IP网络安全防护的方案的研究.docVIP

IP网络安全防护的方案的研究 　　摘 要 　　本文研究如何为运营商提供网络安全保护方案，并通过网络设备、网络协议、网络设备访问等多方面进行阐述，为提高运营商网络安全提供参考。 　　【关键词】网络安全 路由协议 NTP SNMP 　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 　　Internet的不安全因素，来自两个方面。一方面，Internet网络做为一种开放的通信基础设施，是面向所有用户提供服务的；另一方面，Internet技术是开放和标准的，任何人都可以取得和进行研究。随着国内互联网的发展，来自国内的黑客攻击也日益频繁，黑客攻击的案例不断增加，而且来自于国内的网络攻击呈指数增长的趋势。 　　但是，在实际操作中，保障网络安全与提供高效灵活的网络服务是一对矛盾。从网络服务的可用性、灵活性和网络性能考虑，网络结构和技术实现应该尽可能简捷，不引入额外的控制因素和资源开销。但从网络安全保障考虑，则要求网络对所提供的服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力，实现这些附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用，从而对网络系统的性能、服务的使用方式和范围产生影响。 　　1 网络安全建议 　　建议互联网运营商在运营过程中采用如下安全措施： 　　1.1 关闭不必要的服务 　　关闭网络设备上的不必要的服务，如Finger等。 　　1.2 设置加密特权密码 　　使用加密的特权密码，注意密码的选择： 　　（1）不要使用登录名，不管以何种形式； 　　（2）不要用名字的第一个、中间一个或最后一个字； 　　（3）不要用最亲近的家人的名字； 　　（4）不要用其他任何容易得到的关于你的信息； 　　（5）不要使用纯数字或完全同一个字母组成的口令； 　　（6）不要使用在英文字典中的单词； 　　（7）不要使用短于6位的口令； 　　（8）不要将口令告诉任何人或通过电子邮件给任何人； 　　1.3 打开密码标记 　　加密密码，原先使用明文显示的密码将会以密文方式出现。 　　1.4 配置Console、AUX和VTY登录控制 　　登录一台路由器可以通过Console端口、AUX端口和VTY远程方式。在三种登录方式下需要设置认证和超时选项。建议认证使用本地用户名加密码的方式增加安全性。 　　1.5 设置NTP server，配置日志服务 　　为了保证全网网络设备时钟的同步，必须在网络设备上配置NTP。在所有的路由器或交换机上配置相应的日志选项，将日志的DEBUG的信息做上时间标志。 　　1.6 限制SNMP访问 　　限制可以通过SNMP访问该网络设备的地址。 　　3 路由器安全建议 　　路由器的安全可以分为三部分： 　　（1）路由器的物理安全 　　（2）操作系统安全 　　（3）网络安全配置 　　过安全配置策略减少路由器受攻击的手段，主要包含以下几部分： 　　（1）路由器访问安全 　　（2）路由协议安全 　　（3）保护路由引擎 　　（4）安全审计建议对某网络安全做如下安全策略部署，用于保护改网络设备免受非法用户以及垃圾流量的攻击。 　　3.1 漏洞保护 　　安全目标：防止非法用户利用系统服务漏洞进行攻击，如ICMP Redirect、Proxy ARP等。 　　保护方法：关闭存在安全风险的漏洞，如ICMP Redirect、Proxy ARP等。 　　3.2 过滤无效流量 　　安全目标：过滤源或目的地址非法的流量，如RFC1918定义的地址。 　　保护方法：在某运营商网络中所有连接省网、其他运营商网络的接口上部署访问列表，过滤目的地址明显非法的数据包，如192.x.x.x等非公网数据包。 　　4 路由协议安全建议 　　4.1 ISIS协议安全 　　安全目标：保护ISIS协议免受攻击。 　　保护方法：在某运营商网络中所有连接省网、其他运营商的接口上禁止运行ISIS；配置ISIS协议加密。 　　4.2 BGP协议安全 　　安全目标：保护BGP协议免受攻击。 　　保护方法：在某运营商网络中的所有路由器上限定合法邻居路由器IP地址。在某运营商网络所有连接省网和其他运营商的端口上采用访问列表拒绝非法EBGP协议数据包。EBGP邻居间部署MD5认证。部署路由策略，过滤异常路由，如RFC1918定义的路由、缺省路由。 　　4.3 NTP协议安全 　　安全目标：保护NTP免受攻击 　　保护方法：部署访问列表限制从外网进入某运营商网络的NTP数据包。对NTP会话进行MD5认证。 　　5 设备访问控制 　　一是VTY控制；二是SNMP控