N設(shè)備網(wǎng)絡(luò)安全技術(shù)白皮書

1、PTN設(shè)備技術(shù)白皮書聲明版權(quán)所有 華為技術(shù)有限公司 2006。 保留一切權(quán)利。非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。商標(biāo)聲明和其他華為商標(biāo)均為華為技術(shù)有限公司的商標(biāo)。本文檔提及的其他所有商標(biāo)或注冊商標(biāo)，由各自的所有人擁有。注意由于產(chǎn)品版本升級或其他原因，本文檔內(nèi)容會不定期進行更新。除非另有約定，本文檔僅作為使用指導(dǎo)，本文檔中的所有陳述、信息和建議不構(gòu)成任何明示或暗示的擔(dān)保。技術(shù)支持技術(shù)支援網(wǎng)址：http客戶服務(wù)郵箱：s客戶服務(wù)電話：8008302118真址：深圳市龍崗區(qū)坂田華

2、為總部辦公樓郵編：518129目錄 TOC o 1-3 h z u HYPERLINK l _Toc237665840 聲明 PAGEREF _Toc237665840 h 1 HYPERLINK l _Toc237665841 版權(quán)所有 華為技術(shù)有限公司 2006。 保留一切權(quán)利。 PAGEREF _Toc237665841 h 1 HYPERLINK l _Toc237665842 非經(jīng)本公司書面許可，任何單位和個人不得擅自摘抄、復(fù)制本文檔內(nèi)容的部分或全部，并不得以任何形式傳播。 PAGEREF _Toc237665842 h 1 HYPERLINK l _Toc237665843 商標(biāo)聲

3、明 PAGEREF _Toc237665843 h 1 HYPERLINK l _Toc237665844 注意 PAGEREF _Toc237665844 h 1 HYPERLINK l _Toc237665845 技術(shù)支持 PAGEREF _Toc237665845 h 1 HYPERLINK l _Toc237665846 1概述 PAGEREF _Toc237665846 h 5 HYPERLINK l _Toc237665847 2網(wǎng)絡(luò)安全威脅 PAGEREF _Toc237665847 h 5 HYPERLINK l _Toc237665848 2.1網(wǎng)絡(luò)安全威脅的定義 PAGER

4、EF _Toc237665848 h 5 HYPERLINK l _Toc237665849 2.2網(wǎng)絡(luò)安全威脅的分類 PAGEREF _Toc237665849 h 5 HYPERLINK l _Toc237665850 2.3網(wǎng)絡(luò)設(shè)備的安全威脅 PAGEREF _Toc237665850 h 6 HYPERLINK l _Toc237665851 數(shù)據(jù)傳送層面 PAGEREF _Toc237665851 h 6 HYPERLINK l _Toc237665852 控制信令層面 PAGEREF _Toc237665852 h 6 HYPERLINK l _Toc237665853 設(shè)備管理層

5、面 PAGEREF _Toc237665853 h 6 HYPERLINK l _Toc237665854 3PTN設(shè)備安全能力介紹 PAGEREF _Toc237665854 h 6 HYPERLINK l _Toc237665855 3.1數(shù)據(jù)傳送層面的安全能力 PAGEREF _Toc237665855 h 6 HYPERLINK l _Toc237665856 MAC地址表容量攻擊防護告警能力 PAGEREF _Toc237665856 h 6 HYPERLINK l _Toc237665857 廣播/組播報文速率限制 PAGEREF _Toc237665857 h 7 HYPERLI

6、NK l _Toc237665858 二層業(yè)務(wù)環(huán)路防護能力 PAGEREF _Toc237665858 h 7 HYPERLINK l _Toc237665859 黑白名單功能 PAGEREF _Toc237665859 h 7 HYPERLINK l _Toc237665860 端口環(huán)回檢測 PAGEREF _Toc237665860 h 8 HYPERLINK l _Toc237665861 接入認(rèn)證 PAGEREF _Toc237665861 h 8 HYPERLINK l _Toc237665862 3.1.7地址掃描攻擊防護能力 PAGEREF _Toc237665862 h 8 H

7、YPERLINK l _Toc237665863 靜態(tài)MAC地址表項和ARP表項綁定能力 PAGEREF _Toc237665863 h 8 HYPERLINK l _Toc237665864 防止CPU受沖擊能力 PAGEREF _Toc237665864 h 8 HYPERLINK l _Toc237665865 3.1.10強大的ACL能力 PAGEREF _Toc237665865 h 9 HYPERLINK l _Toc237665866 3.2控制信令層面的安全能力 PAGEREF _Toc237665866 h 9 HYPERLINK l _Toc237665867 ARP協(xié)議攻

8、擊防護能力 PAGEREF _Toc237665867 h 9 HYPERLINK l _Toc237665868 地址盜用防護能力 PAGEREF _Toc237665868 h 9 HYPERLINK l _Toc237665869 路由協(xié)議攻擊防護能力 PAGEREF _Toc237665869 h 10 HYPERLINK l _Toc237665870 3.3設(shè)備管理層面的安全能力 PAGEREF _Toc237665870 h 10 HYPERLINK l _Toc237665871 認(rèn)證管理 PAGEREF _Toc237665871 h 10 HYPERLINK l _Toc2

9、37665872 授權(quán)管理 PAGEREF _Toc237665872 h 10 HYPERLINK l _Toc237665873 網(wǎng)絡(luò)安全管理 PAGEREF _Toc237665873 h 11 HYPERLINK l _Toc237665874 網(wǎng)元安全日記管理 PAGEREF _Toc237665874 h 11 HYPERLINK l _Toc237665875 Syslog日記管理 PAGEREF _Toc237665875 h 11概述隨著互聯(lián)網(wǎng)技術(shù)的不斷演進、規(guī)模的爆炸性發(fā)展，互聯(lián)網(wǎng)應(yīng)用已經(jīng)從起初的科研領(lǐng)域逐漸延伸到當(dāng)代社會生活的方方面面，越來越多基于網(wǎng)絡(luò)的關(guān)鍵業(yè)務(wù)蓬勃興起，

10、網(wǎng)絡(luò)成為人類提高生產(chǎn)力、提升生活質(zhì)量的新的推動力。然而，互聯(lián)網(wǎng)的技術(shù)基礎(chǔ)，即IP網(wǎng)絡(luò)，卻在天然上存在著諸如安全、服務(wù)質(zhì)量、運營模式等問題。其中，IP網(wǎng)絡(luò)的安全問題是其中非常重要的一個方面，由于IP網(wǎng)絡(luò)的開放性，又使得它的安全問題變得十分復(fù)雜。IP網(wǎng)絡(luò)的簡單和開放在促成互聯(lián)網(wǎng)迅猛發(fā)展的同時，也造成了IP網(wǎng)絡(luò)容易引入安全漏洞的弱點。同時，隨著技術(shù)的發(fā)展、信息傳遞的迅捷，針對IP網(wǎng)絡(luò)安全攻擊的技術(shù)難度越來越小，攻擊工具自動化程度則越來越高，攻擊技術(shù)趨向平民化。網(wǎng)絡(luò)攻擊事件數(shù)量每年都在大幅增加，造成的損失日益巨大，影響范圍不再僅限于少數(shù)公司，甚至波及國家信息安全。網(wǎng)絡(luò)安全威脅給網(wǎng)絡(luò)世界進一步的發(fā)展蒙上

11、了陰影。網(wǎng)絡(luò)安全威脅網(wǎng)絡(luò)安全威脅的定義所謂的網(wǎng)絡(luò)安全威脅，即是通過特定技術(shù)或工具，對在網(wǎng)絡(luò)、服務(wù)器和桌面上存儲和傳輸?shù)臄?shù)據(jù)未經(jīng)授權(quán)進行訪問，甚至破壞或者修改這些數(shù)據(jù)，是當(dāng)今網(wǎng)絡(luò)安全中面臨的基本威脅。網(wǎng)絡(luò)安全威脅的分類IP網(wǎng)絡(luò)的安全威脅分為兩個方面：一是主機（包括用戶主機和應(yīng)用服務(wù)器等）的安全，二是網(wǎng)絡(luò)自身（主要是網(wǎng)絡(luò)設(shè)備，包括路由器、交換機等）的安全。用戶主機所感知的安全威脅主要是針對特定操作系統(tǒng)（主要是Windows系統(tǒng)）的攻擊，諸如病毒、木馬。網(wǎng)絡(luò)設(shè)備主要面對的是基于TCP/IP協(xié)議的攻擊。本文主要討論網(wǎng)絡(luò)自身，即網(wǎng)絡(luò)設(shè)備的安全問題。網(wǎng)絡(luò)設(shè)備的安全威脅網(wǎng)絡(luò)設(shè)備的功能可以分為以下幾個層面：網(wǎng)

12、絡(luò)數(shù)據(jù)傳送、控制信令、網(wǎng)絡(luò)設(shè)備管理。相應(yīng)地，網(wǎng)絡(luò)設(shè)備的安全威脅即是針對于這幾個層面展開的。數(shù)據(jù)傳送層面網(wǎng)絡(luò)數(shù)據(jù)傳送層面的功能是負(fù)責(zé)處理進入設(shè)備的數(shù)據(jù)流。它有可能受到基于流量的攻擊，如大流量攻擊、畸形報文攻擊。這些攻擊的主要目的是占用設(shè)備CPU的處理時間，造成正常的數(shù)據(jù)流量無法得到處理，使設(shè)備的可用性降低。由于網(wǎng)絡(luò)數(shù)據(jù)傳送層面負(fù)責(zé)用戶數(shù)據(jù)的轉(zhuǎn)發(fā)，因此也會受到針對用戶數(shù)據(jù)的攻擊，主要是對用戶數(shù)據(jù)的惡意竊取、修改、刪除等，使用戶數(shù)據(jù)的機密性和完整性受到破壞?？刂菩帕顚用婢W(wǎng)絡(luò)控制信令層面的主要功能是維護各層網(wǎng)絡(luò)協(xié)議的運行，以控制數(shù)據(jù)流的路由和交換。這一層面受到的最主要威脅來自對路由信息的竊取，對IP地

13、址的偽造等，這會造成網(wǎng)絡(luò)路由信息的泄漏或濫用。設(shè)備管理層面網(wǎng)絡(luò)設(shè)備管理層面提供了對設(shè)備的遠程管理功能。威脅來自于兩個方面，一個是系統(tǒng)管理所使用的協(xié)議（如Telnet協(xié)議、HTTP協(xié)議等）的漏洞，另一個是不嚴(yán)密的管理，如設(shè)備管理賬號的泄露等。PTN設(shè)備安全能力介紹數(shù)據(jù)傳送層面的安全能力MAC地址表容量攻擊防護告警能力所謂MAC地址表容量攻擊，是指攻擊源發(fā)送源MAC地址不斷變化的報文，網(wǎng)絡(luò)設(shè)備在收到這種報文后，會進行源MAC地址學(xué)習(xí)。由于MAC地址表容量是有限的，當(dāng)MAC地址表項達到最大容量后，正常報文的MAC地址學(xué)習(xí)將無法完成。在進行二層轉(zhuǎn)發(fā)時，這些報文將會在VLAN內(nèi)廣播，嚴(yán)重影響網(wǎng)絡(luò)帶寬，同

14、時也會對網(wǎng)絡(luò)設(shè)備下掛主機造成沖擊。PTN提供設(shè)置VSI允許學(xué)習(xí)的最大MAC地址數(shù)目的功能。用戶可以根據(jù)VSI下掛的主機數(shù)目來設(shè)置該VSI最大允許學(xué)習(xí)的MAC地址數(shù)目，防止一個VSI就把系統(tǒng)的MAC地址表項耗盡。廣播/組播報文速率限制網(wǎng)絡(luò)中存在大量的廣播或者組播報文，會占用寶貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。而且當(dāng)網(wǎng)絡(luò)中某臺設(shè)備存在環(huán)路時，廣播和組播報文會在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓。PTN具有強大的廣播/組播/未知單播報文過濾功能。可以按照端口速率的百分比來限制端口允許通過的廣播/組播/未知單播報文速率。同時，還可以通過ACL規(guī)則設(shè)置特定端口廣播、組播和未知單播報文允許通過的速率。

15、二層業(yè)務(wù)環(huán)路防護能力PTN設(shè)備具有防止2層業(yè)務(wù)存在環(huán)路的能力，PTN設(shè)備支持MSTP/RSTP，可避免網(wǎng)絡(luò)中出現(xiàn)環(huán)路而導(dǎo)致帶寬耗盡嚴(yán)重影響設(shè)備轉(zhuǎn)發(fā)性能的情況出現(xiàn)。同時PTN具有對業(yè)務(wù)端口進行水平分割的能力，可隔離網(wǎng)絡(luò)側(cè)的報文的轉(zhuǎn)發(fā)，即從NNI側(cè)端口進入的報文禁止發(fā)往另一個NNI端口，從而消除網(wǎng)絡(luò)環(huán)路的情況。黑白名單功能網(wǎng)絡(luò)中存在合法用戶和非法用戶，非法用戶的接入不僅僅會占用的網(wǎng)絡(luò)帶寬，還對網(wǎng)絡(luò)安全存在一定的威脅。黑白名單功能是防止非法用戶攻擊網(wǎng)絡(luò)的一種基本手段，黑名單就是禁止名單上的用戶設(shè)備進入網(wǎng)絡(luò)，允許其他設(shè)備報文進入網(wǎng)絡(luò)；白名單則是只允許名單上的用戶設(shè)備報文進入網(wǎng)絡(luò)，其他用戶設(shè)備則過濾掉。

16、PTN設(shè)備提供基于端口和基于二層交換業(yè)務(wù)的黑白名單功能，用戶可以按端口或者VSI來配置黑白名單，以此保證合法用戶的接入，過濾非法用戶。端口環(huán)回檢測端口環(huán)回對網(wǎng)絡(luò)安全存在威脅，可能引起廣播風(fēng)暴耗盡網(wǎng)絡(luò)帶寬，導(dǎo)致網(wǎng)絡(luò)拓?fù)涓淖儯蛘邔?dǎo)致協(xié)議報文過多沖擊設(shè)備CPU處理能力。因此需要對設(shè)備端口環(huán)回具備檢測功能。PTN設(shè)備可以根據(jù)配置檢測端口是否存在環(huán)回，發(fā)現(xiàn)端口環(huán)回提供告警給用戶，并根據(jù)配置阻塞端口。接入認(rèn)證PTN設(shè)備提供接入認(rèn)證功能，支持802.1x的接入認(rèn)證，支持基于端口或者MAC的接入認(rèn)證。地址掃描攻擊防護能力地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報文。當(dāng)攻擊者掃描網(wǎng)絡(luò)

17、設(shè)備的直連網(wǎng)段時，網(wǎng)絡(luò)設(shè)備會給該網(wǎng)段下的每個地址發(fā)送ARP報文，地址不存在的話，還需要發(fā)送目的主機不可達報文。如果直連網(wǎng)段較大，攻擊流量足夠大時，會消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。PTN設(shè)備實現(xiàn)了地址掃描攻擊的防護能力。當(dāng)設(shè)備收到目的IP是直連網(wǎng)段的報文時，如果該目的地址的路由不存在，會發(fā)送一個ARP請求報文，并針對目的地址下一條丟棄表項，以防止后續(xù)報文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項，并添加正常的路由表項。否則，經(jīng)過一段時間后丟棄表項自動老化。這樣，既防止直連網(wǎng)段掃描攻擊對設(shè)備造成影響，又保證正常業(yè)務(wù)流程的暢通。靜態(tài)MAC地址表項和ARP表項綁

18、定能力PTN設(shè)備提供配置靜態(tài)MAC地址表項和靜態(tài)ARP表項的功能。用戶可以通過配置靜態(tài)MAC地址表項，保證二層數(shù)據(jù)報文正確的轉(zhuǎn)發(fā)；用戶還可以通過配置靜態(tài)ARP表項，綁定MAC地址和IP地址，確保IP地址不會被偽用戶盜用。防止CPU受沖擊能力網(wǎng)絡(luò)中CPU處理的協(xié)議報文過多，會對CPU造成較大的影響，甚至導(dǎo)致設(shè)備復(fù)位。PTN設(shè)備可對各種上報CPU的報文進行流量控制，超過帶寬部分被丟棄，以免CPU受到較大的沖擊。強大的ACL能力在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，存在各種各樣的攻擊報文，可能攻擊網(wǎng)絡(luò)設(shè)備，也可能攻擊網(wǎng)絡(luò)設(shè)備下掛的主機。PTN設(shè)備提供強大而豐富的ACL功能，能夠?qū)笪牡臄?shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層各字段

19、進行識別、限流和過濾?？刂菩帕顚用娴陌踩芰RP協(xié)議攻擊防護能力ARP協(xié)議沒有任何驗證方式，而ARP在數(shù)據(jù)轉(zhuǎn)發(fā)中又是至關(guān)重要的，攻擊者常偽造ARP報文進行攻擊。PTN設(shè)備能夠檢測并且防范ARP報文的攻擊。當(dāng)攻擊者采用某個或者某幾個固定的攻擊源，向設(shè)備發(fā)送大量的ARP報文進行攻擊時，PTN能夠檢測并且防范這種ARP協(xié)議報文的攻擊。當(dāng)PTN設(shè)備收到ARP報文時，會根據(jù)報文源MAC地址記錄單位時間收到的ARP報文數(shù)目。當(dāng)檢測到單位時間內(nèi)CPU收包出現(xiàn)丟包且某些固定源MAC地址的主機超出一定限度，認(rèn)為該主機在進行ARP攻擊。如果用戶啟用ARP防攻擊功能，則會打印提示信息并記錄到日志信息中，且下發(fā)一條

20、源MAC地址丟棄的表項，對該攻擊源進行屏蔽。（目前沒有實現(xiàn)）地址盜用防護能力所謂地址盜用，是指一個非法用戶仿冒合法用戶的IP地址，盜用合法用戶的IP地址進行上網(wǎng)。網(wǎng)絡(luò)設(shè)備會學(xué)習(xí)到錯誤的ARP表項，影響合法用戶的正常上網(wǎng)。PTN設(shè)備具有防范非法用戶盜用地址上網(wǎng)的能力。只需要在設(shè)備上面配置MAC地址和IP地址綁定的安全地址表項，設(shè)備在學(xué)習(xí)ARP表項時會根據(jù)該安全地址表項進行檢查，滿足條件則學(xué)習(xí)ARP表項，不滿足條件不學(xué)習(xí)。當(dāng)用戶通過DHCP獲取網(wǎng)絡(luò)基本資源時，PTN設(shè)備還可以實現(xiàn)DHCP監(jiān)聽動態(tài)建立MAC地址和IP地址綁定的安全地址表項，只允許接入已通過DHCP獲取配置的設(shè)備接入，如果是非法用戶仿冒合法用戶的IP地址，將會被過濾到。路由協(xié)議攻擊防護能力路由協(xié)議攻擊是指向不進行路由認(rèn)證的路由器發(fā)送錯誤的路由更新報文，使路由表中出現(xiàn)錯誤的路由，嚴(yán)重的情況可以造成網(wǎng)絡(luò)癱瘓，高明的攻擊者可以用來進行更深層次的攻擊實施。PTN設(shè)備能夠?qū)κ盏降母鞣N路由協(xié)議進行認(rèn)證。1）OSPF協(xié)議，支持鄰居路由器之間的明文/MD5認(rèn)證和OSPF區(qū)域內(nèi)的明文/MD5認(rèn)證；2）IS-IS協(xié)議，支持接口間Level-1明文/MD5認(rèn)證、接口Level-2明文/MD5認(rèn)證、IS-IS區(qū)域內(nèi)明文/MD5認(rèn)證和IS-IS路由域上的明