所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

ME60 V800R010C10SPC500 特性描述 - 广域网接入 01

本文档是ME60 V800R010C10SPC500 特性描述 - 广域网接入
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
BGP安全性

BGP安全性

BGP认证

建立BGP对等体关系是BGP协议工作的基础。因此,对BGP对等体关系进行认证是提高安全性的有效手段。

  • MD5认证

    BGP使用TCP作为传输层协议,为提高BGP的安全性,可以在建立TCP连接时进行MD5(Message Digest 5)认证。BGP的MD5认证只是为TCP连接设置MD5认证密码,由TCP完成认证。如果认证失败,则不建立TCP连接。

  • Keychain认证

    Keychain为应用层协议提供认证服务,它可以在不中断业务的前提下,通过定期更改认证的密钥和加密算法来提升安全性。对于采用TCP连接的BGP协议,应用Keychain认证,除了可以对BGP协议报文进行认证之外,还可以对TCP建立连接的过程进行认证。Keychain的详细描述请参见《HUAWEI ME60 特性描述-安全》中Keychain章节。

BGP的GTSM

GTSM机制通过对TTL(time-to-live:生存时间字段,设置数据报文可以经过的ME设备的最多数量)的检测来达到防止攻击的目的,如果攻击者模拟真实的BGP协议报文,对一台ME设备不断的发送报文,ME设备收到这些报文后,发现是发送给本机的报文,则直接上送控制层面的BGP协议处理,而不加辨别其“合法性”,这样导致ME设备控制层面因为处理这些“合法”报文,系统异常繁忙,CPU占用率高。

GTSM通过检测IP报文头中的TTL值是否在一个预先定义好的特定范围内,对IP层以上业务进行保护,增强系统的安全性。

使能BGP的GTSM策略后,接口板对所有BGP报文的TTL值进行检查。根据实际组网的需要,对于不符合TTL值范围的报文,GTSM可以设置为通过或丢弃。配置GTSM缺省动作为丢弃时,可以根据网络拓扑选择合适的TTL有限值范围,不符合TTL值范围的报文会被接口板直接丢弃,这样就避免了网络攻击者模拟的“合法”BGP报文占用CPU。

对于丢弃的报文,可以通过LOG信息开关,控制是否对报文被丢弃的情况记录日志,以方便故障的定位。

BGP的RPKI

RPKI(Resource Public Key Infrastructure)通过验证BGP路由起源是否正确来保证BGP的安全性。

RPKI主要用来解决路由传递过程中攻击者通过发布更精确的路由导致数据传输过程中流量被窃取的问题。例如,某运营商向用户发布了目的地址为10.10.0.0/16的路由,路由攻击者发布了目的地址为10.10.153.0/16的路由,由于攻击者发布的路由更详细,从用户端发往10.10.153.0/16的路由将被攻击者窃取。

为了解决上述问题,路由器与RPKI服务器建立连接,将路由起源的相关数据ROA(Route Origination Authorization)保存到本地。通过验证从邻居收到的BGP路由是否合法来控制选路结果,从而确保域内的主机能够安全地访问外部服务。

翻译
下载文档
更新时间:2019-01-04

文档编号:EDOC1100059511

浏览量:1275

下载量:20

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页