華為核心路由器多種安全特性

1、華為核心路由 器的安全方案網(wǎng)絡(luò)的安全保障特點(diǎn)網(wǎng)絡(luò)安全大體上分為兩個(gè)層次：網(wǎng)絡(luò)自身安全和網(wǎng)絡(luò)業(yè)務(wù)安全。網(wǎng)絡(luò)自身的 安全主要是指網(wǎng)絡(luò)數(shù)據(jù)的安全傳送、 網(wǎng)絡(luò)資源的合法使用；后者主要是指網(wǎng)絡(luò)業(yè) 務(wù)的合法授權(quán)、使用和監(jiān)管。針對(duì)現(xiàn)有網(wǎng)絡(luò)和業(yè)務(wù)的現(xiàn)狀，一個(gè)完整的網(wǎng)絡(luò)安全 方案應(yīng)該由網(wǎng)絡(luò)層安全策略和應(yīng)用層安全策略來構(gòu)成，網(wǎng)絡(luò)層安全策略主要完成對(duì)非法使用網(wǎng)絡(luò)資源的控制，而應(yīng)用層安全策略主要是針對(duì)通過合法的渠道來非 法使用業(yè)務(wù)資源的控制，只有兩者的完美結(jié)合，才能構(gòu)成一個(gè)安全的系統(tǒng)！設(shè)備級(jí)的安全措施1、配置安全。華為數(shù)據(jù)產(chǎn)品對(duì)登錄用戶支持本地或遠(yuǎn)程兩種認(rèn)證方式，并為不同級(jí)別的 用戶提供不同的配置權(quán)限。支持用戶使用S

2、SH錄路由器并進(jìn)行配置，避免了遠(yuǎn) 程配置的報(bào)文被第三方監(jiān)控的可能。2、數(shù)據(jù)日志及熱補(bǔ)丁技術(shù)。設(shè)備的文件系統(tǒng)是一個(gè)類 DOS勺系統(tǒng)，可以記錄系統(tǒng)及用戶日志。系統(tǒng)日志 指系統(tǒng)運(yùn)行過程中記錄的相關(guān)信息， 用以對(duì)運(yùn)行情況、故障進(jìn)行分析和定位，支 持基于線程極的系統(tǒng)日志。日志文件可以通過 XModem FTR TFTPft、議，遠(yuǎn)程傳 送到網(wǎng)管中心。除此之外，考慮到有些IP特性對(duì)局域網(wǎng)來說是有用的，但對(duì)廣域網(wǎng)或城域 網(wǎng)節(jié)點(diǎn)的設(shè)備是不適用的。如果這些特性被惡意攻擊者利用，會(huì)增加網(wǎng)絡(luò)的危險(xiǎn)。 在網(wǎng)絡(luò)設(shè)計(jì)時(shí)可考慮關(guān)閉以下這些IP功能的開關(guān)：(1)、重定向開關(guān)網(wǎng)絡(luò)設(shè)備向同一個(gè)子網(wǎng)的主機(jī)發(fā)送ICMP重定向報(bào)文，請(qǐng)

3、求主機(jī)改變路由。 一般情況下，設(shè)備僅向主機(jī)而不向其它設(shè)備發(fā)送 ICMP重定向報(bào)文。但一些惡意 的攻擊可能跨越網(wǎng)段向另外一個(gè)網(wǎng)絡(luò)的主機(jī)發(fā)送虛假的重定向報(bào)文，以期改變主機(jī)的路由表，干擾主機(jī)正常的IP報(bào)文轉(zhuǎn)發(fā)。(2)、定向廣播報(bào)文轉(zhuǎn)發(fā)開關(guān)在接口上進(jìn)行配置，禁止目的地址為子網(wǎng)廣播地址的報(bào)文從該接口轉(zhuǎn)發(fā)，以防止smurf攻擊。因此，設(shè)備應(yīng)能關(guān)閉定向廣播報(bào)文的轉(zhuǎn)發(fā)。缺省應(yīng)為關(guān)閉狀。(3)、ICMP議的功能開關(guān)很多常見的網(wǎng)絡(luò)攻擊利用了 ICMP協(xié)議功能。ICMP協(xié)議允許網(wǎng)絡(luò)設(shè)備中間節(jié)點(diǎn)向其它設(shè)備節(jié)點(diǎn)和主機(jī)發(fā)送差錯(cuò)或控制報(bào) 文；主機(jī)也可用ICMP協(xié)議與網(wǎng)絡(luò)設(shè)備或另一臺(tái)主機(jī)通信。對(duì)ICMP的防護(hù)比較復(fù)雜，因?yàn)镮

4、CMP中一些消息已經(jīng)作廢，而有一些消息在 基本傳送中不使用，而另外一些則是常用的消息。因此 ICMP協(xié)議處理中應(yīng)根據(jù) 這三種差別對(duì)不同的ICMP消息處理。以減少ICMP對(duì)網(wǎng)絡(luò)安全的影響。3、核心路由器的多種安全特性核心路由器提供多種安全措施，包括一系列的安全特性，可以防止拒絕服務(wù) 攻擊、非法接入以及控制平面的過載。主要安全特性包括：三種用戶鑒權(quán)模式：本地驗(yàn)證、 RADIUS!務(wù)器當(dāng)證和HWTACACS務(wù)器 驗(yàn)證，可對(duì)用戶身份進(jìn)行驗(yàn)證，并進(jìn)行合理授權(quán)?；谟布陌^濾和采樣，從而實(shí)現(xiàn)高性能和高擴(kuò)展性。對(duì)OSPF IS-IS、RIP和BGP-4等上層路由協(xié)議，提供明文驗(yàn)證和 MD5 (Messag

5、e Digest 5 )等多種驗(yàn)證方法。實(shí)現(xiàn)轉(zhuǎn)發(fā)和控制平面的訪問控制列表 ACL (Access Control List )。支持本機(jī)防攻擊安全特性。支持合法監(jiān)聽/URPE支持 DHCP Snooping/MAC艮制。支持GTSMARFW攻擊在現(xiàn)今的運(yùn)營(yíng)商網(wǎng)絡(luò)中，Ethernet是最常用的接入手段，而ARP作為Ethernet網(wǎng)絡(luò)上的開放協(xié)議，為惡意用戶的攻擊提供了可能。惡意用戶的攻擊 主要從空間與時(shí)間兩方面進(jìn)行。空間方面的攻擊主要利用路由器 ARPS存的有限 性，通過發(fā)送大量偽造的ARP青求、應(yīng)答報(bào)文，造成路由器設(shè)備的ARPS存溢出， 從而無法緩存正常的ARP表項(xiàng)，進(jìn)而阻礙正常轉(zhuǎn)發(fā)。時(shí)間方

6、面的攻擊主要利用路 由器計(jì)算能力的有限性，通過發(fā)送大量偽造的ARP青求、應(yīng)答報(bào)文或其他能夠觸 發(fā)路由器ARP處理的報(bào)文，造成路由器設(shè)備的計(jì)算資源長(zhǎng)期忙于 ARpt理，影響 其他業(yè)務(wù)的處理，進(jìn)而阻礙正常轉(zhuǎn)發(fā)。使用基于接口的ARPft項(xiàng)限制和基于時(shí)間 戳的防掃描兩種特性來防止ARP攻擊。4、防地址盜用通過IP地址、MA04址和VlanlD的相關(guān)性綁定進(jìn)一步提高網(wǎng)絡(luò)的安全性.當(dāng)業(yè)務(wù)接入節(jié)點(diǎn)收到一個(gè)IP報(bào)文時(shí)，其以太網(wǎng)封裝幀頭中的 VLAN ID必須 是綁定記錄中的VLANID,其以太網(wǎng)封裝幀頭中的源 MAO址也必須是綁定記錄 中的MAC同時(shí)此報(bào)文的源IP地址也必須是綁定記錄中的IP地址。如果不符合

7、這個(gè)約束，該報(bào)文被視為無效并被丟棄。業(yè)務(wù)接入節(jié)點(diǎn)通過綁定的方法，維護(hù)了 IP地址、MA04址和VLANB識(shí)的相 關(guān)性，除了可以有效的防止IP地址仿冒和MA04址仿冒，還能有效的控制同一 VLANT接入用戶的數(shù)目。5、接入認(rèn)證提升接入安全性華為以太網(wǎng)交換機(jī)均支持802.1X認(rèn)證，從標(biāo)準(zhǔn)的802.1x認(rèn)證看，只能控制 接入端口的打開和關(guān)閉，如某個(gè)端口下掛了一個(gè) HUB則只要HUB上有一個(gè)用戶 認(rèn)證通過，該端口就處于打開狀態(tài)，此 HUBF的其他用戶也都可以上網(wǎng)。為了解決這個(gè)問題，擴(kuò)展基于MAO址的認(rèn)證，某個(gè)用戶認(rèn)證通過后，接入 設(shè)備就將此用戶的MA04址記錄下來，接入設(shè)備只允許所記錄 MACM址發(fā)送

8、的報(bào) 文通過，其它MAO址的報(bào)文一律拒絕。認(rèn)證的終結(jié)點(diǎn)可以選擇集中式和分布式兩種方式。對(duì)于集中式認(rèn)證，主要針對(duì)需要認(rèn)證的用戶數(shù)量不多，方便管理，這時(shí)只需 要把核心交換機(jī)配置成為802.1X認(rèn)證終結(jié)端，這時(shí)所有的用戶認(rèn)證信息到核心 交換機(jī)上終結(jié)，這種方式的認(rèn)證優(yōu)點(diǎn)是：在用戶量較少的情況下方便統(tǒng)一管理。缺點(diǎn)：在用戶數(shù)量較多的情況下，對(duì)核心設(shè)備的性能有一定影響。對(duì)于分布式認(rèn)證，主要針對(duì)需要認(rèn)證的用戶數(shù)量較多，把認(rèn)證的終結(jié)點(diǎn)設(shè)置 在用戶接入的交換機(jī)或者用戶接入的上一層交換機(jī)。這時(shí)用戶的 802.1X認(rèn)證終 結(jié)點(diǎn)分散到了接入層。這種認(rèn)證方式的優(yōu)點(diǎn)是：在用戶量較大的情況下，分散了 用戶的認(rèn)證終結(jié)點(diǎn)，對(duì)設(shè)備

9、性能影響小。缺點(diǎn)：需要對(duì)每臺(tái)認(rèn)證設(shè)備進(jìn)行一定的配置6、完備的流量監(jiān)控、會(huì)話控制流量監(jiān)控主要是指、防火墻通過對(duì)系統(tǒng)數(shù)據(jù)流量和連接狀況進(jìn)行監(jiān)視，在發(fā) 現(xiàn)異常情況時(shí)采取適當(dāng)?shù)奶幚泶胧?有效地防止網(wǎng)絡(luò)受到外界的攻擊。支持多種 流量監(jiān)控，主要包括：基本會(huì)話監(jiān)控、承諾訪問速率、實(shí)時(shí)流量統(tǒng)計(jì)等?；緯?huì)話監(jiān)控根據(jù)不同類型流量在一定時(shí)間內(nèi)所占的百分比進(jìn)行監(jiān)測(cè)和告警處理，通過監(jiān)控IP地址或接口的總連接數(shù)，對(duì)超過閾值的連接進(jìn)行限制。限制主要包括：基于特定目的/源IP地址的連接速率限制基于特定目的/源IP地址的連接數(shù)限制基于域出/入方向的連接速率限制基于域出/入方向?qū)CL中地址的連接速率限制基于域出/入方向?qū)C

10、L中地址的連接數(shù)限制對(duì)IP報(bào)文按不同類型所占百分比進(jìn)行管理承諾訪問速率承諾訪問速率技術(shù)包括分類服務(wù)、速率限制，將進(jìn)入網(wǎng)絡(luò)的報(bào)文按多種形式 進(jìn)行分類，對(duì)不同類別的流量給予不同的處理， 通過采用限制承諾信息速率、 承 諾突發(fā)尺寸、超出突發(fā)尺寸等措施有效進(jìn)行流量監(jiān)管。實(shí)時(shí)統(tǒng)計(jì)分析監(jiān)測(cè)內(nèi)部、外部網(wǎng)絡(luò)的連接狀況，對(duì)輸入和輸出的IP報(bào)文進(jìn)行數(shù)十種實(shí)時(shí)統(tǒng)計(jì)，主要統(tǒng)計(jì)如下：全局總會(huì)話和總流量的相關(guān)信息應(yīng)用層協(xié)議相關(guān)信息丟棄包的相關(guān)信息對(duì)TCP報(bào)文的RST FIN報(bào)文詳盡的分類統(tǒng)計(jì)網(wǎng)絡(luò)層的網(wǎng)絡(luò)安全設(shè)計(jì)隨著Internet的迅速發(fā)展，越來越多的行業(yè)用戶或大型企業(yè)開始借助網(wǎng)絡(luò) 服務(wù)來加速自身的發(fā)展，那么如何在一個(gè)開

11、放的網(wǎng)絡(luò)環(huán)境中 “守護(hù)”自己的內(nèi)部 網(wǎng)絡(luò)就成為人們關(guān)注的話題。本次建設(shè)的教育專網(wǎng)作為教育廳與各地州教育局互 連互通的專用網(wǎng)絡(luò)，具安全性以及與CMNETCERNE的安全隔離都是必須要考慮 的因素。本次工程中通過在教育廳部署華為公司的Eudemon30阡兆防火墻，一方面實(shí)現(xiàn)了不同網(wǎng)絡(luò)之間的安全隔離，同時(shí)解決了教育專網(wǎng)的地址分配。EudemorKf火墻定位于行業(yè)用戶或大中型企業(yè)，通過采用NP技術(shù)提供線速的高性能安全防范和報(bào)文處理能力，在提供高性能的同時(shí)，還可以支持?jǐn)?shù)萬條 ACL(Access Control List )規(guī)則。在整機(jī)最大吞吐量方面，Eudemon300可以達(dá)至U IGbps, Eud

12、emon50句以達(dá)至U 2Gbps, Eudemon100的以達(dá)至U 3Gbps出口安全防護(hù)：地址轉(zhuǎn)換(NAT):地址轉(zhuǎn)換主要是因?yàn)镮nternet地址短缺問題而提出的，利用地址轉(zhuǎn)換可以 使內(nèi)部網(wǎng)絡(luò)的用戶訪問外部網(wǎng)絡(luò)(Internet ),利用地址轉(zhuǎn)換可以給內(nèi)部網(wǎng)絡(luò)提 供一種“隱私”保護(hù)，同時(shí)也可以按照用戶的需要提供給外部網(wǎng)絡(luò)一定的服務(wù)， 如：WWWFTR TELNET SMTP POP封。地址轉(zhuǎn)換技術(shù)實(shí)現(xiàn)的功能是上述的兩個(gè)方面，一般稱為“正向的地址轉(zhuǎn)換” 和“反向的地址轉(zhuǎn)換”。在正向的地址轉(zhuǎn)換中，具有只轉(zhuǎn)換地址(NAT和同時(shí)轉(zhuǎn) 換地址和端口( PAT兩種形式。所謂IP地址就是給每一個(gè)連接在I

13、nternet上的主機(jī)分配一個(gè)唯一的32bit 地址，IP 地址是由 Internet Assigned Numbers Authority (IANA)組織統(tǒng)一 分配的，保證在Internet上沒有重復(fù)的IP地址。IP地址是一個(gè)32Bit的地址，由網(wǎng)絡(luò)號(hào)碼和主機(jī)號(hào)碼兩部分組成。為了便于對(duì)IP地址進(jìn)行管理，同時(shí)還考慮到網(wǎng)絡(luò)的差異很大，有的網(wǎng)絡(luò)擁有很多的主 機(jī)，而有的網(wǎng)絡(luò)上的主機(jī)則很少。 因此Internet 的IP地址就分成為五類，即A 類到E類，其中能被使用的是A、B C三類。B類地址10net-idhost-idA類地址 0 net-idhost-idC類1 110組播地址地：11110保

14、留地址E類地162431：110net-idhost-id地IP地址示意圖A類IP地址的網(wǎng)絡(luò)號(hào)碼數(shù)不多，目前幾乎沒有多余的可供分配，現(xiàn)在能夠 中請(qǐng)到的IP地址只有B類和C類兩種。當(dāng)某個(gè)單位申請(qǐng)到IP地址時(shí)，實(shí)際上只 是拿到了一個(gè)網(wǎng)絡(luò)號(hào)碼 net-id 。具體的各個(gè)主機(jī)號(hào)碼 host-id 則由該單位自行 分配，只要做到在該單位管轄的范圍內(nèi)無重復(fù)的主機(jī)號(hào)碼即可。由于當(dāng)初沒有預(yù)計(jì)到微機(jī)會(huì)普及得如此之快，各種局域網(wǎng)和局域網(wǎng)上的主機(jī) 數(shù)目急劇增長(zhǎng)，另外由于申請(qǐng)IP地址的時(shí)候是申請(qǐng)的“網(wǎng)絡(luò)號(hào)碼”這樣在使用 時(shí)，有時(shí)候也有很大的浪費(fèi)。例如：某個(gè)單位中請(qǐng)到了一個(gè)B類地址，但該單位只有1萬臺(tái)主機(jī)。于是，在一個(gè)

15、B類地址中的其余5萬5千多個(gè)主機(jī)號(hào)碼就白白 地浪費(fèi)了，因?yàn)槠渌麊挝坏闹鳈C(jī)無法使用這些號(hào)碼。地址轉(zhuǎn)換（Network Address Translation ）技術(shù)，就是解決地址短缺問題 的一個(gè)主要的技術(shù)手段。地址分為公有地址和私有地址兩種。Internet 是連接了許多的局域網(wǎng)的一個(gè)網(wǎng)絡(luò)，可以連接各種不同類型的局域網(wǎng)。局域網(wǎng)的類型可以很多，我們?cè)诒疚挠懻摰木钟蚓W(wǎng)都是使用TCP/IP協(xié)議連接的局域網(wǎng)。如果局域網(wǎng)采用 TCP/IP協(xié)議連接，局域網(wǎng)的每臺(tái)機(jī)器都必須擁 有一個(gè)IP地址，為了使得局域網(wǎng)的IP地址可以被局域網(wǎng)自己規(guī)劃，IANA組織 在A、R C類IP地址中各選出一個(gè)網(wǎng)段做為“私有地址”，供

16、各個(gè)局域網(wǎng)按照自 己的需要自由分配。私有地址是指內(nèi)部網(wǎng)絡(luò)（局域網(wǎng)內(nèi)部）的主機(jī)地址，而公有地址是局域網(wǎng)的 外部地址（在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個(gè)網(wǎng)絡(luò)地址保留用做私有地址：- 55- 55- 55也就是說這三個(gè)網(wǎng)絡(luò)的地址不會(huì)在因特網(wǎng)上被分配， 但可以在一個(gè)企業(yè)（局 域網(wǎng)）內(nèi)部使用。各個(gè)企業(yè)根據(jù)在可預(yù)見的將來主機(jī)數(shù)量的多少， 來選擇一個(gè)合 適的網(wǎng)絡(luò)地址。不同的企業(yè)，他們的內(nèi)部網(wǎng)絡(luò)地址可以相同。 如果一個(gè)公司選擇 其他的網(wǎng)段作為內(nèi)部網(wǎng)絡(luò)地址，則有可能會(huì)引起路由表的混亂。很明顯，私有地址是不會(huì)在Internet 上看見的，在Internet 上可見的IP 地址稱為公

17、有地址。使用私有地址轉(zhuǎn)換的主機(jī)是不能直接訪問Internet的，同樣的道理，在Internet上也不可能訪問到使用私有地址的主機(jī)。內(nèi)部服務(wù)器是一種“反向”的地址轉(zhuǎn)換。內(nèi)部服務(wù)器功能可以使得配置了私 有地址的內(nèi)部主機(jī)可以被外部網(wǎng)絡(luò)訪問。參考圖2, Webserver是一臺(tái)配置了私有地址的機(jī)器，通過地址轉(zhuǎn)換提供的配置，可以為這臺(tái)主機(jī)映射一個(gè)合法的IP地址（假設(shè)是0 ）,當(dāng)Internet 上的用戶訪問0 的時(shí) 候，地址轉(zhuǎn)換就將訪問送到了 SERVE比，這樣就可以給內(nèi)部網(wǎng)絡(luò)提供一種“內(nèi) 部服務(wù)器”的應(yīng)用。防火墻對(duì)內(nèi)部服務(wù)器的支持可以到達(dá)端口級(jí)。允許用戶按照自己的需要配置內(nèi)部服務(wù)器的端口、協(xié)議、提供給

18、外部的端口、協(xié)議。防火墻的地址轉(zhuǎn)換功能， 可以利用訪問控制列表決定什么樣的地址可以進(jìn)行地址轉(zhuǎn)換。如果某些主機(jī)具有訪問Internet的權(quán)利，而某些主機(jī)不能訪問Internet ?？梢岳肁CL （訪問控 制列表）定義什么樣的主機(jī)不能訪問Internet ，什么樣的主機(jī)可以訪問Internet 。然后將配置好的 ACL規(guī)則應(yīng)用在地址轉(zhuǎn)換上，就可以達(dá)到利用ACL控制地址轉(zhuǎn)換的功能。設(shè)備的可靠性措施節(jié)點(diǎn)安全措施：在xW核心節(jié)點(diǎn)設(shè)備的主控板、交換網(wǎng)板、時(shí)鐘板、電源 等部件都具有冗余配置能力，線路板支持在線熱插拔而不會(huì)丟失數(shù)據(jù)，能夠保 證設(shè)備的不間斷運(yùn)行。在匯聚層設(shè)備方面，為了保障網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)故障

19、，所有關(guān)鍵部件應(yīng)采用冗余備份設(shè)計(jì)，如：電源模塊N+ 1備份，控制和交換板采用1 + 1冗余備份。 對(duì)網(wǎng)絡(luò)設(shè)備采用多級(jí)安全密碼體系，限制非法設(shè)備和用戶登錄， 在出現(xiàn)軟硬件 故障時(shí)，可以迅速切換到備用模塊，保障業(yè)務(wù)的不間斷運(yùn)行。網(wǎng)絡(luò)設(shè)備安全配置.帳號(hào)安全配置:要求內(nèi)容應(yīng)按照用戶分配賬號(hào)。 避免不同用尸間共享賬號(hào)。避免用戶賬號(hào)和設(shè)備間通信使用的賬號(hào)共享。操作指南1、參考配置操作aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetlocal-user user2 password cipher PWD2

20、local-user user2 service-type ftp#user-interface vty 0 4authentication-mode aaa2、補(bǔ)充操作說明無。檢測(cè)方法1、判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄2、檢測(cè)操作display current-configuration configuration aaa)3、補(bǔ)充說明無。要求內(nèi)容限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。 遠(yuǎn)程執(zhí)行管理員權(quán)限操 作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后， 再切換到管理員權(quán)限賬號(hào)后 執(zhí)行相應(yīng)操作。操作指南1、參考配置操作super password level 3 cipher super

21、PWD aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetlocal-user useri level 2#user-interface vty 0 4authentication-mode aaa2、補(bǔ)充操作說明無。檢測(cè)方法1、判定條件用戶用相應(yīng)的操作權(quán)限登錄設(shè)備后，不具有最高權(quán)限級(jí)別3,這時(shí)有些操作不能做，例如修改aaa的配置。這時(shí)如果想使用管理員權(quán)限必須提高用戶級(jí)別。2、檢測(cè)操作display current-configuration configuration aaa3、補(bǔ)充說明無。

22、.帳號(hào)密碼長(zhǎng)度配置:要求內(nèi)容對(duì)于米用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長(zhǎng)度至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。操作指南1、參考配置操作aaalocal-user useri password cipher NumABC%$2、補(bǔ)充操作說明無。檢測(cè)方法判定條件查看用戶的口令長(zhǎng)度是否至少6位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào) 4類中至少2類。對(duì)于加密的口令，通過登陸檢測(cè)。檢測(cè)操作display current-configuration configuration aaa補(bǔ)充說明無。.帳號(hào)口令加密:要求內(nèi)容靜態(tài)口令必須使用不PJ逆加密算法加密后保存于配置文件中。操作

23、指南1、參考配置操作super password level 3 cipher NC55QK=/Q=AQMAF41!local-user8011passwordcipherNC55QK=/Q=AQMAF41!2、補(bǔ)充操作說明無。檢測(cè)方法.判定條件用戶的加密口令在 buildrun中顯木的密義。.檢測(cè)操作display current-configuration configuration aaa.補(bǔ)充說明無。.帳號(hào)登陸權(quán)限配置:要求內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)， 根據(jù)用戶的業(yè)務(wù)需要， 配置其所需的 最小權(quán)限。操作指南1、參考配置操作aaalocal-user 8011 password ciphe

24、r 8011local-user 8011 service-type telnetlocal-user 8011 level 0#user-interface vty 0 4authentication-mode aaa2、補(bǔ)充操作說明無。檢測(cè)方法.判定條件查看所有用戶的級(jí)別都配置為其所需的最小權(quán)限。.檢測(cè)操作display current-configuration configuration aaa.補(bǔ)充說明無。.設(shè)備日志配置:要求內(nèi)容設(shè)備應(yīng)配置日志功能， 對(duì)用戶登錄進(jìn)行記錄， 記錄內(nèi)容包括用戶登錄使用的賬號(hào)，登錄是否成功，登錄時(shí)間，以及遠(yuǎn)程登錄時(shí)， 用戶使用的IP地址。操作指南1、參考配

25、置操作info-center console channel 02、補(bǔ)充操作說明無。檢測(cè)方法.判定條件在日志緩存上正確記錄了日志信息。.檢測(cè)操作display logbuffer.補(bǔ)充說明無。要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作。例如：賬號(hào)創(chuàng) 建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修 改業(yè)務(wù)用戶的計(jì)費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要 包含用戶賬號(hào)，操作時(shí)間，操作內(nèi)容以及操作結(jié)果。操作指南1、參考配置操作info-center logbuffer channel 42、補(bǔ)充操作說明在系統(tǒng)模式下進(jìn)行操作。檢測(cè)方法. 判定條件對(duì)設(shè)備的操作會(huì)記錄在日志中。.檢測(cè)

26、操作display logbuffer.補(bǔ)充說明無。要求內(nèi)容設(shè)備應(yīng)配置日志功能，記錄對(duì)與設(shè)備相關(guān)的安全事件。操作指南1、參考配置操作info-center enable2、補(bǔ)充操作說明在系統(tǒng)模式下進(jìn)行操作。檢測(cè)方法1.判定條件在日志緩存上正確記錄了日志信息。.檢測(cè)操作display logbuffer.補(bǔ)充說明無。.安全訪問控制列表配置:要求內(nèi)容對(duì)于具備TCP/UDFW議功能的設(shè)備，設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置基十源IP地址、通信協(xié)議 TCP或UDR目的IP地址、源端口、 目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。操作指南1、參考配置操作acl number 20000rule tcp so

27、urce destination source-port eq ftp-data destination-port eq 30traffic classifier ddif-match acl 20000traffic behavior ddcar cir 2000 cbs 12288 green pass yellow remark reddiscardtraffic policy ddclassifier dd behavior dd precedence 0interface GigabitEthernet4/0/0undo shutdownip address traffic-poli

28、cy dd inbound2、補(bǔ)充操作說明在系統(tǒng)模式下進(jìn)行操作。檢測(cè)方法.判定條件通過測(cè)試打流，相關(guān)流被成功過濾。.檢測(cè)操作display traffic policy.補(bǔ)充說明無。.遠(yuǎn)程維護(hù)登陸安全配置:要求內(nèi)容對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用 等加密協(xié)議。SSH操作指南1、參考配置操作#rsa peer-public-key quidway002public-key-code begin308186028180739A291ABDA704F5D93DC8FDF84C4274631991C164B0DF178C55FA833591C7D47D5381D09CE82913D7

29、EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367FE187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125public-key-code endpeer-public-key end #aaalocal-user client001 password simple huaweilocal-user client002 password simp

30、le quidway authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default#ssh user client002 assign rsa-key quidway002ssh user client001 authentication-type passwordssh user client002 authentication-type RSA #user-interface con 0user-interface vty 0 4authenticati

31、on-mode aaaprotocol inbound ssh2、補(bǔ)充操作說明 無。檢測(cè)方法. 判定條件通過抓包確定ssh登錄的信息為加密信息。.檢測(cè)操作disp current-configuration | begin ssh.補(bǔ)充說明無。.常見防病毒攻擊安全列表配置:要求內(nèi)容通過ACL配置對(duì)常見的漏洞攻擊及病毒報(bào)文進(jìn)行過濾。操作指南1、參考配置操作acl number 20000rule tcp source destination source-port eq ftp-data destination-port eq 30traffic classifier ddif-match ac

32、l 20000traffic behavior dddenytraffic policy ddclassifier dd behavior dd precedence 0interface GigabitEthernet4/0/0undo shutdownip address traffic-policy dd inbound2、補(bǔ)充操作說明無。檢測(cè)方法.判定條件存在攻擊流時(shí)，非法報(bào)文被過濾。.檢測(cè)操作display traffic polic.補(bǔ)充說明無。.防源地址仿冒攻擊安全配置:要求內(nèi)容條件允許情況下，端口配置URPF ( Unicast Reverse PathForwarding )

33、,即單播反向路徑查找，其主要功能是防止基于源地 址欺騙的網(wǎng)絡(luò)攻擊行為。操作指南1、參考配置操作interface GigabitEthernet4/0/1undo shutdownip address ip urpf strict2、補(bǔ)充操作說明接口模式下操作。檢測(cè)方法.判定條件非法攻擊報(bào)文被成功過濾。.檢測(cè)操作display current-configuration interface.補(bǔ)充說明無。.網(wǎng)管協(xié)議SNM安全配置:要求內(nèi)容系統(tǒng)應(yīng)關(guān)閉未使用的 SNMP1、議及未使用RW權(quán)限。操作指南1、參考配置操作Undo snmp enableundo snmp-agent community

34、RWuser2、補(bǔ)充操作說明無。檢測(cè)方法. 判定條件關(guān)閉snmp的設(shè)備不能被網(wǎng)管檢測(cè)到，關(guān)閉寫權(quán)限的設(shè)備不能 進(jìn)彳f set操作。.檢測(cè)操作display current-configuration.補(bǔ)充說明無。要求內(nèi)容系統(tǒng)應(yīng)修改SNMP勺Community默認(rèn)通行字，通行字應(yīng)符合口 令強(qiáng)度要求。操作指南1、參考配置操作snmp-agent community read XXXX012、補(bǔ)充操作說明無。檢測(cè)方法. 判定條件系統(tǒng)成功修改SNMPW Community為用戶定義口令，非常規(guī)private 或者public ,并且符合口令強(qiáng)度要求。.檢測(cè)操作display current-configuration.補(bǔ)充說明無。要求內(nèi)容系統(tǒng)應(yīng)配置為 SNMPV或以上版本。操作指南1、參考配置操作snmp-agent sys-info version v32、補(bǔ)充操作說明無。檢測(cè)方法. 判定條件成功使能snmpv2c、和v3版本。.檢測(cè)操作display current-con