《中国移动华为路由器交换机安全管理及策略》.doc

中国移动华为路由器交换机 安全配置手册 Version 1.1 中国移动通信有限公司 二零零四年十二月 目 录 目 录 ii 第1章 概述 1-1 1.1 交换机 1-1 1.2 路由器 1-5 第2章 华为路由器交换机物理安全管理 2-1 2.1 定期检查机房的温度和湿度 2-1 2.2 定期检查机房电源输入是否完好 2-1 2.3 定期检查设备的接地电阻是否正常 2-2 2.4 定期检查设备的相关线缆是否完好 2-2 2.5 定期检查设备的风扇是否运行正常 2-2 第3章 华为路由器交换机数据安全配置 3-1 3.1 分级设置用户口令 3-1 3.2 对任何方式的用户登录都进行认证 3-2 3.3 对于网络上已知的病毒所使用的端口进行过滤 3-4 3.4 关闭危险的服务 3-6 3.5 在使用SNMP协议时候的安全建议 3-7 3.6 关闭不使用的物理端口 3-7 3.7 保持系统日志的打开 3-8 3.8 注意检查设备的系统时间是否准确 3-8 3.9 路由协议采用加密认证 3-8 3.10 在设备上开启URPF功能 3-12 3.11 防攻击的措施 3-13 3.12 攻击防范配置 3-15 3.12.1 使能IP欺骗攻击防范功能 3-16 3.12.2 使能Land攻击防范功能 3-16 3.12.3 使能Smurf攻击防范功能 3-17 3.12.4 使能Fraggle攻击防范功能 3-17 3.12.5 使能WinNuke攻击防范功能 3-18 3.12.6 配置SYN Flood攻击防范功能 3-18 3.12.7 配置ICMP Flood攻击防范功能 3-20 3.12.8 配置UDP Flood攻击防范功能 3-22 3.12.9 使能ICMP重定向报文攻击防范功能 3-24 3.12.10 使能ICMP不可达报文攻击防范功能 3-24 3.12.11 配置地址扫描攻击防范功能 3-25 3.12.12 配置端口扫描攻击防范功能 3-26 3.12.13 使能带源站路由选项IP报文攻击防范功能 3-27 3.12.14 使能带路由记录选项IP报文攻击防范功能 3-28 3.12.15 使能带时间戳记录选项IP报文攻击防范功能 3-28 3.12.16 使能Tracert报文攻击防范功能 3-29 3.12.17 使能TCP报文标志合法性检测功能 3-29 3.12.18 使能Ping of Death攻击防范功能 3-30 3.12.19 使能TearDrop攻击防范功能 3-31 3.12.20 使能IP分片报文攻击防范功能 3-31 3.12.21 配置超大ICMP报文攻击防范功能 3-32 3.13 端口镜像功能 3-33 第4章 华为路由器交换机安全管理制度 4-1 4.1 登录口令的强壮性 4-1 4.2 登录口令的定期更换 4-1 4.3 不同的人员掌握不同等级的登录口令 4-1 4.4 对于设备的硬件、软件、数据配置操作进行登记备案 4-2 4.5 对于每一次的网络异常进行登记备案 4-2 4.6 在设备外保存设备当前运行的版本、数据配置、日志信息 4-2 4.7 机房的安全管理建议： 4-3 概述 交换机 交换机是构建网络平台的“基石”。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。一般来讲，企业级交换机都是机架式，部门级交换机可以是机架式（插槽数较少），也可以是固定配置式，而工作组级交换机为固定配置式（功能较为简单）。 众所周知，传统的交换机工作在OSI参考模型的第二层——数据链路层上，主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。物理编址（相对应的是网络编址）定义了设备在数据链路层的编址方式；网络拓扑结构包括数据链路层的说明，定义了设备的物理连接方式，如星型拓扑结构或总线拓扑结构等；错误校验向发生传输错误的上层协议告警；数据帧序列重新整理并传输除序列以外的帧；流控可以延缓数据的传输能力，以使接收设备不会因为在某一时刻接收到了超过其处理能力的信息流而崩溃。目前很多交换机还具备VLAN、链路汇聚、MPLS等功能。 华为的交换机主要有以下几个系列： 产品型号 特性 Quidway? S8016多业务核心路由交换机 面向IP城域网的网络骨干、交换核心、汇聚中心建设，基于硬件的二到七层和MPLS线速转发技术。 支持MPLS以及基于MPLS的二、三层VPN业务，支持丰富的组播协议，支持WEB SWITCH（硬件支持）、NAT（硬件支持），支持DHCP Relay并内置DHCP Server功能；支持VLAN聚合、VLAN Tru