华为核心路由器 多种安全特性

华为核心路由器的安全方案

7.1 网络的安全保障特点

网络安全大体上分为两个层次：网络自身安全和网络业务安全。网络自身的安全主要是指网络数据的安全传送、网络资源的合法使用；后者主要是指网络业务的合法授权、使用和监管。针对现有网络和业务的现状，一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统！

7.2 设备级的安全措施

1、配置安全。

华为数据产品对登录用户支持本地或远程两种认证方式，并为不同级别的用户提供不同的配置权限。支持用户使用SSH登录路由器并进行配置，避免了远程配置的报文被第三方监控的可能。

2、数据日志及热补丁技术。

设备的文件系统是一个类DOS的系统，可以记录系统及用户日志。系统日志指系统运行过程中记录的相关信息，用以对运行情况、故障进行分析和定位，支持基于线程极的系统日志。日志文件可以通过XModem、FTP、TFTP协议，远程传送到网管中心。

除此之外，考虑到有些IP特性对局域网来说是有用的，但对广域网或城域网节点的设备是不适用的。如果这些特性被恶意攻击者利用，会增加网络的危险。在网络设计时可考虑关闭以下这些IP功能的开关：

(1)、重定向开关

网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。

(2)、定向广播报文转发开关

在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以

防止smurf攻击。因此，设备应能关闭定向广播报文的转发。缺省应为关闭状态。

(3)、ICMP协议的功能开关

很多常见的网络攻击利用了ICMP协议功能。

ICMP协议允许网络设备中间节点向其它设备节点和主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一台主机通信。

对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息。因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理。以减少ICMP对网络安全的影响。

3、核心路由器的多种安全特性

核心路由器提供多种安全措施，包括一系列的安全特性，可以防止拒绝服务攻击、非法接入以及控制平面的过载。

主要安全特性包括：

➢三种用户鉴权模式：本地验证、RADIUS服务器验证和HWTACACS服务器验证，可对用户身份进行验证，并进行合理授权。

➢基于硬件的包过滤和采样，从而实现高性能和高扩展性。

➢对OSPF、IS-IS、RIP和BGP-4等上层路由协议，提供明文验证和MD5（Message Digest 5）等多种验证方法。

➢实现转发和控制平面的访问控制列表ACL（Access Control List）。

➢支持本机防攻击安全特性。

➢支持合法监听/URPF。

➢支持DHCP Snooping/MAC限制。

➢支持GTSM。

➢ARP防攻击

在现今的运营商网络中，Ethernet是最常用的接入手段，而ARP作为Ethernet网络上的开放协议，为恶意用户的攻击提供了可能。恶意用户的攻击主要从空间与时间两方面进行。空间方面的攻击主要利用路由器ARP缓存的有限性，通过发送大量伪造的ARP请求、应答报文，造成路由器设备的ARP缓存溢出，从而无法缓存正常的ARP表项，进而阻碍正常转发。时间方面的攻击主要利用路

由器计算能力的有限性，通过发送大量伪造的ARP请求、应答报文或其他能够触发路由器ARP处理的报文，造成路由器设备的计算资源长期忙于ARP处理，影响其他业务的处理，进而阻碍正常转发。使用基于接口的ARP表项限制和基于时间戳的防扫描两种特性来防止ARP攻击。

4、防地址盗用

通过IP地址、MAC地址和VlanID的相关性绑定进一步提高网络的安全性.

当业务接入节点收到一个IP报文时，其以太网封装帧头中的VLAN ID必须是绑定记录中的VLAN ID，其以太网封装帧头中的源MAC地址也必须是绑定记录中的MAC，同时此报文的源IP地址也必须是绑定记录中的IP地址。如果不符合这个约束，该报文被视为无效并被丢弃。

业务接入节点通过绑定的方法，维护了IP地址、MAC地址和VLAN标识的相关性，除了可以有效的防止IP地址仿冒和MAC地址仿冒，还能有效的控制同一VLAN下接入用户的数目。

5、接入认证提升接入安全性

华为以太网交换机均支持802.1X认证，从标准的802.1x认证看，只能控制接入端口的打开和关闭，如某个端口下挂了一个HUB，则只要HUB上有一个用户认证通过，该端口就处于打开状态，此HUB下的其他用户也都可以上网。

为了解决这个问题，扩展基于MAC地址的认证，某个用户认证通过后，接入设备就将此用户的MAC地址记录下来，接入设备只允许所记录MAC地址发送的报文通过，其它MAC地址的报文一律拒绝。

认证的终结点可以选择集中式和分布式两种方式。

对于集中式认证，主要针对需要认证的用户数量不多，方便管理，这时只需要把核心交换机配置成为802.1X认证终结端，这时所有的用户认证信息到核心交换机上终结，这种方式的认证优点是：在用户量较少的情况下方便统一管理。缺点：在用户数量较多的情况下，对核心设备的性能有一定影响。

对于分布式认证，主要针对需要认证的用户数量较多，把认证的终结点设置在用户接入的交换机或者用户接入的上一层交换机。这时用户的802.1X认证终结点分散到了接入层。这种认证方式的优点是：在用户量较大的情况下，分散了用户的认证终结点，对设备性能影响小。缺点：需要对每台认证设备进行一定的