一、网络安全
城域网面临来自Internet的各种网络安全风险,包括网络设备入侵、拒绝服务攻击、路由欺骗、QoS服务的破坏以及针对网络系统开启的其它一些网络管理、控制协议进行网络攻击等。针对城域网存在的安全风险,通过网络管理层平面、控制平面以及数据平面来进行安全加固,强化城域网的抗攻击能力。
1、管理平面
1. 使用ACL对VTY端口访问进行限制;
2. 设置较短的非活动超时,比如15分钟;
3. 使用AAA来保护设备;
4. 设置有安全警告字样的登录标语;
5. 使用SSHv2协议取代传统Telnet保护登录安全,使用密钥生成RSA加密字符串,并启用SSHv2协议:
6. 关闭不必要的服务
no service finger
no service pad
no service udp-small-servers
no service tcp-small-servers
no ip bootp server
no ip source-route
no ip http
no service dhcp
no cdp run
no ip redirects
no ip directed-broadcast
no ip proxy-arp
2、控制平面
1. 使用CoPP、RACL等手段保护系统CPU等资源;
2. 使用MD5加密方式保护路由协议,比如OSPF、BGP。
3、数据平面
1. 通过部署异常流量检测手段,建立异常流量的预警;
2. 部署流量清洗系统,使用RTBH等手段来缓解DOS攻击;
3. 在城域网入口处实施uRPF,防止来自用户的IP欺骗攻击;
4. 部署入口ACL,对RFC3330的地址进行过滤;
5. 与其它SP建立EBGP连接时,严格控制路由策略,确保城域网路由安全。
二、网络管理
1、SNMP部署建议
如果条件允许,使用SNMPv3,以提高安全性,否则统一采用V2版本;
2. 配置RO community 字符串不要过于简单,一般应由字母、数字及特殊字符等组成;
3. 对 SNMP 增加ACL 访问列表,只允许指定的IP 地址能通过SNMP 协议访问设备;
4. 不开启SNMP 写功能;
5. 配置Ifindex 索引一致性;
6. 配置SNMP的Location和Contact信息,以增加设备的可标识性;
7. 根据需要配置相应的TRAP信息,送至指定的SNMP主机;
8. 统一配置SNMP TRAP 消息源地址为设备LOOPBACK0 接口。
2、Syslog部署建议
日志文件能够详细记录系统每天发生的各种各样的事件,对网络安全起着非常重要的作用。
一般情况下,按信息的严重等级或紧急程度划分为八个级别,如下表所示,越紧急其信息级别越小,emergencies 表示的等级为1,debugging 为8。
在运营商网络里面部署SYSLOG,应该遵循以下规则:
全网统一部署,将SYSLOG发送至指定的服务器;
为提高服务器的可能性,最少设立两台SYSLOG服务器;
因全网SYSLOG数量庞大,在发往服务器时,需要适当过滤,建议将 level5(warnings)及其以上级别的log 信息发往syslog;
使用环回接口作为协议源地址;
在本地打开日志记录功能,设置级别为warnings,并将缓冲区调整至65536Byte或以上。
3、NTP部署建议
NTP主要应用于需要网络中所有主机或设备时钟保持一致的场合,如:
1) 网络管理:对不同设备采集来的日志信息、调试信息进行分析时,需要时间依据。
2) 计费系统:计费系统要求所有设备的时钟一致。
3) 完成某些功能:如定时重启网络中的所有设备,要求所有设备的时钟保持一致。
4) 多系统协同处理事件:为保证正确的执行顺序,多个系统必须参考同一时钟。
5) 在备份服务器和客户机之间进行增量备份:要求备份服务器和所有客户端之间的时钟同步。
NTP使用较小的UDP包进行时间同步,系统资源要不高。可以将NTP Server设置在核心层或汇聚层设备,一般设备两台NTP Server互为主备。为提高NTP协议的安全,建议使用MD5加密。
