网络安全系统规划方案H3C.doc

（） 网络安全系统规划方案网络安全系统规划方案 杭州华三通信技术有限公司杭州华三通信技术有限公司 20072007 年年 4 4 月月 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 2 页 目目 录录 一、一、安全系统整体规划安全系统整体规划.3 1.1.方案设计原则.3 1.2.安全体系模型.4 1.3.方案设计思路.5 二、二、网络及安全现状分析网络及安全现状分析.7 2.1.网络结构分析.7 2.2.安全层次的分析模型.8 2.3.安全需求分析.9 2.3.1.网络层9 2.3.2.系统层10 2.3.3.管理层10 2.3.4.用户层11 2.4.安全需求总结.11 三、三、（）网络安全整体解决方案）网络安全整体解决方案.13 3.1.（）网络安全总体方案.13 3.1.1.基础设施安全部署15 3.1.2.防火墙系统防护方案20 3.1.3.建立内部入侵防御机制23 3.1.4.建立入侵防御机制25 3.1.5.建立端点准入控制系统27 3.1.6.完善的病毒防范机制28 3.1.7.防dos设备安全防护方案.30 3.1.8.网络漏洞扫描机制30 3.1.9.建立科学的安全管理机制33 四、四、安全方案总结安全方案总结.36 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 3 页 一、一、安全系统整体规划安全系统整体规划 1.1. 方案设计原则方案设计原则 在规划（）信息系统安全时，我们将遵循以下原则，以这些原则为基础，提供完善 的体系化的整体网络安全解决方案 体系化设计原则体系化设计原则 通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体 系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险 以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。 全局性、均衡性原则全局性、均衡性原则 安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者 之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有 最优的性能价格比的安全解决方案。 可行性、可靠性原则可行性、可靠性原则 在采用全面的网络安全措施之后，应该不会对（）的网络上的应用系统有大的影响， 实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信 息资产的安全。 可动态演进的原则可动态演进的原则 方案应该针对（）制定统一技术和管理方案，采取相同的技术路线，实现统一安全 策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进， 形成一个闭环的动态演进网络安全系统。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 4 页 1.2. 安全体系安全体系模型模型 安全方案必须架构在科学的安全体系和安全模型之上，因为安全模型是安全方案设计和分析 的基础。只有在先进的网络安全理论模型的基础上，才能够有效地实现我们在上面分析的网络安 全系统规划的基本原则，从而保证整个网络安全解决方案的先进性。 为了系统、科学地分析网络安全方案涉及的各种安全问题，在大量理论分析和调查研究的基 础上，h3c 公司提出了 i3safe 网络安全模型，以此模型为基础，可以进行整个网络安全体系的 有效的分析与合理规划。下面我们对此网络安全模型进行具体的阐述和说明： i3safe 安全理论模型示意图 i3safe 安全理论模型是一个三维立体结构，基于此三维结构安全理论模型，形成一个智能 的（intelligence） ，集成的（integrated） ，定制的（individuality）的网络安全解决方案， 真正达到 safe 的目的，下面是每个层次的详细分析描述： 第一维为应用层次维： 这个维度实现对整个信息体系进行描述，通过这个维度，以层次化对整个信息体系 进行划分，层次的划分依据信息体系的建设结构，把整个信息体系划分为网络层：提供 信息流通的平台；用户层：信息应用的终端；业务层：信息应用的提供层。通过这种抽 象的层次的划分，可以以不同的层次对象为目标，分析这些层次对不同的安全服务要素 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 5 页 的需求情况，进行层次化的、有针对性的系统安全需求分析。 第二维为网络空间维： 这个维度从实际的信息系统结构的组成的角度，对信息系统进行模块化的划分。基 本的模块可以划分为桌面、服务器、外网、内网等几个模块，这些模块的划分可以根据 需要进行组合或者细化，进行模块划分的主要目的是为前面相对抽象的安全需求分析提 供具体可实施的对象，保证整个安全措施有效可实施性。 第三维为业务流程维： 这个维度主要描述一个完善的网络安全体系建设的流程，这个流程主要的参考 p2dr 模型，以我们前面进行的需求分析为基础，制定统一的安全策略，同时通过预防 （harden） 、保护(protect)、检测(detect)、响应(respond)以及改进(improve)，形成 一个闭环的网络安全措施流程。 纵深维为安全管理维： 贯穿于上述三个维度，以及各个维度内部各个层次的是安全管理，我们认为，全面 的安全管理是信息网络安全的一个基本保证，只有通过切实的安全管理，才能够保证各 种安全技术能够真正起到其应有的作用，常言说：“三分技术，七分管理” ，安全管理 是保证网络安全的基础，安全技术只是配合安全管理的有效的辅助措施。 1.3. 方案设计思路方案设计思路 通过上述三维安全理论模型，我们可以比较清晰的分析出在一个信息网络系统中，不同系统 层次有各自的特点，对安全服务要素的不同的需求的强度，依据这些安全服务要素需求的重点不 同，基于这些层次对应的实际结构模块，有针对性地采用一些安全技术和安全产品来实现这些安 全服务要素，这些措施形成本层次的安全防护面，不同的层次相互组合衔接，形成一个立体的网 络安全防御体系。 在下面的（）信息系统安全方案设计中，我们将首先通过信息网络的层次划分，把 其安全系统划分成若干个安全层次，并针对每一个安全层次，分析其业务安全需求，提出安全解 决方案，最后形成一个全面的安全解决方案。同时在方案的设计过程中，遵循我们安全理论模型 中的业务流程体系，对所采取的安全措施进行实施阶段的划分，形成一个动态的、可调整的具有 强大实施能力的整体安全解决方案。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 6 页 另外，我们认为，网络安全是一个动态的全面的有机整体，传统的网络安全产品单独罗列在 网络之上的单点防御部署方法，事实已经证明不能够及时有效的解决网络的威胁，网络安全已经 进入人民战争阶段，必须有效整合网络中的每一个节点设备资源，通过加固、联动、嵌入等多种 技术手段使安全因素 dna 渗透到网络的每一个设备中，为用户提供一个可实现可管理的安全网 络。借助多年的网络产品研发经验，h3c 已经能够为用户提供多种安全网络构成产品技术，如 具有安全特征的网络基础设备、能够与核心路由器、交换机联动的安全设备，安全设备间联动、 核心交换机/路由器上的嵌入式安全模块，智能集中策略管理中心等等，用户可以根据网络业务 需求选择应用。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 7 页 二、二、网络及安全现状分析网络及安全现状分析 2.1. 网络结构分析网络结构分析 网络为典型的二级结构，其中核心区是一台 7505r，服务器群和 internet 对外访问链路都接 在此核心设备上，向下分为二级交换结构。用来连接内部各个网段。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 8 页 2.2. 2.2. 安全层次的安全层次的分析模型分析模型 以前面介绍的三维安全理论模型为基础，参照我们进行的信息网络系统的层次划分，我们 认为整个网络安全系统可以划分为以下几个层次，分别为： 1.网络层：核心的安全需求为保证网络数据传输的可靠性和安全性，防范因为物理介质、 信号辐射等造成的安全风险，保证整体网络结构的安全，保证网络设备配置的安全、同 时提供网络层有效的访问控制能力、提供对网络攻击的实时检测能力等。 2.系统层：核心的安全需求为能够提供机密的、可用的网络应用服务，包括业务数据存储 和传输的安全，业务访问的身份认证及资源访问权限分配，业务访问的有效的记录和审 计，以及特殊应用模式的安全风险：比如垃圾 mail、web 攻击等。 3.管理层：严格规范的管理制度是保证一个复杂网络安全运行的必要条件，通过提供安全 的、简便的和功能丰富的统一管理平台，创建全网统一的管理策略，及时对网络进行监 控、分析、统计和安全机制的下发，既便于信息的及时反馈和交换，又便于全网统一的 安全管理策略的形成。 4.应用层：核心的安全需求为保证用户节点的安全需求，保证用户操作系统平台的安全， 防范网络防病毒的攻击，提高用户节点的攻击防范和检测能力；同时加强对用户的网络 应用行为管理，包括网络接入能力以及资源访问控制能力等。 漏洞检测漏洞检测 入侵扫描入侵扫描 windowsntwindowsnt 安全设置安全设置 数据库数据库 安全机制安全机制 应用系统应用系统 安全机制安全机制 unixunix 安全设置安全设置 可靠性安全措施可靠性安全措施 路由认证与过滤路由认证与过滤 交换机交换机vlanvlan技术技术 aaaaaa访问认证访问认证 网网络络层层安安全全网网络络层层安安全全 管管理理层层安安全全管管理理层层安安全全应应用用层层安安全全应应用用层层安安全全 系系统统层层安安全全系系统统层层安安全全 安安全全体体系系总总体体结结构构安安全全体体系系总总体体结结构构 安全管理安全管理 制度制度 计算机计算机 病毒防范病毒防范 甘甘肃肃网网通通甘甘肃肃网网通通 城城域域数数据据网网城城域域数数据据网网 vpnvpn接入技术接入技术 安全应用安全应用 平台平台 硬件防火墙硬件防火墙 （） 网络 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 9 页 下面我们将通过分析在前面描述的德州环抱局的网络及应用现状，全面分析归纳出在不同层 次的安全需求。 2.3. 2.3. 安全需求分析安全需求分析 2.3.1. 网网络层络层 网络层的核心的安全需求为保证网络数据传输的可靠性和安全性，存在的安全风险主要包括 以下几个方面： 1)线路的物理安全以及信号辐射的风险： 局域网线路采用综合布线系统，基本不存在太大的物理安全问题。广域通信线路的 如果是租用 isp 供应商线路的方式，不会存在太大的安全风险，isp 供应商已经采 取了足够的物理保护措施以及线路冗余措施；如果是独立进行的线路铺设，需要采 取物理保护、有效标示等防范措施； 通信线路的信号辐射风险可以采用比较有效的方式为：屏蔽式线缆，线路电磁屏蔽、 或者光通信等方式，相对来说信号辐射造成的安全风险不是太大，在一般安全需求 强度的应用环境下，不需要采取太多的防范措施。 2)网络结构以及网络数据流通模式的风险： 现有主要的网络结构为星形、树形、环形以及网状，随着网络节点间的连接密度的 增加，整个网络提供的线路冗余能力也会增加，提供的网络数据的流动模式会更灵 活，整个网络可靠性和可用性也会大大的增加。 （）的网络结构，能够满足数据流动模式的需求，是一种性价比最高的连 接方式，为了保证网络系统的可靠性，将来可以采取的有效可行的措施是加强线路 备份措施的实施。 3)网络设备安全有效配置的风险： 网络设备是网络数据传输的核心，是整个网络的基础设施，各种网络设备本身的安 全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证。 4)网络攻击行为的检测和防范的风险： （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 10 页 基于网络协议的缺陷，尤其是 tcp/ip 协议的开放特性，带来了非常大的安全风险， 常见的 ip 地址窃取、ip 地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击 （dos、ddos）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施。 5)网络数据传输的机密性和完整性的风险： 网络数据在传输的过程中，很可能被通过各种方式窃取，因此保证数据在传输的过 程中机密性（保证数据传递的信息不被第三方获得），完整性（保证数据在传递过 程中不被人修改）是非常重要的，尤其是在传递的信息的价值不断提高情况下。 2.3.2. 系系统层统层 1)服务器及数据存储系统的可用性风险： 业务系统的可靠性和可用性是网络安全的一个很重要的特性，必须保证业务系统硬 件平台（主要是大量的服务器）以及数据硬件平台（主要是存储系统）的可靠性。 2)操作系统和网络服务平台的安全风险： 通过对各种流行的网络攻击行为的分析，可以发现绝大多数的攻击是利用各种操作 系统和一些网络服务平台存在的一些已公开的安全漏洞发起，因此，杜绝各种操作 系统和网络服务平台的已公开的安全漏洞，可以在很大程度上防范系统攻击的发生。 3)用户对业务访问的有效的记录和审计： 业务系统必须能够对用户的各种访问行为进行详细的记录，以便进行事后查证。 2.3.3. 管理管理层层 1） 用户身份认证及资源访问权限的控制： 由于网络中的各个应用系统上有很多信息是提供给不同权限用户查阅的，不同级别、 不同部门、不同人员能够访问的资源都不一样，因此需要严格区分用户的身份，设 置合理的访问权限，保证信息可以在被有效控制下共享。 2） 来自不同安全域的访问控制的风险： （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 11 页 网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之 间采取一定的控制措施，有效控制不同的网络区域之间的网络通信，以此来控制网 络元素间的互访能力，避免网络滥用，同时实现安全风险的有效的隔离，把安全风 险隔离在相对比较独立以及比较小的网络区域。 3） 用户网络访问行为有效控制的风险： 首先需要对用户接入网络的能力进行控制，同时需要更细粒度的访问控制，尤其是 对 internet 资源的访问控制，比如应该能够控制内部用户访问 internet 的什么网站。 在此基础之上，必须能够进行缜密的行为审计管理。 2.3.4. 用用户层户层 4)用户操作系统平台安全漏洞的风险： 大部分的网络攻击行为以及网络病毒的传播都是由于操作系统平台本身存在的安全 漏洞，微软不断发布系统补丁即是明证，因此必须有效避免系统漏洞造成的安全风 险，同时对操作系统的安全机制进行合理的配置。 5)用户主机遭受网络病毒攻击的风险： 网络给病毒的传播提供了很好的路径，网络病毒传播速度之快、危害之大是令人吃 惊的，特别是最近开始流行的一些蠕虫病毒，更是防不胜防，环境下必须建设全面 的网络防病毒系统，层层设防，逐层把关，堵住病毒传播的各种可能途径。 6)针对用户主机网络攻击的安全风险： 目前 internet 上有各种完善的网络攻击工具，在局域网的环境下，这种攻击会更加 有效，针对的目标会更加明确，据统计，有 97的攻击是来自内部的攻击，而且 内部攻击成功的概率要远远高于来自于 internet 的攻击，造成的后果也严重的多。 2.4. 安全需求总结安全需求总结 通过以上分析，（）网络系统最迫切需要解决的问题包括： 1在网络边界部署防火墙系统，它可以对整个网络进行网络区域分割，提供基于 ip 地址 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 12 页 和 tcp/ip 服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, ）、端口扫描（port scanning）、 ip 欺骗(ip spoofing)、ip 盗用等进行有效防护；并提供 nat 地址转换、流量限制、用 户认证、ip 与 mac 绑定等安全增强措施。 2部署 ips 入侵防御系统，及时发现并过滤来自内部和外部网络的非法入侵和扫描，并 对所有的网络行为进行详细的审计，对恶意的网络活动进行追查，对应用流量和服务 器群进行保护。 3部署全网统一的防病毒系统，保护系统免受病毒威胁。 4提供终端用户行为管理工具，强制规范终端用户行为，终端用户安全策略集中下发， 实时审计。 5网络中部署的各种安全产品不再孤立，提供多种安全产品/网络设备联动防御，防火墙， ips，交换机，防病毒、身份认证，策略管理、终端用户行为规范工具之间能够集中联 动，主动动态防御。 6提供灵活智能的安全策略/设备集中管理中心平台，制定符合（）实际需求的 安全管理规定。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 13 页 三、三、（）网络安全整体解决方案）网络安全整体解决方案 3.1. （）网络安全总体方案）网络安全总体方案 在（）总体安全规划设计中，我们将按照安全风险防护与安全投资之间的平衡原则 （主要包括层次化的综合防护原则和不同层次重点防护原则），提出以下的安全风险和防护措施， 从而建立起全防御体系的信息安全框架。 由此，在本期总体安全规划建设中，应主要针对（）的薄弱环节，构建完善的网络 边界防范措施、网络内部入侵防御机制、完善的防病毒机制、增强的网络抗攻击能力以及网络系 统漏洞安全评估分析机制等。详细描述如下： 首先，是对网络边界安全风险的防护首先，是对网络边界安全风险的防护 对于一个网络安全域（局域网网络内部相对来说认为是安全的）来说，其最大的安全风险则 是来自网络边界的威胁，其中包括非授权访问、恶意探测和攻击、非法扫描等。 而对于（）网络来说，互联网及相对核心网的网络均为外网，它们的网络边界处存 在着内部或外部人员的非授权访问、有意无意的扫描、探测，甚至恶意的攻击等安全威胁，而防 火墙系统则是网络边界处最基本的安全防护措施，而互联网出口更是重中之重，因此，很有必要 在互联网出口出部署防火墙系统，建议配置两台高性能千兆防火墙组成双机热备系统，以保证网 络高可用性。 其次，是建立网络内部入侵防御机制其次，是建立网络内部入侵防御机制 在互联网出口、内网出口等边界处利用防火墙技术，经过仔细的配置，通常能够在内外网之 间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙，网络安全还远远不够， 还需要通过对网络入侵行为进行主动防护来加强网络的安全性。 因此，（）系统安全 体系必须建立一个智能化的实时攻击识别和响应系统，管理和降低网络安全风险，保证网络安全 防护能力能够不断增强。 目前网络入侵安全问题主要采用网络入侵监测系统和入侵防御系统等成熟产品和技术来解决。 因此，需要在外网交换机、内网交换机和服务器前端等流量主通路上配置相关的千兆或百兆 ips （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 14 页 系统，负责辨别并且阻断各种基于应用的网络攻击和危险应用，同时实现基于应用的网络管理， 达到网络安全、健壮和流畅运行的最终目的 第三，建立端点准入控制系统第三，建立端点准入控制系统 网络安全问题的解决，三分靠技术，七分靠管理，严格管理是（）网络用户免受网 络安全问题威胁的重要措施。事实上，用户终端都缺乏有效的制度和手段管理网络安全。网络用 户不及时升级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访 问保密资源等行为在企业网中也比比皆是。管理的欠缺不仅会直接影响用户网络的正常运行，还 可能使机关蒙受巨大的损失。 为了解决现有网络安全管理中存在的不足，应对网络安全威胁，网络需要从用户终端准入控 制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及 防病毒软件产品、软件补丁管理产品的联动，对接入网络的用户终端强制实施企业安全策略，严 格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。 第四，是构建完善的病毒防范机制第四，是构建完善的病毒防范机制 对于建立完善的防病毒系统来说，同样也是当务之急的，必须配备网络版的防病毒系统进行 文件病毒的防护。另外，对于网络病毒来说，如果能够做到在网络出口处就将其封杀、截留的话， 不仅能够降低病毒进入网络内部所造成的安全损失风险，更重要的是防止了病毒进入内部所带来 的带宽阻塞或损耗，有效地保护了网络带宽的利用率。因此，这种前提下，可以在互联网出口处 配置硬件病毒网关或者基于应用的入侵防御系统的方式进行解决。特别是，对于消耗网络带宽， 造成网络通信中断的蠕虫病毒是一个十分有效的措施。 第五，是加强网络的抗攻击能力第五，是加强网络的抗攻击能力 拒绝服务攻击是一种对网络危害巨大的恶意攻击。其中，具有代表性的攻击手段包括 syn flood、icmp flood、udp flood 等其原理是使用大量的伪造的连接请求报文攻击网络服务所在的 端口，比如 80（web）， 造成服务器的资源耗尽，系统停止响应甚至崩溃。而连接耗尽攻击 这种攻击则使用真实的 ip 地址，发起针对网络服务的大量的真实连接来抢占带宽，也可以造成 web server 的资源耗尽，导致服务中止。 随着（）信息化工作的深入开展，其网络中存在着大量的网络设备、安全设备、服 务器设备等，如何保护它们和整个网络不受 ddos 的攻击则是网络整体防范中的重点。而对付 大规模的 ddos 攻击的最好的方式除了及时对网络设备、服务器设备进行漏洞扫描，升级补丁 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 15 页 进行主机系统加固外，还有一种方式就是在互联网出口或者核心服务器前端配置防 dos 攻击设 备，来保护内部网络的安全。 第六，建立网络系统漏洞的评估分析机制第六，建立网络系统漏洞的评估分析机制 最后，网络安全的建设是一个动态的、可持续的过程，当网络中增加了新的网络设备、主机 系统或应用系统，能够及时发现并迅速解决相关的安全风险和威胁，实施专门地安全服务评估扫 描工具是很有必要的。 通过专业的网络漏洞扫描系统对整个网络中的网络设备、信息资产、应用系统、操作系统、 人员以及相关的管理制度进行评估分析，找出相关弱点，并及时提交相关解决方法，使得网络的 安全性得到动态的、可持续的发展，保证了整个网络的安全性。 本期总体安全规划建设完成后的效果本期总体安全规划建设完成后的效果 通过在本期总体安全规中包括的几个重要方面的安全防护建设，包括构建完善的网络边界防 范措施、网络内部入侵防御机制、移动用户远程安全访问机制、完善的防病毒机制、增强的网络 抗攻击能力以及网络系统漏洞安全评估分析机制等，最终可以使（）网络初步具备较高 的抗黑客入侵能力，全面的防毒、查杀毒能力以及对整网漏洞的评估分析能力，从而建立起全防 御体系的信息安全框架，基本达到gb 17859中规定的二级安全防护保障能力。 3.1.1. 基基础设础设施安全部署施安全部署 . 分分级设级设置用置用户户口令口令 h3c 系列路由器、交换机的登录口令分为 4 级：参观级、监控级、配置级、管理级，不同 的级别所能做的操作都不相同。 参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的 命令（包括：telnet 客户端、ssh 客户端、rlogin）等，该级别命令不允许进行配置 文件保存的操作。 监控级：用于系统维护、业务故障诊断等，包括 display、debugging 命令，该 级别命令不允许进行配置文件保存的操作。 配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提 供直接网络服务。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 16 页 管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支 撑作用，包括文件系统、ftp、tftp、xmodem 下载、配置文件切换命令、电源控制 命令、背板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令（非协议 规定、非 rfc 规定）等。 建议分级设置登录口令，以便于对于不同的维护人员提供不同的口令。 . 对对任何方式的用任何方式的用户户登登录录都都进进行行认证认证 建议对于各种登录设备的方式（通过 telnet、console 口、aux 口）都进行认证。 在默认的情况下，console 口不进行认证，在使用时建议对于 console 口登录配置上认 证。 对于安全级别一般的设备，建议认证方式采用本地认证，认证的时候要求对用户名和密码都 进行认证，配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。 对于安全级别比较高的设备，建议采用 aaa 方式到 radius 或 tacacs+服务器去认证。 h3c 系列路由器、交换机支持 radius 和 tacacs+认证协议。 . 对对网网络络上已知的病毒所使用的端口上已知的病毒所使用的端口进进行行过滤过滤 现在网络上的很多病毒（冲击波、振荡波）发作时，对网络上的主机进行扫描搜索，该攻击 虽然不是针对设备本身，但是在攻击过程中会涉及到发 arp 探询主机位置等操作，某些时候对 于网络设备的资源消耗十分大，同时会占用大量的带宽。对于这些常见的病毒，通过分析它们的 工作方式，可知道他们所使用的端口号。 为了避免这些病毒对于设备运行的影响，建议在设备上配置 acl，对已知的病毒所使用的 tcp、udp 端口号进行过滤。一方面保证了设备资源不被病毒消耗，另一方面阻止了病毒的传 播，保护了网络中的主机设备。 . 采用网采用网络络地址地址转换转换技技术术保保护护内部网内部网络络 地址转换，用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了 内部网络的实际地址；外部网络基本上不可能穿过地址代理来直接访问内部网络。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 17 页 通过配置，用户可以指定能够通过地址转换的主机，以有效地控制内部网络对外部网络的访 问。 结合地址池，还可以支持多对多的地址转换，更有效地利用用户的合法 ip 地址资源。h3c 系列路由器可以提供灵活的内部服务器的支持，对外提供 web、ftp、smtp 等必要的服务。 而这些服务器放置在内部网络中，既保证了安全，又可方便地进行服务器的维护。 . 关关闭闭危危险险的服的服务务 如果在 h3c 系列路由器上不使用以下服务的时候，建议将这些服务关闭，防止那些通过这 些服务的攻击对设备的影响。 禁止 hdp(huawei discovery protocol)； 禁止其他的 tcp、udp small 服务。路由器提供一些基于 tcp 和 udp 协议的小服务如： echo、chargen 和 discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过 滤机制； 禁止 finger、ntp 服务。finger 服务可能被攻击者利用查找用户和口令攻击。ntp 不是 十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其 他任务出错； 建议禁止 http 服务。路由器操作系统支持 http 协议进行远端配置和监视，而针对 http 的认证就相当于在网络上发送明文且对于 http 没有有效的基于挑战或一次性的口 令保护，这使得用 http 进行管理相当危险； 禁止 bootp 服务； 禁止 ip source routing； 明确的禁止 ip directed broadcast； 禁止 ip classless； 禁止 icmp 协议的 ip unreachables,redirects,maskreplies； 如果没必要则禁止 wins 和 dns 服务； 禁止从网络启动和自动从网络下载初始配置文件； 禁止 ftp 服务，网络上存在大量的 ftp 服务，使用不同的用户名和密码进行尝试登录 设备，一旦成功登录，就可以对设备的文件系统操作，十分危险。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 18 页 . 使用使用 snmp 协议时协议时候的安全建候的安全建议议 在不使用网管的时候，建议关闭 snmp 协议。 出于 snmpv1/v2 协议自身不安全性的考虑，建议尽量使用 snmpv3，除非网管不支持 snmpv3，只能用 snmpv1/v2。 在配置 snmpv3 时，最好既鉴别又加密，以更有效地加强安全。鉴别协议可通过 md5 或 sha，加密协议可通过 des。 在 snmp 服务中，提供了 acl 过滤机制，该机制适用于 snmpv1/v2/v3 三个版本，建议通 过访问控制列表来限制 snmp 的客户端。 snmp 服务还提供了视图控制，可用于 snmpv1/v2/v3。建议使用视图来限制用户的访问权 限。 在配置 snmpv1/v2 的 community 名字时，建议避免使用 public、private 这样公用的名字。 并且在配置 community 时，将 ro 和 rw 的 community 分开，不要配置成相同的名字。如果不 需要 rw 的权限，则建议不要配置 rw 的 community。 . 保持系保持系统统日志的打开日志的打开 h3c 系列路由器、交换机的系统日志会记录设备的运行信息，维护人员做了哪些操作，执 行了哪些命令。系统日志建议一直打开，以便于网络异常的时候，查找相关的记录，并能提供以 下几种系统信息的记录功能: access-list 的 log 功能：在配置 access-list 时加入 log 关键字，可以在交换机处理相应的 报文时，记录报文的关键信息； 关键事件的日志记录：对于如接口的 up、down 以及用户登录成功、失败等信息可以 作记录； debug 信息：用来对网络运行出现的问题进行分析。 . 注意注意检查设备检查设备的系的系统时间统时间是否准确是否准确 为了保证日志时间的准确性，建议定期（每月一次）检查设备的系统时间是否准确，和实际 时间误差不超过 1 分钟。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 19 页 . 运行路由运行路由协议协议的的时时候，增加候，增加对对路由路由协议协议的加密的加密认证认证 现网上已经发现有对 bgp 的攻击，导致 bgp 链路异常断链。 建议对于现在网络上使用的 isis、bgp 路由协议，对报文进行加密认证。 由于采用明文验证的时候，会在网络上传播验证密码，并不安全，所以建议使用 md5 算法， 对于密钥的设置要求足够的强壮。 在增加了对于路由协议报文的加密认证会略微增加设备的 cpu 利用率，由于对于路由协议 报文的处理在主控板，而对于数据的转发是由接口板直接处理，所以路由协议增加了对报文的加 密验证，不会影响设备的转发。 0. 设备设备上开启上开启 urpf 功能功能 urpf 通过获取报文的源地址和入接口，以源地址为目的地址，在转发表中查找源地址对应 的接口是否与入接口匹配，如果不匹配，认为源地址是伪装的，丢弃该报文。通过这种方式， urpf 就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。通过 urpf，可以 防止基于源地址欺骗的网络攻击行为。 h3c 系列核心路由器的各种板卡均支持 urpf 功能，并支持 strict、loose 和 acl 三种模式。 1. icmp 协议协议的安全配置的安全配置 icmp 协议很多具有一些安全隐患，因此在骨干网络上，如果没有特别需要建议禁止一些 icmp 协议报文：echo、redirect、mask request。同时禁止 traceroute 命令的探测。对于流出 的 icmp 流，可以允许 echo、parameter problem、packet too big。还有 traceroute 命令的使用。 这些的措施通过 acl 功能都可以实现，h3c 系列核心路由器的 acl 命令中包含 icmp-type 安全 选项。 2. ddos 攻攻击击的防范的防范 ddos(分布式拒绝服务)，它的英文全称为 distributed denial of service，它是一种基于 dos 的特殊形式的拒绝服务攻击，是一种分布、协作的大规模攻击方式，主要瞄准比较大的站点，比 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 20 页 如商业公司，搜索引擎和政府部门的站点。典型攻击包括 smurf、tcp syn、land.c 等攻击类 型 对于这些攻击需要在发现问题后接入层面实施，先探测到 ddos 攻击源和攻击使用的端口 （这个功能可以通过端口镜像，将数据流镜像到专门的设备上进行分析，以获取攻击源和攻击使 用的端口），然后对攻击源的通信进行限制，这类防范手段也可以通过 acl 来实现。 h3c 系列核心路由器全面支持 acl 包过滤功能，可以双向配置 32k 条 acl，同时，由于 acl 完全由硬件实现，启动 acl 后对于设备转发性能不会造成影响。 3. 端口端口验证验证技技术术 基于端口的验证，是由 ieee 进行标准化的验证方法，标准号是 802.1x。ieee 802.1x 定义 了基于端口的网络接入控制协议(port based net access control) ，用于交换式的以太网环境。要求 与客户和与其直接相连的设备都实现 802.1x。当应用于共享式以太网环境时，应对用户名，密码 等关键信息进行加密传输。在运营过程中，设备也可以随时要求客户重新进行验证。该协议适用 于接入设备与接入端口间点到点的连接方式，其中端口可以是物理端口，也可以是逻辑端口。主 要功能是限制未授权设备（如用户计算机）,通过以太网交换机的公共端口访问局域网。 4. 防地址假冒技防地址假冒技术术 为了加强接入用户的控制和限制，h3c 系列以太网交换机支持 4 种地址安全技术： 支持设置端口的学习状态。关闭端口的地址学习功能后，该端口上只能通过认识的 mac 地址（一般是用户手工配置的静态 mac 地址），来自其它陌生 mac 地址的报 文均被丢弃。 支持设置端口最多学习到的 mac 地址个数。开启端口的地址学习功能后，可以配置允 许学习的 mac 地址个数范围在 165535 之间。当端口已经学习到允许的 mac 地址 个数后，将停止学习新 mac 地址，直到部分 mac 地址老化后，才开始学习新 mac 地址。 支持端口和 mac 地址绑定。通过在端口上配置静态 mac 地址，并禁止该端口进行地 址学习，就限定了在该端口上允许通过的 mac 地址，来自其它 mac 地址的报文均被 丢弃。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 21 页 支持广播报文转发开关。可在端口上配置，禁止目的地址为广播地址的报文从 该端口转发，以防止 smurf 攻击。 3.1.2. 防火防火墙墙系系统统防防护护方案方案 网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制，采用安全检测手段 防范非法用户的主动入侵。 在防火墙上通过设置安全策略增加对服务器的保护，同时必要时还可以启用防火墙的 nat 功能隐藏网络拓扑结构，使用日志来对非法访问进行监控，使用防火墙与交换机、入侵防御联动 功能形成动态、自适应的安全防护平台。下面将从几个方面介绍防火墙在（）网络的设 计方案。 . 防火防火墙对墙对服服务务器群的保器群的保护护 由于各种应用服务器等公开服务器属于对外提供公开服务的主机系统，因此对于这些公开服 务器的保护也是十分必要的；具体可以利用防火墙划分 dmz 区，将公开服务器连接在千兆防火 墙的 dmz 区上。 对于防火墙系统而言，其接口分别可以自行定义为 dmz（安全服务器网络）区、内网区、 外网区共三个区域。dmz（安全服务器网络）区是为适应越来越多的用户向 internet 上提供服 务时对服务器保护的需要，防火墙采用特别的策略对用户的公开服务器实施保护，它利用独立网 络接口连接公开服务器网络，公开服务器网络既是内部网的一部份，又与内部网物理隔离。既实 现了对公开服务器自身的安全保护，同时也避免了公开服务器对内部网的安全威胁。 . 防火防火墙对墙对核心内部核心内部业务业务网的保网的保护护 对于核心内部业务网部分，在实施策略时，也可以配置防火墙工作与透明模式下，并设置只 允许核心内部网能够访问外界有限分配资源，而不允许外界网络访问核心内部网信息资源或只允 许访问有限资源；也可以在防火墙上配置 nat 或 map 策略，能够更好地隐藏内部网络地址结 构等信息，从而更好地保护核心内部网的系统安全。 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 22 页 . 防火防火墙对墙对网网络边络边界的保界的保护护 对于（）网络各个网络边界而言，每个单独地网络系统都是一个独立的网络安全区 域，因此在网络边界处配置一台高性能防火墙系统，制定安全的访问策略，不仅可以有效地保护 内部网络中的系统和数据安全，还可以防止各网络之间有意无意地探测和攻击行为。 防火墙部署网络边界，以网关的形式出现。部署在网络边界的防火墙，同时承担着内网、外 网、dmz 区域的安全责任，针对不同的安全区域，其受信程度不一样，安全策略也不一样。 防火墙放置在内网和外网之间，实现了内网和外网的安全隔离。 防火墙上划分dmz区，隔离服务器群。保护服务器免受来自公网和内网的攻击。 在防火墙上配置安全访问策略，设置访问权限，保护内部网络的安全。 当客户网络有多个出口，并要求分别按业务、人员实现分类访问时，在防火墙上启用策 略路由功能，保证实现不同业务/人员定向不同isp的需求。 防火墙具有对业务的良好支持，作为nat alg或者aspf过滤，都能够满足正常业务的 运行。 防火墙易于管理，让管理员舒心。 内网内网 内网用户 内网用户 内网用户 防火墙防火墙 服务器群 dmz 区 接入网 1 接入网 2 （）安全规划方案）安全规划方案 杭州华三通信技术有限公司 第 23 页 . 数据中心的安全防数据中心的安全防护护 在防火墙上除了通过设置安全策略来增加对服务器或内部网的保护以外，同时还可以启用防 火墙日志服务器记录功能来记录所有的访问情况，对非法访问进行监控；还可以使用防火墙与将 要实施的入侵防御系统之间的实时联动功能，形成动态、完整的、安全的防护体系。 数据中心是安全的重点，性能、可靠性以及和 ips 入侵防御的联动都必须有良好的表现。防 火墙具有优异的性能，可靠性方面表现不凡，结合入侵防御系统，可以实现