中国电信互联网及相关网络路由器设备安全防护要求V1.0.0
中国电信安全策略体系文档
文档编号: SOC 02-02-003
中国电信互联网及相关网络 路由器设备安全防护要求
版本号:1. 0. 0
发布日期:
中国电信集团公司 网络运行维护事业部
修订记录
目
1
次
前 言 ................................................................................................................................ 1
引言 ................................................................................................................................ 2 1.1 1.2 2 3
目的 ...................................................................................................................... 2 范围 ...................................................................................................................... 2
防护策略划分 ................................................................................................................ 3 管理平面防护策略 ........................................................................................................ 4 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9
管理口防护 .......................................................................................................... 4 账号与口令 .......................................................................................................... 4 认证 ...................................................................................................................... 5 授权 ...................................................................................................................... 5 审计 .................................................................................... 错误!未定义书签。 远程管理 .............................................................................................................. 6 SNMP 安全 ............................................................................................................. 6 系统日志 .............................................................................................................. 6 NTP ........................................................................................................................ 7
3.10 banner 信息 ......................................................................................................... 7 3.11 未使用的管理平面服务 ...................................................................................... 7 4
数据转发平面防护策略 ................................................................................................ 8 4.1 4.2
流量控制 .............................................................................................................. 8 典型垃圾流量过滤 .............................................................................................. 8
4.3 ToFab ....................................................................................................................... 8 5
控制平面防护策略 ...................................................................................................... 10 5.1 5.2 5.3 5.4
ACL 控制 ............................................................................................................. 10 路由安全防护 .................................................................................................... 10 协议报文防护 .................................................................................................... 10 引擎防护策略 .................................................................................................... 11
前 言
为进一步落实《中国电信互联网及相关网络安全策略总纲》要求,促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本防护要求(以下简称“要求”)。
各省公司可以根据实际情况,在本要求的基础上制定相应的实施细则并具体实施。 本文档起草单位:中国电信集团公司网络运行维护事业部 本文档解释单位:中国电信集团公司网络运行维护事业部
1 引言
1.1 目的
为促进中国电信互联网及相关网络在路由器设备选型、工程验收以及运维阶段等环节的规范化运作,明确路由器设备必须满足的基本安全防护要求(相关安全防护要求独立于具体厂家),特制定本要求。
1.2 范围
本要求适用于中国电信的互联网与相关网络及系统,主要包括IP 承载网,以及承载在其上的各种业务网、业务平台和支撑系统。IP 承载网包括中国电信ChinaNet 、CN2、城域网、DCN 等网络;业务网包括C 网分组域、软交换等;业务平台包括C 网业务平台、全球眼、互联星空等;支撑系统包括DNS 、网管系统、认证系统等。
2 防护策略划分
根据国内外运营商网络及结合中国电信的实际情况,可将路由交换设备的安全域逻辑
划分为管理平面、控制平面、转发平面等三大平面,每个平面的具体安全策略不同。具体如下:
管理平面:管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全
性,降低设备受到网络攻击或被入侵的可能性。
转发平面:数据转发平面的主要安全策略是对异常流量进行控制,防止因网络蠕
虫、拒绝服务攻击等流量在网络中的泛滥,造成网络的拥塞或不可用。 控制平面:控制平面的主要安全策略是保证设备系统资源的可用性,使得设备可以
正常的实现数据转发、协议更新。
3 管理平面防护策略
管理平面防护的主要目的是保护路由器远程管理及本地服务的安全性,降低路由器受
到网络攻击或被入侵的可能性。管理平面防护的措施主要包括以下几方面:
3.1 管理口防护
3.2 账号与口令
3.3 认证
3.4 授权
3.5 记账
3.6 远程管理
3.7 SNMP 安全
3.8 系统日志
3.9 NTP
3.10 banner
信息
3.11 未使用的管理平面服务
4 数据转发平面防护策略
在数据转发平面的主要安全策略是对异常流量进行控制,防止网络蠕虫、拒绝服务攻击流量在网络中的泛滥,造成网络的拥塞或不可用。转发平面防护的措施主要包括以下几个方面:
4.1 流量控制
4.2 典型垃圾流量过滤
4.3 ToFab
8
9
5 控制平面防护策略
控制平面防护的主要目的是对进出路由器自身流量进行控制,避免恶意流量或错误配置、软件bug 和其它原因产生的泛洪流量,引起设备引擎过载,而导致设备数据转发性能下降或不可用事件发生。控制平面防护的措施主要包括以下几个方面:
5.1 ACL 控制
5.2 路由安全防护
5.3 协议报文防护
10
5.4 引擎防护策略
11