华为ME60多业务控制网关V800R011C10配置指南-安全加固资源-CSDN文库

版权申诉

73 浏览量 2022-04-02 09:37:04 上传评论收藏 1.99MB PDF 举报

资源推荐

资源详情

资源评论

HUAWEI ME60 多业务控制网关

V800R011C10

配置指南 - 安全加固

文档版本 02

发布日期 2019-09-30

华为技术有限公司

1 前言.................................................................................................................................................. 1

2 概述................................................................................................................................................... 5

2.1 信息安全概述................................................................................................................................................................ 5

2.2 网络安全的基本原则.................................................................................................................................................... 6

3 网络安全威胁分析........................................................................................................................... 8

4 ME 设备安全脆弱性分析..............................................................................................................10

5 ME 设备安全风险评估..................................................................................................................12

6 ME 设备安全体系架构..................................................................................................................15

6.1 概述.............................................................................................................................................................................. 15

6.2 遵循 X.805 的三面安全隔离与防御机制.................................................................................................................. 17

6.3 ME 设备控制面安全防御能力................................................................................................................................... 18

6.4 ME 设备转发面安全防御能力................................................................................................................................... 20

6.5 ME 设备管理面安全防御能力................................................................................................................................... 24

7 ME 设备安全加固策略..................................................................................................................26

7.1 Level-1 的安全加固策略（必配）.............................................................................................................................27

7.1.1 管理平面................................................................................................................................................................... 27

7.1.1.1 设备默认账号与缺省密码清单............................................................................................................................ 27

7.1.1.2 接入认证安全描述................................................................................................................................................ 28

7.1.1.2.1 CONSOLE...........................................................................................................................................................28

7.1.1.2.2 AAA 用户管理....................................................................................................................................................29

7.1.1.2.3 SSH......................................................................................................................................................................31

7.1.1.2.4 SNMP.................................................................................................................................................................. 35

7.1.1.3 废弃不安全的访问通道........................................................................................................................................ 38

7.1.1.3.1 配置通过 SFTP 进行文件操作举例.................................................................................................................. 39

7.1.1.4 关闭不使用的业务和端口.................................................................................................................................... 41

7.1.1.4.1 配置关闭 FTP 端口操作举例............................................................................................................................ 41

7.1.1.5 日志信息安全........................................................................................................................................................ 42

7.1.1.6 安全审计................................................................................................................................................................ 43

7.1.2 控制平面................................................................................................................................................................... 44

7.1.2.1 NTP.........................................................................................................................................................................44

7.1.3 转发平面................................................................................................................................................................... 45

HUAWEI ME60 多业务控制网关

配置指南 - 安全加固目录

7.1.3.1 泛洪攻击防护........................................................................................................................................................ 45

7.1.3.1.1 基于 CPCAR 报文速率限制的 CPU 防护........................................................................................................ 46

1. CPCAR 的配置方法和步骤.......................................................................................................................................... 46

2. CPCAR 配置示例.......................................................................................................................................................... 47

7.2 Level-2 的安全加固策略（选配）.............................................................................................................................60

7.2.1 管理平面................................................................................................................................................................... 60

7.2.1.1 Telnet...................................................................................................................................................................... 60

7.2.1.2 TFTP.......................................................................................................................................................................64

7.2.1.3 FTP......................................................................................................................................................................... 65

7.2.1.4 HWTACACS 用户管理......................................................................................................................................... 68

7.2.1.5 RADIUS 用户管理................................................................................................................................................ 68

7.2.1.6 GRPC......................................................................................................................................................................69

7.2.1.7 安全风险查询........................................................................................................................................................ 70

7.2.1.8 网管和 GNE 设备之间 SSL 连接证书有效期查询............................................................................................. 71

7.2.1.9 带外网管................................................................................................................................................................ 72

7.2.1.9.1 管理口绑定 VPN................................................................................................................................................ 72

7.2.1.9.2 通过 Ma-defend 禁止从业务面上送管理协议报文..........................................................................................74

7.2.1.9.3 通过 MPAC 禁止从业务面上送管理协议报文................................................................................................ 75

7.2.1.10 基于 VPN 的带内网管........................................................................................................................................ 76

7.2.1.10.1 选择一个业务口绑定管理 VPN...................................................................................................................... 76

7.2.1.10.2 通过 Ma-defend 禁止从其他业务口上送管理协议报文................................................................................77

7.2.1.10.3 通过 MPAC 禁止从其他业务口上送管理协议报文...................................................................................... 79

7.2.1.11 基于公网的带内网管.......................................................................................................................................... 80

7.2.1.11.1 选择一个业务接口和 Loopback 接口，作为管理接口................................................................................. 81

7.2.1.11.2 通过 Ma-defend 禁止从其他业务口上送管理协议报文................................................................................81

7.2.1.11.3 通过 MPAC 禁止从其他业务口上送管理协议报文...................................................................................... 83

7.2.1.11.4 服务器对呼入呼出的限制............................................................................................................................... 84

7.2.2 控制平面................................................................................................................................................................... 85

7.2.2.1 ARP........................................................................................................................................................................ 85

7.2.2.1.1 ARP 欺骗攻击.................................................................................................................................................... 86

7.2.2.1.2 ARP 泛洪攻击.................................................................................................................................................... 87

7.2.2.2 IPv4 协议栈............................................................................................................................................................89

7.2.2.2.1 GTSM.................................................................................................................................................................. 89

7.2.2.2.2 应用层联动......................................................................................................................................................... 91

7.2.2.2.3 管理平面防护（IPv4）......................................................................................................................................92

7.2.2.2.4 攻击防范............................................................................................................................................................. 93

7.2.2.3 本机防攻击............................................................................................................................................................ 95

7.2.2.3.1 畸形报文攻击防范............................................................................................................................................. 95

7.2.2.3.2 分片报文攻击防范............................................................................................................................................. 97

7.2.2.3.3 TCP Syn Flood 攻击........................................................................................................................................... 99

7.2.2.3.4 UDP Flood 攻击................................................................................................................................................100

7.2.2.3.5 ICMP Flood 攻击.............................................................................................................................................. 101

HUAWEI ME60 多业务控制网关

配置指南 - 安全加固目录

7.2.2.3.6 ND 非法报文攻击防范.................................................................................................................................... 101

7.2.2.4 BGP/BGP4+......................................................................................................................................................... 102

7.2.2.5 OSPF/OSPFv3...................................................................................................................................................... 109

7.2.2.6 RIP/RIPng.............................................................................................................................................................113

7.2.2.7 ISIS/ISISv6........................................................................................................................................................... 116

7.2.2.8 MPLS.................................................................................................................................................................... 118

7.2.2.8.1 RSVP 协议........................................................................................................................................................ 118

7.2.2.8.2 LDP 协议...........................................................................................................................................................123

7.2.2.9 MCAST 组播....................................................................................................................................................... 127

7.2.2.9.1 三层组播........................................................................................................................................................... 127

7.2.2.9.2 二层组播........................................................................................................................................................... 136

7.2.2.10 VRRP..................................................................................................................................................................137

7.2.2.11 E-TRUNK...........................................................................................................................................................138

7.2.2.12 MSTP..................................................................................................................................................................139

7.2.2.13 GRE.................................................................................................................................................................... 140

7.2.2.14 BFD.................................................................................................................................................................... 140

7.2.2.15 PPP......................................................................................................................................................................141

7.2.2.16 IPv6 协议栈........................................................................................................................................................141

7.2.2.16.1 IPv6 安全邻居发现.........................................................................................................................................141

7.2.2.16.2 管理平面防护（IPv6）..................................................................................................................................144

7.2.2.17 DHCP..................................................................................................................................................................145

7.2.2.17.1 伪服务器检测................................................................................................................................................. 146

7.2.2.17.2 DoS 攻击......................................................................................................................................................... 146

7.2.2.17.3 仿冒续租报文................................................................................................................................................. 147

7.2.2.17.4 非法 ARP 报文攻击....................................................................................................................................... 147

7.2.2.17.5 非法 IP 报文攻击............................................................................................................................................148

7.2.3 转发平面................................................................................................................................................................. 148

7.2.3.1 典型垃圾流量过滤.............................................................................................................................................. 148

7.2.3.2 安全管理中心...................................................................................................................................................... 150

7.2.3.2.1 安全管理中心的配置方案和步骤................................................................................................................... 151

7.2.3.3 利用硬件实现会话自动应答的 CPU 防护........................................................................................................ 152

8 缩略语表....................................................................................................................................... 154

HUAWEI ME60 多业务控制网关

配置指南 - 安全加固目录