所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
路由器控制面安全防御能力

路由器控制面安全防御能力

NE40E控制平面,为了保障控制协议和业务的正常运行,提供了如下的安全防御能力:

  • 应用层联动
  • 畸形报文防攻击
  • 路由协议认证核验(OSPF和BGP基于MD5核验)
  • GTSM(Generalized TTL Security Mechanism)
  • 攻击溯源与告警
  • CPU报文速率限制(CPCAR)
  • 黑名单和白名单
  • 用户自定义流(基于ACL)
  • 安全管理中心

应用层联动

应用层联动指的是将控制层面的协议开关状态和底层转发引擎的协议上送关联起来。通过在上层和底层建立联系,在协议开关状态上保持一致,对于设备没有开启业务的协议,底层硬件默认是以小带宽上送其协议报文,也可以配置为完全不上送,这样就将攻击者的攻击范围尽可能缩小,增加了攻击的成本,减少了设备的安全风险。

畸形报文防攻击

NE40E当前能够对如下的畸形报文进行攻击检测,并在检测到攻击后,丢弃攻击报文:

  • Null IP payload flooding attack
  • IGMP null payload attack
  • TCP illegal flags attack
  • Duplicated fragment attack
  • Fragment flooding
  • Tear Drop
  • Syndrop
  • Nesta
  • Fawx
  • Bonk
  • NewTear
  • Rose
  • Jolt
  • Big offset
  • Fraggle

路由协议认证校验

一些路由协议支持安全认证,在设备间报文交互时,采用HASH算法计算报文摘要,接收时重新计算摘要进行比较,能够及时识别出被篡改的报文。

路由协议安全认证算法根据协议自身的机制,更新使用业界最安全的SHA2算法(协议明确不支持的除外),保证了协议报文不会被篡改,增强了路由协议的安全性。

协议认证的密钥在设备的存储采用了业界最安全的AES256算法。大大提升了被破解的难度,更不容易泄露。

基于访问控制的安全防御

NE40E提供了较为完善的ACL访问控制能力,基于ACL,能够实现CPCAR流量速率限制,黑白名单,用户自定义流
  • CPCAR用来设置上送CPU的报文的分类限速上送规则,针对每类报文可设置均值速率、承诺突发尺寸、优先级信息等。通过对不同的报文设置不同的CAR规则,可以降低报文的相互影响,达到保护CPU的目的。CAR还可以设置上送CPU报文的整体速率,当整体上送速率超过阈值后,报文将被丢弃,避免CPU过载。

  • 白名单指合法用户或者是高优先级用户的集合。通过设定白名单信息可主动保护现有业务、高优先级用户业务。可将确定为正常使用设备的合法用户或者是高优先级用户业务设置到白名单中,匹配白名单特征的报文会被采用高速率高优先级上送。

    黑名单指非法用户的集合。通过设定ACL,可将确定为攻击的非法用户设置到黑名单中,匹配黑名单特征的报文会被丢弃或者低优先级上送。

  • 用户自定义流指用户自定义防攻击ACL规则。主要应用于当后续网络中出现不明攻击时,用户可灵活指明攻击流数据特征,将符合此特征的数据流进行上送限制。

    为了避免NE40E遭受非法用户控制设备,或者进行管理报文的泛洪攻击的时候,可以部署管理控制平面功能。这样只有用户指定的接口可以接收管理报文,其他接口接收的管理报文将直接丢弃,从而有效地减少资源浪费。用户还配置对应接口可以接收的管理类报文,其他的协议报文直接丢弃,避免无关协议报文的攻击。

GTSM

GTSM(Generalized TTL Security Mechanism)是通用跳数检测机制的缩写,即通过检测上送报文的TTL值合法与否,来保护CPU免受CPU-utilization(CPU overload)类型的攻击。

根据路由器组网的特点,发给路由器控制面的报文,历经的网络节点条数是有限的,用户可以根据组网情况,限制发给控制面的报文历经的节点条数,避免网络上恶意的用户从远端发起攻击。

攻击溯源与告警

路由器受到攻击,可以利用攻击溯源功能记录攻击报文,通过对攻击报文的分析,进行攻击定位和攻击防范。

攻击溯源对攻击报文的信息进行分析,对攻击位置、等级、原因等进行提取,并输出记录和告警。

安全管理中心

NE40E 路由器为了保证自身系统的可靠性,同时为了保证运行在系统中的业务系统不受安全攻击(有意和无意的)事件的影响,设计了诸如CAR速率限制、攻击检测、攻击隔离等技术手段。所有这些技术特性要求一个全局的管理中心,能够汇总分析所有安全攻击的信息,智能分析出攻击的源头、攻击的原因、攻击的影响严重程度,并根据内嵌的安全专家分析知识库,给出合理的攻击抑制解决方案。

安全管理中心站在NE40E 路由器系统全局,能够统一汇总分析各个安全检测单元的上报信息,汇总分析后,以简洁的形式,呈现出攻击源、根因分析、解决建议。

下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4073

下载量:122

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页