管理信息网路由器配置

1、XX 省电力公司管理信息网 路由器配置规范 （讨论稿） 2009- * -* 发布*-*-* 实施 目目 次次 前 言.II 1 范围范围.1 2 规范性引用文件规范性引用文件.1 3 术语和定义术语和定义.1 4 管理平面的安全配置管理平面的安全配置.2 5 控制平面的安全配置控制平面的安全配置.4 6 数据平面的安全配置数据平面的安全配置.4 前 言 为规范 XX 省电力公司管理信息网路由器的配置、使用和管理，明确管理信息网路由器配 置管理工作内容，规范路由器在配置、使用和管理中所应遵守的管理平面安全原则、控制平面 安全原则、数据平面安全原则，特编写本标准。 本标准由 XX 省电力公司信息

2、技术中心提出并归口。 本标准主要起草单位：XX 省电力公司信息技术中心、XX 省电力设计院。 本标准主要起草人： 本标准由 XX 省电力公司信息技术中心负责解释。 XXXX 省电力公司管理信息网省电力公司管理信息网路由器配置规范路由器配置规范 11范围范围 本规范规定了 XX 省电力公司管理信息网路由器的管理平面安全配置、控制平面管安全配 置、数据平面安全配置要求。 本规范适用于 XX 省电力公司管理信息网路由器的配置、使用和管理，作为 XX 省电力公司 管理信息网网络管理的依据之一，在路由器的配置、使用和管理中落实各项规程内容。 22规范性引用文件规范性引用文件 下列文件中的条款通过本规范的

3、引用而成为本标准的条款。凡是注日期的引用文件，其随 后所有的修改单（不包括勘误的内容）或修订版均不适用于本规范，然而，鼓励根据本标准达 成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适 用于本规范。 GB/T 1.12005 标准化工作导则标准的结构和编写规则 GB/T 1.222005 标准化工作导则引用标准的规定 GB/T 130162004 标准体系表编制原则和要求 GB/T 20001.12003 标准编写规则 33术语和定义术语和定义 下列术语和定义适用于本规范。 3.13.1AAAAAA AAA指的是Authentication（鉴别），Autho

4、rization（授权），Accounting（审计）。 3.23.2SNMPSNMP Simple Network Management Protocol 简单网络管理协议。 3.33.3MPLSMPLS Multi-Protocol Label Switching 多协议标记交换。 3.43.4OSPFOSPF Open Short-Path First 开放式最短路径优先协议 3.53.5BGPBGP Border Gateway Protocol 边界网关协议 3.63.6LoopbackLoopback 软件环回接口 3.73.7IPIP spoofingspoofing IP Sp

5、oofing IP欺骗 3.83.8DOSDOS Denial of Service 拒绝服务 3.93.9URPFURPF Unicast Reverse Path Forwarding 单播逆向路径转发 3.103.10RPFRPF Reverse Path Forwarding 逆向路径转发 44管理平面的安全配置管理平面的安全配置 4.14.1配置命名配置命名 4.1.1路由器的名称应具有较强可读性和一致性，需包含的信息有：网络区域、网络角 色、设备角色、设备属性、场所性质、场所描述、设备编号等。 4.1.2在设备配置中，需对使用的设备端口进行说明，以提高设备的可维护性、增加配 置文件

6、的可读性，对于互联端口，必须进行规范描述，描述规则可为：To 对端设备名 所连端口。对于 Loopback 端口，要求描述该端口的设定功能。 4.1.3对于 VPN 的命名，要求能体现包含的 VPN 业务内容，控制列表的命名要求能体现 感兴趣流的内容。 4.24.2LoopbackLoopback 地址使用地址使用 4.2.1Loopback 地址是路由器的软件接口地址，具有稳定性高的特点，凡是以路由器 为主体的 IP 包发起，均使用 Loopback 接口地址作为该路由器发起 IP 包的源地址，以提 高路由器的可识别性和安全性。 4.2.2在认证服务器中，需通过过滤以确保认证服务器只允许从

7、Loopback 地址来访问 认证服务器端口。 4.2.3在 NTP 中，需通过过滤以确保 NTP 系统只允许从 Loopback 地址来访问 NTP 端口， 以提高它的安全性。 4.2.4在路由协议中，需用 Loopback 地址作为 Router ID，以提高其稳定性。 4.2.5在 MPLS-VPN 网络中，MP-IBGP 需使用 Loopback 地址建立会话。MPLS-VPN 的组播 环境中，需使用不同的 Loopback 地址建立相应的 BGP 会话邻居。 4.34.3登陆安全登陆安全 4.3.1关闭 Aux 口登录路由器。 4.3.2对远程登录路由器的方法应加以限制。 4.3.3

8、远程登录应尽可能采用 SSH 登录，并利用控制列表和登陆超时时间在登陆线程中 加以限制，在复杂的网络环境中，还可考虑采用基于上下文控制列表或动态控制列表的 方式实现安全登陆。 4.3.4登陆后需配置提示信息，以警示非法登录者。 4.3.5应具有登录失败处理功能，限制非法登录次数。 4.3.6网络登录连接应设定超时，以防止被非法用户利用。或由于被占用所有可使用端 口，导致在紧急情况下无法登陆设备。 4.44.4认证及权限管理认证及权限管理 4.4.1采用 AAA 集中认证，每个地区局部署一套 AAA 认证系统，为包含县局在内的所有 网络设备提供服务。 4.4.2通过鉴别（Authenticati

9、on）功能，在服务器端修改用户口令，完成所涉及网络 设备访问密码的修改，做到周期性修改口令。 4.4.3对于临时访问用户，需创建临时账号，并对该账号属性设置多种有限策略，例如 有限时间、访问权限等。 4.4.4利用授权（Authorization）功能提高网络的安全管理的水平。 4.4.5通过对采用集中认证的网络设备进行分层分权限管理，对处于不同的网络层次设 备、网络设备的重要性等级进行设备分组，然后通过授权功能授予不同登陆账号的不同 访问设备分组、不同的操作命令权限。 4.4.6利用审计（Accounting）功能所收集、记录用户对网络资源的使用情况，提高事 后分析能力。 4.4.7从长远角

10、度考虑，可部署用户口令动态认证系统或 CA，结合现有 AAA 认证软件， 实现双因素认证系统，提高口令的安全性。 4.54.5syslogsyslog 和和 NTPNTP 配置配置 4.5.1应配备日志服务器，将所有网络设备的告警信息输入到该服务器，以保证告警信 息不会丢失，并可根据自定义字段查询相关日志信息 4.5.2通过配置实现主机和网络设备根据不同等级的告警信息传送到指定软件终端上， 还可通过发送邮件的形式将日志信息发送到指定维护人员得信箱里。 4.5.3在网络设备上配置日志，需要注意日志的时间戳表示，设备发送日志的地址为该 设备的 Loopback 地址以增加可读性。 4.5.4路由器

11、的时间配置使用 NTP 协议，可选择核心设备当作时钟源，作为 NTP 主服务 器，其他路由器为 NTP 客户端，NTP 服务器与客户端做认证，有条件可以专门选择时钟 源设备作为 NTP 服务器。 4.5.5日志信息的时间戳以本地时间的毫秒方式显示。有条件可以专门选择时钟源设备 作为 NTP 服务器。 4.64.6SNMPSNMP 配置配置 4.6.1SNMP 尽可能采用 Version 3 及以上版本，需利用访问列表允许特定工作站的 SNMP 访问。 4.6.2SNMP 只允许开启只读功能，必须关闭读写功能，严禁通过 SNMP 对网络设备进行 配置。 4.74.7按最小特权原则，关闭不必要的服

12、务 4.7.1关闭重定向，防止利用 ICMP 路由重定向消息进行攻击 4.7.2禁止 TCP、UDP Small 服务 4.7.3禁止 Finger 服务 4.7.4禁止从网络启动和自动从网络下载初始配置文件。 4.7.5禁用 HTTP 服务，该服务的安全漏洞较多。 4.7.6禁用 IP 源路由，防止路由欺骗。 4.7.7禁止 DHCP 服务 4.7.8针对接口，禁止针对广播地址的单播流量转换为广播流量 4.7.9针对接口，禁用“Internet 消息控制协议”(ICMP) 主机未达消息，防止攻击者 使用这些消息来获取网络映射信息。 4.7.10针对在接口，禁用代理“地址解析协议”(ARP)，

13、作为计算机网关的路由器上需 要实施计算机 IP 和 MAC 的绑定。 55控制平面的安全配置控制平面的安全配置 5.15.1路由协议安全路由协议安全 5.1.1启用 OSPF 路由协议时，必须定义 Router-id；修改系统参考带宽；修改以太网 互联端口类型；将所有端口默认设置为 Passive 被动端口，仅将需要和其他路由器交换 路由的端口设置为 no-passive；配置 OSPF MD5 加密认证；OSPF 路由重分布配置 TYPE-1 路由，同时接收无类路由；配置 OSPF 邻居变化日志。 5.1.2启用 ISIS 路由协议时，必须修改 ISIS 端口 COST；修改以太网互联端口类

14、型； 把仅仅需要通过 ISIS 宣告，而不需要和其他路由器建立邻居，交换路由信息的端口配置 为 Passive；指定 ISIS 端口类型；配置 ISIS MD5 加密认证；配置 ISIS 邻居变化日志。 5.1.3启用 BGP 路由器协议时，必须定义 Router-id；配置 BGP 邻居变化日志；配置 BGP MD5 加密认证；BGP 团体属性配置为 2 各 16Bit 数字；配置 BGP 邻居最大路由子网数 量告警；配置 BGP 路由过滤；关闭同步和路由自动汇总。 5.1.4在任何需要进行路由重分布时候，必须进行路由过滤，并且尽量进行精确路由过 滤(即匹配路由的网段，也检查路由的掩码)，或

15、者通过事先做好的标记(TAG)进行控制， 同时对于注入的路由手动设置相应的 metric 值。 5.1.5静态路由下一跳的地址必须属于本机的直连网段，同时明确指明下一跳端口，并 且通常情况下静态路由仅仅应用于动态路由网络的最末端。 5.1.6若有可能，在配置静态路由时候加上相应的注释和标记，注释便于理解，标记用 于在路由重分布时候进行路由的控制和过滤。 5.1.7需对进入 CPU 的流量进行分类，并进行相应的流量限制，只允许合理的流量（如 路由协议、路由更新、ARP、ICMP、Netflow、Syslog、SNMP 等）进入 CPU，并限制在一 定的速率以下，避免因受到 Denial of s

16、ervice 攻击而造成路由器的 CPU 升高直至宕机。 5.25.2路由过滤路由过滤 5.2.1通过对内部路由器 IP 地址的合理分配，在路由器上特别是在边界路由器上进行 有效的路由过滤，确保网内路由器上的路由表简洁、有效。 5.35.3路由震荡抑制路由震荡抑制 5.3.1进行路由区域划分。 5.3.2在 IGP 路由需要进入 BGP 路由表时采用手工注入、半自动注入，慎用动态注入。 5.3.3通过边界路由汇总减少路由震荡带来的影响。 5.3.4在 BGP 协议中，启用路由惩罚。 66数据平面的安全配置数据平面的安全配置 6.16.1防范碎片攻击防范碎片攻击 6.1.1针对带宽消耗的碎片攻击

17、、采用不让其大包进行包分割的办法，从而达到该包丢 弃。 6.26.2防范防范 IPIP spoofingspoofing 攻击攻击 6.2.1通过 uRPF 逆向路径检测解决 IP spoofing 攻击。 6.2.2阻止这类攻击的简单办法就是放弃以地址为基础的验证。不允许 r类远程调用 命令的使用。 6.2.3阻止 IP 欺骗的另一种方法是在通信时要求加密传输和验证。当有多种手段并存 时，加密方法最为适用。 6.36.3防范防范 TCPTCP SYN-floodingSYN-flooding 攻击攻击 6.3.1采用 TCP 拦截监控模式，监控 TCP 半开连接数，当受到 TCP SYN-flooding 攻击 时，采用 TCP 拦截，将超过门限的半开连接进行主动阻断。 6.46.4防范组播的攻击防范组播的攻击 6.4.1当受到组播攻击(DOS 攻击)时，限制其 IGMP 报文的数量。 6.4.2在三层以太网组播中，采用