，對(duì)該攻擊源進(jìn)行屏蔽。（目前沒(méi)有實(shí)現(xiàn)）地址盜用防護(hù)能力所謂地址盜用，是指一個(gè)非法用戶仿冒合法用戶的IP地址，盜用合法用戶的IP地址進(jìn)行上網(wǎng)。網(wǎng)絡(luò)設(shè)備會(huì)學(xué)習(xí)到錯(cuò)誤的ARP表項(xiàng)，影響合法用戶的正常上網(wǎng)。PTN設(shè)備具有防范非法用戶盜用地址上網(wǎng)的能力。只需要在設(shè)備上面配置MAC地址和IP地址綁定的安全地址表項(xiàng)，設(shè)備在學(xué)習(xí)ARP表項(xiàng)時(shí)會(huì)根據(jù)該安全地址表項(xiàng)進(jìn)行檢查，滿足條件則學(xué)習(xí)ARP表項(xiàng)，不滿足條件不學(xué)習(xí)。當(dāng)用戶通過(guò)DHCP獲取網(wǎng)絡(luò)基本資源時(shí)，PTN設(shè)備還可以實(shí)現(xiàn)DHCP監(jiān)聽(tīng)動(dòng)態(tài)建立MAC地址和IP地址綁定的安全地址表項(xiàng)，只允許接入已通過(guò)DHCP獲取配置的設(shè)備接入，如果是非法用戶仿冒合法用戶的IP地址，將會(huì)被過(guò)濾到。路由協(xié)議攻擊防護(hù)能力路由協(xié)議攻擊是指向不進(jìn)行路由認(rèn)證的路由器發(fā)送錯(cuò)誤的路由更新報(bào)文，使路由表中出現(xiàn)錯(cuò)誤的路由，嚴(yán)重的情況可以造成網(wǎng)絡(luò)癱瘓，高明的攻擊者可以用來(lái)進(jìn)行更深層次的攻擊實(shí)施。PTN設(shè)備能夠?qū)κ盏降母鞣N路由協(xié)議進(jìn)行認(rèn)證。1）OSPF協(xié)議，支持鄰居路由器之間的明文/MD5認(rèn)證和OSPF區(qū)域內(nèi)的明文/MD5認(rèn)證；2）IS-IS協(xié)議，支持接口間Level-1明文/MD5認(rèn)證、接口Level-2明文/MD5認(rèn)證、IS-IS區(qū)域內(nèi)明文/MD5認(rèn)證和IS-IS路由域上的明