华为-MA5600-特性描述01-13 系统安全.doc

SmartAX MA5600特性描述目 录目 录13 系统安全13-113.1 概述13-213.2 防御DoS攻击13-213.2.1 定义13-213.2.2 遵循的协议13-213.2.3 和其他特性的关系13-213.2.4 应用13-213.2.5 原理13-313.2.6 配置和验证13-313.3 防御MAC spoofing13-313.3.1 定义13-313.3.2 遵循的协议13-313.3.3 和其他特性的关系13-313.3.4 应用13-313.3.5 原理13-313.3.6 配置和验证13-313.4 防御IP spoofing13-313.4.1 定义13-313.4.2 遵循的协议13-413.4.3 和其他特性的关系13-413.4.4 应用13-413.4.5 原理13-413.4.6 配置和验证13-413.5 ICMP/IP报文的安全优化13-413.5.1 定义13-413.5.2 遵循的协议13-413.5.3 和其他特性的关系13-413.5.4 应用13-413.5.5 原理13-413.5.6 配置和验证13-413.6 MAC地址过滤13-513.6.1 定义13-513.6.2 遵循的协议13-513.6.3 和其他特性的关系13-513.6.4 应用13-513.6.5 原理13-513.6.6 配置和验证13-513.7 黑名单13-513.7.1 定义13-513.7.2 遵循的协议13-513.7.3 和其他特性的关系13-513.7.4 应用13-513.7.5 原理13-613.7.6 配置和验证13-613.8 防火墙13-613.8.1 定义13-613.8.2 遵循的协议13-613.8.3 和其他特性的关系13-613.8.4 应用13-613.8.5 原理13-613.8.6 配置和验证13-6文档版本 01 (2006-08-10)华为技术有限公司13-5SmartAX MA5600特性描述13 系统安全13 系统安全关于本章本章描述内容如下表所示。标题内容13.1 概述简要介绍系统安全。13.2 防御DoS攻击介绍防御DoS攻击特性。13.3 防御MAC spoofing介绍防御MAC spoofing攻击特性。13.4 防御IP spoofing介绍防御IP spoofing攻击特性。13.5 ICMP/IP报文的安全优化介绍ICMP/IP报文优化特性。13.6 MAC地址过滤介绍MAC地址过滤特性。13.7 黑名单介绍黑名单特性。13.8 防火墙介绍带外防火墙特性。13.1 概述系统安全是指针对MA5600设备本身的安全。通常的网络攻击，一般是侵入或破坏网上的主机，盗取服务器的敏感数据或干扰破坏服务器对外提供的服务。也有直接破坏网络设备的网络攻击，这种破坏影响较大，会导致网络服务异常，甚至中断。系统安全功能能够检测出多种类型的网络攻击，并能采取相应的措施保护内部网络免受恶意攻击，保证内部网络及系统的正常运行。MA5600支持多种系统安全设置,包括：l 防御DoS攻击l 防御MAC spoofing攻击l 防御IP spoofing攻击l 通过优化ICMP和IP报文防御针对设备本身的恶意攻击l 通过MAC地址过滤防御用户伪造成上层设备MAC地址进行攻击l 通过黑名单禁止特定用户防止恶意攻击l 通过带外防火墙防止非法用户对设备进行操作13.2 防御DoS攻击13.2.1 定义拒绝服务型DoS（Denial of Service）攻击是使用大量的数据包攻击系统，使系统无法接受正常用户的请求，它危害接入系统的正常运行，可能造成系统无法接受正常用户的服务请求，甚至导致系统挂起。拒绝服务攻击和其他类型的攻击不同之处在于：攻击者并不是去寻找进入内部网络的入口，而是阻止合法用户访问资源或路由器。13.2.2 遵循的协议无。13.2.3 和其他特性的关系无。13.2.4 应用MA5600支持启动或关闭防御DoS攻击功能。防御DoS攻击主要的应用是通过限制用户侧发送大量的控制报文的个数，从而达到保护设备的cpu作用。13.2.5 原理l 主机维护一个DoS攻击黑名单。通过设置全局开关，使主控板和单板之间对防御DoS攻击开关设置同步。l 业务单板限制用户上交给主机CPU的控制报文数目，并在发现用户进行DoS攻击时，暂停接收用户的控制报文。13.2.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。13.3 防御MAC spoofing13.3.1 定义MAC spoofing攻击是指接入用户伪造MAC地址对IP DSLAM设备进行攻击。13.3.2 遵循的协议无。13.3.3 和其他特性的关系无。13.3.4 应用MA5600通过动态绑定MAC地址防御MAC spoofing攻击。13.3.5 原理MA5600防御MAC spoofing攻击实现原理是：停止单板逻辑的MAC地址自动学习功能，根据合法的DHCP报文和PPPoE报文，设置MAC地址绑定。13.3.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。13.4 防御IP spoofing13.4.1 定义IP spoofing攻击是指接入用户伪造IP地址对IP DSLAM设备进行攻击。13.4.2 遵循的协议无。13.4.3 和其他特性的关系无。13.4.4 应用MA5600通过动态绑定IP地址防御IP spoofing攻击。13.4.5 原理MA5600防御IP spoofing攻击实现原理是：根据合法的DHCP报文和PPPoE报文，设置IP地址绑定。13.4.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。13.5 ICMP/IP报文的安全优化13.5.1 定义ICMP或IP报文优化，指MA5600通过使能优化开关，丢弃用户侧发出目的IP为本设备接口IP地址的ICMP报文或IP分组。13.5.2 遵循的协议无。13.5.3 和其他特性的关系无。13.5.4 应用对ICMP和IP报文的优化可以防御针对本设备的恶意攻击。13.5.5 原理MA5600打开ICMP或IP优化开关后，如果检测到ICMP报文或IP分组中的目的IP地址为设备IP地址，则丢弃报文。13.5.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。13.6 MAC地址过滤13.6.1 定义MAC地址过滤就是配置了过滤的MAC地址后，在业务单板上对报文源MAC地址做检查，把源MAC地址与配置的MAC地址相同的报文丢弃。13.6.2 遵循的协议无。13.6.3 和其他特性的关系无。13.6.4 应用MAC地址过滤通常应用于防止用户仿造上层设备的MAC地址。13.6.5 原理配置了过滤的MAC地址后，在业务单板上对报文源MAC地址做检查，把源MAC地址与配置的MAC地址相同的报文丢弃。13.6.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。13.7 黑名单13.7.1 定义黑名单为一个IP地址集，系统将过滤掉目的IP地址为维护网口或者设备三层接口，并且源IP地址在黑名单上的报文，从而实现安全特性。13.7.2 遵循的协议无。13.7.3 和其他特性的关系黑名单可以和ACL规则一起应用。13.7.4 应用MA5600通过设置黑名单可屏蔽有恶意行为的IP地址对设备的攻击。13.7.5 原理MA5600维护一份IP地址列表，如果检测到经过维护网口和三层接口的报文源IP地址为该列表中的IP地址，则丢弃该报文。13.7.6 配置和验证配置和验证请参见SmartAX MA5600 多业务接入设备 配置指南。13.8 防火墙13.8.1 定义配置带外防火墙是为了禁止未授权的用户通过设备维护网口（带外）或者业务通道（带内）对设备进行维护，从而实现系统的安全性。防火墙是根据ACL（Access Control List）进行数据包的过滤。13.8.2 遵循的协议无。13.8.3 和其他特性的关系防火墙是必须根据ACL（Access Control List）进行数据包的过滤。ACL请参见“10 ACL&QoS”。13.8.4 应用