N设备网络安全技术白皮书

1、PTN设备技术白皮书声明版权所有 华为技术有限公司 2006。 保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。技术支持技术支援网址：http客户服务邮箱：s客户服务电话：8008302118真址：深圳市龙岗区坂田华

2、为总部办公楼邮编：518129目录 TOC o 1-3 h z u HYPERLINK l _Toc237665840 声明 PAGEREF _Toc237665840 h 1 HYPERLINK l _Toc237665841 版权所有 华为技术有限公司 2006。 保留一切权利。 PAGEREF _Toc237665841 h 1 HYPERLINK l _Toc237665842 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 PAGEREF _Toc237665842 h 1 HYPERLINK l _Toc237665843 商标声

3、明 PAGEREF _Toc237665843 h 1 HYPERLINK l _Toc237665844 注意 PAGEREF _Toc237665844 h 1 HYPERLINK l _Toc237665845 技术支持 PAGEREF _Toc237665845 h 1 HYPERLINK l _Toc237665846 1概述 PAGEREF _Toc237665846 h 5 HYPERLINK l _Toc237665847 2网络安全威胁 PAGEREF _Toc237665847 h 5 HYPERLINK l _Toc237665848 2.1网络安全威胁的定义 PAGER

4、EF _Toc237665848 h 5 HYPERLINK l _Toc237665849 2.2网络安全威胁的分类 PAGEREF _Toc237665849 h 5 HYPERLINK l _Toc237665850 2.3网络设备的安全威胁 PAGEREF _Toc237665850 h 6 HYPERLINK l _Toc237665851 数据传送层面 PAGEREF _Toc237665851 h 6 HYPERLINK l _Toc237665852 控制信令层面 PAGEREF _Toc237665852 h 6 HYPERLINK l _Toc237665853 设备管理层

5、面 PAGEREF _Toc237665853 h 6 HYPERLINK l _Toc237665854 3PTN设备安全能力介绍 PAGEREF _Toc237665854 h 6 HYPERLINK l _Toc237665855 3.1数据传送层面的安全能力 PAGEREF _Toc237665855 h 6 HYPERLINK l _Toc237665856 MAC地址表容量攻击防护告警能力 PAGEREF _Toc237665856 h 6 HYPERLINK l _Toc237665857 广播/组播报文速率限制 PAGEREF _Toc237665857 h 7 HYPERLI

6、NK l _Toc237665858 二层业务环路防护能力 PAGEREF _Toc237665858 h 7 HYPERLINK l _Toc237665859 黑白名单功能 PAGEREF _Toc237665859 h 7 HYPERLINK l _Toc237665860 端口环回检测 PAGEREF _Toc237665860 h 8 HYPERLINK l _Toc237665861 接入认证 PAGEREF _Toc237665861 h 8 HYPERLINK l _Toc237665862 3.1.7地址扫描攻击防护能力 PAGEREF _Toc237665862 h 8 H

7、YPERLINK l _Toc237665863 静态MAC地址表项和ARP表项绑定能力 PAGEREF _Toc237665863 h 8 HYPERLINK l _Toc237665864 防止CPU受冲击能力 PAGEREF _Toc237665864 h 8 HYPERLINK l _Toc237665865 3.1.10强大的ACL能力 PAGEREF _Toc237665865 h 9 HYPERLINK l _Toc237665866 3.2控制信令层面的安全能力 PAGEREF _Toc237665866 h 9 HYPERLINK l _Toc237665867 ARP协议攻

8、击防护能力 PAGEREF _Toc237665867 h 9 HYPERLINK l _Toc237665868 地址盗用防护能力 PAGEREF _Toc237665868 h 9 HYPERLINK l _Toc237665869 路由协议攻击防护能力 PAGEREF _Toc237665869 h 10 HYPERLINK l _Toc237665870 3.3设备管理层面的安全能力 PAGEREF _Toc237665870 h 10 HYPERLINK l _Toc237665871 认证管理 PAGEREF _Toc237665871 h 10 HYPERLINK l _Toc2

9、37665872 授权管理 PAGEREF _Toc237665872 h 10 HYPERLINK l _Toc237665873 网络安全管理 PAGEREF _Toc237665873 h 11 HYPERLINK l _Toc237665874 网元安全日记管理 PAGEREF _Toc237665874 h 11 HYPERLINK l _Toc237665875 Syslog日记管理 PAGEREF _Toc237665875 h 11概述随着互联网技术的不断演进、规模的爆炸性发展，互联网应用已经从起初的科研领域逐渐延伸到当代社会生活的方方面面，越来越多基于网络的关键业务蓬勃兴起，

10、网络成为人类提高生产力、提升生活质量的新的推动力。然而，互联网的技术基础，即IP网络，却在天然上存在着诸如安全、服务质量、运营模式等问题。其中，IP网络的安全问题是其中非常重要的一个方面，由于IP网络的开放性，又使得它的安全问题变得十分复杂。IP网络的简单和开放在促成互联网迅猛发展的同时，也造成了IP网络容易引入安全漏洞的弱点。同时，随着技术的发展、信息传递的迅捷，针对IP网络安全攻击的技术难度越来越小，攻击工具自动化程度则越来越高，攻击技术趋向平民化。网络攻击事件数量每年都在大幅增加，造成的损失日益巨大，影响范围不再仅限于少数公司，甚至波及国家信息安全。网络安全威胁给网络世界进一步的发展蒙上

11、了阴影。网络安全威胁网络安全威胁的定义所谓的网络安全威胁，即是通过特定技术或工具，对在网络、服务器和桌面上存储和传输的数据未经授权进行访问，甚至破坏或者修改这些数据，是当今网络安全中面临的基本威胁。网络安全威胁的分类IP网络的安全威胁分为两个方面：一是主机（包括用户主机和应用服务器等）的安全，二是网络自身（主要是网络设备，包括路由器、交换机等）的安全。用户主机所感知的安全威胁主要是针对特定操作系统（主要是Windows系统）的攻击，诸如病毒、木马。网络设备主要面对的是基于TCP/IP协议的攻击。本文主要讨论网络自身，即网络设备的安全问题。网络设备的安全威胁网络设备的功能可以分为以下几个层面：网

12、络数据传送、控制信令、网络设备管理。相应地，网络设备的安全威胁即是针对于这几个层面展开的。数据传送层面网络数据传送层面的功能是负责处理进入设备的数据流。它有可能受到基于流量的攻击，如大流量攻击、畸形报文攻击。这些攻击的主要目的是占用设备CPU的处理时间，造成正常的数据流量无法得到处理，使设备的可用性降低。由于网络数据传送层面负责用户数据的转发，因此也会受到针对用户数据的攻击，主要是对用户数据的恶意窃取、修改、删除等，使用户数据的机密性和完整性受到破坏。控制信令层面网络控制信令层面的主要功能是维护各层网络协议的运行，以控制数据流的路由和交换。这一层面受到的最主要威胁来自对路由信息的窃取，对IP地

13、址的伪造等，这会造成网络路由信息的泄漏或滥用。设备管理层面网络设备管理层面提供了对设备的远程管理功能。威胁来自于两个方面，一个是系统管理所使用的协议（如Telnet协议、HTTP协议等）的漏洞，另一个是不严密的管理，如设备管理账号的泄露等。PTN设备安全能力介绍数据传送层面的安全能力MAC地址表容量攻击防护告警能力所谓MAC地址表容量攻击，是指攻击源发送源MAC地址不断变化的报文，网络设备在收到这种报文后，会进行源MAC地址学习。由于MAC地址表容量是有限的，当MAC地址表项达到最大容量后，正常报文的MAC地址学习将无法完成。在进行二层转发时，这些报文将会在VLAN内广播，严重影响网络带宽，同

14、时也会对网络设备下挂主机造成冲击。PTN提供设置VSI允许学习的最大MAC地址数目的功能。用户可以根据VSI下挂的主机数目来设置该VSI最大允许学习的MAC地址数目，防止一个VSI就把系统的MAC地址表项耗尽。广播/组播报文速率限制网络中存在大量的广播或者组播报文，会占用宝贵的网络带宽，从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时，广播和组播报文会在网络中泛滥，导致整网的瘫痪。PTN具有强大的广播/组播/未知单播报文过滤功能。可以按照端口速率的百分比来限制端口允许通过的广播/组播/未知单播报文速率。同时，还可以通过ACL规则设置特定端口广播、组播和未知单播报文允许通过的速率。

15、二层业务环路防护能力PTN设备具有防止2层业务存在环路的能力，PTN设备支持MSTP/RSTP，可避免网络中出现环路而导致带宽耗尽严重影响设备转发性能的情况出现。同时PTN具有对业务端口进行水平分割的能力，可隔离网络侧的报文的转发，即从NNI侧端口进入的报文禁止发往另一个NNI端口，从而消除网络环路的情况。黑白名单功能网络中存在合法用户和非法用户，非法用户的接入不仅仅会占用的网络带宽，还对网络安全存在一定的威胁。黑白名单功能是防止非法用户攻击网络的一种基本手段，黑名单就是禁止名单上的用户设备进入网络，允许其他设备报文进入网络；白名单则是只允许名单上的用户设备报文进入网络，其他用户设备则过滤掉。

16、PTN设备提供基于端口和基于二层交换业务的黑白名单功能，用户可以按端口或者VSI来配置黑白名单，以此保证合法用户的接入，过滤非法用户。端口环回检测端口环回对网络安全存在威胁，可能引起广播风暴耗尽网络带宽，导致网络拓扑改变，或者导致协议报文过多冲击设备CPU处理能力。因此需要对设备端口环回具备检测功能。PTN设备可以根据配置检测端口是否存在环回，发现端口环回提供告警给用户，并根据配置阻塞端口。接入认证PTN设备提供接入认证功能，支持802.1x的接入认证，支持基于端口或者MAC的接入认证。地址扫描攻击防护能力地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络

17、设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。PTN设备实现了地址扫描攻击的防护能力。当设备收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项，以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项。否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对设备造成影响，又保证正常业务流程的畅通。静态MAC地址表项和ARP表项绑

18、定能力PTN设备提供配置静态MAC地址表项和静态ARP表项的功能。用户可以通过配置静态MAC地址表项，保证二层数据报文正确的转发；用户还可以通过配置静态ARP表项，绑定MAC地址和IP地址，确保IP地址不会被伪用户盗用。防止CPU受冲击能力网络中CPU处理的协议报文过多，会对CPU造成较大的影响，甚至导致设备复位。PTN设备可对各种上报CPU的报文进行流量控制，超过带宽部分被丢弃，以免CPU受到较大的冲击。强大的ACL能力在复杂的网络环境中，存在各种各样的攻击报文，可能攻击网络设备，也可能攻击网络设备下挂的主机。PTN设备提供强大而丰富的ACL功能，能够对报文的数据链路层、网络层、传输层各字段

19、进行识别、限流和过滤。控制信令层面的安全能力ARP协议攻击防护能力ARP协议没有任何验证方式，而ARP在数据转发中又是至关重要的，攻击者常伪造ARP报文进行攻击。PTN设备能够检测并且防范ARP报文的攻击。当攻击者采用某个或者某几个固定的攻击源，向设备发送大量的ARP报文进行攻击时，PTN能够检测并且防范这种ARP协议报文的攻击。当PTN设备收到ARP报文时，会根据报文源MAC地址记录单位时间收到的ARP报文数目。当检测到单位时间内CPU收包出现丢包且某些固定源MAC地址的主机超出一定限度，认为该主机在进行ARP攻击。如果用户启用ARP防攻击功能，则会打印提示信息并记录到日志信息中，且下发一条

20、源MAC地址丢弃的表项，对该攻击源进行屏蔽。（目前没有实现）地址盗用防护能力所谓地址盗用，是指一个非法用户仿冒合法用户的IP地址，盗用合法用户的IP地址进行上网。网络设备会学习到错误的ARP表项，影响合法用户的正常上网。PTN设备具有防范非法用户盗用地址上网的能力。只需要在设备上面配置MAC地址和IP地址绑定的安全地址表项，设备在学习ARP表项时会根据该安全地址表项进行检查，满足条件则学习ARP表项，不满足条件不学习。当用户通过DHCP获取网络基本资源时，PTN设备还可以实现DHCP监听动态建立MAC地址和IP地址绑定的安全地址表项，只允许接入已通过DHCP获取配置的设备接入，如果是非法用户仿冒合法用户的IP地址，将会被过滤到。路由协议攻击防护能力路由协议攻击是指向不进行路由认证的路由器发送错误的路由更新报文，使路由表中出现错误的路由，严重的情况可以造成网络瘫痪，高明的攻击者可以用来进行更深层次的攻击实施。PTN设备能够对收到的各种路由协议进行认证。1）OSPF协议，支持邻居路由器之间的明文/MD5认证和OSPF区域内的明文/MD5认证；2）IS-IS协议，支持接口间Level-1明文/MD5认证、接口Level-2明文/MD5认证、IS-IS区域内明文/MD5认证和IS-IS路由域上的明