一、城域网核心层设备的安全防护措施
(一)提升核心设备数据层防护
(1)结合黑洞路由机制,根据需要对城域网中的地址段进行防护。在网内部署专门的黑洞触发路由器,用来发布黑洞路由,黑洞路由的community设置为特定值,修改黑洞路由的next-hop,同时在所有网络边缘设备上配置静态路由把黑洞路由的next-hop指向空端口。对造成网络或者重要链路拥塞的大攻击流量进行有效管控,主要是通过城域网远程触发黑洞策略,保证网络的安全运行稳定。
(2) 在BRAS和SR上启用源地址检查功能。如城域网BRAS或SR不具备(或者不完全具备)源地址检查功能,则在城域网出口路由器下联端口上采用ACL技术或者URPF技术(在设备具备相关能力的情况下)过滤掉源地址非法的数据包。源地址为城域网业务地址,或者自带地址用户的源地址。
(二)提升核心设备控制层防护
对于只接收网内路由和缺省路由的城域网,严格控制路由过滤策略,防护对城域网BGP控制层面的冲击。
二、城域网汇聚层设备的安全防护措施
对城域网设备网络安全配置进行完善及优化,探讨网络层面抗攻击手段,提高城域网设备抗攻击能力,确保城域网络安全。
(一)提高汇聚层数据层面安全
-
使用ACL/VACL等技术手段,在城域汇聚层交换机二层或三层对常见病毒攻击包(如冲击波病毒、SQL蠕虫病毒及震荡波病毒等)进行过滤,保证汇聚层网络数据的安全,防止因病毒攻击引起网络拥塞。
-
在汇聚层交换机的专线接入端口,使用路由器的uRPF检查(ip verify unicast rpf),防止伪造地址引起的网络接入攻击。
-
在汇聚层交换机的专线接入端口,配置no ip directed-broadcast,关闭直接广播包在路由层面的转发,防止因直接广播包引起的smurf攻击。
-
在汇聚层交换机的用户接入端口上关闭源路由,使用命令no ip source-route,防止源路由攻击。
-
在汇聚层交换机的专线接入端口,配置no ip proxy-arp,关闭代理 ARP功能,减轻CPU负担,减少因此引起的可能ARP攻击。
-
关闭不需要的网络服务,如基于TCP和UDP协议的小服务、finger等;在用户接入端口关闭CDP服务,提高汇聚层设备的安全性。
-
对使用VLAN技术开放的二层VPN用户,在中心交换机上设置spantree根节点,防止因根节点变化引起的spantree频繁收敛。
-
在不同广播域之间的二层trunk中继上,对trunk的vlanID进行过滤,减少透传不必要的VLAN,提高vlan资源的利用率,同时提高整个二层网络的安全性。
(二)提高汇聚层控制层面安全
-
将所有汇聚层以上交换机的VTP类型设置为transparent,防止因意外情况下,交换机VLAN信息被修改或丢失。
-
管理VLAN与数据业务VLAN进行分开,控制每个管理VLAN内的设备数目,禁止使用VLAN1做为管理VLAN,防止因cisco设备特性引起的管理vlan过大。
-
加强口令及日志管理,启用了NTPserver,loggingserver。利用CiscoACS进行交换机远程管理的TACACS+认证及记帐,并对本地网的设备进行分权管理。不同部门分配不同的口令权限,并强制口令定时更改,这样既能保证了不同部门访问汇聚交换机的需求,又提高了交换机管理的安全性。
-
对相关设备默认的口令进行初始更改,并定期修正口令和用户名
-
利用数据自动备份系统,定时地对所有汇聚层设备配置进行自动备份,实现配置备份及时更新,并保证设备故障或配置丢失时业务快速恢复。
-
加强设备流量的动态监控,利用综合IP网管系统对汇聚层以上的设备进行流量实时监控,为网络优化及故障处理提供手段及依据。
-
在汇聚层设备上设置SNMP控制访问权限,修改只读团体属性,匹配ACL,只对有需要的网管设备地址开放。
综合采用上述技术,在IP城域网核心层、汇聚层设备进行网络安全策略配置,可以在一定程度上保障网络设备安全,把对IP城域网的安全隐患危害减轻到最低程度。