华为核心路由器的安全方案7.1 网络的安全保障特点网络安全大体上分为两个层次：网络自身安全和网络业务安全。

网络自身的安全主要是指网络数据的安全传送、网络资源的合法使用；后者主要是指网络业务的合法授权、使用和监管。

针对现有网络和业务的现状，一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统！7.2 设备级的安全措施1、配置安全。

华为数据产品对登录用户支持本地或远程两种认证方式，并为不同级别的用户提供不同的配置权限。

支持用户使用SSH登录路由器并进行配置，避免了远程配置的报文被第三方监控的可能。

2、数据日志及热补丁技术。

设备的文件系统是一个类DOS的系统，可以记录系统及用户日志。

系统日志指系统运行过程中记录的相关信息，用以对运行情况、故障进行分析和定位，支持基于线程极的系统日志。

日志文件可以通过XModem、FTP、TFTP协议，远程传送到网管中心。

除此之外，考虑到有些IP特性对局域网来说是有用的，但对广域网或城域网节点的设备是不适用的。

如果这些特性被恶意攻击者利用，会增加网络的危险。

在网络设计时可考虑关闭以下这些IP功能的开关：(1)、重定向开关网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由。

一般情况下，设备仅向主机而不向其它设备发送ICMP重定向报文。

但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文，以期改变主机的路由表，干扰主机正常的IP报文转发。

(2)、定向广播报文转发开关在接口上进行配置，禁止目的地址为子网广播地址的报文从该接口转发，以防止smurf攻击。

因此，设备应能关闭定向广播报文的转发。

缺省应为关闭状态。

(3)、ICMP协议的功能开关很多常见的网络攻击利用了ICMP协议功能。

ICMP协议允许网络设备中间节点向其它设备节点和主机发送差错或控制报文；主机也可用ICMP协议与网络设备或另一台主机通信。

对ICMP的防护比较复杂，因为ICMP中一些消息已经作废，而有一些消息在基本传送中不使用，而另外一些则是常用的消息。

因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理。

以减少ICMP对网络安全的影响。

3、核心路由器的多种安全特性核心路由器提供多种安全措施，包括一系列的安全特性，可以防止拒绝服务攻击、非法接入以及控制平面的过载。

主要安全特性包括：➢三种用户鉴权模式：本地验证、RADIUS服务器验证和HWTACACS服务器验证，可对用户身份进行验证，并进行合理授权。

➢基于硬件的包过滤和采样，从而实现高性能和高扩展性。

➢对OSPF、IS-IS、RIP和BGP-4等上层路由协议，提供明文验证和MD5（Message Digest 5）等多种验证方法。

➢实现转发和控制平面的访问控制列表ACL（Access Control List）。

➢支持本机防攻击安全特性。

➢支持合法监听/URPF。

➢支持DHCP Snooping/MAC限制。

➢支持GTSM。

➢ARP防攻击在现今的运营商网络中，Ethernet是最常用的接入手段，而ARP作为Ethernet网络上的开放协议，为恶意用户的攻击提供了可能。

恶意用户的攻击主要从空间与时间两方面进行。

空间方面的攻击主要利用路由器ARP缓存的有限性，通过发送大量伪造的ARP请求、应答报文，造成路由器设备的ARP缓存溢出，从而无法缓存正常的ARP表项，进而阻碍正常转发。

时间方面的攻击主要利用路由器计算能力的有限性，通过发送大量伪造的ARP请求、应答报文或其他能够触发路由器ARP处理的报文，造成路由器设备的计算资源长期忙于ARP处理，影响其他业务的处理，进而阻碍正常转发。

使用基于接口的ARP表项限制和基于时间戳的防扫描两种特性来防止ARP攻击。

4、防地址盗用通过IP地址、MAC地址和VlanID的相关性绑定进一步提高网络的安全性.当业务接入节点收到一个IP报文时，其以太网封装帧头中的VLAN ID必须是绑定记录中的VLAN ID，其以太网封装帧头中的源MAC地址也必须是绑定记录中的MAC，同时此报文的源IP地址也必须是绑定记录中的IP地址。

如果不符合这个约束，该报文被视为无效并被丢弃。

业务接入节点通过绑定的方法，维护了IP地址、MAC地址和VLAN标识的相关性，除了可以有效的防止IP地址仿冒和MAC地址仿冒，还能有效的控制同一VLAN下接入用户的数目。

5、接入认证提升接入安全性华为以太网交换机均支持802.1X认证，从标准的802.1x认证看，只能控制接入端口的打开和关闭，如某个端口下挂了一个HUB，则只要HUB上有一个用户认证通过，该端口就处于打开状态，此HUB下的其他用户也都可以上网。

为了解决这个问题，扩展基于MAC地址的认证，某个用户认证通过后，接入设备就将此用户的MAC地址记录下来，接入设备只允许所记录MAC地址发送的报文通过，其它MAC地址的报文一律拒绝。

认证的终结点可以选择集中式和分布式两种方式。

对于集中式认证，主要针对需要认证的用户数量不多，方便管理，这时只需要把核心交换机配置成为802.1X认证终结端，这时所有的用户认证信息到核心交换机上终结，这种方式的认证优点是：在用户量较少的情况下方便统一管理。

缺点：在用户数量较多的情况下，对核心设备的性能有一定影响。

对于分布式认证，主要针对需要认证的用户数量较多，把认证的终结点设置在用户接入的交换机或者用户接入的上一层交换机。

这时用户的802.1X认证终结点分散到了接入层。

这种认证方式的优点是：在用户量较大的情况下，分散了用户的认证终结点，对设备性能影响小。

缺点：需要对每台认证设备进行一定的配置。

6、完备的流量监控、会话控制流量监控主要是指、防火墙通过对系统数据流量和连接状况进行监视，在发现异常情况时采取适当的处理措施，有效地防止网络受到外界的攻击。

支持多种流量监控，主要包括：基本会话监控、承诺访问速率、实时流量统计等。

➢基本会话监控根据不同类型流量在一定时间内所占的百分比进行监测和告警处理，通过监控IP地址或接口的总连接数，对超过阈值的连接进行限制。

限制主要包括：基于特定目的/源IP地址的连接速率限制基于特定目的/源IP地址的连接数限制基于域出/入方向的连接速率限制基于域出/入方向对ACL中地址的连接速率限制基于域出/入方向对ACL中地址的连接数限制对IP报文按不同类型所占百分比进行管理➢承诺访问速率承诺访问速率技术包括分类服务、速率限制，将进入网络的报文按多种形式进行分类，对不同类别的流量给予不同的处理，通过采用限制承诺信息速率、承诺突发尺寸、超出突发尺寸等措施有效进行流量监管。

➢实时统计分析监测内部、外部网络的连接状况，对输入和输出的IP报文进行数十种实时统计，主要统计如下：全局总会话和总流量的相关信息应用层协议相关信息丢弃包的相关信息对TCP报文的RST、FIN报文详尽的分类统计7.3 网络层的网络安全设计随着Internet的迅速发展，越来越多的行业用户或大型企业开始借助网络服务来加速自身的发展，那么如何在一个开放的网络环境中“守护”自己的内部网络就成为人们关注的话题。

本次建设的教育专网作为教育厅与各地州教育局互连互通的专用网络，其安全性以及与CMNET、CERNET的安全隔离都是必须要考虑的因素。

本次工程中通过在教育厅部署华为公司的Eudemon300千兆防火墙，一方面实现了不同网络之间的安全隔离，同时解决了教育专网的地址分配。

Eudemon防火墙定位于行业用户或大中型企业，通过采用NP技术提供线速的高性能安全防范和报文处理能力，在提供高性能的同时，还可以支持数万条ACL（Access Control List）规则。

在整机最大吞吐量方面，Eudemon300可以达到1Gbps，Eudemon500可以达到2Gbps，Eudemon1000可以达到3Gbps。

出口安全防护：地址转换(NAT):地址转换主要是因为Internet地址短缺问题而提出的，利用地址转换可以使内部网络的用户访问外部网络（Internet），利用地址转换可以给内部网络提供一种“隐私”保护，同时也可以按照用户的需要提供给外部网络一定的服务，如：WWW、FTP、TELNET、SMTP、POP3等。

地址转换技术实现的功能是上述的两个方面，一般称为“正向的地址转换”和“反向的地址转换”。

在正向的地址转换中，具有只转换地址（NAT）和同时转换地址和端口（PAT）两种形式。

所谓IP地址就是给每一个连接在Internet上的主机分配一个唯一的32bit 地址， IP地址是由Internet Assigned Numbers Authority （IANA）组织统一分配的，保证在Internet上没有重复的IP地址。

IP地址是一个32Bit的地址，由网络号码和主机号码两部分组成。

为了便于对IP地址进行管理，同时还考虑到网络的差异很大，有的网络拥有很多的主机，而有的网络上的主机则很少。

因此Internet 的IP地址就分成为五类，即A 类到E类，其中能被使用的是A、B、C三类。

0 1 2 3 4 8 16 24 31A 类地B 类地C 类地D 类地E 类地IP 地址示意图A 类IP 地址的网络号码数不多，目前几乎没有多余的可供分配，现在能够申请到的IP 地址只有B 类和C 类两种。

当某个单位申请到IP 地址时，实际上只是拿到了一个网络号码net-id 。

具体的各个主机号码host-id 则由该单位自行分配，只要做到在该单位管辖的范围内无重复的主机号码即可。

由于当初没有预计到微机会普及得如此之快，各种局域网和局域网上的主机数目急剧增长，另外由于申请IP 地址的时候是申请的“网络号码”这样在使用时，有时候也有很大的浪费。

例如：某个单位申请到了一个B 类地址，但该单位只有1万台主机。

于是，在一个B 类地址中的其余5万5千多个主机号码就白白地浪费了，因为其他单位的主机无法使用这些号码。

地址转换（Network Address Translation ）技术，就是解决地址短缺问题的一个主要的技术手段。

地址分为公有地址和私有地址两种。

Internet 是连接了许多的局域网的一个网络，可以连接各种不同类型的局域网。

局域网的类型可以很多，我们在本文讨论的局域网都是使用TCP/IP 协议连接的局域网。

如果局域网采用TCP/IP 协议连接，局域网的每台机器都必须拥有一个IP 地址，为了使得局域网的IP 地址可以被局域网自己规划，IANA 组织在A 、B 、C 类IP 地址中各选出一个网段做为“私有地址”，供各个局域网按照自己的需要自由分配。