所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 安全加固 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
BGP/BGP4+

BGP/BGP4+

  • BGP MD5验证

    BGP使用TCP作为传输协议,只要TCP数据包的源地址、目的地址、源端口、目的端口和TCP序号是正确的,BGP就会认为这个数据包有效,但数据包的大部分参数对于攻击者来说是不难获得的。为了保证BGP协议免受攻击,BGP邻居之间使用TCP的MD5认证来降低被攻击的可能性。

    为防止BGP对等体所设置的MD5密码被破解,需要周期性的更新MD5认证密码。

  • Keychain认证

    Keychain由多个认证密钥组成,每个密钥包含一个ID和密码。密钥存在生命期,通过密钥的生命期可以在Keychain中滚动选择不同的认证密钥。BGP会话两端绑定相同规则的Keychain后,Keychain可以滚动选择认证密钥来增强BGP防攻击性。

  • BGP GTSM特性

    GTSM机制通过TTL的检测来达到防止攻击的目的。如果攻击者模拟真实的BGP协议报文,对一台路由器不断的发送报文。路由器接口板收到这些报文后,发现是发送给本机的报文,则直接上送控制层面的BGP协议处理,而不加辨别其“合法性”。这样导致路由器控制层面因为处理这些“合法”报文,系统异常繁忙,CPU占用率高。

    配置GTSM功能,通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内来对路由器进行保护,增强系统的安全性。

  • 路由超限控制

    BGP路由表路由数量通常都很大,为了防止从对等体接收到大量路由而导致消耗过多系统资源,BGP使用邻居路由限定为一个BGP路由器设置允许从其对等体收到的最大路由数量。

  • AS-PATH数量控制

    BGP接收路由时会检查AS_Path属性中的AS号是否超限。如果超限则丢弃路由,路由发布也会检查AS_Path属性中的AS号是否超限,如果超限,则不发布此路由,防止恶意构造超长AS-PATH属性的错误报文对路由器进行报文攻击。

  • RPKI

    配置RPKI(Resource Public Key Infrastructure)功能,通过验证BGP4+路由起源是否正确来保证BGP/BGP4+的安全性。

    RPKI主要应用在存在RPKI服务器,需要对BGP路由起源是否正确进行验证的组网中。通过验证从邻居收到的BGP路由是否合法来控制选路结果,从而确保域内的主机能够安全地访问外部服务。

  • BMP

    通过配置BMP,可以对网络中设备的BGP/BGP4+运行状态进行实时监控,包括对等体关系的建立与解除、路由信息刷新等。

    BMP主要应用在存在监控服务器,需要对网络中设备的BGP4+运行状态进行监控的组网中。BMP的产生改变了以往只能通过人工查询方式来获得设备的BGP/BGP4+运行状态的状况,大大提高了网络监控的效率。

下载文档
更新时间:2018-07-12

文档编号:EDOC1100028554

浏览量:4004

下载量:121

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页