简论大型电信网络的安全设计[7.3].doc

WORD格式整理版 专业学习 参考资料 电信骨干网的安全设计 摘要： 随着信息技术在我国的广泛运用，信息系统已经成为金融、交通、能源等基础设施的神经中枢，电信网已经和电力设施一样，成为所有基础设施的基础之一。电信网的安全状况直接影响这些基础设施的正常运行。电信网一旦出现重大事故，将可能严重影响国民经济发展和社会稳定。随着信息化的进一步推进，社会对电信网的依赖性还会越来越强。因此，我们应该重点关注电信网的安全问题，研究采取应对措施，做到未雨绸缪。 关键词：电信网、安全、协议、设计 正文： 关于电信级网络的安全设计主要有以下几方面： 协议的安全性 在网络中运行着很多网络协议，包括路由协议和各种为上层应用服务的广域网，局域网络协议等，路由器上也存在着很多服务，有些服务是网络运行所必需的，必须打开它，而有些服务是对网络运行无关紧要或无用的，可以关闭。正是这些网络协议或服务，确保了网络系统的正常运行，因此，我们首先应确保这些网络协议或服务的安全性。 1.1应用服务协议的安全 对这些路由协议和各种上层应用服务的协议，我们应区别对待。首先，对于网络运行所必需的协议，如路由协议等，我们不但应正常运行，而且必须加以保护，以防止非法路由器加入或伪造的路由信息，系统如何能够鉴别出哪些路由信息是可靠的呢，就必须采用一些加密技术或邻机校验方法，以完成认证，对于网络运行无关紧要或无用的协议，则应严格限制或关闭，而对于对网络运行有危害或本身有安全缺陷的协议，则应关闭，例如finger等。 对于具体网络环境，采用以下命令关闭一些应用或服务： #禁用Http服务器 no ip http-server #禁用finger服务 no ip finger no service finger #禁用X.25 PAD no service pad #禁用小堆UDP包服务 no service udp-small-servers #禁用小堆TCP包服务 no service tcp-small-servers #禁用 BOOTP服务 no ip bootp server #禁用IP源路由，防止路由欺骗 no ip source routing 在具体网络接口下，可关闭以下一些服务： #禁用IP重定向 no ip redirects #禁用IP重定向 no ip directed-broadcast #禁用代理ARP，防止引起路由表混乱 no ip proxy-arp #禁用IP地址不可达消息 no ip unreachable #禁用CDP发现 no cdp enable #打开IP单播反向路径的校验,防止IP地址欺骗 ip verify unicast reverse-path 同时，为增强安全性，应打开以下一些标记时间和密码加密，设置系统LOG功能等的服务，： #对debug的调试信息进行记录，并采用日期时间(精确到毫秒)的格式记录 service timestamps debug datetime msec #对系统日志进行记录，并采用日期时间(精确到毫秒)的格式记录 service timestamps log datetime msec #对用户级密码进行加密显示 service password-encryption #在设备上定义日志缓存大小 logging buffered 16384 debugging #对debugging及以上等级的所有事件进行记录 logging trap debugging #使对loopback0接口向syslog服务器发送日志消息 logging source-interface Loopback0 #定义syslog服务器的IP地址，并向它发送日志 logging 0 1.2路由协议的安全 在路由协议安全性方面，我们可以采用路由器邻居相互校验，校验方式可以是明码方式或MD5加密方式，对于OSPF可采用MD5校验方式，也可以采用明码方式。 通过明码或MD5加密方式校验，可以确保只有通过认证的路由器才能加入到该OSPF网络中，从而能够避免非法的路由器或伪造的路由信息加入到网络中，使路由出错，导致网络瘫痪。 OSPF 认证,需要在路由器配置模式和接口配置模式配置认证，指定“message-digest参数进行MD5认证，如果在路由器配置模式指定了MD5认证，则必须在接口上也定义MD5认证。OSPF的adjacency之间的认证方式和密码必须相同。 路由器配置模式定义 area area-id authentication [message-digest] 接口配置模式定义 #启用OSPF认证，或