- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
路由器安全加固手册(V7)
Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本手册主要适用于如下工程师:
· 网络规划人员
· 现场技术支持与维护人员
· 负责网络配置和维护的网络管理员
本手册中出现的接口编号仅作示例,并不代表设备上的实际接口编号。实际使用过程中,请以设备上存在的接口编号为准。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
本文档针对基于Comware系统的设备,指导用户从管理平面、控制平面和转发平面对设备进行加固维护。
设备的管理平面给网络管理人员提供Telnet、SSH、Web、SNMP等方式来管理设备;设备的控制平面用于控制和管理所有网络协议的运行,为转发平面提供数据转发所必须的各种网络信息和转发查询表项。
由于网络设备之间或网络设备与其它网络实体之间的通信可能会穿过各种各样的中间系统,而中间系统的可信性以及对端身份的真实性会给设备的管理平面和控制平面带来各种安全威胁。另外,如果设备上的安全策略配置不当,也会威胁到设备的安全。
设备的管理平面和控制平面常见的安全威胁主要包括以下几类:
· 非授权的访问
攻击者通过伪装身份、重放管理会话或者中间人攻击来获取管理员权限,这会危害到设备的安全以及设备所处网络的安全。建议管理员使用强身份认证,以及支持防重放、信息完整性验证的安全通道来访问设备。同时,建议在设备上启用操作日志、安全日志功能对管理行为进行记录和审计。
· 弱密钥
弱密钥很容易被破解。设备上支持启用密码策略来防止用户配置弱密钥。
· 敏感信息泄漏
由于网络节点间的通信所经过的中间系统的可信性无法保障,通信内容可能会被窥探;设备存储介质中的信息也可能在介质转移、替换的过程中存在信息泄露的风险。为了防止信息泄露,设备的管理通道需要使用安全协议保护,例如SSH、IPsec、SFTP、HTTPS等,禁止使用Telnet、FTP、TFTP、HTTP等没有保护的通道进行通信。另外,建议使用配置文件加密功能,以及对从现网替换下来且不再使用的存储介质进行格式化。
· 消息篡改和伪造
报文在网络中传输的过程中,可能会被恶意篡改,或者被攻击者捕获之后重放,攻击者借此向设备中注入恶意的数据,或直接破坏设备的合法数据。例如,通过更改路由协议报文的数据来破坏或改变设备的路由表,使用户的流量无法正常转发。为防止该类型攻击,可使用带完整性验证,防重放等功能的安全协议对数据进行保护。
· DDoS
DDoS(Distributed Denial of Service,分布式拒绝服务)是指攻击者利用大流量来消耗设备的CPU、内存、连接数、带宽等资源,使合法用户无法使用网络。可使用白名单,黑名单,以及限制未识别流量上送控制平面的速率来防止此类攻击。
· 管理员配置失误
管理员配置失误会造成设备的访问控制策略、权限控制策略的配置错误,或者造成授权不当的结果。为了及早发现此类问题,可以通过实施前对配置进行审核,实施后定期观察实施效果、查看操作日志和系统运行日志来发现配置中的错误。
设备的转发平面需要处理各端口上大量不同类型数据流量的转发任务。如果数据流量不合法,或者转发平面处理资源被挤占,将会影响设备对正常数据流量的处理效率,甚至导致非法流量向网络中扩散。常见的转发平面威胁如下:
· 畸形报文攻击
畸形报文攻击利用网络设备处理报文的漏洞使设备出现异常,使设备无法提供正常服务。可以打开攻击检测与防范中相应攻击的开关来防止此类攻击。
· DDoS攻击
攻击者使用大流量对设备进行攻击,消耗设备的CPU、内存、连接、带宽等资源。对于这类威胁,可以通过限制设备资源占用以及识别合法用户等措施,尽量保证已识别的合法用户对网络的使用,并对未识别的用户的流量进行一定限制。
· 身份仿冒
网络中的很多攻击行为都伴随着身份仿冒,而网络的开放性给身份识别带来了困难,尤其是在转发平面。转发平面提供了一些基本的方法可在一定程度上防止身份仿冒,比如IP Source Guard、SYN Cookie、ARP/ND检测等。
· 消息篡改和伪造
消息的完整性至关重要,虚假的数据会使网络故障、甚至瘫痪。可以使用IPsec、MACsec等安全协议来保护网络数据,提供完整性、私密性、身份验证等功能。
Comware系统的安全体系架构如图2-1所示:
图2-1 Comware系统安全体系架构图
设备基于以上安全体系架构在不同层面实施相应的安全防护,具体过程如下:
(1) 对于硬件转发类设备,收到目的地址为本机的报文并上送CPU处理前,会通过以下两种通道机制来保证上层的控制平面/管理平面不会受到DoS/DDoS等大流量的攻击:
¡ 白名单:对于已经建立连接,并确认来源是可靠的报文,设备会下发白名单保证其优先上送CPU。
¡ 优先级队列:对于由控制平面、管理平面处理的应用流量,在设备没有与其建立连接之前,因不能匹配到白名单,会进入优先级队列,根据不同的应用优先级处理。
(2) 对于由转发平面转发的报文,设备提供了一系列的措施来保证设备的安全和网络用户的安全:
¡ 畸形报文检测
¡ 包过滤
¡ 防仿冒,例如uRPF、IP Source Guard
¡ DDoS攻击防范
¡ 资源占用限制:包括连接数限制、ARP/ND表项限制等等,防止DDoS等恶意流量攻击。
¡ 数据保护协议:IPsec、MACSec等,为本机和用户数据提供数据私密性、完整性、放重放等安全保护。
(3) 对于目的地址为本机的业务报文,可以采用以下安全加固策略:
a. 通过控制平面的QoS策略对上送控制平面/管理平面的流量进行限制,例如限制带宽等。另外,各协议本身(TCP、ICMP/ICMPv6、ARP/ND)也有相应的防护措施。
b. 在控制平面/管理平面,各业务模块采用相应的安全协议或安全选项,对业务报文提供更好的安全服务。
虽然设备可提供丰富的安全加固策略,但对于设备而言,并不是实施的安全加固策略越多效果越好。每一项安全加固措施对网络、业务都有或多或少的影响,比如会影响设备性能、内存资源、部署成本、用户使用习惯。所以,需要根据网络和业务的特点来综合评估可能存在的风险和威胁,并在充分了解到各类安全加固策略可能对网络和业务产生的影响后作出恰当的选择。
安全加固策略选择的普遍原则如下:
· 根据安全风险和威胁发生的可能性由大到小的顺序,依次考虑相应的安全加固策略;
· 按照安全加固策略对网络和业务影响程度由小到大的顺序,逐步实施各策略,并观察效果;
· 每一次安全加固策略实施后要观察效果,并根据效果调整当前策略以及选择后续的加固策略;
· 遵循业务优先原则,将安全加固策略对业务的影响降到最低,或者将其控制在可接受的范围内。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
USB口的支持情况 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
Console口/AUX口/USB口均属于物理接口,通过它们进行登录是登录设备的基本方式之一。
对于同时有Console口和AUX口的设备,缺省情况下,通过Console口登录时认证方式为none,可直接登录,登录成功之后用户角色为network-admin;通过AUX口登录时认证方式为password,密码为空,用户回车即可直接登录,登录成功后用户角色为network-operator;对于只有AUX口的设备,通过AUX口登录时认证方式为none,登录成功后用户角色为network-admin。通过USB口登录时认证方式为none,可直接登录,登录成功之后用户角色为network-admin。
如果攻击者获取了Console口/AUX口/USB口的使用权限,在缺省情况下可以非常容易登录到设备上,获取到设备的管理权限。
可以在用户线/用户线类视图下配置以下两种认证方式,提高通过Console口/AUX口/USB口登录设备的安全性:
· password方式:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。FIPS模式下不支持该认证方式。
· scheme方式:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。
改变Console口/AUX口/USB口登录的认证方式后,新认证方式对新登录的用户生效。
FIPS模式下,不支持password和none方式,仅支持scheme方式。
· 通过Console口登录(仅以用户线视图为例)
# 在Console用户线视图下设置认证方式为密码认证(password方式)。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] authentication-mode password
# 设置认证密码为明文Plat&0631!(Plat&0631!仅为示例)。
[Sysname-line-console0] set authentication password simple Plat&0631!
# 在Console用户线视图下设置认证方式为AAA认证(scheme方式)。
<Sysname> system-view
[Sysname] line console 0
[Sysname-line-console0] authentication-mode scheme
[Sysname-line-console0] quit
# 在ISP域视图下为login用户配置认证方法。
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
· 通过AUX口登录(仅以用户线视图为例)
# 在AUX用户线视图下设置认证方式为密码认证(password方式)。
<Sysname> system-view
[Sysname] line aux 0
[Sysname-line-aux0] authentication-mode password
# 设置认证密码为明文Plat&0631!(Plat&0631!仅为示例)。
[Sysname-line-aux0] set authentication password simple Plat&0631!
# 在AUX用户线视图下设置认证方式为AAA认证(scheme方式)。
<Sysname> system-view
[Sysname] line aux 0
[Sysname-line-aux0] authentication-mode scheme
# 在ISP域视图下为login用户配置认证方法。
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
· 通过USB口登录(仅以用户线视图为例)
# 在USB用户线视图下设置认证方式为密码认证(password方式)。
<Sysname> system-view
[Sysname] line usb 0
[Sysname-line-usb0] authentication-mode password
# 设置认证密码为明文Plat&0631!(Plat&0631!仅为示例)。
[Sysname-line-usb0] set authentication password simple Plat&0631!
# 在USB用户线视图下设置认证方式为AAA认证(scheme方式)。
<Sysname> system-view
[Sysname] line usb 0
[Sysname-line-usb0] authentication-mode scheme
# 在ISP域视图下为login用户配置认证方法。
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
在使用Stelnet登录设备的组网环境中,设备将会面临以下安全威胁:
· 攻击者监听到设备的SSH服务端口后,可通过多次尝试连接,获取设备的访问权限。
· 设备可支持的SSH用户数有限,攻击者通过伪造IP地址,仿冒大量的合法用户登录设备,使得用户数达到上限后,其他合法用户无法登录。
针对以上攻击行为,可以在设备上配置如下安全策略:
· password认证
利用AAA对客户端身份进行认证。用户在客户端上输入用户名和密码后,该密码将被加密后发送给服务器,通过服务器验证用户名和密码的合法性后,用户才可以登录设备。
· publickey认证
采用数字签名的方式来认证客户端。客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的认证请求给服务器端。服务器对公钥进行合法性检查,如果合法,则发送消息请求客户端的数字签名;如果不合法,则直接发送失败消息;服务器收到客户端的数字签名之后,使用客户端的公钥对其进行解密,并根据计算结果返回认证成功或失败的消息。
· password-publickey认证
对于SSH2版本的客户端,要求同时进行password和publickey两种方式的认证,且只有两种认证均通过的情况下,才认为客户端身份认证通过;对于SSH1版本的客户端,只要通过其中任意一种认证即可。
· 关闭Stelnet服务
当设备上开启Stelnet服务器功能后,SSH服务端口号易被攻击者扫描到。安全起见,在不使用Stelnet服务时,可以关闭Stelnet服务器功能。
· 改变SSH服务端口号
缺省情况下,SSH服务的端口号为知名端口号22,易被扫描和攻击。通过修改SSH服务的端口号为非知名端口号,可以降低被扫描的风险。
· 对SSH用户进行访问控制
只有匹配ACL中permit规则的IPv4 SSH客户端可以访问设备,其他客户端不可以访问设备。
· 限制同时在线的最大SSH用户数
当前在线SSH用户数超过设定的最大值时,系统会拒绝新的SSH连接请求。
改变Stelnet登录的认证方式后,新认证方式对新登录的用户生效。
· # 配置服务器采用password认证(用户名client001仅为示例)。
<Sysname> system-view
[Sysname] ssh user client001 service-type stelnet authentication-type password
# 若进行本地认证,则还需要创建本地用户;若在远程服务器(如RADIUS服务器)进行认证,则还需要在服务器上创建相应的SSH用户。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
· # 配置服务器采用publickey认证(用户名client002、公钥clientkey仅为示例)。
<Sysname> system-view
[Sysname] ssh user client002 service-type stelnet authentication-type publickey assign publickey clientkey
# 创建同名的本地用户,用于下发授权属性:工作目录、用户角色。相关配置的详细介绍请参见“安全配置指导”中的“AAA”
· # 关闭Stelnet服务。
<Sysname> system-view
[Sysname] undo ssh server enable
· # 设置SSH服务端口号为1025(1025仅为示例)。
<Sysname> system-view
[Sysname] ssh server port 1025
· # 只允许IPv4地址为1.1.1.1的SSH用户向设备发起SSH访问(ACL2001仅为示例)。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ssh server acl 2001
· # 限制同时在线的最大SSH用户数为16(16仅为示例)。
<Sysname> system-view
[Sysname] aaa session-limit ssh 16
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
网络管理员可以在PC机(或终端)的串口和设备的Console口/AUX口分别挂接一对Modem,利用PSTN(公共电话交换网)拔号登录到设备上,对远程设备进行管理和维护。通过Console口利用Modem拨号进行远程登录时使用AUX用户线,缺省情况下,使用认证方式为none,可直接登录;通过Aux口利用Modem拨号进行远程登录时也使用AUX用户线,缺省情况下,使用认证方式为password,密码为空,用户回车即可直接登录。
如果攻击者通过Modem获取了设备Console口/AUX口的使用权限,在缺省情况下可以非常容易登录到设备上,获取到设备的管理权限。
可以通过Modem在设备用户线/用户线类视图下配置以下两种认证方式,提高通过Console口/AUX口登录设备的安全性:
· password方式:表示下次使用该用户线登录时,需要输入密码。只有密码正确,用户才能登录到设备上。配置认证方式为password后,请妥善保存密码。FIPS模式下不支持该认证方式。
· scheme方式:表示下次使用该用户线登录设备时需要进行用户名和密码认证,用户名或密码错误,均会导致登录失败。配置认证方式为scheme后,请妥善保存用户名及密码。
改变Console口/AUX口登录的认证方式后,新认证方式对新登录的用户生效。
FIPS模式下,不支持无需认证、密码认证,仅支持AAA认证(scheme)。
# 在AUX用户线视图下设置认证方式为密码认证(password方式)。(仅以AUX用户线视图为例)
<Sysname> system-view
[Sysname] line aux 0
[Sysname-line-aux0] authentication-mode password
# 设置认证密码。
[Sysname-line-aux0] set authentication password simple Plat&0631!
# 在AUX用户线视图下设置认证方式为AAA认证(scheme方式)。(仅以AUX用户线视图为例)
<Sysname> system-view
[Sysname] line aux 0
[Sysname-line-aux0] authentication-mode scheme
# 在ISP域视图下为login用户配置认证方法。
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
设备作为SNMP Agent时,将面临以下安全威胁:
· SNMPv1和SNMPv2c的团体名被窃取,非法NMS使用该团体名访问设备。
· SNMP报文被窃听、篡改。
· NMS对一些重要参数误操作,导致设备不能正常工作。
针对以上攻击行为,设备提供了以下功能来加强通过SNMP访问设备的安全性:
· 当不需要通过NMS管理设备时,可关闭SNMP功能。(SNMP功能缺省处于关闭状态)
· 除了SNMPv1、SNMPv2c版本,设备支持安全性更高的SNMPv3三种版本。SNMPv3采用用户名认证,可配置认证密码和加密密码。其中,
¡ 用户名和认证密码用于对NMS进行身份认证,以免非法NMS访问设备;
¡ 加密密码用于对NMS和设备之间传输的报文进行加密,以免报文被窃听。
· 支持VACM和RBAC两种访问控制方式。
¡ VACM(基于视图的访问控制模型):将团体名/用户名与指定的MIB视图进行绑定,可以限制NMS能够访问哪些MIB对象,以及对MIB对象可执行读操作还是读写操作。
¡ RBAC(基于角色的访问控制):创建团体名/用户名时,可以指定对应的用户角色,通过用户角色下制定的规则,来限制NMS能够访问哪些MIB对象,以及对MIB对象可执行读操作还是读写操作。
RBAC配置方式限制的是MIB节点的读写权限,VACM配置方式限制的是MIB视图的读写权限,而一个视图中通常包括多个MIB节点。所以,RBAC配置方式更精准、更灵活。
· 支持引用ACL限制可以登录的NMS。
· 设备在发送告警信息可以携带安全参数,只有符合安全参数要求的NMS才能接收该告警信息。
只有NMS和设备使用的SNMP版本、团体名(或者用户名、密码)相同时,NMS才能和Agent建立连接。
· 关闭SNMP功能。
# 关闭SNMP功能。
<Sysname> system-view
[Sysname] undo snmp-agent
· 配置具有认证和加密机制的SNMPv3版本来管理设备,并通过用户角色控制NMS对MIB节点的访问权限
# 配置设备支持SNMPv3版本。
<Sysname> system-view
[Sysname] snmp-agent sys-info version v3
# 创建用户角色test并配置访问权限:用户只能读节点snmpMIB(OID为1.3.6.1.6.3.1)下的对象,不可以访问其它MIB对象。(各参数仅为示例)
[Sysname] role name test
[Sysname-role-test] rule 1 permit read oid 1.3.6.1.6.3.1
# 配置用户角色test具有system(OID为1.3.6.1.2.1.1)的读权限与interfaces(OID为1.3.6.1.2.1.2)的读写权限,以便接口状态变化时,Agent会向NMS发送告警信息。(各参数仅为示例)
[Sysname-role-test] rule 2 permit read oid 1.3.6.1.2.1.1
[Sysname-role-test] rule 3 permit read write oid 1.3.6.1.2.1.2
[Sysname-role-test] quit
# 创建用户RBACtest,为其绑定用户角色test,认证算法为SHA-1,认证密码为123456TESTauth&!,加密算法为AES,加密密码是123456TESTencr&!。(各参数仅为示例)
[Sysname] snmp-agent usm-user v3 RBACtest user-role test simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&!
· 配置ACL限制可以访问设备的NMS
# 创建SNMPv3组testGroup,并加入一个用户testUser,安全级别为认证加密,认证算法为SHA-1,认证密码为123456TESTauth&!,加密算法为AES,加密密码是123456TESTencr&!,只有IP地址为1.1.1.1的NMS可以使用用户名testUser访问设备。
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2000] rule deny source any
[Sysname-acl-ipv4-basic-2000] quit
[Sysname] snmp-agent group v3 testGroup authentication
[Sysname] snmp-agent usm-user v3 testUser testGroup simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&! acl 2000
· 配置NMS告警功能
# 开启NMS告警功能,告警信息发送到主机1.1.1.2,使用的用户名为testUser,需要认证和加密。(各参数仅为示例)
<Sysname> system-view
[Sysname] snmp-agent trap enable
[Sysname] snmp-agent target-host trap address udp-domain 1.1.1.2 params securityname testUser v3 privacy
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
HTTP登录并不安全,使用明文形式传输数据,攻击者很容易截取到报文。推荐用户使用HTTPS方式进行Web登录,由SSL为应用层传输提供安全性保证。在设备上开启HTTPS服务后,用户即可通过HTTPS登录设备。
缺省情况下,设备作为HTTPS服务器端使用自签名证书与客户端建立SSL连接,且SSL参数均为缺省值,存在一定安全隐患。通过在设备上配置SSL服务器端策略,可以进一步提高HTTPS登录的安全性。
还可以通过配置证书属性访问控制策略控制只有从合法CA服务器获取证书的客户端可以通过HTTPS登录设备。
# 配置SSL服务器端策略myssl。
详细配置请参考“安全配置指导”中的“SSL”。
# 配置证书访问控制策略myacp并建立控制规则。
详细配置请参考“安全配置指导”中的“PKI”。
# 配置HTTPS服务与SSL服务器端策略myssl关联(myssl仅为示例)。
<Sysname> system-view
[Sysname] ip https ssl-server-policy myssl
# 配置HTTPS服务与证书属性访问控制策略myacp关联,确保只有从CA服务器获取证书的HTTPS客户端可以访问HTTPS服务器。(myacp仅为示例)
[Sysname] ip https certificate access-control-policy myacp
# 开启HTTPS服务。
[Sysname] ip https enable
# 在ISP域视图下为login用户配置认证方法。
如果选择本地认证,请配置本地用户及相关属性;如果选择远程认证,请配置RADIUS、HWTACACS或LDAP方案。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
FTP和TFTP是通用的文件传输协议,使用明文形式传输数据,攻击者很容易截取报文,自身的安全性能并不高。
针对以上攻击行为,可采用SFTP(Secure FTP)协议。SFTP协议基于SSH2,使用加密形式传输数据,可提供安全可靠的网络文件传输服务,使得用户可以安全登录到远程设备上进行文件管理操作,且能保证文件传输的安全性。
SFTP提供如下安全策略:
· password认证
利用AAA对客户端身份进行认证。用户在客户端上输入用户名和密码后,该密码将被加密后发送给服务器,通过服务器验证用户名和密码的合法性后,用户才可以登录设备。
· publickey认证
采用数字签名的方式来认证客户端。客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的认证请求给服务器端。服务器对公钥进行合法性检查,如果合法,则发送消息请求客户端的数字签名;如果不合法,则直接发送失败消息;服务器收到客户端的数字签名之后,使用客户端的公钥对其进行解密,并根据计算结果返回认证成功或失败的消息。
· password-publickey认证
对于SSH2版本的客户端,要求同时进行password和publickey两种方式的认证,且只有两种认证均通过的情况下,才认为客户端身份认证通过;对于SSH1版本的客户端,只要通过其中任意一种认证即可。
· 改变SSH服务端口号
缺省情况下,SSH服务的端口号为知名端口号22,易被扫描和攻击。通过修改SSH服务的端口号为非知名端口号,可以降低被扫描的风险。
· 对SSH用户进行访问控制
只有匹配ACL中permit规则的IPv4 SSH客户端可以访问设备,其他客户端不可以访问设备。
· 限制同时在线的最大SSH用户数
当前在线SSH用户数超过设定的最大值时,系统会拒绝新的SSH连接请求。
· # 开启SFTP服务器功能,并配置服务器采用password认证(用户名client001仅为示例)。
<Sysname> system-view
[Sysname] sftp server enable
[Sysname] ssh user client001 service-type sftp authentication-type password
# 若进行本地认证,则还需要创建本地用户;若在远程服务器(如RADIUS服务器)进行认证,则还需要在服务器上创建相应的SSH用户。相关配置的详细介绍请参见“安全配置指导”中的“AAA”。
· # 开启SFTP服务器功能,并配置服务器采用publickey认证(用户名client002、公钥clientkey仅为示例)。
<Sysname> system-view
[Sysname] sftp server enable
[Sysname] ssh user client002 service-type sftp authentication-type publickey assign publickey clientkey
# 创建同名的本地用户,用于下发授权属性:工作目录、用户角色。相关配置的详细介绍请参见“安全配置指导”中的“AAA”
· # 设置SSH服务端口号为1025(1025仅为示例)。
<Sysname> system-view
[Sysname] ssh server port 1025
· # 只允许IPv4地址为1.1.1.1的SSH用户向设备发起SSH访问(ACL2001仅为示例)。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0
[Sysname-acl-ipv4-basic-2001] quit
[Sysname] ssh server acl 2001
· # 限制同时在线的最大SSH用户数为16(16仅为示例)。
<Sysname> system-view
[Sysname] aaa session-limit ssh 16
RBAC(Role Based Access Control)通过建立“权限<->角色”的关联实现将权限赋予给角色,并通过建立“角色<->用户”的关联实现为用户指定角色,从而使用户获得相应角色所具有的权限。
通常,对登录设备人员的权限管理方式是将用户和权限进行简单的关联,这种绑定关系很难应对人员以及设备安全等级的变化。RBAC的基本思想就是给用户指定角色,这些角色中定义了允许用户操作哪些系统功能以及资源对象。RBAC采用权限与用户分离的思想,提高用户权限分配的灵活性,减小用户授权管理的复杂度,降低管理开销,间接地提高了设备在登录用户管理方面的安全性能。
关于RBAC的详细信息,请参见“基础配置指导”中的“RBAC”。
AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,它可以为登录设备的用户提供以下三种安全功能。
· 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。
· 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
AAA可以通过多种协议来实现,这些协议规定了设备与服务器之间如何传递用户信息。目前设备支持RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)协议、HWTACACS(HW Terminal Access Controller Access Control System,HW终端访问控制器控制系统协议)协议和LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议)协议,在实际应用中,最常使用RADIUS协议。LDAP协议的支持情况与设备的型号有关,请以设备的实际情况为准。
虽然HWTACACS协议与RADIUS协议都实现了认证、授权和计费功能,且都使用共享密钥对传输的用户信息进行加密,也都有较好的灵活性和可扩展性,但是HWTACACS协议还具有以下优点:
· 协议使用TCP,网络传输更可靠。
· 除了HWTACACS报文头,报文主体全部进行加密。
· 协议报文较为复杂,认证和授权分离,使得认证、授权服务可以分离在不同的服务器上实现。
支持对设备上命令行的使用进行授权和计费。
缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定。当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制。用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
# 开启命令行授权功能,限制用户只能使用授权成功的命令。
<Sysname> system-view
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode scheme
[Sysname-line-vty0-4] command authorization
# 在ISP域视图下配置命令行授权方法。命令行授权方法可以和login用户的授权方法相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。
Password Control是设备提供的密码安全管理功能,它根据管理员定义的安全策略,对本地用户登录密码、super密码的设置、老化、更新等方面进行管理,并对用户的登录状态进行控制。
保存在设备上的用户密码存在一些安全隐患,比如:
· 密码长度短、复杂度低、不限制尝试次数,攻击者可以简单快速地借助密码字典进行爆破攻击。
· 密码未设置老化时间、长期闲置,攻击者可通过长时间持续尝试的方法进行破解,一旦破解了该密码,则一劳永逸。
· 初始密码可能是统一规则的弱密码,如果不作更改,后期被攻破的可能性较大。
Password Control可以解决上述问题,可提供以下密码管理功能:
· 密码最小长度限制
· 密码的组合检测功能
· 密码的复杂度检测功能
· 密码更新管理
· 密码老化管理
· 密码过期提醒
· 密码老化后允许登录管理
· 密码历史记录
· 用户首次登录控制
· 密码尝试次数限制
· 用户帐号闲置时间管理
关于本地用户类型的详细介绍,请参见“安全配置指导”中的“AAA”。关于super密码的详细介绍,请参见“基础配置指导”中的“RBAC”。关于Password Control的详细信息,请参见“安全”中的“Password Control”。
设备提供如下几种密码(或密钥)设置方式:
· 明文方式:用户以明文方式输入密码,设备以密文或哈希方式存储该密码(具体以各业务模块实现为准)。
· 密文方式:用户以密文方式输入密码,设备以密文方式存储该密码。
· 哈希方式:用户以密文方式输入密码,设备以哈希方式存储该密码。
为了提高系统的安全性和可维护性,对密码的设置有以下建议:
· 提高密码的长度和复杂度,不要使用弱密码。
· 不同特性的密码不要重复使用,避免攻击者非法获取了某业务的密码后,对其它业务的安全性造成威胁。
· 以密文或哈希方式设置的密码必须可被设备解析,否则无法成功设置。这两种密码设置方式通常用于测试或配置恢复。正常业务需求下,请不要尝试自行构造密文密码或哈希密码用于设置业务密码。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
支持 |
缺省情况下,设备上的密码恢复功能处于开启状态。当用户忘记Console口认证密码或者登录认证失败时,可通过Console口连接设备,并在硬件重启设备过程中根据提示按组合键<Ctrl+B>进入BootWare菜单,再选择对应的BootWare菜单选项来修复这个问题。这会给非法用户访问设备带来便利,非法用户可通过Console口访问设备。
关闭密码恢复功能后,设备将处于一个安全性更高的状态,即当出现上述情况时,若想继续使用Console口登录设备,只能通过BootWare菜单选择将设备恢复为出厂配置之后方可继续操作,这样可以有效地防止非法用户获取启动配置文件。
# 关闭密码恢复功能。
<Sysname> system-view
[Sysname] undo password-recovery enable
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
用户可通过USB口进行文件的上传和下载或者接USB 3G Modem模块。同时开放USB接口也会给用户带来安全隐患,例如,感染U盘携带的病毒,重要文件被非法拷贝等。
为了安全起见,建议在安全环境下按需开启USB接口,使用完毕后,立即关闭USB接口。
如果您对U盘进行了分区,请先使用umount命令卸载所有U盘分区,否则不能关闭USB接口。
# 关闭USB接口。
<Sysname> system-view
[Sysname] usb disable
如果设备的空闲内存不够,会导致业务模块的表项无法下发,设备的重要数据无法保存,影响设备的正常运行。
使用内存告警门限功能后,系统会实时监控剩余空闲内存大小,当条件达到一级、二级、三级告警门限或者恢复正常状态门限时,就产生相应的告警/告警解除通知,通知关联的业务模块/进程采取相应的措施,以便最大限度的利用内存,又能保证设备的正常运行。
除了一级、二级、三级告警,设备还支持预警功能。预警门限用于内存使用率尚处于正常范围内,但需要提醒用户提前关注内存的情况。预警恢复门限用于解除预警。
预告警(early-warning)、一级(minor)、二级(severe)和三级(critical)门限,对应的剩余空闲内存越来越少,紧急程度越来越严重。
· 当剩余空闲内存值从大于等于变成小于等于预告警门限时,产生预告警。
· 当剩余空闲内存值从大于等于变成小于等于一级告警门限时,产生一级告警。
· 当剩余空闲内存值从大于等于变成小于等于二级告警门限时,产生二级告警。
· 当剩余空闲内存值从大于等于变成小于等于三级告警门限时,产生三级告警。
· 当剩余空闲内存值从小于等于变成大于二级告警门限时,产生三级告警解除通知。
· 当剩余空闲内存值从小于等于变成大于一级告警门限时,产生二级告警解除通知。
· 当剩余空闲内存值小于等于变成大于正常内存大小时,产生一级告警解除通知。
· 当剩余空闲内存值小于等于变成大于预告警内存大小时,产生预告警解除通知。
同一级别的告警/告警解除通知是交替进行的:当剩余空闲内存值小于某级告警门限,设备产生相应级别的告警,后续只有该告警解除了,剩余空闲内存值再次小于某级告警门限时,才会再次生成该级别的告警。
当剩余空闲内存大小如图3-1中曲线所示时,会生成如图3-1所示的告警和解除告警通知。
当设备出现内存告警时,可删除暂时不用的配置或关闭部分功能来释放内存。但因为内存不足,部分配置可能删除失败。
VSR虚拟路由器不支持以百分比的方式设置内存告警。
# 配置一级、二级、三级告警门限分别为设备总内存的20%、10%、5%,当剩余空闲内存大于设备总内存的20%时,恢复到正常状态。(各参数仅为示例)
<Sysname> system-view
[Sysname] memory-threshold ratio minor 20 severe 10 critical 5 normal 20
开启配置文件加密功能后,管理员每次执行save命令,设备都会先将当前生效的配置进行加密,再保存。配置文件加密功能支持使用公钥和私钥两种方式进行加密,由于所有运行Comware V7平台软件的设备拥有相同的公钥和私钥,因此加密后的文件只能被所有运行Comware V7平台软件的设备识别和解析。为了防止非法用户对加密后配置文件的解析,需确保只有合法用户才能获取加密后的配置文件,进一步提高配置文件的安全性。
开启配置文件加密功能后,将不能使用more命令查看加密配置文件(后缀名为“.cfg”的配置文件)的内容,可以使用display saved-configuration命令查看加密的下次启动配置文件内容。
· # 设置保存配置文件时使用公钥进行加密。
<Sysname> system-view
[Sysname] configuration encrypt public-key
· # 设置保存配置文件时使用私钥进行加密。
<Sysname> system-view
[Sysname] configuration encrypt private-key
查看系统日志是了解设备状态、定位和排除网络问题的一个重要方法,而在系统日志中与设备安全相关的安全日志显得尤为重要。但通常情况下,安全日志与其它日志一同输出,经常被淹没在大量的系统日志中,很难识别、不便于查看。针对这个问题,系统提供了安全日志同步保存功能和安全日志文件管理功能。
开启安全日志同步保存功能后,安全业务模块根据业务需要,会将某些信息同时封装成普通日志和安全日志,普通日志根据信息中心的配置可以输出到控制台、监视终端、日志缓冲区、日志主机等方向,安全日志只能按周期输出到安全日志文件。这样既实现了安全日志的集中管理,又有利于用户随时快捷地查看安全日志,了解设备状态。
安全日志同步保存功能的配置和安全日志文件的管理相互分离,安全日志文件实行专人专管:
· 设备管理员可配置安全日志同步保存功能,包括开启安全日志同步保存功能,开启安全日志同步保存功能,配置单个安全日志文件最大能占用的存储空间的大小,配置安全日志文件使用率的告警上限等。
· 安全日志管理员才能管理安全日志文件,例如修改安全日志文件的存储路径、手工将安全日志保存到安全日志文件等。安全管理员只能管理安全日志文件,不能对设备执行其他操作。
· 配置安全日志同步保存功能
# 开启安全日志同步保存功能。
<Sysname> system-view
[Sysname] info-center security-logfile enable
# 配置安全日志自动保存到文件的频率为600秒。(600秒仅为示例)
[Sysname] info-center security-logfile frequency 600
# 配置单个安全日志文件最大能占用的存储空间的大小为2MB。(2MB仅为示例)
[Sysname] info-center security-logfile size-quota 2
· 管理安全日志文件
# 以安全日志管理员身份登录设备。
# 配置存放安全日志文件的目录为flash:/test。(flash:/test仅为示例)
<Sysname> mkdir test
Creating directory flash:/test... Done.
<Sysname> system-view
[Sysname] info-center security-logfile directory flash:/test
[Sysname] quit
# 手动将安全日志缓冲区中的内容保存到安全日志文件。
<Sysname> security-logfile save
The contents in the security log file buffer have been saved to the file flash:/seclog/seclog.log.
在VXLAN网络中,设备学习MAC地址时可能存在攻击者通过伪造VXLAN报文,使VTEP学习到错误的远端MAC地址的安全威胁。
针对以上安全威胁,可以在VTEP和网关上配置关闭远端MAC地址自动学习功能,手动添加静态的远端MAC地址或通过EVPN的MAC/IP发布路由学习远端MAC地址。
# 关闭远端MAC地址自动学习功能。
<Sysname> system-view
[Sysname] vxlan tunnel mac-learning disable
若攻击者向EVPN VXLAN网络中发送错误或畸形的ARP/ND报文,会使VTEP和网关学习到错误的ARP/ND表项,影响网络中报文的正常转发。
为避免VTEP和网关学习到错误的ARP/ND表项,可手工关闭远端ARP/ND的自动学习功能,通过EVPN的MAC/IP发布路由中携带的ARP/ND信息形成APR/ND表项指导报文转发。
本安全策略仅适用于EVPN VXLAN网络。
# 关闭远端ARP自动学习功能。
<Sysname> system-view
[Sysname] vxlan tunnel arp-learning disable
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
在VXLAN网络中,VTEP从本地站点内接收到目的MAC地址为广播、未知单播和未知组播的数据帧后,会在该VXLAN内除接收接口外的所有本地接口和VXLAN隧道上泛洪该数据帧,将该数据帧发送给VXLAN内的所有站点;VTEP从VXLAN隧道接收到目的MAC地址为广播、未知单播和未知组播的数据帧后,会在该VXLAN内的所有本地接口上泛洪该数据帧。这样可能会导致广播风暴,影响设备的转发性能。
通过配置VSI泛洪抑制功能,可以禁止某类数据帧在VXLAN内泛洪,以减少网络中的泛洪流量。
# 在VSI实例vsi1内禁止将本地站点内接收到的广播数据帧泛洪到远端站点。
<Sysname> system-view
[Sysname] vsi vsi1
[Sysname-vsi-vsi1] flooding disable broadcast
# 在VSI实例vsi1内禁止将接收到的未知单播数据帧泛洪到本地站点和远端站点。
<Sysname> system-view
[Sysname] vsi vsi1
[Sysname-vsi-vsi1] flooding disable unknown-unicast all-direction
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
· BPDU攻击
接入端口一般直接与用户终端(如PC)或文件服务器相连,此时接入端口被设置为边缘端口以实现这些端口的快速迁移;当这些端口接收到BPDU,系统会自动将这些端口设置为非边缘端口,重新计算生成树,从而引起网络拓扑结构的变化。这些端口正常情况下应该不会收到STP的BPDU。如果有人伪造BPDU恶意攻击设备,就会引起网络震荡。
· 根桥攻击
由于维护人员的错误配置或网络中的恶意攻击,网络中的合法根桥有可能会收到优先级更高的BPDU,这样当前合法根桥会失去根桥的地位,引起网络拓扑结构的错误变动。这种不合法的变动,会导致原来应该通过高速链路的流量被牵引到低速链路上,导致网络拥塞。
· TC-BPDU攻击
在有人伪造TC-BPDU恶意攻击设备时,设备短时间内会收到很多的TC-BPDU,频繁的刷新操作给设备带来很大负担,给网络的稳定带来很大隐患。
针对以上攻击行为,可以在设备上配置如下安全策略:
· BPDU保护
在设备上部署BPDU保护功能,可以防止BPDU攻击。
· 根保护
在设备的指定端口上部署根保护功能,通过维护指定端口的角色来保护根桥的地位,可以防止根桥频繁变动。
· TC-BPDU攻击保护
在设备上部署TC-BPDU攻击保护功能,可以防止TC-BPDU攻击。当设备在单位时间(固定为十秒)内收到TC-BPDU的次数大于TC-BPDU攻击保护功能所指定的最高次数(假设为N次),那么该设备在这段时间之内将只进行N次刷新转发地址表项的操作,而对于超出N次的那些TC-BPDU,设备会在这段时间过后再统一进行一次地址表项刷新的操作,这样就可以避免频繁地刷新转发地址表项。
· 配置BPDU保护
# 在系统视图下开启BPDU保护功能。
<Sysname> system-view
[Sysname] stp bpdu-protection
· 配置根保护
# 开启端口的根保护功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] stp root-protection
· 配置TC-BPDU攻击保护
# 配置在单位时间(固定为十秒)内,设备收到TC-BPDU后一定时间内,允许收到TC-BPDU后立即刷新转发地址表项的最高次数为10(10仅为示例)。
<Sysname> system-view
[Sysname] stp tc-protection threshold 10
合法的ARP报文发送端MAC地址为单播,攻击源可以伪造发送端MAC地址为组播的ARP报文。如果网关学习到源MAC为组播地址的ARP表项,那么当它基于该类表项转发报文时,会将报文组播发送,严重占用网络资源。
开启ARP表项的检查功能后,设备将不能学习ARP报文中发送端MAC地址为组播MAC的动态ARP表项,也不能手工添加MAC地址为组播MAC的静态ARP表项。
# 开启动态ARP表项的检查功能。
<Sysname> system-view
[Sysname] arp check enable
如果网络中有主机通过向设备发送大量目标IP地址不能解析的IP报文来攻击设备,则会造成下面的危害:
· 设备向目的网段发送大量ARP请求报文,加重目的网段的负载。
· 设备会试图反复地对目标IP地址进行解析,增加了CPU的负担。
为避免这种IP报文攻击所带来的危害,设备提供了下列两个功能:
· ARP源抑制功能:如果发送攻击报文的源是固定的,可以采用ARP源抑制功能。开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。
· ARP黑洞路由功能:无论发送攻击报文的源是否固定,都可以采用ARP黑洞路由功能。开启该功能后,一旦接收到目标IP地址不能解析的IP报文,设备立即产生一个黑洞路由,并同时发起ARP主动探测,如果在黑洞路由老化时间内ARP解析成功,则设备马上删除此黑洞路由并开始转发去往该地址的报文,否则设备直接丢弃该报文。在删除黑洞路由之前,后续去往该地址的IP报文都将被直接丢弃。用户可以通过命令配置ARP请求报文的发送次数和发送时间间隔。等待黑洞路由老化时间过后,如有报文触发则再次发起解析,如果解析成功则进行转发,否则仍然产生一个黑洞路由将去往该地址的报文丢弃。这种方式能够有效地防止IP报文的攻击,减轻CPU的负担。
· # 开启ARP源抑制功能,并指定ARP源抑制的阈值为100(100仅为示例)。
<Sysname> system-view
[Sysname] arp source-suppression enable
[Sysname] arp source-suppression limit 100
· # 开启ARP黑洞路由功能,并配置发送ARP探测报文个数为5,发送ARP探测报文的时间间隔为3秒。(各参数仅为示例)
<Sysname> system-view
[Sysname] arp resolving-route enable
[Sysname] arp resolving-route probe-count 5
[Sysname] arp resolving-route probe-interval 3
如果攻击源向设备发送大量的源MAC地址固定的ARP攻击报文,会导致设备表项被占满,无法学习合法的ARP表项。
开启源MAC地址固定的ARP攻击检测功能后,设备会根据ARP报文的源MAC地址对上送CPU的ARP报文进行统计,在5秒内,如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。
当开启了ARP日志信息功能,且在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。
切换源MAC地址固定的ARP攻击检查模式时,如果从监控模式切换到过滤模式,过滤模式马上生效;如果从过滤模式切换到监控模式,已生成的攻击检测表项,到表项老化前还会继续按照过滤模式处理。
对于网关或一些重要的服务器,可能会发送大量ARP报文,为了使这些ARP报文不被过滤掉,可以将这类设备的MAC地址配置成保护MAC地址,这样,即使该设备存在攻击也不会被检测或过滤。
# 开启源MAC地址固定的ARP攻击检测功能,并选择过滤模式。
<Sysname> system-view
[Sysname] arp source-mac filter
如果选择监控模式,则需要执行arp source-mac monitor命令。
# 配置源MAC地址固定的ARP报文攻击检测的阈值为30个(30仅为示例)。
[Sysname] arp source-mac threshold 30
# 配置源MAC地址固定的ARP攻击检测表项的老化时间为60秒(60仅为示例)。
[Sysname] arp source-mac aging-time 60
# 配置保护MAC地址为001e-1200-0213(001e-1200-0213仅为示例)。
[Sysname] arp source-mac exclude-mac 001e-1200-0213
# 开启源MAC地址固定的ARP攻击检测日志信息功能。
[Sysname] arp source-mac log enable
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
不支持 |
攻击源向设备发送大量的ARP攻击报文,导致设备表项被占满,无法学习合法的ARP表项。同时,会导致设备的CPU负担过重,造成其他功能无法正常运行甚至设备瘫痪。
接口上开启ARP报文限速功能后,如果单位时间接口收到的ARP报文数量超过用户设定的限速值,则有如下处理机制:
· 当开启了ARP模块的告警功能后,设备将这个时间间隔内的超速峰值作为告警信息发送出去,生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细介绍请参见“网络管理和监控命令参考”中的SNMP。
· 当开启了ARP限速日志功能后,设备将这个时间间隔内的超速峰值作为日志的速率值发送到设备的信息中心,通过设置信息中心的参数,最终决定日志报文的输出规则(即是否允许输出以及输出方向)有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
# 开启ARP报文限速的告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable arp rate-limit
# 开启ARP报文限速日志功能。
[Sysname] arp rate-limit log enable
# 配置当设备收到的ARP报文速率超过用户设定的限速值时,设备发送告警或日志的时间间隔为120秒(120仅为示例)。
[Sysname] arp rate-limit log interval 120
# 在接口GigabitEthernet1/0/1上开启ARP报文限速功能,并设置ARP报文限速速率为50pps(50仅为示例)。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp rate-limit 50
攻击者仿冒网关,发送错误的网关IP地址和MAC地址对应关系给合法客户端,导致合法客户端不能正常访问网关。
开启源地址冲突提示功能后,设备接收到其它设备发送的ARP报文后,如果发现报文中的源IP地址和自己的IP地址相同,该设备会根据当前源IP地址冲突提示功能的状态,进行如下处理:
· 如果源IP地址冲突提示功能处于关闭状态时,设备发送一个免费ARP报文确认是否冲突,只有收到对应的ARP应答后才提示存在IP地址冲突。
· 如果源IP地址冲突提示功能处于开启状态时,设备立刻提示存在IP地址冲突。
# 开启源IP地址冲突提示功能。
<Sysname> system-view
[Sysname] arp ip-conflict log prompt
开启 ARP报文源MAC地址一致性检查功能后,网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃;否则,继续进行ARP学习。
# 开启ARP报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] arp valid-check enable
攻击者仿冒用户的IP地址发送ARP请求给网关,网关收到ARP表项后,新建了错误的ARP表项或更新已有ARP表项的MAC地址,则合法用户无法收到报文。
配置ARP主动确认功能后,设备在新建或更新ARP表项前需进行主动确认,防止产生错误的ARP表项。
为了对ARP表项的学习执行更严格的检查,可以开启严格模式的ARP主动确认功能,具体机制如下:
· 收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但不建立ARP表项;
· 收到ARP应答报文时,需要确认本设备是否对该报文中的源IP地址发起过ARP解析:若发起过解析,解析成功后则设备启动主动确认功能,主动确认流程成功完成后,设备可以建立该表项;若未发起过解析,则设备丢弃该报文。
# 开启严格模式的ARP主动确认功能。
<Sysname> system-view
[Sysname] arp active-ack strict enable
开启授权ARP(Authorized ARP)功能后,在动态学习ARP的过程中,只有和DHCP服务器生成的租约或DHCP中继生成的安全表项一致的ARP报文才能够被学习。配置接口的授权ARP功能后,可以防止用户仿冒其他用户的IP地址或MAC地址对网络进行攻击,保证只有合法的用户才能使用网络资源,增加了网络的安全性。关于DHCP服务器和DHCP中继的介绍,请参见“三层技术-IP业务配置指导”中的“DHCP服务器”和“DHCP中继”。
# 在GigabitEthernet1/0/1上开启授权ARP功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp authorized enable
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
· 用户合法性检查:对于ARP信任接口,不进行用户合法性检查;对于ARP非信任接口,进行包括基于用户合法性规则检查、IP Source Guard静态绑定表项的检查、基于DHCP Snooping表项的检查和基于802.1X安全表项来检查ARP报文的发送端IP地址和发送端MAC地址。只要符合三者中的任何一个,就认为该ARP报文合法,进行转发。如果所有检查都没有找到匹配的表项,则认为是非法报文,直接丢弃。
· 报文有效性检查:对于ARP信任接口,不进行报文有效性检查;对于ARP非信任接口,需要根据配置对MAC地址和IP地址不合法的报文进行过滤。可以选择配置源MAC地址、目的MAC地址或IP地址检查模式。
¡ 源MAC地址的检查模式:会检查ARP报文中的源MAC地址和以太网报文头中的源MAC地址是否一致,一致则认为有效,否则丢弃报文;
¡ 目的MAC地址的检查模式(只针对ARP应答报文):会检查ARP应答报文中的目的MAC地址是否为全0或者全1,是否和以太网报文头中的目的MAC地址一致。全0、全1、不一致的报文都是无效的,需要被丢弃;
¡ IP地址检查模式:会检查ARP报文中的源IP或目的IP地址,如全1、或者组播IP地址都是不合法的,需要被丢弃。对于ARP应答报文,源IP和目的IP地址都进行检查;对于ARP请求报文,只检查源IP地址。
· ARP报文强制转发:对于从ARP信任接口接收到的ARP报文不受此功能影响,按照正常流程进行转发;对于从ARP非信任接口接收到的并且已经通过用户合法性检查的ARP报文的处理过程如下:
¡ 对于ARP请求报文,通过信任接口进行转发;
¡ 对于ARP应答报文,首先按照报文中的以太网目的MAC地址进行转发,若在MAC地址表中没有查到目的MAC地址对应的表项,则将此ARP应答报文通过信任接口进行转发。
· # 配置用户合法性规则,规则编号为0,规则内容为转发源地址为10.1.1.1,掩码为255.255.0.0,源MAC地址为0001-0203-0405,掩码为ffff-ffff-0000的ARP报文。(各参数仅为示例)
<Sysname> system-view
[Sysname] arp detection rule 0 permit ip 10.1.1.1 255.255.0.0 mac 0001-0203-0405 ffff-ffff-0000
# 在VLAN10内开启ARP Detection功能。
[Sysname] vlan 10
[Sysname-vlan10] arp detection enable
[Sysname-vlan10] quit
# 配置二层以太网接口GigabitEthernet1/0/1为ARP信任接口。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp detection trust
· # 开启对ARP报文的MAC地址和IP地址的有效性检查。
<Sysname> system-view
[Sysname] arp detection validate dst-mac ip src-mac
# 在VLAN10内开启ARP Detection功能。
[Sysname] vlan 10
[Sysname-vlan10] arp detection enable
[Sysname-vlan10] quit
# 配置二层以太网接口GigabitEthernet1/0/1为ARP信任接口。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp detection trust
· # 开启VLAN 2的ARP报文强制转发功能。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] arp restricted-forwarding enable
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
支持 |
ARP自动扫描功能一般与ARP固化功能配合使用,用来防御局域网内的ARP欺骗行为:
· 开启ARP自动扫描功能后,设备会对局域网内的邻居自动进行扫描(向邻居发送ARP请求报文,获取邻居的MAC地址,建立动态ARP表项)。
· 开启固化功能后,设备会将当 前的ARP动态表项(包括ARP自动扫描生成的动态ARP表项)转换为静态ARP表项。通过对动态ARP表项的固化,可以有效防止攻击者修改ARP表项。
接口上开启了ARP自动扫描功能后,会向扫描区间的所有IP地址同时发送ARP请求报文,这会造成设备瞬间CPU利用率过高、网络负载过大的问题。您可以通过设置接口发送ARP报文的速率解决此问题。
固化生成的静态ARP表项数量同样受到设备可以支持的静态ARP表项数目的限制,由于静态ARP表项数量的限制可能导致只有部分动态ARP表项被固化。
# 对接口GigabitEthernet1/0/1上的主IP地址网段内的邻居进行ARP自动扫描。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp scan
[Sysname-GigabitEthernet1/0/1] quit
# 将设备上的动态ARP表项转化成静态ARP表项。
[Sysname] arp fixup
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
攻击者发送错误的网关IP地址和MAC地址对应关系给合法客户端,导致合法客户端不能正常访问网关。
在设备上不与网关相连的接口上开启ARP网关保护功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。如果相同,则认为此报文非法,将其丢弃;否则,认为此报文合法,继续进行后续处理。
不能在同一个接口上配置ARP网关保护功能和ARP过滤保护功能。
# 在GigabitEthernet1/0/1下开启ARP网关保护功能,受保护的网关IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp filter source 1.1.1.1
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
不支持 |
· 攻击者发送错误的网关IP地址和MAC地址对应关系给合法客户端,导致合法客户端不能正常访问网关。
· 攻击者发送伪造的合法客户端的IP地址和MAC地址的对应关系给网关或其他客户端,导致网关或其他客户端无法与合法客户端正常通信。
在接口上开启ARP过滤保护功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址和源MAC地址是否和允许通过的IP地址和MAC地址相同:
· 如果相同,则认为此报文合法,继续进行后续处理;
· 如果不相同,则认为此报文非法,将其丢弃。
不能在同一个接口上配置ARP网关保护功能和ARP过滤保护功能。
# 在GigabitEthernet1/0/1下开启ARP过滤保护功能,允许源IP地址为1.1.1.1、源MAC地址为0e10-0213-1023的ARP报文通过。(各参数仅为示例)
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] arp filter binding 1.1.1.1 0e10-0213-1023
如果网络中存在攻击源向设备发送大量ND报文,则会造成设备需要处理大量的ND报文,增加了CPU的负担。
当攻击报文的源MAC地址和以太网数据帧首部中的源MAC地址不一致时,可以通过ND协议报文源MAC地址一致性检查功能避免此类攻击。开启本特性后,网关设备会对接收的ND协议报文进行检查。如果ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不一致,则认为是攻击报文,将其丢弃;否则,继续进行ND学习。
若开启ND日志信息功能,当ND报文中的源MAC地址和以太网数据帧首部中的源MAC地址不同时,会打印相关的日志信息。设备生成的ND日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心。
# 开启ND协议报文源MAC地址一致性检查功能。
<Sysname> system-view
[Sysname] ipv6 nd mac-check enable
# 开启ND日志信息功能。
[Sysname] ipv6 nd check log enable
通过与AAA的配合,PPP提供了在其链路上对对端进行安全认证的手段,具体包括以下几种方式。
· PAP认证
PAP为两次握手协议,它通过用户名和密码来对用户进行认证。
PAP在网络上以明文的方式传递用户名和密码,认证报文如果在传输过程中被截获,便有可能对网络安全造成威胁。因此,它适用于对网络安全要求相对较低的环境。
· CHAP认证
CHAP为三次握手协议。
CHAP认证过程分为两种方式:认证方配置了用户名、认证方未配置用户名。推荐使用认证方配置用户名的方式,这样被认证方可以对认证方的身份进行确认。
CHAP只在网络上传输用户名,并不传输用户密码(准确的讲,它不直接传输用户密码,传输的是用MD5算法将用户密码与一个随机报文ID一起计算的结果),因此它的安全性要比PAP高。
· MSCHAP认证
MSCHAP为三次握手协议,认证过程与CHAP类似,MSCHAP与CHAP的不同之处在于:
¡ MSCHAP采用的加密算法是0x80。
¡ MSCHAP支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
· MSCHAPv2认证
MSCHAPv2为三次握手协议,认证过程与CHAP类似,MSCHAPv2与CHAP的不同之处在于:
¡ MSCHAPv2采用的加密算法是0x81。
¡ MSCHAPv2通过报文捎带的方式实现了认证方和被认证方的双向认证。
¡ MSCHAPv2支持重传机制。在被认证方认证失败的情况下,如果认证方允许被认证方进行重传,被认证方会将认证相关信息重新发回认证方,认证方根据此信息重新对被认证方进行认证。认证方最多允许被认证方重传3次。
¡ MSCHAPv2支持修改密码机制。被认证方由于密码过期导致认证失败时,被认证方会将用户输入的新密码信息发回认证方,认证方根据新密码信息重新进行认证。
若认证方采用本地AAA认证,则必须为被认证方配置本地用户的用户名和密码;若认证方采用远程AAA认证,则必须为被认证方配置远程用户的用户名和密码。
· 采用PAP认证方式
在认证方上为被认证方配置的用户名和密码必须与被认证方上通过ppp pap local-user命令配置的用户名和密码相同。
· 采用CHAP认证方式(认证方配置了用户名)
在认证方上为被认证方配置的用户名和密码必须满足如下要求:
¡ 用户名必须与被认证方上通过ppp chap user命令配置的被认证方的用户名相同。
¡ 密码必须与被认证方上为认证方配置的用户名的密码相同。
在被认证方上为认证方配置的用户名和密码必须满足如下要求:
¡ 用户名必须与认证方上通过ppp chap user命令配置的认证方的用户名相同。
¡ 密码必须与认证方上为被认证方配置的用户名的密码相同。
在被认证方上不能通过ppp chap password命令配置进行CHAP认证时采用的密码,否则即使认证方配置了用户名,CHAP仍将按照认证方未配置用户名的情况进行认证。
· 采用CHAP认证方式(认证方未配置用户名)
在认证方上为被认证方配置的用户名和密码必须满足如下要求:
¡ 用户名必须与被认证方上通过ppp chap user命令配置的被认证方的用户名相同。
¡ 密码必须与被认证方上通过ppp chap password命令配置的密码相同。
· 采用MSCHAP和MSCHAPv2认证方式
¡ 设备只能作为MSCHAP和MSCHAPv2的认证方来对其它设备进行认证。
¡ L2TP环境下仅支持MSCHAP认证,不支持MSCHAPv2认证。
¡ MSCHAPv2认证只有在RADIUS认证的方式下,才能支持修改密码机制。
¡ MSCHAPv2认证时不支持为PPP用户配置认证方式为none。
¡ 为被认证方配置的用户名和密码必须与被认证方上的配置相同。
¡ 若认证方配置了用户名,则在被认证方上为认证方配置的用户名必须与认证方上ppp chap user命令配置的用户名相同。
· 配置PAP认证
¡ 配置认证方
# 配置认证方采用PAP方式认证被认证方。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp authentication-mode pap domain system
# 配置认证方采用本地或远程AAA认证方式对被认证方进行认证。
具体配置请参见“安全配置指导”中的“AAA”。
¡ 配置被认证方
# 配置采用PAP方式时被认证方的用户名和密码。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp pap local-user userb password simple passb
· 配置CHAP认证(认证方配置了用户名)
¡ 配置认证方
# 配置认证方采用CHAP方式认证被认证方。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp authentication-mode chap domain system
# 配置采用CHAP认证时认证方的用户名。
[Sysname-Virtual-Template1] ppp chap user usera
# 配置认证方采用本地或远程AAA认证方式对被认证方进行认证。
具体配置请参见“安全配置指导”中的“AAA”。
¡ 配置被认证方
# 配置采用CHAP认证时被认证方的用户名。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp chap user userb
# 配置被认证方采用本地或远程AAA认证方式对认证方进行认证。
具体配置请参见“安全配置指导”中的“AAA”。
· 配置CHAP认证(认证方未配置用户名)
¡ 配置认证方
# 配置认证方采用CHAP方式认证被认证方。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp authentication-mode chap domain system
# 配置认证方采用本地或远程AAA认证方式对被认证方进行认证。
具体配置请参见“安全配置指导”中的“AAA”。
¡ 配置被认证方
# 配置采用CHAP认证时被认证方的用户名。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname Virtual-Template1] ppp chap user userb
# 配置采用CHAP认证时被认证方的认证密码。
[Sysname-Virtual-Template1] ppp chap password simple hello&358
· 配置MSCHAP或MSCHAPv2认证(认证方配置了用户名)
¡ 配置认证方
# 配置认证方采用MSCHAP或MSCHAPv2方式认证被认证方。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp authentication-mode ms-chap domain system
[Sysname-Virtual-Template1] ppp authentication-mode ms-chap-v2 domain system
# 配置采用MSCHAP或MSCHAPv2认证时认证方的用户名。
[Sysname-Virtual-Template1] ppp chap user usera
# 配置认证方采用本地或远程AAA认证方式对被认证方进行认证。
具体配置请参见“安全配置指导”中的“AAA”。
· 配置MSCHAP或MSCHAPv2认证(认证方未配置用户名)
¡ 配置认证方
# 配置认证方采用MSCHAP或MSCHAPv2方式认证被认证方。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp authentication-mode ms-chap domain system
[Sysname-Virtual-Template1] ppp authentication-mode ms-chap-v2 domain system
# 配置认证方采用本地或远程AAA认证方式对被认证方进行认证。
具体配置请参见“安全配置指导”中的“AAA”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
在PPP网络中将会面临用户使用非法IP地址访问网络资源的安全威胁:
针对以上安全威胁,可以在设备上配置PPP用户IP网段检查安全功能,增强对PPP用户的管理和控制:
对PPP用户所在的网段进行检查。开启PPP用户IP网段检查功能后,当IPCP协商时,设备会检查PPP用户的IP地址与上线接口的IP地址是否在同一网段,如果不在同一网段,则IPCP协商失败,不允许用户上线。
# 在虚拟模板接口1上使能接口的IP网段检查功能。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp ipcp remote-address match
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
支持 |
在PPPoE网络中将会面临以下安全威胁:
· 大量用户短时间内频繁上下线,对设备处理性能造成冲击。
· 单个用户建立大量PPPoE会话,占用过多会话资源,导致其他用户无法上线。
针对以上安全威胁,可以在设备上配置如下安全功能,增强对PPPoE用户的管理和控制:
· 限制用户创建PPPoE会话的速度
对单个用户创建PPPoE会话的速度进行限制和监控。配置限制单个用户创建PPPoE会话的速度后,如果在监视时间段内某用户的会话请求数目达到配置的允许数目,则扼制该用户新的会话请求,即在监视时间段内该用户的超出允许数目的请求都会被丢弃,并输出对应的Log信息。如果扼制时间配置为0,表示不扼制会话请求,但仍然会输出Log信息。
· 限制创建PPPoE会话的最大数目
从不同的维度对创建的PPPoE会话的最大数目进行限制。配置允许创建PPPoE会话的最大数目后,系统将根据配置从不同的维度对创建的PPPoE会话的最大数目进行限制,当某维度已创建的PPPoE会话的数目达到最大值后,将不允许再创建新的PPPoE会话。
目前支持从以下几个维度对PPPoE会话的最大数目进行限制:
¡ 接口上每个用户所能创建PPPoE会话的最大数目限制
¡ 接口上每个VLAN所能创建PPPoE会话的最大数目限制
¡ 接口上所能创建PPPoE会话的最大数目限制
¡ 单板所能创建PPPoE会话的最大数目限制(分布式设备-独立运行模式)(分布式设备-IRF模式)
¡ 成员设备所能创建PPPoE会话的最大数目限制(集中式IRF设备)
¡ 系统所能创建PPPoE会话的最大数目限制(集中式设备)
· PPPoE会话的最大数目
¡ 系统创建PPPoE会话时,需同时配置的所有维度的限制,若其中任何一项不满足,则无法创建会话。
¡ 如果配置的最大会话数小于当前接口上已经在线的会话数,则该配置可以执行成功,且在线的会话不会受影响,但系统将不允许在该接口上再创建新的会话。
¡ 建议配置系统所能创建PPPoE会话的最大数目,不要超过整机PPPoE的最大会话数(整机PPPoE的最大会话数由设备的缺省规格或授权的License规格决定),否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线。(集中式设备)
¡ 建议设备上配置的所有单板/成员设备所能创建PPPoE会话的最大数目之和,不要超过整机PPPoE的最大会话数(整机PPPoE的最大会话数由设备的缺省规格或授权的License规格决定),否则会有部分PPPoE用户因为整机最大用户数已达到而无法上线。(分布式设备-独立运行模式)(分布式设备-IRF模式)(集中式IRF设备)
· 限制用户创建PPPoE会话的速度
# 配置当任意某PPPoE用户在80秒内创建的会话数达到100时,对该用户新的会话请求扼制10秒。(各参数仅为示例)
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] pppoe-server throttle per-mac 100 80 10
· 限制PPPoE会话的最大数目
¡ 配置在接口上每个用户所能创建PPPoE会话的最大数目
# 配置在接口GigabitEthernet1/0/1下,每个用户所能创建PPPoE会话的最大数目为50(50仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] pppoe-server session-limit per-mac 50
¡ 配置在接口上每个VLAN所能创建PPPoE会话的最大数目
# 配置在接口GigabitEthernet1/0/1.1下,每个VLAN所能创建PPPoE会话的最大数目为50(50仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1.1
[Sysname-GigabitEthernet1/0/1.1] pppoe-server session-limit per-vlan 50
¡ 配置接口上所能创建PPPoE会话的最大数目
# 配置接口GigabitEthernet1/0/1上所能创建PPPoE会话的最大数目为50(50仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] pppoe-server session-limit 50
¡ 配置系统所能创建PPPoE会话的最大数目
# 配置系统所能创建PPPoE会话的最大数目为3000(3000仅为示例)。(集中式设备)
<Sysname> system-view
[Sysname] pppoe-server session-limit total 3000
# 配置指定slot上所能创建PPPoE会话的最大数目为3000(3000仅为示例)。(分布式设备-独立运行模式)(集中式IRF设备)
[Sysname] pppoe-server session-limit slot 2 total 3000
# 配置指定成员设备指定slot上的所能创建PPPoE会话的最大数目为3000(3000仅为示例)。(分布式设备-IRF模式)
[Sysname] pppoe-server session-limit chassis 1 slot 2 total 3000
在PPPoE网络中将会面临以下安全威胁:
· 非法用户通过协议报文发起攻击占用设备大量系统资源,对设备进行拒绝服务攻击。
· 在设备重启或者版本升级等情况下,大量PPPoE用户的突发上线请求对设备的CPU处理性能造成影响,导致部分用户无法正常上线。
针对以上安全威胁,可以在设备上配置PADI/PADR报文检查安全功能,增强对PPPoE协议报文的安全管理:
通过配置PPPoE Server的Service Name,当PPPoE Server收到客户端的PADI/PADR报文时,需要检查报文中的Service Name TAG字段并和本机上配置的Service Name进行匹配,只有匹配成功,PPPoE Server才会接受PPPoE Client的会话建立请求。
每接口下最多可配置8个Service Name。
# 在接口GigabitEthernet1/0/1上配置PPPoE Server的Service Name为pppoes(pppoes仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] pppoe-server tag service-name pppoes
通过与AAA的配合,L2TP提供了对用户进行安全认证的手段,具体包括以下几种方式。
· LAC端的AAA认证
用户身份认证通过后,LAC才能发起建立隧道的请求,否则不会为用户建立隧道。
若采用本地AAA认证,则必须为L2TP用户配置本地用户的用户名和密码;若采用远程AAA认证,则必须为L2TP用户配置远程用户的用户名和密码。
· LNS端的AAA认证
用户身份认证通过后,远端系统才可以通过LNS访问企业内部网络。
若采用本地AAA认证,则必须为L2TP用户配置本地用户的用户名和密码;若采用远程AAA认证,则必须为L2TP用户配置远程用户的用户名和密码。
在LAC端对用户进行验证后,为了增强安全性,可在LNS端再次对用户进行验证。在这种情况下,将对用户进行两次验证,第一次发生在LAC端,第二次发生在LNS端,只有两次验证全部成功后,L2TP隧道才能建立。
目前,LNS端对用户的验证方式按优先级从高到底依次为强制LCP重协商、强制CHAP验证和代理验证三种。
¡ 强制LCP重协商:在L2TP客户端对用户进行验证后,再由L2TP服务器端采用强制LCP重协商方式对用户进行二次LCP协商及认证,增强安全性。
¡ 强制CHAP验证:在L2TP客户端对用户进行验证后,再由L2TP服务器端采用CHAP方式对用户进行二次认证,增强安全性。
¡ 代理验证:由LAC代替LNS对用户进行验证,并将用户的所有验证信息及LAC端本身配置的验证方式发送给LNS。LNS根据接收到的信息及本端配置的验证方式,判断用户是否合法。
LNS端的AAA认证:
· 强制LCP重协商和强制CHAP验证两种验证方式仅适用于NAS-Initiated模式的L2TP组网。
· 如果同时配置了强制LCP重协商和强制CHAP验证两种验证方式,则仅强制LCP重协商生效。
· 如果未配置强制LCP重协商和强制CHAP验证,则对用户进行代理验证。
· 强制CHAP验证
¡ 配置强制CHAP验证时,在LNS的VT接口下必须且只能配置PPP用户的验证方式为CHAP认证。
¡ 对于不支持进行第二次验证的用户,不建议配置本功能,否则将因LNS端的CHAP重新验证失败而导致L2TP隧道无法建立。
· 强制LCP重新协商
启用强制LCP重协商后,如果相应的虚拟模板接口上没有配置验证,则LNS将不对用户进行二次验证(这时用户只在LAC端接受一次验证)。
· 配置LAC端的AAA认证
AAA相关的配置请参见“安全配置指导”中的“AAA”。
配置LAC端的AAA认证时,接入用户的接口上需要配置PPP用户的验证方式为PAP或CHAP,配置方法请参见“二层技术-广域网接入配置指导”中的“PPP”。
· 配置LNS端的AAA认证
AAA相关的配置请参见“安全配置指导”中的“AAA”。
¡ 配置强制LCP重新协商
# 强制LNS与用户进行LCP协商。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
¡ 配置强制CHAP验证
# 强制LNS对用户进行CHAP验证。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] mandatory-chap
# 进入VT接口并在该接口下配置PPP用户的验证方式为CHAP认证。
关于VT接口配置的详细介绍,请参见“二层技术-广域网接入配置指导”中的“PPP”。
在L2TP网络中将会面临以下安全威胁:
· 非法对端和本端建立L2TP隧道,窃取本端内部数据。
· 非法用户窃取采用明文方式传输AVP数据(例如隧道协商参数、会话协商参数和用户认证信息)。
针对以上安全威胁,可以在设备上配置如下安全功能:
· L2TP隧道验证
利用隧道验证判断对端的合法性。配置L2TP隧道验证后,仅在两端隧道验证通过后,二者之间才能成功建立L2TP隧道,增强网络的安全性。
· AVP数据的隐藏传输
利用隧道验证密码对AVP数据进行加密传输。配置AVP数据的隐藏传输功能后,L2TP利用隧道验证密码对AVP数据(例如隧道协商参数、会话协商参数和用户认证信息)进行加密传输,增强数据传输的安全性。
· 配置隧道验证
隧道建立成功后,修改隧道验证的密钥不影响当前隧道的正常通信;当隧道断开后重新建立时使用修改后的密钥进行隧道验证。
· 配置AVP数据的隐藏传输
只有使能了隧道验证功能,AVP数据的隐藏传输配置后才会生效。
· 配置隧道验证
# 开启L2TP隧道验证功能。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] tunnel authentication
# 以明文方式配置隧道验证密钥为&569pass1(&569pass1仅为示例)。
[Sysname-l2tp1] tunnel password simple &569pass1
· 配置AVP数据的隐藏传输
# 开启L2TP隧道验证功能。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel authentication
# 以明文方式配置隧道验证密钥为&569pass1(&569pass1仅为示例)。
[Sysname-l2tp1] tunnel password simple &569pass1
# 配置AVP数据采用隐藏方式传输。
[Sysname-l2tp1] tunnel avp-hidden
在L2TP网络中,LNS设备可能会面临以下性能安全威胁:
· 用户上线时LNS端需要为其创建VA接口,用于和LAC交换数据;在用户下线后需要删除VA接口。创建/删除VA接口需要消耗一定的系统资源,如果遭受攻击(例如大量用户频繁上下线),易出现处理能力不足,产生拒绝服务,成为攻击者的目标。
· 大量L2TP用户的突发上线请求对设备性能造成影响。
· 乱序报文过多对设备性能造成影响。
· 本端收到的报文超出本端处理报文的能力范围,导致部分用户上线失败。
针对以上安全威胁,可以在设备上配置如下安全功能,减少对设备性能的影响,确保L2TP用户能够平稳上下线:
· 配置VA池
利用VA池减少临时创建/删除VA接口对设备性能的影响。VA池是在建立L2TP连接前事先创建的VA接口的集合。创建VA池后,当有用户上线时,直接从VA池中获取一个VA接口,当用户下线后,直接把VA接口放入VA池中,无需删除VA接口,这样不仅可以提高L2TP连接的建立和拆除速度,还可以一定程度上缓解大量用户突发或频繁上下线对设备性能造成的冲击。
· 配置L2TP隧道接收窗口的大小
利用隧道接收窗口优化提高对乱序报文的处理效率。如果乱序报文过多,可以通过调整L2TP接收窗口的大小进行缓解。当出现乱序报文的时候,如果乱序报文NS(L2TP报文中用于标识当前报文序列号的字段)在接收窗范围内,设备会先将报文缓存起来,等待NS等于接收窗下沿的报文到达。当收到NS等于接收窗下沿的报文时,则对其(NS等于接收窗下沿的报文)进行处理,处理完该报文后,接收窗下沿加1;如果此时缓存中存在NS等于接收窗下沿的报文,则继续处理;如不存在,则继续等待NS等于接收窗下沿的报文到达;依次类推。对于超过接收窗范围的报文进行丢弃。
· 配置L2TP隧道发送窗口的大小
利用隧道发送窗口平衡隧道两端的报文收发处理能力,优化提高报文处理效率。
在某些组网中可能出现对端的报文接收处理能力和对端接收窗口的大小不匹配的情况(例如:对端实际的报文接收处理能力为10,但接收窗口的大小为20),此时可以通过本特性调整本端L2TP隧道发送窗口的大小来适配对端的实际报文接收处理能力,以保证L2TP用户平稳上线。
· 配置VA池
每个虚拟模板接口只能关联一个VA池。如果想要修改使用的VA池的大小,只能先删除原来的配置,然后重新配置VA池。
创建/删除VA池需要花费一定的时间,请用户耐心等待。在VA池创建/删除过程中(还没创建/删除完成)允许用户上线/下线,但正在创建/删除的VA池不生效。
系统可能由于资源不足不能创建用户指定容量的VA池,用户可以通过display l2tp va-pool命令查看实际可用的VA池的容量以及VA池的状态。
VA池会占用较多的系统内存,请用户根据实际情况创建大小合适的VA池。
删除VA池时,如果已有在线用户使用该VA池中的VA接口,不会导致这些用户下线。
· 配置L2TP隧道接收窗口的大小
在L2TP隧道建立时,接收窗口大小以L2TP组视图下配置的接收窗口大小为准。隧道建立完成后通过本特性修改L2TP隧道接收窗口的大小对已经建立的隧道接收窗口的大小无影响。
· 配置L2TP隧道发送窗口的大小
在L2TP隧道建立时会获取L2TP组视图下配置的发送窗口大小。如果配置的发送窗口大小为0,则按缺省情况处理;如果配置的发送窗口大小非0,则以配置的发送窗口大小为准。隧道建立完成后通过本配置修改L2TP隧道发送窗口的大小对已经建立的隧道发送窗口的大小无影响。
· 配置VA池
# 为虚拟模板2创建容量为1000的VA池(1000仅为示例)。
<Sysname> system-view
[Sysname] l2tp virtual-template 2 va-pool 1000
· 配置L2TP隧道接收窗口的大小
# 配置隧道的接收窗口大小为128(128仅为示例)。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel window receive 128
· 配置L2TP隧道发送窗口的大小
# 配置隧道的发送窗口大小为128(128仅为示例)。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel window send 128
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
当认证失败的802.1X用户再次发起认证时,设备会对其进行认证处理。如果大量含有错误认证信息(例如错误用户名或错误的密码等)的802.1X用户频繁发起认证,会导致设备处理用户认证信息时占用大量资源,从而无法处理正常用户的认证信息。
开启静默定时器功能后,当802.1X用户认证失败以后,设备静默一段时间,在静默期间,设备不对802.1X认证失败的用户进行认证处理。
在网络处在风险位置,容易受攻击的情况下,可以适当地将静默定时器值调大一些,反之,可以将其调小一些来提高对用户认证请求的响应速度。
# 开启静默定时器功能,并配置静默定时器的值为100秒(100仅为示例)。
<Sysname> system-view
[Sysname] dot1x quiet-period
[Sysname] dot1x timer quiet-period 100
如果在线的802.1X认证用户使用非法的客户端与设备交互,会逃过代理检测、双网卡检测等iNode客户端的安全检查功能,存在安全隐患。
开启在线用户握手安全功能后,设备会通过检验客户端上传的握手报文中携带的验证信息,来确认用户是否使用iNode客户端进行握手报文的交互。如果握手检验不通过,则会将用户置为下线状态。
只有设备上的在线用户握手功能处于开启状态时,安全握手功能才会生效。
在线用户握手安全功能仅能在iNode客户端和iMC服务器配合使用的组网环境中生效。
# 在端口GigabitEthernet1/0/1上开启在线用户握手安全功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dot1x handshake
[Sysname-GigabitEthernet1/0/1] dot1x handshake secure
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
端口安全用于在端口上提供基于MAC地址的网络接入控制,它提供了以下安全特性:
· Need To Know特性(NTK)
Need To Know特性通过检测从端口发出的数据帧的目的MAC地址,保证数据帧只能被发送到已经通过认证或被端口学习到的MAC所属的设备或主机上,从而防止非法设备窃听网络数据。
· 入侵检测(Intrusion Protection)特性
入侵检测特性对端口接收到的数据帧进行检测,源MAC地址未被端口学习到的报文或未通过认证的报文,被认为是非法报文,如果发现非法报文,则对接收非法报文的端口采取相应的安全策略,包括端口被暂时断开连接、永久断开连接或MAC地址被阻塞一段时间,以保证端口的安全性。
· 控制MAC地址学习和用户认证
通过定义不同的端口安全模式来实现:
¡ 控制MAC学习类:无需认证,包括端口自动学习MAC地址和禁止MAC地址学习两种模式。
¡ 认证类:利用MAC地址认证和802.1X认证机制来实现,包括单独认证和组合认证等多种模式。
配置了安全模式的端口上收到用户报文后,首先查找MAC地址表,如果该报文的源MAC地址已经存在于MAC地址表中,则端口转发该报文,否则根据端口所采用的安全模式进行MAC地址学习或者触发相应的认证,并在发现非法报文后触发端口执行相应的安全防护措施(Need To Know、入侵检测)或发送Trap告警。缺省情况下,端口出方向的报文转发不受端口安全限制,若触发了端口Need To Know,则才受相应限制。关于各模式的具体工作机制,以及是否触发Need To Know、入侵检测的具体情况请参见表4-1。
|
端口安全采用方式 |
安全模式 |
触发的安全防护措施 |
|
|
端口控制MAC地址学习 |
autoLearn |
NTK/入侵检测 |
|
|
secure |
|||
|
端口采用802.1X认证 |
userLogin |
无 |
|
|
userLoginSecure |
NTK/入侵检测 |
||
|
userLoginSecureExt |
|||
|
userLoginWithOUI |
|||
|
端口采用MAC地址认证 |
macAddressWithRadius |
NTK/入侵检测 |
|
|
端口采用802.1X和MAC地址认证组合认证 |
Or |
macAddressOrUserLoginSecure |
NTK/入侵检测 |
|
macAddressOrUserLoginSecureExt |
|||
|
Else |
macAddressElseUserLoginSecure |
||
|
macAddressElseUserLoginSecureExt |
|||
关于端口安全的详细信息,请参见“安全配置指导”中的“端口安全”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
限制单用户Portal重定向的最大会话数 |
Portal安全重定向功能 |
Portal认证失败后的用户阻塞功能 |
Portal仅允许DHCP用户上线 |
|
SR6600/SR6600-X系列路由器 |
支持 |
支持 |
支持 |
支持 |
|
MSR系列路由器 |
不支持 |
支持 |
不支持 |
支持 |
|
VSR虚拟路由器 |
不支持 |
不支持 |
不支持 |
不支持 |
在Portal组网环境中,设备将会面临以下安全威胁:
· 攻击者频繁发起HTTP/HTTPS请求,会产生大量匹配Portal重定向规则的HTTP/HTTPS报文,从而导致设备资源不足。
· 攻击者发起大量HTTP/HTTPS请求,造成Portal服务器资源耗尽,无法响应正常认证请求。
· 非法用户使用穷举法试探合法用户的密码。
· 非法用户接入网络。
针对以上安全威胁,可以在设备上配置如下安全功能:
· Portal HTTP/HTTPS防攻击功能
¡ 限制单用户Portal重定向的最大会话数
限制设备上单个Portal用户的HTTP和HTTPS重定向的最大会话数后,如果单个Portal用户的HTTP重定向的最大会话数或HTTPS重定向会话数超出设置值,设备将拒绝新的重定向请求。
¡ Portal安全重定向功能
根据HTTP和HTTPS报文的请求方法、产生HTTP和HTTPS报文的浏览器类型和访问网络的目的URL这些特征,有针对性的将一些HTTP和HTTPS请求报文丢弃,不再重定向到Portal Web服务器,从而有效的减轻了Portal Web服务器的负担。
· Portal认证失败后的用户阻塞功能
如果在指定时间内用户进行Portal认证失败的次数达到指定值,该用户将被阻塞一段时间,即在此时间段内来自该用户的认证请求报文将被丢弃。
· Portal仅允许DHCP用户上线
通常,攻击者的IP地址为静态配置的,因此通过禁止IP地址为静态配置的Portal认证用户上线可以一定程度上避免被攻击的风险。
Portal仅允许DHCP用户上线功能,仅在采用接入设备作为DHCP服务器的组网中生效,且不会影响已经在线的用户。
在IPv6网络中,开启Portal仅允许DHCP用户上线功能后,终端仍会使用临时IPv6地址进行Portal认证,从而导致认证失败,所以终端必须关闭临时IPv6地址。
Portal认证前域中的用户在指定时间内认证失败达到限定次数后不会被阻塞。
对于无线应用,单用户Portal重定向的最大会话数功能仅在集中转发模式生效。
· Portal HTTP/HTTPS防攻击功能
# 开启Portal HTTP/HTTPS防攻击功能。
<Sysname> system-view
[Sysname] portal http-defense enable
# 配置Portal HTTP/HTTPS防攻击报文的阻断时长为5分钟,统计时间为2分钟,触发HTTP/HTTPS防攻击的报文阈值为200(各参数仅为示例)。
[Sysname] portal http-defense block-timeout 5 statistics-interval 2 threshold 200
# 配置Portal HTTP/HTTPS防攻击的最大目的IP地址数为2000(2000仅为示例)。
[Sysname] portal http-defense max-ip-number 2000
· Portal HTTP/HTTPS防攻击功能
¡ 单用户Portal重定向的最大会话数
# 配置单用户Portal重定向的最大会话数为128。
<Sysname> system-view
[Sysname] portal redirect max-session per-user 128
¡ Portal安全重定向功能
# 开启Portal安全重定向功能。
<Sysname> system-view
[Sysname] portal safe-redirect enable
# 配置Portal安全重定向允许的HTTP协议的请求方法为GET。
[Sysname] portal safe-redirect method get
# 配置匹配Portal安全重定向允许的HTTP User Agent中的浏览器类型为Chrome和Safari。
[Sysname] portal safe-redirect user-agent Chrome
[Sysname] portal safe-redirect user-agent Safari
# 配置Portal安全重定向禁止的URL地址为http://www.abc.com。
[Sysname] portal safe-redirect forbidden-url http://www.abc.com
# 配置Portal安全重定向禁止URL携带扩展名为.jpg的文件。
[Sysname] portal safe-redirect forbidden-file .jpg
# 配置Portal安全重定向URL地址匹配的缺省动作为放行报文。
[Sysname] portal safe-redirect default-action permit
# 配置Portal安全重定向允许的URL地址为http://www.abc.com。
[Sysname] portal safe-redirect permit-url http://www.abc.com
· Portal认证失败后的用户阻塞功能
# 配置在100分钟内用户进行Portal认证失败次数达到2次时被阻塞。
<Sysname> system-view
[Sysname] portal user-block failed-times 2 period 100
# 配置被阻塞用户重新进行Portal认证的时间间隔为20分钟。
[Sysname] portal user-block reactive 20
· Portal仅允许DHCP用户上线
# 在接口GigabitEthernet1/0/1上配置仅允许通过DHCP获取IP地址的客户端上线功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal user-dhcp-only
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
缺省情况下,设备仅根据ARP表项对无线Portal客户端进行合法性检查。在采用本地转发模式的无线组网环境中,AC上没有Portal客户端的ARP表项,为了保证合法用户可以进行Portal认证,需要开启无线Portal客户端合法性检查功能。本功能开启后,当设备收到未认证Portal用户的认证报文后,将使用WLAN Snooping表、DHCP Snooping表和ARP表对其进行合法性检查。只有在这三个表中查询到该Portal客户端信息,才认为其合法并允许进行Portal认证。
# 开启无线Portal客户端合法性检查功能。
<Sysname> system-view
[Sysname] portal host-check enable
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
支持 |
在线Portal用户数过多,会导致系统资源不足。为解决这个问题,可以限制在线Portal用户数,当在线Portal用户数超过设定的最大值时,系统会拒绝新的Portal用户接入。
建议将全局最大Portal用户数配置为所有开启Portal的接口或无线服务模板上的最大IPv4 Portal用户数和最大IPv6 Portal用户数之和,但不超过整机最大Portal用户数,否则会有部分Portal用户因为整机最大用户数已达到而无法上线。
· 配置全局Portal最大用户数
# 配置全局Portal最大用户数为100。
<Sysname> system-view
[Sysname] portal max-user 100
· 配置接口上的Portal最大用户数
¡ (IPv4网络)
# 在接口GigabitEthernet1/0/1上配置IPv4 Portal最大用户数为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal ipv4-max-user 100
¡ (IPv6网络)
# 在接口GigabitEthernet1/0/1上配置IPv6 Portal最大用户数为100。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] portal ipv6-max-user 100
· 配置无线服务模板上的Portal最大用户数
¡ (IPv4网络)
# 在无线服务模板上配置IPv4 Portal最大用户数为100。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal ipv4-max-user 100
¡ (IPv6网络)
# 在无线服务模板上配置IPv6 Portal最大用户数为100。
<Sysname> system-view
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] portal ipv6-max-user 100
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
支持 |
严格检查模式用于配合服务器上的用户授权控制策略,它仅允许接口上成功下发了授权信息的用户在线。开启Portal授权信息的严格检查模式后,当认证服务器下发的授权ACL、User Profile在设备上不存在或者设备下发ACL、User Profile失败时,设备将强制Portal用户下线。若同时开启了对授权ACL和对授权User Profile的严格检查模式,则只要其中任意一个授权属性未通过严格授权检查,则用户就会下线。
# 在接口GigabitEthernet1/0/1上开启对授权ACL的严格检查模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname–GigabitEthernet1/0/1] portal authorization acl strict-checking
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
支持 |
SSL VPN以SSL(Secure Sockets Layer,安全套接字层)为基础提供远程的安全连接服务:
· 用户可通过互联网,使用内嵌SSL协议的浏览器或客户端与远端的资源服务器建立安全的连接,访问内部资源。
· 企业或机构可通过SSL VPN来为移动用户或者外部客户提供访问内部资源的服务并保证安全性。
设备作为SSL VPN网关位于远端接入用户和企业内部网络之间,负责在二者之间转发报文,并为对端提供SSL VPN服务,具体过程如下:
(1) 管理员在SSL VPN网关上创建与企业网内服务器对应的资源。
(2) 远程接入用户与SSL VPN网关建立HTTPS连接,通过SSL提供的基于证书的身份验证功能,SSL VPN网关和远程接入用户可以验证彼此的身份。
(3) 远程接入用户输入用户名、密码等身份信息,SSL VPN网关对用户的身份进行认证,并对用户可以访问的资源进行授权。
(4) 用户获取到可以访问的资源,通过SSL连接将访问请求发送给SSL VPN网关。
(5) SSL VPN网关将资源访问请求转发给企业网内的服务器。
(6) SSL VPN网关接收到服务器的应答后,通过SSL连接将其转发给用户。
关于SSL VPN的详细信息,请参见“VPN配置指导”中的“SSL VPN”。
DHCP饿死攻击是指攻击者伪造chaddr字段各不相同的DHCP请求报文,向DHCP服务器申请大量的IP地址,导致DHCP服务器地址池中的地址耗尽,无法为合法的DHCP客户端分配IP地址,或导致DHCP服务器消耗过多的系统资源,无法处理正常业务。
如果封装DHCP请求报文的数据帧的源MAC地址各不相同,则通过限制端口可以学习到的MAC地址数,并配置学习到的MAC地址数达到最大值时,丢弃源MAC地址不在MAC地址表里的报文,能够避免攻击者申请过多的IP地址,在一定程度上阻止了DHCP饿死攻击。此时,不存在DHCP饿死攻击的端口下的DHCP客户端可以正常获取IP地址,但存在DHCP饿死攻击的端口下的DHCP客户端仍可能无法获取IP地址。
如果封装DHCP请求报文的数据帧的MAC地址都相同,则通过上述方法无法防止DHCP饿死攻击。在这种情况下,需要开启DHCP中继的MAC地址检查功能。开启该功能后, DHCP中继检查接收到的DHCP请求报文中的chaddr字段和数据帧的源MAC地址字段是否一致。如果一致,则认为该报文合法,进行后续处理;如果不一致,则丢弃该报文。
# 在接口GigabitEthernet1/0/1上开启DHCP中继的MAC地址检查功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp relay check mac-address
DHCP支持按照用户类分配IP地址。DHCP服务器会根据用户所在的用户类,从对应的地址空间中选择地址分给用户。当某些用户类中存在攻击源时,攻击源获取到地址后,就能在网络中发起攻击行为。
为了避免上述问题,用户可以将不存在攻击源的用户类加入白名单。DHCP服务器只有收到属于用户类白名单的DHCP客户端发送的请求报文,才会进行处理。
· 如果某个用户类未加入白名单,则该用户类对应的所有DHCP客户端都无法获取到IP地址。
· 如果DHCP客户端请求的是静态绑定租约,则DHCP服务器不进行白名单检查直接处理。
# 在DHCP地址池0中开启DHCP用户类白名单功能(本例中的参数仅为示例)。
<Sysname> syatem-view
[Sysname] dhcp server ip-pool 0
[Sysname-dhcp-pool-0] verify class
# 在DHCP地址池0中配置DHCP白名单包括的用户类名为test1和test2。
[Sysname-dhcp-pool-0] valid class test1 test2
在通过DHCP获取地址的组网环境中,所有合法客户端都通过DHCP方式获取到IP地址。某些非法主机使用自身伪造的IP地址发送攻击报文攻击网关,影响网关设备的正常工作。
· DHCP中继用户地址表项记录功能
开启本功能后,当客户端通过DHCP中继从DHCP服务器获取到IP地址时,DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系,生成DHCP中继的用户地址表项。
本功能与其他IP地址安全功能(如ARP地址检查、授权ARP和IP Source Guard)配合,可以实现只允许匹配用户地址表项中绑定关系的报文通过DHCP中继。从而,保证非法主机不能通过DHCP中继与外部网络通信。
· DHCP中继动态用户地址表项定时刷新功能
DHCP中继动态用户地址表项定时刷新功能开启时,DHCP中继每隔指定时间采用客户端获取到的IP地址向DHCP服务器发送DHCP-REQUEST报文:
¡ 如果DHCP中继接收到DHCP服务器响应的DHCP-ACK报文或在指定时间内未接收到DHCP服务器的响应报文,则表明这个IP地址已经可以进行分配,DHCP中继会删除动态用户地址表中对应的表项。为了避免地址浪费,DHCP中继收到DHCP-ACK报文后,会发送DHCP-RELEASE报文释放申请到的IP地址。
¡ 如果DHCP中继接收到DHCP服务器响应的DHCP-NAK报文,则表示该IP地址的租约仍然存在,DHCP中继不会删除该IP地址对应的表项。
· DHCP中继的用户下线探测功能
如果在接口上配置了DHCP中继的用户下线检测功能,则当ARP表项老化时,DHCP中继认为该表项对应的用户已经下线,删除对应的用户地址表项,并通过发送Release报文通知DHCP服务器删除下线用户的IP地址租约。
手工删除ARP表项,不会触发DHCP中继删除对应的用户地址表项。
# 开启DHCP中继用户地址表项记录功能。
<Sysname> system-view
[Sysname] dhcp relay client-information record
# 开启DHCP中继动态用户地址表项定时刷新功能。
[Sysname] dhcp relay client-information refresh enable
# 配置DHCP中继动态用户地址表项的刷新时间间隔为100秒(本例中的参数仅为示例)。
[Sysname] dhcp relay client-information refresh interval 100
# 开启用户下线探测功能。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp client-detect
非法用户向DHCP服务器发送攻击报文后,影响DHCP服务器正常工作。
开启DHCP中继支持代理功能后,DHCP中继收到DHCP服务器的应答报文,会把报文中的DHCP服务器地址修改为中继的接口地址,并转发给DHCP客户端。当DHCP客户端通过DHCP中继从DHCP服务器获取到IP地址等网络参数后,DHCP客户端会把DHCP中继当作自己的服务器,来进行后续的DHCP功能的报文交互。从而达到了把真正的DHCP服务器和DHCP客户端隔离开,保护DHCP服务器的目的。
# 配置接口GigabitEthernet1/0/1工作在DHCP代理模式。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] dhcp select relay proxy
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
DHCP Snooping是DHCP的一种安全特性。DHCP Snooping设备位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间。DHCP Snooping的作用是:
· 保证客户端从合法的服务器获取IP地址
为了使DHCP客户端能通过合法的DHCP服务器获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口和不信任端口:
¡ 信任端口正常转发接收到的DHCP报文。
¡ 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后,丢弃该报文。
· 记录DHCP客户端IP地址与MAC地址的对应关系
DHCP Snooping通过监听DHCP-REQUEST报文和信任端口收到的DHCP-ACK报文,记录DHCP Snooping表项,其中包括客户端的MAC地址、DHCP服务器为DHCP客户端分配的IP地址、与DHCP客户端连接的端口及VLAN等信息。DHCP Snooping表项可以供ARP Detection和IP Source Guard等安全功能使用。
关于DHCP Snooping的详细信息,请参见“三层技术-IP业务配置指导”中的“DHCP Snooping”。关于DHCPv6 Snooping的详细信息,请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。
网络攻击者通过DHCP服务器为设备分配错误的域名后缀和域名服务器地址,会导致设备域名解析失败,或解析到错误的结果。
在设备上指定DNS信任接口后,域名解析时只采用信任接口动态获得的域名后缀和域名服务器信息,非信任接口获得的信息不能用于域名解析,从而在一定程度上避免这类攻击。
# 指定接口GigabitEthernet1/0/1为DNS信任接口(本例中的参数仅为示例)。
<Sysname> system-view
[Sysname] dns trust-interface gigabitethernet 1/0/1
ICMP差错报文通常被网络层或传输层协议用来在异常情况发生时通知相应设备,以便进行控制和管理。当网络攻击源发送ICMP差错报文进行恶意攻击时,会改变设备的报文转发路径,影响报文的正常发送。
常见的ICMP差错报文包括ICMP重定向报文、ICMP超时报文和ICMP目的不可达报文。为了防止攻击,建议关闭这些ICMP报文发送功能。
· 配置ICMPv4安全功能。
# 关闭设备的ICMP重定向报文发送功能。
<Sysname> system-view
[Sysname] undo ip redirects enable
# 关闭设备的ICMP超时报文发送功能。
[Sysname] undo ip ttl-expires enable
# 关闭设备的ICMP目的不可达报文发送功能。
[Sysname] undo ip unreachables enable
· 配置ICMPv6安全功能。
# 关闭设备的ICMPv6目的不可达报文发送功能。
<Sysname> system-view
[Sysname] undo ipv6 unreachables enable
# 关闭设备的ICMPv6超时报文发送功能。
[Sysname] undo ipv6 hoplimit-expires enable
# 关闭设备的ICMPv6重定向报文发送功能。
[Sysname] undo ipv6 redirects enable
SYN Flood攻击是指攻击者向设备发送大量请求建立TCP连接的SYN报文,而不回应设备的SYN ACK报文,导致设备上建立了大量的TCP半连接,从而达到耗费设备资源,使设备无法处理正常业务的目的。
SYN Cookie功能用来防止SYN Flood攻击。配置SYN Cookie功能后,当设备收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文。设备接收到发起者回应的ACK报文后,建立连接,并进入ESTABLISHED状态。通过这种方式,可以避免在设备上建立大量的TCP半连接。
# 开启SYN Cookie功能。
<Sysname> system-view
[Sysname] tcp syn-cookie enable
TCP报文携带TCP时间戳选项信息时,建立TCP连接的两台设备通过TCP报文中的时间戳字段就可计算出RTT(Round Trip Time,往返时间)值。在某些组网中,TCP连接上的中间设备获取到TCP时间戳信息,学习到TCP连接成功的时间。如果中间设备存在攻击源,则TCP连接存在安全隐患。
为了防止上述攻击,可以在TCP连接的任意一端关闭发送TCP报文时添加时间戳选项信息功能。
# 配置发送TCP报文时不添加TCP时间戳选项信息。
<Sysname> system-view
[Sysname] undo tcp timestamps enable
攻击者仿冒RIP邻居或修改RIP路由信息,可能会使设备学习到错误的路由或引发网络中断。
RIP和RIPng提供了如下几种安全策略:
· 对RIP-1和RIPng报文的零域检查
RIP-1和RIPng报文中的有些字段必须为零,称之为零域。用户可配置RIP-1在接收报文时对零域进行检查,零域值不为零的RIP-1报文将不被处理。
· 对接收到的RIP路由更新报文进行源IP地址检查
RIP在接收报文时进行源IP地址检查,即检查发送报文的接口IP地址与接收报文接口的IP地址是否处于同一网段。如果没有通过检查,则该RIP报文将不被处理。
· RIPv2的报文认证机制
设备在发送报文时携带验证信息,在接收报文时对验证信息进行校验,如果报文校验失败,则该报文将被丢弃。这样可以避免设备接收无法信任的设备的RIPv2报文。
· RIPng基于IPsec安全框架的认证方式
设备在发送的报文中会携带配置好的IPsec安全框架的SPI(Security Parameter Index,安全参数索引)值,接收报文时通过SPI值进行IPsec安全框架匹配:仅接收安全框架匹配的报文;否则该报文将被丢弃,无法正常建立邻居和学习路由。IPsec安全框架的具体情况请参见“安全配置指导”中的“IPsec”。
# 开启进程号为1的RIP进程对RIP-1报文的零域检查功能。
<Sysname> system-view
[Sysname] rip
[Sysname-rip-1] checkzero
# 开启对接收到的RIP路由更新报文进行源IP地址检查的功能。
<Sysname> system-view
[Sysname-rip] rip 100
[Sysname-rip-100] validate-source-address
# 在接口GigabitEthernet1/0/1上配置RFC 2453格式的MD5明文验证,密钥为154&rose(154&rose仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] rip version 2
[Sysname-GigabitEthernet1/0/1] rip authentication-mode md5 rfc2453 plain 154&rose
# 开启进程号为100的RIPng进程对RIPng报文的零域检查功能。
<Sysname> system-view
[Sysname] ripng 100
[Sysname-ripng-100] checkzero
# 配置接口GigabitEthernet1/0/1应用的IPsec安全框架为profile001(profile001仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ripng ipsec-profile profile001
OSPF/OSPFv3报文验证功能可避免路由信息外泄或者OSPF路由器受到恶意攻击。建立OSPF/OSPFv3邻居关系时,在发送的报文中携带配置的验证信息;接收报文时对验证信息进行校验。只有通过校验的报文才能接收,否则将不会接收报文,无法建立邻居。
除此之外,OSPFv3还可通过基于IPsec安全框架的认证方式来对OSPFv3报文进行有效性检查和验证。IPsec安全框架的详细介绍请参见“安全配置指导”中的“IPsec”。
GTSM(Generalized TTL Security Mechanism,通用TTL安全保护机制)功能可避免设备受到CPU利用(CPU-utilization)等类型的攻击(如CPU过载)。当设备收到来自OSPF普通邻居或虚连接邻居的报文时,会判断报文的TTL是否在255-“hop-count”+1到255之间。如果在,就上送报文;如果不在,则直接丢弃报文。
# 配置OSPF区域0使用MD5明文验证模式,验证字标识符为15,验证密钥为abc。(各参数仅为示例)
<Sysname> system-view
[Sysname] ospf 100
[Sysname-ospf-100] area 0
[Sysname-ospf-100-area-0.0.0.0] authentication-mode md5 15 plain abc
# 配置接口GigabitEthernet1/0/1采用MD5明文验证模式,验证字标识符为15,验证密钥为Ab&123456。(各参数仅为示例)
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ospf authentication-mode md5 15 plain Ab&123456
# 配置OSPFv3区域1使用keychain验证模式,keychain名为test(test仅为示例)。
<Sysname> system-view
[Sysname] ospfv3 1
[Sysname-ospfv3-1] area 1
[Sysname-ospfv3-1-area-0.0.0.1] authentication-mode keychain test
# 配置OSPFv3进程1区域0的安全框架为profile001(profile001仅为示例)。
<Sysname> system-view
[Sysname] ospfv3 1
[Sysname-ospfv3-1] area 0
[Sysname-ospfv3-1-area-0.0.0.0] enable ipsec-profile profile001
# 开启接口GigabitEthernet1/0/1的GTSM功能,并指定最大跳数为254(254仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ospf ttl-security hops 254
IS-IS提供邻居关系验证、区域验证以及路由域验证功能。设备将验证密钥按照设定的方式封装到相应的报文中,在接收报文时检查报文中携带的验证密钥,如果验证密钥不匹配,则该报文将被丢弃。不同的IS-IS安全加固策略应用场景不同,具体如下:
· 邻居关系验证:可以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。验证密钥将会按照设定的方式封装到Hello报文中,并检查接收到的Hello报文中携带的验证密钥,通过检查才会形成邻居关系,否则无法形成邻居关系。
· 区域验证:可以防止从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。验证密钥将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP)中,并检查收到的Level-1报文中携带的验证密钥,通过检查的Level-1报文才会被接收,否则该报文将会被丢弃。
· 路由域验证:可以防止将不可信的路由信息注入当前路由域。验证密钥将会按照设定的方式封装到Level-2报文(LSP、CSNP、PSNP)中,并检查收到的Level-2报文中携带的验证密钥,通过检查的Level-2报文才会被接收,否则该报文将会被丢弃。
# 为接口GigabitEthernet1/0/1配置邻居关系采用简单明文验证模式,验证密钥为Ab&123456(Ab&123456仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] isis authentication-mode simple plain Ab&123456
# 在IS-IS进程1下配置区域采用简单明文验证模式,验证密钥为Ab&123456(Ab&123456仅为示例)。
<Sysname> system-view
[Sysname] isis 1
[Sysname-isis-1] area-authentication-mode simple plain Ab&123456
# 配置路由域采用简单明文验证模式,认证密钥为Ab&123456(Ab&123456仅为示例)。
<Sysname> system-view
[Sysname] isis 1
[Sysname-isis-1] domain-authentication-mode simple plain Ab&123456
非法用户通过向设备发送大量BGP路由的方式对设备进行攻击,浪费系统资源,引起网络故障。
为了预防这种攻击,设备可以限制从指定对等体/对等体组接收路由的数量,并且在接收到的BGP路由达到配置值时,可以选择如下处理方式:
· 路由器中断与该对等体/对等体组的BGP会话,不再尝试重建会话。
· 路由器保持与该对等体/对等体组的BGP会话,可以继续接收路由,仅打印日志信息。
· 路由器保持与该对等体/对等体组的BGP会话,丢弃超出限制的路由,并打印日志信息。
· 路由器中断与该对等体/对等体组的BGP会话,经过指定的时间后自动与对等体/对等体组重建会话。
# 在BGP IPv4单播地址族视图下,设置允许从对等体1.1.1.1收到的路由数量为10000。如果从对等体1.1.1.1收到的路由数量超过10000,则断开与该对等体的会话。(各参数仅为示例)
<Sysname> system-view
[Sysname] bgp 109
[Sysname-bgp-default] address-family ipv4 unicast
[Sysname-bgp-default-ipv4] peer 1.1.1.1 route-limit 10000
攻击者可以冒充合法用户与设备建立BGP会话,或窃取并篡改BGP报文,影响BGP路由的学习。
BGP使用TCP作为其传输层协议,为了避免受到以上两种方式的攻击,可以为BGP对等体配置BGP的MD5认证或keychain认证:
· 为BGP建立TCP连接时进行MD5认证,只有两台设备配置的密钥相同时,才能建立TCP连接,从而避免与非法的设备建立TCP连接。
· 传递BGP报文时,对封装BGP报文的TCP报文段进行MD5运算,从而保证BGP报文不会被篡改。
· 为BGP建立TCP连接时,配置keychain认证,只有两台配置keychain认证的设备满足以下条件时才能正常建立TCP连接、交互BGP消息:
¡ 同一时间内使用的key的标识符相同。
¡ 相同标识符的key的认证算法和认证密钥一致。
# 在BGP实例视图下,配置本地路由器10.1.100.1与对等体10.1.100.2之间的BGP会话使用MD5认证,密钥为明文字符串358$aabbcc。(各参数仅为示例)
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] peer 10.1.100.2 password simple 358$aabbcc
# 在BGP实例视图下,配置IP地址为10.1.1.1的对等体使用名为abc的keychain认证。(各参数仅为示例)
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] peer 10.1.1.1 as-number 100
[Sysname-bgp-default] peer 10.1.1.1 keychain abc
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
支持 |
攻击者向网络设备发送大量有效的IP报文时,对网络设备造成CPU利用(CPU-utilization)等类型的攻击。
GTSM(Generalized TTL Security Mechanism,通用TTL安全保护机制)是一种简单易行的、对基于IP协议的上层业务进行保护的安全机制。GTSM通过检查接收到的IP报文头中的TTL值是否在一个预先定义好的范围内,来判断IP报文是否合法。用户可以指定本地设备到达某个对等体的最大跳数,则从该对等体接收到的BGP报文的合法TTL范围为255-“最大跳数”+1到255。只有来自该对等体的报文TTL值在该合法范围内时,才将报文上送CPU处理;否则,直接丢弃报文。另外,配置BGP GTSM功能后,设备会将发送报文的初始TTL设置为255。
对于直连EBGP对等体,GTSM可以提供最佳的保护效果;对于非直连EBGP或IBGP对等体,由于中间设备可能对TTL值进行篡改,GTSM的保护效果受到中间设备安全性的限制。
# 在BGP实例视图下,为已经创建的对等体组test开启BGP GTSM功能,并指定对等体组中的对等体到达本地设备的最大跳数为1。(各参数仅为示例)
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] peer test ttl-security hops 1
为了避免路由信息外泄或者非法者对设备进行恶意攻击,可以利用IPsec安全隧道对IPv6 BGP报文进行保护。通过IPsec提供的数据机密性、完整性、数据源认证等功能,确保IPv6 BGP报文不会被侦听或恶意篡改,并避免非法者构造IPv6 BGP报文对设备进行攻击。
在互为IPv6 BGP邻居的两台设备上都配置通过IPsec保护IPv6 BGP报文后,一端设备在发送IPv6 BGP报文时通过IPsec对报文进行加封装,另一端设备接收到报文后,通过IPsec对报文进行解封装。如果解封装成功,则接收该报文,正常建立IPv6 BGP对等体关系或学习IPv6 BGP路由;如果设备接收到不受IPsec保护的IPv6 BGP报文,或IPv6 BGP报文解封装失败,则会丢弃该报文。
# 配置IPsec安全提议和手工方式的IPsec安全框架。相关配置的详细介绍请参见“安全配置指导”中的“IPsec”。
# 在BGP实例视图下,为对等体组test应用安全框架profile001。(各参数仅为示例)
<Sysname> system-view
[Sysname] bgp 100
[Sysname-bgp-default] peer test ipsec-profile profile001
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
说明 |
|
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
恶意用户通过变换组地址,使用一些无效组播组频道加入,造成设备上建立大量无效表项,占用大量系统资源,导致正常用户的点播无法成功。
在使能了IGMP Snooping/MLD Snooping的二层设备上,通过配置组播组过滤器,可以限制用户对组播节目的点播。当用户点播某个组播节目时,主机会发起一个IGMP/MLD成员关系报告报文,该报文将在二层设备上接受组播组过滤器的检查,只有通过了检查,二层设备才会将该主机所属的端口加入到出端口列表中,从而达到控制用户点播组播节目的目的。
# 全局配置组播组过滤器,以限定VLAN 2内的主机只能加入组播组225.1.1.1。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 225.1.1.1 0
[Sysname-acl-ipv4-basic-2000] quit
[Sysname] igmp-snooping
[Sysname-igmp-snooping] group-policy 2000 vlan 2
# 全局配置IPv6组播组过滤器,以限定VLAN 2内的主机只能加入IPv6组播组FF03::101。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source ff03::101 128
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] mld-snooping
[Sysname-mld-snooping] group-policy 2000 vlan 2
# 在端口GigabitEthernet1/0/1上配置组播组过滤器,以限定端口GigabitEthernet1/0/1下VLAN 2内的主机只能加入组播组225.1.1.1。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 225.1.1.1 0
[Sysname-acl-ipv4-basic-2000] quit
[Sysname] interface gigabitethernet1/0/1
[Sysname-GigabitEthernet1/0/1] igmp-snooping group-policy 2000 vlan 2
# 在端口GigabitEthernet1/0/1上配置IPv6组播组过滤器,以限定端口GigabitEthernet1/0/1下VLAN 2内的主机只能加入IPv6组播组FF03::101。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source ff03::101 128
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] interface gigabitethernet1/0/1
[Sysname-GigabitEthernet1/0/1] mld-snooping group-policy 2000 vlan 2
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
在组播用户接入网络中,用户主机在某些情况下(比如测试)发出IGMP/MLD普遍组查询报文或IPv4/IPv6 PIM Hello报文,此时存在如下安全威胁:
· 如果二层设备收到了某用户主机发来的IGMP/MLD普遍组查询报文或IPv4/IPv6 PIM Hello报文,那么接收报文的端口就将成为动态路由器端口,从而使VLAN内的所有组播报文都会向该端口转发,导致该主机收到大量无用的组播报文。
· 用户主机发送IGMP/MLD普遍组查询报文或IPv4/IPv6 PIM Hello报文,也会影响该接入网络中三层设备上的组播路由协议状态(如影响IGMP/MLD查询器或DR的选举),严重时可能导致网络中断。
当配置了禁止端口成为动态路由器端口功能后,即使该端口收到了IGMP/MLD普遍组查询报文或IPv4/IPv6 PIM Hello报文,该端口也不会成为动态路由器端口,从而能够有效解决上述问题,提高网络的安全性和对组播用户的控制能力。
# 禁止端口GigabitEthernet1/0/1在VLAN 2内成为动态路由器端口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] igmp-snooping router-port-deny vlan 2
# 禁止端口GigabitEthernet1/0/1在VLAN 2内成为动态路由器端口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mld-snooping router-port-deny vlan 2
传统的组播业务对组播用户是不可控的,即对用户权限没有控制机制。用户可自行通过发送IGMP Report报文来加入某个组播组,接收该组播组的组播报文。从而导致非法或者越权的访问请求无法被甄别。
可以在设备上配置如下安全功能,增强对组播用户的管理和控制:
· 配置可控组播
通过在需要控制用户加入组播组权限的接口上开启可控组播功能,可以控制用户加入某个组播组的权限。当用户要求加入某个组播组时,对该用户的权限进行甄别,拒绝非法或者越权的访问。
· 配置IGMP/MLD用户接入策略
在User Profile下指定了某ACL规则作为IGMP/MLD用户的接入策略,当被授权此User Profile的用户上线后,设备将按照该规则对用户发送的IGMP/MLD成员关系报告报文进行过滤,只为该规则所允许的组播组维护组成员关系。
配置可控组播时,需要注意:
· 请勿使用IGMPv1版本,否则将无IGMP查询器可用。
· 可控组播功能只对本地上线用户生效,非本地上线用户或非上线用户不受此控制。
· 可控组播功能仅支持在BRAS设备上配置。
· 可控组播
# 在接口GigabitEthernet1/0/1上开启可控组播功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] igmp authorization-enable
# 在接口GigabitEthernet1/0/1上开启IPv6可控组播功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] mld authorization-enable
· IGMP/MLD用户接入策略
# 在名为abc的User Profile下配置只允许IGMP用户加入组播组225.1.1.2。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 225.1.1.2 0
[Sysname-acl-ipv4-basic-2000] quit
[Sysname] user-profile abc
[Sysname-user-profile-abc] igmp access-policy 2000
# 在名为abc的User Profile下配置只允许MLD用户加入IPv6组播组FF03::101。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source ff03::101 128
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] user-profile abc
[Sysname-user-profile-abc] mld access-policy 2000
在PIM域中,设备上每个运行了PIM协议的接口通过定期向本网段的所有PIM设备(224.0.0.13)组播PIM Hello报文来发现PIM邻居,维护各设备之间的PIM邻居关系,从而构建和维护SPT。当设备上存在大量恶意Hello报文时,正常的PIM邻居建立机制受到干扰,导致PIM邻居关系无法正确建立,继而设备受到各种PIM协议报文攻击。
可以通过在接口上配置Hello报文过滤器,通过ACL规则限制合法的Hello报文源地址范围,从而丢弃恶意的报文,提高设备对PIM协议报文处理的安全性。
# 在接口GigabitEthernet1/0/1上配置合法Hello报文的源地址范围,只允许与来自网段10.1.1.0/24中的设备建立PIM邻居关系。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl basic 2000
[Sysname-acl-ipv4-basic-2000] rule permit source 10.1.1.0 0.0.0.255
[Sysname-acl-ipv4-basic-2000] quit
[Sysname] interface gigabitethernet1/0/1
[Sysname-GigabitEthernet1/0/1] pim neighbor-policy 2000
# 在接口GigabitEthernet1/0/1上配置合法Hello报文的源地址范围,只允许与来自网段FE80:101::101/64中的设备建立IPv6 PIM邻居关系。(各参数仅为示例)
<Sysname> system-view
[Sysname] acl ipv6 basic 2000
[Sysname-acl-ipv6-basic-2000] rule permit source fe80:101::101 64
[Sysname-acl-ipv6-basic-2000] quit
[Sysname] interface gigabitethernet1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 pim neighbor-policy 2000
通过在MSDP对等体上配置MD5认证功能,为TCP连接设置MD5认证密钥并由TCP完成认证。只有认证通过,才可以正常建立TCP连接,从而阻止非法报文的恶意攻击。
参与MD5认证的两端MSDP对等体必须配置相同的认证方式和密钥,否则将由于不能通过认证而无法建立TCP连接。
# 在公网实例中配置与MSDP对等体10.1.100.1建立TCP连接时进行MD5认证,并以明文方式设置密钥为850$aabbcc。(各参数仅为示例)
<Sysname> system-view
[Sysname] msdp
[Sysname-msdp] peer 10.1.100.1 password simple 850$aabbcc
LDP消息中的内容容易被窃取和篡改。当设备收到攻击者伪造的LDP报文时,会与之建立TCP连接,从而被攻击者捕获设备信息,造成设备重要信息泄露。
为了提高LDP会话的安全性,可以配置在LDP会话使用的TCP连接上采用MD5认证,来验证LDP消息的完整性,防止网络攻击和恶意探测。
# 配置公网LDP的MD5认证功能:与对等体3.3.3.3建立的LDP会话上采用MD5认证,以明文方式设置密钥,密钥值为pass。(各参数仅为示例)
<Sysname> system-view
[Sysname] mpls ldp
[Sysname-ldp] md5-authentication 3.3.3.3 plain pass
为了防止伪造的资源预留请求非法占用网络资源,RSVP采用逐跳认证机制来验证RSVP消息的合法性。一条链路两端的设备上需要配置相同的认证密钥,只有这样,设备之间才可以正确地交互RSVP消息。
RSVP认证功能可以在如下视图配置:
· RSVP视图:该视图下的配置对所有RSVP SA生效。
· RSVP邻居视图:该视图下的配置只对与指定RSVP邻居之间的RSVP SA生效。
· 接口视图:该视图下的配置只对根据指定接口下的配置生成的RSVP SA生效。
三个视图下配置的优先级从高到低依次为:RSVP邻居视图、接口视图、RSVP视图。
# 在RSVP视图下全局开启RSVP认证功能,并指定认证密钥为明文@aa2019(@aa2019仅为示例)。
<Sysname> system-view
[Sysname] rsvp
[Sysname-rsvp] authentication key plain @aa2019
# 在RSVP邻居视图下开启本地设备与邻居1.1.1.9之间的认证功能,并指定认证密钥为明文@aa2019(@aa2019仅为示例)。
<Sysname> system-view
[Sysname] rsvp
[Sysname-rsvp] peer 1.1.1.9
[Sysname-rsvp-peer-1.1.1.9] authentication key plain @aa2019
# 在接口GigabitEthernet1/0/1上开启RSVP认证功能,并配置认证密钥为明文@aa2019(@aa2019仅为示例)。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] rsvp authentication key plain @aa2019
设备上的控制平面是指运行大部分路由交换协议进程的处理单元,它的主要工作是进行协议报文的解析和协议的运行。与之相对应的核心物理实体是CPU,它具备灵活的报文处理能力,但数据吞吐能力有限。如果大量协议报文同时上送CPU,会使CPU一直忙于处理协议报文而无法顾及其它任务,最终导致过载甚至设备瘫痪。
可以通过QoS策略实现协议报文限速:在流分类中配置匹配指定协议报文的规则,在流行为中配置限速动作,最后将QoS策略应用在控制平面上,达到对上送CPU的协议报文速率进行限制的目的,保证CPU的正常运转。
# 定义流分类c,配置匹配控制平面DHCP协议报文的规则(DHCP仅为示例)。
<Sysname> system-view
[Sysname] traffic classifier c
[Sysname-classifier-c] if-match control-plane protocol dhcp
[Sysname-classifier-c] quit
# 定义流行为b,动作为报文限速,速率为500个报文每秒(500仅为示例)。
[Sysname] traffic behavior b
[Sysname-behavior-b] packet-rate 500
[Sysname-behavior-b] quit
# 定义策略p,并为流分类c指定流行为b。
[Sysname] qos policy p
[Sysname-qospolicy-p] classifier c behavior b
[Sysname-qospolicy-p] quit
# 将策略p应用到控制平面(集中式设备)。
[Sysname] control-plane
[Sysname-cp] qos apply policy p inbound
# 将策略p应用到指定slot的控制平面(分布式设备-独立运行模式)(集中式IRF设备)。
[Sysname] control-plane slot 1
[Sysname-cp-slot1] qos apply policy p inbound
# 将策略p应用到指定成员设备指定slot的控制平面(分布式设备-IRF模式)。
[Sysname] control-plane chassis 1 slot 1
[Sysname-cp-chassis1-slot1] qos apply policy p inbound
VAM(VPN Address Management,VPN地址管理)协议负责收集、维护和分发动态变化的公网地址等信息,采用Client/Server模型。ADVPN网络中的节点(称为ADVPN节点)作为VAM Client。当公网地址变化时,VAM Client将当前公网地址注册到VAM Server。ADVPN节点通过VAM协议从VAM Server获取另一端ADVPN节点的当前公网地址,从而实现在两个节点之间动态建立跨越IP核心网络的ADVPN隧道。
预共享密钥是VAM Server用来和VAM Client建立安全通道的公共密钥材料。在连接初始化阶段,预共享密钥可以用来生成保护连接请求、连接响应报文的初始密钥;连接建立完成后,预共享密钥还可以用来生成保护后续报文的连接密钥。
同一个ADVPN域内的VAM Server和VAM Client上配置的预共享密钥必须一致。
# 以明文方式配置ADVPN域1中VAM Server的预共享密钥为SdU$123(SdU$123仅为示例)。
<Sysname> system-view
[Sysname] vam server advpn-domain 1 id 1
[Sysname-vam-server-domain-1] pre-shared-key simple SdU$123
# 以明文方式配置VAM Client的预共享密钥为SdU$123(SdU$123仅为示例)。
<Sysname> system-view
[Sysname] vam client name abc
[Sysname-vam-client-abc] pre-shared-key simple SdU$123
VAM Server根据配置的报文完整性验证、加密算法以及优先级与VAM Client发送的算法列表进行协商,协商后的算法分别作为两端协议报文的完整性验证算法和加密算法。
VAM Server与VAM Client固定使用SHA-1验证算法和AES-CBC-128加密算法对连接初始化请求和响应报文进行完整性验证和加密保护;使用协商出来的验证算法和加密算法对其他VAM协议报文进行完整性验证和加密保护。
验证/加密算法在配置中的出现顺序决定其使用优先级。配置中越靠前的验证/加密算法,其优先级越高。
修改验证/加密算法对已经注册的VAM Client没有影响,新注册的VAM Client将采用修改后的算法进行协商。
# 设置在ADVPN域1中使用的验证算法优先级从高到低依次为MD5、SHA-1和SHA-256。
<Sysname> system-view
[Sysname] vam server advpn-domain 1 id 1
[Sysname-vam-server-domain-1] authentication-algorithm md5 sha-1 sha-256
# 设置在ADVPN域1中使用的加密算法优先级从高到低依次为AES-CBC-128和3DES-CBC。
<Sysname> system-view
[Sysname] vam server advpn-domain 1 id 1
[Sysname-vam-server-domain-1] encryption-algorithm aes-cbc-128 3des-cbc
为了确保VAM server上记录的VAM client信息的准确性,避免非法用户错误地注册或修改VAM client信息,VAM server支持采用AAA对VAM client进行身份认证。VAM client上配置认证用户名和密码;在注册阶段,VAM client将该用户名和密码发送给VAM server;VAM server验证用户名和密码是否正确,只有通过身份认证的VAM Client才可以接入到ADVPN域。
采用AAA认证VAM client身份时,可选择PAP或CHAP认证方式。VAM Server端AAA的具体配置请参见“安全配置指导”中的“AAA”。
如果配置时指定的认证ISP域不存在,则VAM Server对VAM Client的身份认证会失败。
修改认证方式对已经注册的VAM Client没有影响,新注册的VAM Client将按照修改后的认证方式进行身份认证。
# 配置ADVPN域1对VAM Client采用CHAP方式进行身份认证,认证使用的ISP域为用户配置的系统默认域。
<Sysname> system-view
[Sysname] vam server advpn-domain 1 id 1
[Sysname-vam-server-domain-1] authentication-method chap
# 设置VAM Client abc的认证用户名为user,以明文方式设置用户密码为&192Qtest(user和&192Qtest仅为示例)。
<Sysname> system-view
[Sysname] vam client name abc
[Sysname-vam-client-abc] user user password simple &192Qtest
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
CAPWAP隧道中传输报文,可能会被外部网络恶意攻击、截获报文,然后对报文内容进行更改或者伪造报文,攻击网络环境中的AC等设备。
CAPWAP隧道加密功能使用DTLS(Datagram Transport Layer Security,数据包传输层安全性协议)协议对CAPWAP控制隧道和数据隧道中交互的隧道报文进行加密处理,从而保障了CAPWAP隧道报文的安全性。
开启CAPWAP隧道加密功能后:
· AC回复AP的Discovery Response报文中将携带加密标志位,AP接收到Discovery Response报文后将与该AC进行DTLS握手,然后完成CAPWAP隧道的建立。在AP与AC完成DTLS握手后交互的CAPWAP控制隧道报文将被加密传输。
· AP在收到AC回复的第一个数据隧道保活报文(keepalive报文)后,将与AC通过控制隧道交换包括密钥在内的加密信息,交换完成后再对CAPWAP数据隧道报文进行加密传输(不加密Keepalive报文)。
# 在AP1上开启AP的CAPWAP控制隧道加密功能。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA4320i-ACN
[Sysname-wlan-ap-ap1] tunnel encryption enable
This operation will restart the AP. Continue? [Y/N]
# 在AP1上开启AP的CAPWAP数据隧道加密功能。
<Sysname> system-view
[Sysname] wlan ap ap1 model WA4320i-ACN
[Sysname-wlan-ap-ap1] data-tunnel encryption enable
This operation will restart the AP. Continue? [Y/N]
在实际WLAN网络应用中,若非法客户端接入无线服务,会泄露无线用户的个人信息并向设备发起一系列安全攻击,比如对AP发起泛洪报文攻击,使AP不能正常工作,对无线网络的安全造成威胁。
通过配置客户端接入控制功能,使用黑白名单和ACL规则限制接入无线网络的客户端,可以过滤非法客户端,确保无线网络的安全。
当配置了客户端二次接入认证的时间间隔或者AP收到客户端的攻击报文时,AC才会将该客户端的MAC地址添加到动态黑名单中:
· 配置动态黑名单基于AP生效,AP将拒绝该客户端的接入,但仍可以从AC下的其他AP接入。
· 配置动态黑名单基于AC生效,AC下相连的所有AP都将拒绝该客户端接入。
动态黑名单表项具有一定的老化时间。当到达老化时间时,AC会将MAC地址从动态黑名单中删除。
在AP部署较密集的无线网络环境下,建议用户配置动态黑名单基于AC生效。
新配置的动态黑名单老化时间只对新加入动态黑名单的客户端生效。
若客户端同时存在于白名单和动态黑名单中时,则白名单生效。
· 配置使用黑白名单限制接入WLAN网络的客户端
# 配置允许接入WLAN网络的白名单表项为001c-f0bf-9c92(001c-f0bf-9c92仅为示例)。
<Sysname> system-view
[Sysname] wlan whitelist mac-address 001c-f0bf-9c92
# 配置禁止接入WLAN网络的静态黑名单表项为001c-f0bf-9c92(001c-f0bf-9c92仅为示例)。
<Sysname> system-view
[Sysname] wlan static-blacklist mac-address 001c-f0bf-9c92
# 配置动态黑名单基于AC生效。(仅以基于AC生效为例)(无线AC应用)
<Sysname> system-view
[Sysname] undo wlan dynamic-blacklist active-on-ap
# 配置客户端二次接入认证的时间间隔为100秒。
[Sysname] wlan client reauthentication-period 100
# 配置动态黑名单表项的老化时间为3600秒(3600仅为示例)。
[Sysname] wlan dynamic-blacklist lifetime 3600
· 配置使用ACL规则限制接入WLAN网络的客户端
# 配置ACL 4000(仅以基于接入的ACL规则为例)(各参数仅为示例)。
<Sysname> system-view
[Syname] acl mac 4000
[Syname-acl-mac-4000] rule 0 permit source-mac 001e-35b2-000e ffff-ffff-ffff
[Syname-acl-mac-4000] rule 1 permit source-mac 000e-35b2-000f ffff-ff00-0000
[Syname-acl-mac-4000] rule 2 deny
[Syname-acl-mac-4000] quit
# 在AP下,配置基于ACL的接入控制为4000,仅允许MAC地址为001e-35b2-000e以及匹配OUI(Organizationally unique identifier,组织唯一标识符)值为000e-35的无线客户端接入(各参数仅为示例)。(无线AC应用)
[Sysname] wlan ap ap1 model WA4320i-ACN
[Sysname-wlan-ap-ap1] access-control acl 4000
# 在无线服务模板下,配置基于ACL的接入控制为4000,仅允许MAC地址为001e-35b2-000e以及匹配OUI控制方式的无线客户端接入(各参数仅为示例)。(无线FAT AP应用)
[Sysname] wlan service-template service1
[Sysname-wlan-st-service1] access-control acl 4000
WLAN用户接入认证是一种基于用户的安全接入管理机制,根据用户MAC地址来进行访问控制。如果不对接入WLAN网络的用户进行身份认证,则任何用户都可以随意接入,会对无线网络安全造成严重威胁。
WLAN用户接入认证主要包括802.1X、MAC地址认证和OUI认证三种认证方式:
· 802.1X认证系统使用EAP(Extensible Authentication Protocol,可扩展认证协议)来实现客户端、设备端和认证服务器之间认证信息的交换。
· MAC地址认证不需要用户安装任何客户端软件。设备在检测到用户的MAC地址以后,对该用户进行认证操作。认证过程中,不需要用户手动输入用户名或者密码,若该用户认证成功,则允许其访问网络资源,否则该用户则无法访问网络资源。
· OUI(Organizationally Unique Identifier,全球统一标识符)是MAC地址的前24位(二进制),是IEEE为不同设备供应商分配的一个全球唯一的标识符。采用OUI认证方式后,如果用户的MAC地址与设备配置的OUI能匹配上,则认证成功,否则认证失败。
WLAN用户接入认证支持以下几种认证模式:
表4-2 WLAN用户接入认证模式描述表
|
认证模式 |
工作机制 |
入侵检测 |
|
|
缺省情况 |
bypass |
不对用户进行认证 |
无效 |
|
采用802.1X认证 |
dot1x |
只进行802.1X认证 |
可触发 |
|
采用MAC地址认证 |
mac |
只进行MAC地址认证 |
可触发 |
|
采用802.1X和MAC地址认证组合认证 |
mac-then-dot1x |
先进行MAC地址认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证 |
可触发 |
|
dot1x-then-mac |
先进行802.1X认证,如果失败,再进行MAC地址认证,如果认证成功,则不进行MAC地址认证 |
||
|
oui-then-dot1x |
先进行OUI认证,如果失败,再进行802.1X认证,如果认证成功,则不进行802.1X认证 |
||
关于WLAN用户接入认证的详细介绍,请参见“WLAN配置指导”中的“WLAN用户接入认证”。
如果无线网络未采取任何安全措施,则任何用户都可以接入,既占用大量网络资源,又容易使无线网络遭受攻击和窃听。通过配置WLAN用户安全可以对用户进行链路层认证并对数据进行加密保护。
配置WLAN用户安全协议后,客户端发现周围的无线网络,需要通过链路层认证、链路服务协商和用户接入认证,才能安全地访问无线网络。WLAN用户安全协议提供的服务主要包括:
· 链路认证服务
· 数据加密服务
· 用户接入认证服务
WLAN用户安全协议主要包括Pre-RSNA、802.11i和802.11w。其中,Pre-RSNA机制最早出现,安全机制不太完善;802.11i协议是对Pre-RSNA的增强,但仅对无线网络的数据报文进行了加密保护;802.11w建立在802.11i框架上,对无线网络的管理帧进行保护,进一步增强了无线网络的安全性。
· Pre-RSNA安全机制采用开放式系统认证(Open system authentication)和共享密钥认证(Shared key authentication)两种认证模式来进行客户端认证,并且采用WEP加密方式对数据进行加密来保护数据机密性,以对抗窃听。
· 802.11i安全机制又被称为RSNA(Robust Security Network Association,健壮安全网络连接)安全机制,包括WPA(Wi-Fi Protected Access,Wi-Fi保护访问)和RSN(Robust Security Network,健壮安全网络)两种安全模式:
¡ WPA是一种比WEP加密性能更强的安全机制。在802.11i协议完善前,采用WPA为用户提供一个临时性的WLAN安全增强解决方案。
¡ RSN是按照802.11i协议为用户提供的一种WLAN安全解决方案。
· 保护管理帧功能通过保护无线网络中的管理帧来完善无线网络的安全性。802.11w保护的管理帧包括解除认证帧,解除关联帧和部分强壮Action帧。
关于WLAN用户安全的详细信息,请参见“WLAN配置指导”中的“WLAN用户安全”。
目前,针对无线网络的安全协议都是由国外提出的,例如Pre-RSNA、802.11i和802.11w,也即WEP、WPA/WPA2和保护管理帧功能。而WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)是中国提出的以802.11无线协议为基础的无线安全标准,它能提供比WEP和WPA/WPA2更强的安全性,对于增强中国的实力和维护国家安全具有重要意义。
WAPI采用证书认证方式和预共享密钥认证方式对客户端身份的合法性进行认证,并且采用单播密钥协商和组播密钥通告对客户端和与AC之间交互的单播/组播数据进行保护。
WAPI协议由以下两部分构成:
· WAI(WLAN Authentication Infrastructure,无线局域网鉴别基础结构):用于实现身份认证和密钥管理的安全方案。
· WPI(WLAN Privacy Infrastructure,无线局域网保密基础结构):用于对传输数据进行保护的安全方案,包括数据加解密和重放保护等功能。
关于WAPI的详细信息,请参见“WLAN配置指导”中的“WAPI”。
在WLAN组网环境中,非法设备可能存在安全漏洞或被攻击者操纵,对无线网络的安全造成严重危害。WIPS(Wireless Intrusion Prevention System,无线入侵防御系统)是针对802.11协议开发的二层协议检测和防护功能。WIPS通过对信道进行监听及分析处理,从中检测出威胁网络安全、干扰网络服务、影响网络性能的无线行为或设备,并能够对非法设备进行反制使其它无线终端无法与其关联。
关于WIPS的详细信息,请参见“WLAN配置指导”中的“WIPS”。
分层AC组网中,如果不针对地域和级别进行管理员权限划分,可能会导致某分支的管理员跨职责对其它分支或总部的AC和AP进行查看和配置,引发全网网络问题。另外,一旦非法人员取得了重要权限,如超级管理员权限,在Central AC上进行非法操作,将对该Central AC管辖的无线接入网络带来重大的影响。
在Central AC上可以按照地域为不同的管理员指定不同的权限,以便对不同管理员的权限进行精细化限制。
为AP组/RRM保持调整组/无线服务模板标记指定的地区标识后,该AP组/调整组/无线服务模板将在逻辑上被划分到地区标识所标识的地域。
在Web页面上,系统将根据管理员的用户角色过滤AP组/RRM保持调整组/无线服务模板,管理员只能查看并管理如下信息:
· 与用户角色的地区标识相同的AP组/RRM保持调整组/无线服务模板。
· 标记了default-location的AP。
· 标记了默认地区标识的RRM保持调整组。
· 标记了default-location的无线服务模板。
· 配置Central AC(仅以AP组为例)(本例中各参数仅为示例)
# 配置开启Central AC设备的Telnet服务,管理员登录设备时采用AAA认证。
<CentralAC> system-view
[CentralAC] telnet server enable
[CentralAC] line vty 0 5
[CentralAC-line-vty0-5] authentication-mode scheme
[CentralAC-line-vty0-5] quit
# 创建名称为localac-b的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。
[CentralAC] wlan local-ac name localac-b model WX3520H
[CentralAC-wlan-local-ac-localac-b] serial-id 210235A1BSC123000050
[CentralAC-wlan-local-ac-localac-b] quit
# 创建名称为localac-c的Local AC,指定型号为WX3520H,并配置该Local AC的序列号。
[CentralAC] wlan local-ac name localac-c model WX3520H
[CentralAC-wlan-local-ac-localac-c] serial-id 210235A1BSC123000051
[CentralAC-wlan-local-ac-localac-c] quit
# 创建型号为WA4320i-ACN的ap1,并配置ap1的序列号。
[CentralAC] wlan ap ap1 model WA4320i-ACN
[CentralAC-wlan-ap-ap1] serial-id 210235A29G007C000020
# 开启ap1的二次发现AC功能。
[CentralAC-wlan-ap-ap1] control-address enable
[CentralAC-wlan-ap-ap1] quit
# 创建型号为WA4320i-ACN的ap2,并配置ap2的序列号。
[CentralAC] wlan ap ap2 model WA4320i-ACN
[CentralAC-wlan-ap-ap2] serial-id 210235A29G007C000022
# 开启ap2的二次发现AC功能。
[CentralAC-wlan-ap-ap2] control-address enable
[CentralAC-wlan-ap-ap2] quit
# 创建型号为WA4320i-ACN的ap3,并配置ap3的序列号。
[CentralAC] wlan ap ap3 model WA4320i-ACN
[CentralAC-wlan-ap-ap3] serial-id 210235A29G007C000024
# 开启ap3的二次发现AC功能。
[CentralAC-wlan-ap-ap3] control-address enable
[CentralAC-wlan-ap-ap3] quit
# 创建型号为WA4320i-ACN的ap4,并配置ap4的序列号。
[CentralAC] wlan ap ap4 model WA4320i-ACN
[CentralAC-wlan-ap-ap4] serial-id 210235A29G007C000026
# 开启ap4的二次发现AC功能。
[CentralAC-wlan-ap-ap4] control-address enable
[CentralAC-wlan-ap-ap4] quit
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
[CentralAC] interface vlan-interface 100
[CentralAC-Vlan-interface100] ip address 10.0.0.1 24
[CentralAC-Vlan-interface100] quit
# 创建地区标识areab和areac。
[CentralAC] wlan location areab
[CentralAC] wlan location areac
# 创建用户角色b。
[CentralAC] role name b
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-b] rule 1 permit read write execute xml-element
[CentralAC-role-b] rule 2 permit read write execute web-menu
# 进入地区标识策略视图并配置允许用户操作的地区标识areab。
[CentralAC-role-b] location policy deny
[CentralAC-role-b-locationpolicy] permit location areab
[CentralAC-role-b-locationpolicy] quit
[CentralAC-role-b] quit
# 创建用户角色c。
[CentralAC] role name c
# 配置基于XML元素、Web菜单的规则。
[CentralAC-role-c] rule 1 permit read write execute xml-element
[CentralAC-role-c] rule 2 permit read write execute web-menu
# 进入地区标识策略视图并配置允许用户操作的地区标识areac。
[CentralAC-role-c] location policy deny
[CentralAC-role-c-locationpolicy] permit location areac
[CentralAC-role-c-locationpolicy] quit
[CentralAC-role-c] quit
# 配置本地用户admin。
[CentralAC] local-user admin
# 配置用户admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-admin] service-type http https
[CentralAC-luser-manage-admin] quit
# 创建并配置本地用户b-admin。
[CentralAC] local-user b-admin
# 配置用户b-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-b-admin] service-type http https
# 设置用户b-admin的密码。
[CentralAC-luser-manage-b-admin] password simple badmin$321
# 指定用户b-admin的授权角色为b。
[CentralAC-luser-manage-b-admin] authorization-attribute user-role b
# 为保证用户仅使用授权的用户角色b,删除用户b-admin的缺省用户角色network-operator。
[CentralAC-luser-manage-b-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-b-admin] quit
# 创建并配置本地用户c-admin。
[CentralAC] local-user c-admin
# 配置用户c-admin可以使用HTTP与HTTPS服务。
[CentralAC-luser-manage-c-admin] service-type http https
# 设置用户c-admin的密码。
[CentralAC-luser-manage-c-admin] password simple cadmin$321
# 指定用户c-admin的授权角色为c。
[CentralAC-luser-manage-c-admin] authorization-attribute user-role c
# 为保证用户仅使用授权的用户角色c,删除用户c-admin的缺省用户角色network-operator。
[CentralAC-luser-manage-c-admin] undo authorization-attribute user-role network-operator
[CentralAC-luser-manage-c-admin] quit
# 创建AP组groupb,将AP 1与AP 2加入该组中。
[CentralAC] wlan ap-group groupb
[CentralAC-wlan-ap-group-groupb] ap ap1 ap2
# 标记AP组groupb的地区为标识areab。
[CentralAC-wlan-ap-group-groupb] location areab
[CentralAC-wlan-ap-group-groupb] quit
# 创建AP组groupc,将AP 3与AP 4加入该组中。
[CentralAC] wlan ap-group groupc
[CentralAC-wlan-ap-group-groupc] ap ap3 ap4
# 标记AP组groupc的地区标识为areac。
[CentralAC-wlan-ap-group-groupc] location areac
[CentralAC-wlan-ap-group-groupc] quit
· 配置Local AC-B(本例中各参数仅为示例)
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
<LocalAC-B> system-view
[LocalAC-B] interface vlan-interface 100
[LocalAC-B-Vlan-interface100] ip address 10.0.0.2 24
[LocalAC-B-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-B] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-B] wlan central-ac ip 10.0.0.1
· 配置Local AC-C(本例中各参数仅为示例)
# 创建Vlan-interface100接口并配置IP地址,该地址用于在Local AC与Central AC间建立管理通道。
<LocalAC-C> system-view
[LocalAC-C] interface vlan-interface 100
[LocalAC-C-Vlan-interface100] ip address 10.0.0.3 24
[LocalAC-C-Vlan-interface100] quit
# 开启Local AC功能。
[LocalAC-C] wlan local-ac enable
# 配置Central AC的IP地址。
[LocalAC-C] wlan central-ac ip 10.0.0.1
· 在Web页面中查看管理员信息(本例中各参数仅为示例)
# 在Web页面上登录超级管理员账号,查看并管理所有AP。
图4-1 超级管理员登录界面
# 在Web页面上登录地区B管理员账号,查看、管理地区B分部的AP。
图4-2 地区B管理员登录界面
# 在Web页面上登录地区C管理员账号,查看、管理地区C分部的AP。
图4-3 地区B管理员登录界面
DRS(DPI Report Statistics,深度报文检测信息统计)利用DPI(Deep Packet Inspection,深度报文检测)机制,将检测出的用户应用和URL的会话信息进行分类存储并发送给绿洲平台服务器。
设备和绿洲平台可以实时监测用户访问无线网络的应用和URL会话信息,防止非法应用和URL会话信息对无线网络造成威胁。
关于WLAN DRS的详细介绍请参见“WLAN配置指导”中的“WLAN DRS”。
报文监控管理是指设备会根据配置的报文审计方式对经过上行接口的报文进行解析,并将相应数据发送给指定的服务器进行网络审计和监管。
目前,设备支持对接的审计服务器包括兴荣服务器、任子行服务器和携网服务器。
有关报文监控管理的详细介绍请参见“WLAN配置指导”中的“报文监控管理”。
配置DLDP认证模式和密码后,设备将接收的DLDP报文的认证信息与本端配置的认证信息进行比较,若一致则认证通过,否则丢弃该报文。DLDP的认证模式包括:不认证、明文认证和MD5认证。
通过配置适当的DLDP认证模式和密码,可以防止网络攻击和恶意探测。
# 配置Device A和Device B通过光纤/网线连接的接口间的DLDP认证模式均为明文认证,认证密码均为1458abc$3。(各参数仅为示例)
· Device A上的配置:
<DeviceA> system-view
[DeviceA] dldp authentication-mode simple
[DeviceA] dldp authentication-password simple 1458abc$3
· Device B上的配置:
<DeviceB> system-view
[DeviceB] dldp authentication-mode simple
[DeviceB] dldp authentication-password simple 1458abc$3
非法用户构造VRRP通告报文攻击VRRP备份组,导致VRRP备份组无法正常运行。
VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文。VRRP提供了两种认证方式:
· simple:简单字符认证。发送VRRP报文的路由器将认证字填入到VRRP报文中,而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文。
· md5:MD5认证。发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在Authentication Header(认证头)中。收到VRRP报文的路由器会利用认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文。
MD5认证比简单字符认证更安全,但是MD5认证需要进行额外的运算,占用的系统资源较多。
一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的成员需要设置相同的认证方式和认证字。
使用VRRPv3版本的IPv4 VRRP不支持认证。使用VRRPv3版本时,此配置不会生效。
# 设置接口GigabitEthernet1/0/1上备份组1发送和接收IPv4 VRRP报文的认证方式为simple,认证字为Sysname。(各参数仅为示例)
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] vrrp vrid 1 authentication-mode simple plain Sysname
本地设备收到伪造的BFD报文,例如包含错误状态信息的BFD时,BFD会话状态发生变化,从而引起会话震荡,破坏BFD节点间的正常会话。
在建立控制报文方式的BFD会话时,设备将认证信息封装到BFD控制报文中,在接收BFD控制报文时进行认证信息的检查,如果认证信息不匹配,则无法建立BFD会话。
# 配置接口GigabitEthernet1/0/1对单跳BFD控制报文进行简单明文认证,认证字标识符为1,密钥为&Pk123456。(各参数仅为示例)
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] bfd authentication-mode simple 1 plain &Pk123456
# 配置多跳BFD控制报文进行简单明文认证,认证字标识符为1,密钥为&Pk123456。(各参数仅为示例)
<Sysname> system-view
[Sysname] bfd multi-hop authentication-mode simple 1 plain &Pk123456
一个使用NTP协议同步时间的网络中,如果没有配置NTP验证,非法的时间服务器就可以随意向网络中的设备发送时间同步信息,可能导致设备同步到错误的时间。
可以通过关联ACL来限制对端设备对本地设备上NTP服务的访问控制权限。
NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。
· peer:完全访问权限。该权限既允许对端设备向本地设备的时间同步,对本地设备进行控制查询(查询NTP的一些状态,比如告警信息、验证状态、时间服务器信息等),同时本地设备也可以向对端设备的时间同步。
· server:服务器访问与查询权限。该权限允许对端设备向本地设备的时间同步,对本地设备进行控制查询,但本地设备不会向对端设备的时间同步。
· synchronization:仅具有访问服务器的权限。该权限只允许对端设备向本地设备的时间同步,但不能进行控制查询。
· query:仅具有控制查询的权限。该权限只允许对端设备对本地设备的NTP服务进行控制查询,但是不能向本地设备的时间同步。
以上定义的访问控制权限都可以关联ACL,由ntp-service { peer | query | server | synchronization } acl命令配置。设备一旦收到NTP服务请求时,会先对其执行ACL规则匹配再为其分配ACL关联的访问控制权限。具体匹配规则如下:
当设备接收到NTP服务请求时,会按照权限从高到低的顺序依次进行匹配。匹配原则为:
· 如果没有指定权限应用的ACL或权限应用的ACL尚未创建,则继续匹配下一个权限。
· 如果所有的权限都没有应用ACL或权限应用的ACL尚未创建,则所有对端设备对本地设备NTP服务的访问控制权限均为peer。
· 如果存在应用了ACL的权限,且该ACL已经创建,则只有NTP服务请求匹配了某个权限应用的ACL中的permit规则,发送该NTP服务请求的对端设备才会具有该访问控制权限。其他情况下(NTP服务请求匹配某个权限应用的ACL中的deny规则或没有匹配任何权限的任何规则),发送该NTP服务请求的对端设备不具有任何权限。
配置NTP服务的访问控制权限,仅提供了一种最小限度的安全措施,更安全的方法是使用NTP验证功能。
# 创建并配置与访问权限关联的ACL。
具体配置请参见“ACL和QoS配置指导”中的“ACL”
# 配置对端设备对本地设备NTP服务的访问控制权限(2001仅为示例)。
<Sysname> system-view
[Sysname] ntp-service peer acl 2001
网络上大多数信息都需要记录时间,如果设备从非法的时间服务器上获取了时间信息,则会导致设备同步到错误的时间。
NTP通过验证功能来对接收到的NTP报文进行合法性验证。只有报文通过验证后,设备才会接收该报文,并从中获取时间同步信息;否则,设备会丢弃该报文。从而,保证设备不会与非法的时间服务器进行时间同步,避免时间同步错误。
图4-4 NTP验证功能示意图
如图4-4所示,NTP验证功能的工作过程为:
(1) NTP报文发送者利用密钥ID标识的密钥对NTP报文进行加密运算,并将计算出来的摘要信息连同NTP报文和密钥ID一起发送给接收者。
(2) 接收者接收到该NTP报文后,根据报文中的密钥ID找到对应的密钥,并利用该密钥对报文进行相同的加密运算。接收者将运算结果与报文中的摘要信息比较,依据比较结果,有以下两种情况:
¡ 比较结果不相同,则丢弃该报文。
¡ 比较结果相同,则检查NTP报文发送者是否有权在本端使用该密钥ID,检查通过,则接收该报文;否则,丢弃该报文。
客户端和服务器、主动对等体和被动对等体、广播客户端和广播服务器、组播客户端和组播服务器上进行不同的配置时,NTP验证结果有所不同,详细介绍请参见表4-3、表4-4、表4-5、表4-6。其中,表格中的“-”表示不管此项是否配置。
|
客户端 |
服务器 |
结果 |
|||
|
身份验证 |
关联密钥 |
关联密钥存在且为可信密钥 |
身份验证 |
关联密钥存在且为可信密钥 |
|
|
是 |
是 |
是 |
是 |
是 |
身份验证成功 |
|
是 |
是 |
是 |
是 |
否 |
身份验证失败 |
|
是 |
是 |
是 |
否 |
- |
身份验证失败 |
|
是 |
是 |
否 |
- |
- |
身份验证失败 |
|
是 |
否 |
- |
- |
- |
不进行身份验证 |
|
否 |
- |
- |
- |
- |
不进行身份验证 |
表4-4 主动对等体和被动对等体上进行不同配置时的NTP验证结果
|
主动对等体 |
被动对等体 |
结果 |
||||
|
身份验证 |
关联密钥 |
关联密钥存在且为可信密钥 |
时钟层数 |
身份验证 |
关联密钥存在且为可信密钥 |
|
|
是 |
是 |
是 |
- |
是 |
是 |
身份验证成功 |
|
是 |
是 |
是 |
- |
是 |
否 |
身份验证失败 |
|
是 |
是 |
是 |
- |
否 |
- |
身份验证失败 |
|
是 |
否 |
- |
- |
是 |
- |
身份验证失败 |
|
是 |
否 |
- |
- |
否 |
- |
不进行身份验证 |
|
否 |
- |
- |
- |
是 |
- |
身份验证失败 |
|
否 |
- |
- |
- |
否 |
- |
不进行身份验证 |
|
是 |
是 |
否 |
大于被动对等体 |
- |
- |
身份验证失败 |
|
是 |
是 |
否 |
小于被动对等体 |
是 |
- |
身份验证失败 |
|
是 |
是 |
否 |
小于被动对等体 |
否 |
- |
不进行身份验证 |
表4-5 广播客户端和广播服务器上进行不同配置时的NTP验证结果
|
广播服务器 |
广播客户端 |
结果 |
|||
|
身份验证 |
关联密钥 |
关联密钥存在且为可信密钥 |
身份验证 |
关联密钥存在且为可信密钥 |
|
|
是 |
是 |
是 |
是 |
是 |
身份验证成功 |
|
是 |
是 |
是 |
是 |
否 |
身份验证失败 |
|
是 |
是 |
是 |
否 |
- |
身份验证失败 |
|
是 |
是 |
否 |
是 |
- |
身份验证失败 |
|
是 |
是 |
否 |
否 |
- |
不进行身份验证 |
|
是 |
否 |
- |
是 |
- |
身份验证失败 |
|
是 |
否 |
- |
否 |
- |
不进行身份验证 |
|
否 |
- |
- |
是 |
- |
身份验证失败 |
|
否 |
- |
- |
否 |
- |
不进行身份验证 |
表4-6 组播客户端和组播服务器上进行不同配置时的NTP验证结果
|
组播服务器 |
组播客户端 |
结果 |
|||
|
身份验证 |
关联密钥 |
关联密钥存在且为可信密钥 |
身份验证 |
关联密钥存在且为可信密钥 |
|
|
是 |
是 |
是 |
是 |
是 |
身份验证成功 |
|
是 |
是 |
是 |
是 |
否 |
身份验证失败 |
|
是 |
是 |
是 |
否 |
- |
身份验证失败 |
|
是 |
是 |
否 |
是 |
- |
身份验证失败 |
|
是 |
是 |
否 |
否 |
- |
不进行身份验证 |
|
是 |
否 |
- |
是 |
- |
身份验证失败 |
|
是 |
否 |
- |
否 |
- |
不进行身份验证 |
|
否 |
- |
- |
是 |
- |
身份验证失败 |
|
否 |
- |
- |
否 |
- |
不进行身份验证 |
· 配置客户端/服务器模式的NTP验证功能。
# 开启客户端的NTP验证功能。
<DeviceA> system-view
[DeviceA] ntp-service authentication enable
# 在NTP客户端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP客户端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceA] ntp-service reliable authentication-keyid 42
# 在NTP客户端指定与编号42密钥关联的NTP服务器。
[DeviceA] ntp-service unicast-server 1.1.1.1 authentication-keyid 42
# 开启服务器端的NTP验证功能。
<DeviceB> system-view
[DeviceB] ntp-service authentication enable
# 在NTP服务器端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP服务器端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceB] ntp-service reliable authentication-keyid 42
· 配置对等体模式的NTP验证功能。
# 开启主动对等体的NTP验证功能。
<DeviceA> system-view
[DeviceA] ntp-service authentication enable
# 在NTP主动对等体创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP主动对等体配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceA] ntp-service reliable authentication-keyid 42
# 在NTP主动对等体指定与编号42密钥关联的NTP被动对等体。
[DeviceA] ntp-service unicast-peer 1.1.1.1 authentication-keyid 42
# 开启被动对等体的NTP验证功能。
<DeviceB> system-view
[DeviceB] ntp-service authentication enable
# 在NTP被动对等体创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP被动对等体配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceB] ntp-service reliable authentication-keyid 42
· 配置广播模式的NTP验证功能。
# 开启广播客户端的NTP验证功能。
<DeviceA> system-view
[DeviceA] ntp-service authentication enable
# 在NTP广播客户端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP广播客户端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceA] ntp-service reliable authentication-keyid 42
# 开启广播服务器端的NTP验证功能。
<DeviceB> system-view
[DeviceB] ntp-service authentication enable
# 在NTP广播服务器端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP广播服务器端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceB] ntp-service reliable authentication-keyid 42
# 将NTP广播服务器与编号42密钥关联。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ntp-service broadcast-server authentication-keyid 42
· 配置组播模式的NTP验证功能。
# 开启组播客户端的NTP验证功能。
<DeviceA> system-view
[DeviceA] ntp-service authentication enable
# 在NTP组播客户端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceA] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP组播客户端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceA] ntp-service reliable authentication-keyid 42
# 开启组播服务器端的NTP验证功能。
<DeviceB> system-view
[DeviceB] ntp-service authentication enable
# 在NTP组播服务器端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP组播服务器端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceB] ntp-service reliable authentication-keyid 42
# 将NTP组播服务器与编号42密钥关联。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ntp-service multicast-server 224.0.1.1 authentication-keyid 42
网络上大多数信息都需要记录时间,如果设备从非法的时间服务器上获取了时间信息,则会导致设备同步到错误的时间。
SNTP通过验证功能来对接收到的SNTP报文进行合法性验证。只有报文通过验证后,设备才会接收该报文,并从中获取时间同步信息;否则,设备会丢弃该报文。从而,保证设备不会与非法的时间服务器进行时间同步,避免时间同步错误。
图4-5 SNTP验证功能示意图
如图4-4所示,SNTP验证功能的工作过程为:
(1) SNTP报文发送者利用密钥ID标识的密钥对SNTP报文进行加密运算,并将计算出来的摘要信息连同SNTP报文和密钥ID一起发送给接收者。
(2) 接收者接收到该SNTP报文后,根据报文中的密钥ID找到对应的密钥,并利用该密钥对报文进行相同的加密运算。接收者将运算结果与报文中的摘要信息比较,依据比较结果,有以下两种情况:
¡ 比较结果不相同,则丢弃该报文。
¡ 比较结果相同,则检查SNTP报文发送者是否有权在本端使用该密钥ID,检查通过,则接收该报文;否则,丢弃该报文。
客户端需要将指定密钥与对应的NTP服务器关联,并保证服务端有权在本端使用该密钥ID进行验证。
如果客户端没有成功启用SNTP验证功能,不论服务器端是否开启验证功能,客户端均可以与服务器端同步。
· 配置客户端。
# 开启SNTP客户端的身份验证功能。
<DeviceA> system-view
[DeviceA] sntp authentication enable
# 在SNTP客户端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceA] sntp authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在SNTP客户端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceA] sntp reliable authentication-keyid 42
# 在SNTP客户端指定与编号42密钥关联的NTP服务器。
[DeviceA] sntp unicast-server 1.1.1.1 authentication-keyid 42
· 配置服务器端。
# 开启服务器端的NTP验证功能。
<DeviceB> system-view
[DeviceB] ntp-service authentication enable
# 在NTP服务器端创建编号为42的NTP验证密钥,密钥值为aNiceKey,以明文形式输入。(各参数仅为示例)
[DeviceB] ntp-service authentication-keyid 42 authentication-mode md5 simple aNiceKey
# 在NTP服务器端配置编号为42的密钥为可信密钥(42仅为示例)。
[DeviceB] ntp-service reliable authentication-keyid 42
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
移动路由器向家乡代理发送的注册报文中携带安全参数索引和认证密钥,只有通过验证的移动路由器才可以与家乡代理建立连接。
移动路由器与家乡代理建立连接后,可以通过在隧道接口上应用IPSec安全策略来保护双方传输的数据。
# 配置IPsec安全策略,指定安全协议、认证算法和加密算法、封装模式等安全参数。
IPsec安全策略的详细内容请参见“安全配置指导”中的“IPsec”。
# 配置到家乡代理的SA,家乡代理地址为2.2.2.2,SPI值为100,以明文形式设置密钥,密钥为@1abcdefg。(各参数仅为示例)
[Sysname] ip mobile secure home-agent 2.2.2.2 spi 100 key ascii simple @1abcdefg
# 在动态隧道接口上应用指定的IPsec安全策略policy1(policy1仅为示例)。
[Sysname] ip mobile router
[Sysname-mobile-router] ipsec policy policy1
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
接入同一个设备不同接口的多台主机中,若某台主机存在安全隐患,受到攻击后向同一VLAN内的其他主机发送大量单播、组播或广播报文,甚至传播病毒,会影响其他主机、占用网络带宽。通过端口隔离功能,将需要隔离的端口加入到同一个隔离组中,实现隔离组中端口之间的二层隔离,尽可能的将受到攻击时波及的范围控制在一个端口内,提高了网络的安全性。
关于端口隔离的详细信息,请参见“二层技术-以太网交换”中的“端口隔离”。
当设备收到广播、组播或未知单播流量时,设备会向同一广播域内的其他接口转发这些报文,这样可能导致广播风暴,降低设备转发性能。
通过部署风暴抑制,对设备收到的广播、组播或未知单播流量进行监测和控制,可以防止产生广播风暴。
部署风暴抑制后,如果收到的广播/组播/未知单播流量超过用户设置的抑制阈值,系统会丢弃超出流量限制的报文,从而限制网络中的泛洪流量,保证网络业务的正常运行。
# 在以太网接口GigabitEthernet1/0/1上开启广播、组播和未知单播风暴抑制功能,每秒最多允许10000kbps广播、组播和未知单播报文通过,对超出该范围的报文进行抑制。(各参数仅为示例)
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] broadcast-suppression kbps 10000
[Sysname-GigabitEthernet1/0/1] multicast-suppression kbps 10000
[Sysname-GigabitEthernet1/0/1] unicast-suppression kbps 10000
# 配置名为vpn1的VSI的广播、组播、未知单播抑制带宽均为100kbps。(各参数仅为示例)
<Sysname> system-view
[Sysname] vsi vpn1
[Sysname-vsi-vpn1] restrain broadcast 100
[Sysname-vsi-vpn1] restrain multicast 100
[Sysname-vsi-vpn1] restrain unknown-unicast 100
未知组播数据报文是指在IGMP Snooping/MLD Snooping转发表中不存在对应转发表项的组播数据报文,若未开启丢弃未知组播数据报文功能,二层设备将在未知组播数据报文所属的VLAN内广播该报文。这样可能导致广播风暴,降低设备转发性能。
开启了丢弃未知组播数据报文功能后,二层设备只向其路由器端口转发未知组播数据报文,不在VLAN内广播;如果二层设备没有路由器端口,未知组播数据报文报文会被丢弃,不再转发。相对于广播处理,这种方式可以降低瞬时带宽占用率。
# 全局开启丢弃未知组播数据报文功能。
<Sysname> system-view
[Sysname] igmp-snooping
[Sysname-igmp-snooping] drop-unknown
# 全局开启丢弃未知IPv6组播数据报文功能。
<Sysname> system-view
[Sysname] mld-snooping
[Sysname-mld-snooping] drop-unknown
# 在VLAN 2内使能IGMP Snooping,并开启丢弃未知组播数据报文功能。
<Sysname> system-view
[Sysname] igmp-snooping
[Sysname-igmp-snooping] quit
[Sysname] vlan 2
[Sysname-vlan2] igmp-snooping enable
[Sysname-vlan2] igmp-snooping drop-unknown
# 在VLAN 2内使能MLD Snooping,并开启丢弃未知IPv6组播数据报文功能。
<Sysname> system-view
[Sysname] mld-snooping
[Sysname-mld-snooping] quit
[Sysname] vlan 2
[Sysname-vlan2] mld-snooping enable
[Sysname-vlan2] mld-snooping drop-unknown
当出于网络安全的考虑需要禁止某个用户发送和接收报文时,可以将对应的MAC地址设置为黑洞MAC地址表项,当设备收到的报文源MAC地址或目的MAC地址与黑洞MAC地址表项匹配时,该报文被丢弃。
# 将000f-e201-0101配置为黑洞MAC地址表项(000f-e201-0101仅为示例)。
<Sysname> system-view
[Sysname] mac-address blackhole 000f-e201-0101 vlan 2
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
不支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
支持 |
设备的MAC地址学习功能通常处于开启状态。有时为了保证设备的安全,需要关闭MAC地址学习功能。例如,非法用户使用大量源MAC地址不同的报文攻击设备,导致设备MAC地址表资源耗尽,造成设备无法根据网络的变化更新MAC地址表。关闭MAC地址学习功能可以有效防止这种攻击。
# 关闭全局MAC地址学习功能。
<Sysname> system-view
[Sysname] undo mac-address mac-learning enable
# 关闭VLAN 10的MAC地址学习功能。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] undo mac-address mac-learning enable
# 关闭端口GigabitEthernet1/0/1的MAC地址学习功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo mac-address mac-learning enable
# 关闭名为vpn1的VSI的MAC地址学习功能。
<Sysname> system-view
[Sysname] vsi vpn1
[Sysname-vsi-vpn1] undo mac-learning enable
IPsec是一组安全协议集合,能够为承载于IP协议上的数据提供包括发送方认证、完整性验证和机密性保证等一整套安全服务,其包括AH(Authentication Header,认证头)、ESP(Encapsulating Security Payload,封装安全载荷)、IKE(Internet Key Exchange,互联网密钥交换)和IKEv2(Internet Key Exchange Version 2,互联网密钥交换第2版)等协议。其中,AH协议和ESP协议用于提供安全服务,IKE协议和IKEv2协议用于密钥交换。
关于IPsec的详细信息,请参见“安全配置指导”中的“IPsec”。
常见的网络数据保护技术大都针对单播数据,而对音频、视频广播和组播文件等组播和广播数据的保护技术比较薄弱,从而使组播和广播数据的传输面临严重的安全威胁。
Group Domain VPN(Group Domain Virtual Private Network,组域虚拟专用网络)是一种实现密钥和IPsec安全策略集中管理的点到多点无隧道连接VPN解决方案,主要用于保护组播流量,例如音频、视频广播和组播文件的安全传输。该方案提供了一种基于组的IPsec安全模型,属于同一个组的所有成员共享相同的安全策略及密钥。
关于Group Domain VPN的详细介绍,请参见“安全配置指导”中的“Group Domain VPN”。
如果设备收到被篡改的GRE数据报文或非法客户端伪造的GRE报文,会遭受到不可预知的攻击。
GRE支持GRE Key验证、校验和验证两种安全机制。
· GRE Key验证
通过GRE Key验证可以检查报文的合法性。
发送方在发送的报文中携带本地配置的GRE Key。接收方收到报文后,将报文中的GRE Key与接收方本地配置的GRE Key进行比较,如果一致则对报文进行进一步处理,否则丢弃该报文。
· GRE校验和验证
通过GRE校验和验证可以检查报文的完整性。
发送方根据GRE头及Payload信息计算校验和,并将包含校验和信息的报文发送给对端。接收方对接收到的报文计算校验和,并与报文中的校验和比较,如果一致则对报文进行进一步处理,否则丢弃该报文。
· # 在隧道模式为GRE的Tunnel接口上开启GRE报文校验和功能。
<Sysname> system-view
[Sysname] interface tunnel 2 mode gre
[Sysname-Tunnel2] gre checksum
· # 设置GRE类型Tunnel接口的GRE Key为@bd123(@bd123仅为示例)。
<Sysname> system-view
[Sysname] interface tunnel 2 mode gre
[Sysname-Tunnel2] gre key @bd123
ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)是一种基于VAM(VPN Address Management,VPN地址管理)协议的动态VPN技术。
在企业网各分支机构使用动态地址接入公网的情况下,可以利用ADVPN在各分支机构间建立动态VPN。
缺省情况下,ADVPN建立的动态VPN对内部传输的报文没有任何的保护,很容易被攻击者窃听和篡改。
设备支持使用IPsec来保护ADVPN数据报文和控制报文的传递。
# 配置IPsec安全框架,指定安全协议、认证算法和加密算法、封装模式等安全参数。
具体配置请参见“安全配置指导”中的“IPsec”。
# 配置使用IPsec安全框架prf1来保护接口Tunnel1的ADVPN报文(prf1仅为示例)。
<Sysname> system-view
[Sysname] interface tunnel 1 mode advpn gre
[Sysname-Tunnel1] tunnel protection ipsec profile prf1
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
不支持 |
mGRE(Multipoint Generic Routing Encapsulation,多点通用路由封装)是一种基于NHRP(Next Hop Resolution Protocol,下一跳地址解析协议)的动态VPN技术。
正常情况下,mGRE建立的动态VPN对企业内网中传输的数据没有任何的保护,很容易遭到攻击和窃听。
设备支持用IPsec来保护mGRE隧道数据报文和控制报文。
# 配置IPsec安全框架,指定安全协议、认证算法和加密算法、封装模式等安全参数。具体配置请参见“安全配置指导”中的“IPsec”。
# 在mGRE隧道接口上应用IPsec安全框架abc(各参数仅为示例)。
<Sysname> system-view
[Sysname] interface tunnel 0 mode mgre
[Sysname-Tunnel0] tunnel protection ipsec profile abc
ACL(Access Control List,访问控制列表)是一系列用于识别报文流的规则的集合。ACL需要与其他功能配合使用,例如报文过滤、QoS策略和策略路由等。这些功能通过引用ACL对收发报文进行精确识别,并对命中ACL规则的报文执行预先设定的策略,达到控制网络访问行为和提高网络带宽利用率等目的。
根据规则制订依据的不同,可以将ACL分为如表5-1所示的几种类型。
表5-1 ACL的分类
|
ACL类型 |
编号范围 |
适用的IP版本 |
规则制订依据 |
|
无线客户端ACL |
100~199 |
IPv4和IPv6 |
无线客户端连接的SSID(Service Set Identifier,服务集标识符) |
|
无线接入点ACL |
200~299 |
IPv4和IPv6 |
无线接入点的MAC地址和序列号 |
|
基本ACL |
2000~2999 |
IPv4 |
报文的源IPv4地址 |
|
IPv6 |
报文的源IPv6地址 |
||
|
高级ACL |
3000~3999 |
IPv4 |
报文的源IPv4地址、目的IPv4地址、报文优先级、IPv4承载的协议类型及特性等三、四层信息 |
|
IPv6 |
报文的源IPv6地址、目的IPv6地址、报文优先级、IPv6承载的协议类型及特性等三、四层信息 |
||
|
二层ACL |
4000~4999 |
IPv4和IPv6 |
报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型等二层信息 |
|
用户自定义ACL |
5000~5999 |
IPv4和IPv6 |
以报文头为基准,指定从报文的第几个字节开始与掩码进行“与”操作,并将提取出的字符串与用户定义的字符串进行比较,从而找出相匹配的报文 |
关于ACL的详细信息,请参见“ACL和QoS配置指导”中的“ACL”。
网络和设备在运行过程中,业务系统可能会因为外部的攻击流量引发系统过载或异常,最终导致业务不可用。通过流量过滤功能可以禁止某些流量特征的报文通过,保护网络和设备的正常运行,保证合法流量的正常转发。
流量过滤功能通过QoS策略实现。将配置了流量过滤动作的QoS策略应用在指定位置(接口、全局或VLAN等),对符合流分类的流执行过滤动作(允许或禁止通过)。例如,可以根据网络的实际情况禁止从某个源IP地址发送过来的报文通过。
# 定义高级ACL 3000,匹配源IP地址为10.0.0.2的数据流。(各参数仅为示例)
<Device> system-view
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule permit ip source 10.0.0.2 0
[Device-acl-ipv4-adv-3000] quit
# 定义类classifier_1,匹配高级ACL 3000。
[Device] traffic classifier classifier_1
[Device-classifier-classifier_1] if-match acl 3000
[Device-classifier-classifier_1] quit
# 定义流行为behavior_1,动作为流量过滤(deny),对数据包进行丢弃。
[Device] traffic behavior behavior_1
[Device-behavior-behavior_1] filter deny
[Device-behavior-behavior_1] quit
# 定义策略policy,为类classifier_1指定流行为behavior_1。
[Device] qos policy policy
[Device-qospolicy-policy] classifier classifier_1 behavior behavior_1
[Device-qospolicy-policy] quit
# 将策略policy应用到端口GigabitEthernet1/0/1的入方向上。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] qos apply policy policy inbound
IP Source Guard功能用于对接口收到的报文进行过滤控制。IP Source Guard功能通常配置在接入用户侧的接口上,以防止非法用户报文通过,限制对网络资源的非法使用(比如非法主机仿冒合法用户IP接入网络),提高接口的安全性。
关于IP Source Guard的详细信息,请参见“安全配置指导”中的“IP Source Guard”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
支持 |
包过滤防火墙可以对匹配的数据流进行转发限制,仅放行信任的报文。但为了保证设备发起的请求能够正常收到应答报文,包过滤防火墙必须双向放行。这种情况下则无法限制不受信任的网络对设备发起威胁攻击或非法请求。
为了解决包过滤防火墙存在的问题,提出了状态防火墙——ASPF(Advanced Stateful Packet Filter,高级状态包过滤)的概念。ASPF和包过滤防火墙协同工作,包过滤防火墙负责按照ACL规则进行报文过滤(阻断或放行),ASPF负责对已放行报文进行信息记录,使已放行的报文的回应报文可以正常通过配置了包过滤防火墙的接口。这样既可保证设备发起的请求能够正常收到应答报文,又能阻断不信任网络主动对设备发起的攻击。
关于ASPF的详细信息,请参见“安全配置指导”中的“ASPF”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
支持 |
对于使用基于IP地址验证用户身份的应用来说,基于源地址欺骗的攻击手段可能导致未被授权用户以他人,甚至是管理员的身份获得访问系统的权限。即使响应报文没有发送给攻击者或其它主机,此攻击方法也可能会造成对被攻击对象的破坏。
攻击者也可能同时伪造不同源地址的攻击报文或者同时攻击多个服务器,造成网络阻塞甚至网络瘫痪。
uRPF可以有效防范上述攻击。一般情况下,设备在收到报文后会根据报文的目的地址对报文进行转发或丢弃。而uRPF可以在转发表中查找报文源地址对应的接口是否与报文的入接口相匹配,如果不匹配则认为源地址是伪装的并丢弃该报文,从而有效地防范网络中基于源地址欺骗的恶意攻击行为的发生。
关于uRPF的详细信息,请参见“安全配置指导”中的“uRPF”。
SMA(State Machine based Anti-spoofing,基于状态机的伪造源地址检查)是一种IPv6自治系统间端到端的源地址验证方案。SMA通过检查报文的源IPv6地址和报文标签,来防止伪造源IPv6地址的攻击。
关于SMA的详细信息,请参见“安全配置指导”中的“SMA”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
支持 |
|
VSR虚拟路由器 |
不支持 |
当Voice VLAN工作在普通模式下时,当端口加入Voice VLAN后,只要接收到携带Voice VLAN Tag的报文都会将其在Voice VLAN中进行转发,而不再进行源MAC地址是否为语音设备OUI地址的检查。对于PVID就是Voice VLAN的手工模式端口,会导致任意的Untagged报文都可以在Voice VLAN中传输。这样的处理方式很容易使Voice VLAN受到恶意用户的流量攻击。恶意用户可以构造大量带有Voice VLAN Tag或Untagged的报文,占用Voice VLAN的带宽,影响正常的语音通信。
对于较不安全的网络,可以将Voice VLAN配置为安全模式。安全模式下,设备将对每一个要进入Voice VLAN传输的报文进行源MAC地址匹配检查,当报文的源MAC地址是可识别的OUI地址时,允许该报文在Voice VLAN内传输,否则将该报文丢弃。从而增加了安全性。
建议用户尽量不要在Voice VLAN中同时传输语音和业务数据。如确有此需要,请确认Voice VLAN的安全模式已关闭,否则业务数据会被丢弃。
# 开启Voice VLAN的安全模式。
<Sysname> system-view
[Sysname] voice-vlan security enable
网络连接通常由报文五元组(源IP地址、源端口号、目的IP地址、目的端口号和协议类型)表示,用于标识一条端到端的数据流。在以下场景中,有必要对流经设备的特定数据流进行限制:
· 外网主机与内网服务器建立大量连接,消耗服务器的连接资源,影响其处理性能,使其不能为其他用户提供正常服务。
· 外网主机直接与设备建立大量连接,挤占设备的处理资源,降低其服务性能。
· 内网主机与外网服务器建立大量连接,消耗网关设备的表项资源(如NAT表项),使其他内网用户无法与外网进行正常通信。
设备提供多粒度阈值方式限制匹配指定ACL的新建连接的数量,管理员可基于报文源IP地址、目的IP地址和服务(目的端口号与协议类型)等粒度的不同组合来配置阈值,并可同时限制新建连接的速率。
关于连接数限制的详细信息,请参见“安全配置指导”中的“连接数限制”。
部署于公网的网关设备,以及位于网关设备下游的主机或服务器容易受到各类单包攻击、扫描攻击和泛洪攻击等DoS(Denial of Service,拒绝服务)攻击的侵害。受到DoS攻击的设备往往无法对正常用户的请求作出响应。
设备支持对如下DoS攻击进行有效防范:
· 单包攻击:ICMP redirect、ICMP unreachable、ICMP type、ICMPv6 type、Land、Large ICMP、Large ICMPv6、IP option、IP option abnormal、Fragment、Impossible、Tiny fragment、Smurf、TCP Flag、Traceroute、Winnuke、UDP Bomb、UDP Snork、UDP Fraggle、Teardrop、Ping of death、IPv6 ext-header
· 扫描攻击:IP Sweep、Port scan、分布式Port scan
· 泛洪攻击:SYN flood、ACK flood、SYN-ACK flood、FIN flood、RST flood、DNS flood、DNS reply flood、HTTP flood、SIP flood、ICMP flood、ICMPv6 flood、UDP flood
关于DoS攻击检测与防范的详细信息,请参见“安全配置指导”中的“攻击检测与防范”。
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击是一类利用分布在互联网中的主机或服务器发起的攻击行为,旨在暂时性或永久性地瘫痪目标的网络服务能力。其拥有比传统DoS(Denial of Service,拒绝服务)攻击更大的攻击流量以及更强的隐蔽性,因此检测与防范DDoS攻击将更加困难。
DDoS攻击检测与防范功能利用分布式架构,由专业的检测设备和清洗设备分别负责DDoS攻击的检测与防范,并采用基于防护对象的层次化清洗策略,逐步检测和过滤DDoS攻击流量,能针对各类DDoS攻击进行有效防范。
关于DDoS攻击检测与防范的详细信息,请参见“安全配置指导”中的“DDoS攻击检测与防范”。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
SR6600/SR6600-X系列路由器 |
支持 |
|
MSR系列路由器 |
不支持 |
|
VSR虚拟路由器 |
支持 |
传统的包过滤防火墙仅可以基于五元组对报文进行控制,但无法对具有攻击特征的报文进行深度识别,一旦设备遭到黑客攻击、病毒入侵,则可能导致设备瘫痪,无法正常转发数据。
安全策略是一种基于安全域的高级包过滤技术。安全策略不仅包含包过滤防火墙对匹配流量进行放行或丢弃的功能,还融合了应用识别以及报文深度检测功能。通过在不同的源安全域与目的安全域Local之间应用安全策略规则,并引用DPI业务(入侵防御系统、URL过滤、数据过滤、文件过滤、防病毒),可有效防范病毒、黑客对设备的攻击行为,全方位保护设备。
关于安全策略的详细信息,请参见“安全配置指导”中的“安全策略”。
支持
