售前咨询: 售后服务: | 网站地图 | 关于我们 | 相关资质 | 联系我们

idc机房
拨打销售热线 直接对话专家

如有疑问,请在线咨询

为什么选择我们

100%品质保障

您的位置:主页 > 新闻中心 > 解决方案 > 解决方案

IP城域网设备安全加固措施

作者:鹏博士数据 发布于:www.pbsidc.com 点击量:


一、城域网核心层设备的安全防护措施

(一)提升核心设备数据层防护

(1)结合黑洞路由机制,根据需要对城域网中的地址段进行防护。在网内部署专门的黑洞触发路由器,用来发布黑洞路由,黑洞路由的community设置为特定值,修改黑洞路由的next-hop,同时在所有网络边缘设备上配置静态路由把黑洞路由的next-hop指向空端口。对造成网络或者重要链路拥塞的大攻击流量进行有效管控,主要是通过城域网远程触发黑洞策略,保证网络的安全运行稳定。

(2) 在BRAS和SR上启用源地址检查功能。如城域网BRAS或SR不具备(或者不完全具备)源地址检查功能,则在城域网出口路由器下联端口上采用ACL技术或者URPF技术(在设备具备相关能力的情况下)过滤掉源地址非法的数据包。源地址为城域网业务地址,或者自带地址用户的源地址。

(二)提升核心设备控制层防护

对于只接收网内路由和缺省路由的城域网,严格控制路由过滤策略,防护对城域网BGP控制层面的冲击。

二、城域网汇聚层设备的安全防护措施

对城域网设备网络安全配置进行完善及优化,探讨网络层面抗攻击手段,提高城域网设备抗攻击能力,确保城域网络安全。

(一)提高汇聚层数据层面安全

  1. 使用ACL/VACL等技术手段,在城域汇聚层交换机二层或三层对常见病毒攻击包(如冲击波病毒、SQL蠕虫病毒及震荡波病毒等)进行过滤,保证汇聚层网络数据的安全,防止因病毒攻击引起网络拥塞。

  2. 在汇聚层交换机的专线接入端口,使用路由器的uRPF检查(ip verify unicast rpf),防止伪造地址引起的网络接入攻击。

  3. 在汇聚层交换机的专线接入端口,配置no ip directed-broadcast,关闭直接广播包在路由层面的转发,防止因直接广播包引起的smurf攻击。

  4. 在汇聚层交换机的用户接入端口上关闭源路由,使用命令no ip source-route,防止源路由攻击。

  5. 在汇聚层交换机的专线接入端口,配置no ip proxy-arp,关闭代理 ARP功能,减轻CPU负担,减少因此引起的可能ARP攻击。

  6. 关闭不需要的网络服务,如基于TCPUDP协议的小服务、finger等;在用户接入端口关闭CDP服务,提高汇聚层设备的安全性。

  7. 对使用VLAN技术开放的二层VPN用户,在中心交换机上设置spantree根节点,防止因根节点变化引起的spantree频繁收敛。

  8. 在不同广播域之间的二层trunk中继上,对trunkvlanID进行过滤,减少透传不必要的VLAN,提高vlan资源的利用率,同时提高整个二层网络的安全性。

(二)提高汇聚层控制层面安全

  1. 将所有汇聚层以上交换机的VTP类型设置为transparent,防止因意外情况下,交换机VLAN信息被修改或丢失。

  2. 管理VLAN与数据业务VLAN进行分开,控制每个管理VLAN内的设备数目,禁止使用VLAN1做为管理VLAN,防止因cisco设备特性引起的管理vlan过大。

  3. 加强口令及日志管理,启用了NTPserver,loggingserver。利用CiscoACS进行交换机远程管理的TACACS+认证及记帐,并对本地网的设备进行分权管理。不同部门分配不同的口令权限,并强制口令定时更改,这样既能保证了不同部门访问汇聚交换机的需求,又提高了交换机管理的安全性。

  4. 对相关设备默认的口令进行初始更改,并定期修正口令和用户名

  5. 利用数据自动备份系统,定时地对所有汇聚层设备配置进行自动备份,实现配置备份及时更新,并保证设备故障或配置丢失时业务快速恢复。

  6. 加强设备流量的动态监控,利用综合IP网管系统对汇聚层以上的设备进行流量实时监控,为网络优化及故障处理提供手段及依据。

  7. 在汇聚层设备上设置SNMP控制访问权限,修改只读团体属性,匹配ACL,只对有需要的网管设备地址开放。

综合采用上述技术,在IP城域网核心层、汇聚层设备进行网络安全策略配置,可以在一定程度上保障网络设备安全,把对IP城域网的安全隐患危害减轻到最低程度。

 


新闻中心 |  服务器托管 |  CDN |  光纤接入 |  五线云主机 |  典型案例 |  关于我们 |  更多友情链接 | 
Copyright © 2004-2011 DEDECMS. 织梦科技 版权所有