HUAWEI 数据中心网络安全技术白皮书目录1数据中心网络安全概述 (6)1.1“三大平面”安全能力与风险防御目标 (7)2网络安全威胁分析 (9)2.1拒绝服务 (9)2.2信息泄漏 (9)2.3破坏信息完整性 (9)2.4非授权访问 (10)2.5身份欺骗 (10)2.6重放攻击 (10)2.7计算机病毒 (10)2.8人员不慎 (11)2.9物理入侵 (11)3管理平面安全 (12)3.1接入控制 (12)3.1.1认证和授权 (12)3.1.2服务启停控制 (12)3.1.3服务端口变更 (12)3.1.4接入源指定 (13)3.1.5防暴力破解 (13)3.2安全管理 (13)3.2.1SSH (13)3.2.2SNMPv3 (14)3.3软件完整性保护 (14)3.4敏感信息保护 (14)3.5日志安全 (14)4控制平面安全 (16)4.1TCP/IP安全 (16)4.1.1畸形报文攻击防范 (16)4.1.2分片报文攻击防范 (17)4.1.3洪泛报文攻击防范 (17)4.2路由业务安全 (18)4.2.1邻居认证 (18)4.2.2GTSM (19)4.2.3路由过滤 (19)4.3交换业务安全 (20)4.3.1生成树协议安全 (20)4.3.2ARP攻击防御 (22)4.3.3DHCP Snooping (25)4.3.4MFF (27)5数据平面安全 (28)5.1应用层联动 (28)5.2URPF (28)5.3IP Source Gard (29)5.4CP-CAR (29)5.5流量抑制及风暴控制 (30)数据中心网络安全技术白皮书关键词：网络空间、网络安全、数据中心网络摘要：网络空间已经成为社会生产力发展的新方向，网络安全问题也随之衍生。

本文描述了数据中心网络产品具备的基础性网络安全能力。

缩略语清单：1 数据中心网络安全概述过去的几十年间，信息和网络技术的爆炸式发展给社会带来了一场深刻变革。

这场变革使得我们所处的世界逐步信息化并互相连接，也逐步建立和形成了社会生产力发展的新方向——网络空间，并不断推动着社会进步。

然而，在整个社会受益于信息和网络技术革命所带来巨大收益的同时，现实生活中各种由来已久的非法活动也自然地延伸到网络空间，如故意破坏、盗窃、扰乱、间谍活动和肆意毁坏等行为，也由此而衍生出网络空间的安全问题。

网络空间中的安全问题本质上表现为攻击与防御之间的一对矛盾。

一方面，攻击者利用资源（指计算机系统或系统中的信息）的安全脆弱性破坏其保密性、完整性和可用性；另一方面，资源所有者需要识别、减少乃至消除资源的脆弱性，以降低或消除攻击者利用安全脆弱性对资源进行攻击的风险。

作为网络空间中端系统的连接纽带，网络设备常常成为攻击目标。

而且由于网络空间的互联性，网络设备自身出现的安全问题通常会给整个网络空间带来很大的负面影响。

因此，网络设备自身的安全防御能力成为构建整个网络空间安全的重要基石。

如下图所示，数据中心网络遵循X.805的三层三面安全隔离机制，其体系架构如下：通过将管理面、控制面和转发面进行隔离，数据中心网络能够保证任何一个平面在遭受攻击时，不会影响其他层面的正常运行网络设备从功能组成上通常划分为“三个平面”，即管理平面、控制平面和数据平面。

相应地，数据中心网络的安全能力也主要表现在管理平面安全、控制平面安全和数据平面安全几个方面。

●管理平面安全：管理平面主要负责处理来自设备管理用户的各种操作维护活动，管理平面安全主要保护设备管理用户对设备的各种操作维护活动安全。

针对各种管理协议可能存在的安全漏洞引入各种安全机制，提供安全的管理通道，对管理过程中的敏感信息进行保护等。

●控制平面安全：控制平面负责维护各种网络协议的运行以控制数据流的交换和路由，控制平面安全主要保护各种控制或信令协议自身运行的安全，以保证控制平面的可用性以及防止对网络控制信息的泄漏或滥用。

●数据平面安全：数据平面主要负责处理进入设备的数据流，根据控制平面下发的各种表项加工和转发各种数据报文，数据平面安全指利用数据平面对上送到设备CPU处理的报文进行过滤或控制，提升管理平面或控制平面的抗攻击能力，从而降低设备安全风险。

这些过滤或控制功能主体上在数据平面完成，但由数据中心网络实现策略控制。

白皮书重点描述数据中心网络在管理平面安全、控制平面安全和数据平面安全方面所具备的基础性安全能力。

1.1 “三大平面”安全能力与风险防御目标数据中心网络“三大平面”（转发、控制、管理）提供了丰富的安全能力，下表列出了每一种安全能力能够防御的安全攻击的类型：数据中心网络安全能力与风险防御目标汇总2 网络安全威胁分析2.1 拒绝服务一般的网络设备的转发处理能力很强大，但是控制面和管理面处理能力有限。

攻击者通过向网络设备发起海量的消息请求，导致网络设备CPU无法实时处理消息，引发正常的业务交互流程、内部处理流程阻塞，达到拒绝服务的目的。

拒绝服务是网络设备面临的最大的威胁，在安全加固配置时，要求重点考虑拒绝服务类攻击的防御。

2.2 信息泄漏网络设备面临的信息泄漏威胁，最重要的风险就是非授权的访问，可以分成如下几种情况：1.利用系统配置疏忽：网络设备为了某些特定场合的便利性，提供了免认证登录的模式，在现网部署是由于疏忽没有关闭此模式，导致恶意用户非授权访问。

2.利用管理流程疏忽：网络设备为了开局方便，通常使用一套配置文件作为模板开局，由于管理员疏忽，没有修改管理员账号密码，引发非授权访问。

3.利用IP 网络开放性的缺陷：恶意用户通过在网络上部署嗅探器、监听设备，把传输的IP 报文截获并进行解析，达到信息泄漏目的。

4.存储介质泄密：网络设备的单板、存储介质，从一个地方转移到另一个地方时，由于缺乏存储介质加密机制，造成泄密。

2.3 破坏信息完整性IP网络的开放性，导致报文在传输过程中，可能会被中间转发节点进行恶意篡改，导致信息传输失真，或者被中间人有意识的修改消息内容，达到攻击的目的。

2.4 非授权访问通过非授权访问，获得网络设备的控制权限，或者获取更高权限的信息。

1.利用网络配置漏洞：由于没有合理的配置防火墙访问控制策略，导致恶意用户从公网进行暴力破解等方式，强行进入系统。

2.非法利用系统提供的调试手段：网络设备为了进行故障定位，提供了一些获取网络设备内部信息处理流程中的信息查看方法。

恶意用户通过利用这些诊断调试接口，越权获取信息。

3.由于网络设备本身的命令行控制机制是基于用户角色而非账号的管理控制，导致某些用户操作远超其个人身份所需的命令行，读取个人通信数据，或者窃取系统配置信息。

4.由于SNMP MIB 数据库没有信息隔离机制，只要能够访问MIB，就可以遍历全部MIB节点。

2.5 身份欺骗由于IP网络开放性，对MAC和IP地址缺乏有力的认证鉴权机制，极易产生基于ARP/IP的地址欺骗攻击，导致网络设备需要不断刷新转发流程必须的地址表项，处理来自欺骗地址的请求，由于地址表项错误导致转发中断，由于表现学习能力不足引发拒绝服务。

2.6 重放攻击IP网络的开放性，导致通信终端在L4及以下层面，无法对对端进行认证。

黑客利用这一特性，通过重复发送特定报文，引发拒绝服务攻击。

2.7 计算机病毒网络设备在网络系统中，除了作为转发节点，同时也是一个可以被管理的网络单元。

当同一个网络区域的计算机感染病毒，发送大量垃圾流量，耗尽网络带宽。

此时，网络设备作为一个网元节点，将无法获得网络资源，导致业务不可用。

2.8 人员不慎在网络建设阶段为了便利业务开通部署而设置的策略，在业务开通之后并没有及时清除，导致遗留的配置成为后门，被攻击者利用。

在网络整改过程中，由于操作人员的不慎或者技能不足，导致配置出错，引发事故。

例如：网线插错导致环路，协议配错引发业务中断，访问控制策略配置错误引发异常阻断或者开启了不该开启的访问通道等等。

管理员不慎将账户口令共享给他人。

2.9 物理入侵网络设备通常对机房管理员物理接入设备，安全防御能力不足，直接物理连接容易获取高优先级权限。

恶意攻击者通过避开门禁、监控等防护措施，接入网络设备。

3 管理平面安全设备管理涉及对设备的本地和远程接入管理、操作维护等功能。

如果设备管理安全受到损害，攻击者则可能进入并控制设备肆意从事任意非法活动，网络设备的安全也就无从谈起，进而影响到整个网络的安全和管理。

因此，设备管理安全在网络安全中首当其冲，建立牢固的安全机制以防止对设备的非授权访问或非授权使用是非常必要和关键的。

数据中心网络的设备管理安全能力主要表现在接入控制、安全管理、文件传输、软件完整性和敏感信息保护、安全审计几个方面，以下分别加以描述。

3.1 接入控制网络设备通常需要提供各种不同的接入机制，包括本地Console口接入和远程Telnet、SSH、等接入方式。

数据中心网络针对这些接入方式可能存在的安全风险设计与实现了如下一些接入控制。

3.1.1 认证和授权所有能对系统进行管理的物理接口、逻辑通信接口及协议都具备接入认证机制，以防止非授权访问，这些接口及协议包括Console接口、Telnet、SSH、SNMP。

所有这些接入方式都支持AAA 认证，只有通过认证的管理用户才能进入设备管理界面。

此外，对通过认证的管理用户采用分级授权机制，权限由低到高依次为参观级、监控级、配置级、管理级，以降低设备管理过程中因权限分配导致的安全风险。

3.1.2 服务启停控制一些网络设备可能在缺省状态下启动了一些不必要的接入服务，这无疑增加了设备的安全风险。

数据中心网络支持接入服务的启动和关闭控制，以便可以关闭一些不必要的接入服务。

如Telnet、SSH 等接入服务都可以进行启动和关闭控制。

3.1.3 服务端口变更一些接入服务的缺省端口号为知名端口号，易被扫描和攻击，可以修改这些服务的端口号为私有端口号，范围为1025~65535，以减小被扫描和攻击的几率。

可以变更端口号的接入服务有Telnet、SSH、FTP(SFTP) 、SNMP。

3.1.4 接入源指定支持限制接入范围，提高设备安全性。

如通过ACL配置控制允许接入的用户IP，通过源接口配置控制仅允许通过特定接口IP接入用户。

3.1.5 防暴力破解字典攻击是暴力破解的一种常见攻击手段，发生字典攻击的时候，强制增强密码复杂度或限制登录尝试频率使这样的攻击很难成功。

一般情况下，AAA服务器负责接入认证，AAA服务器通常会强制使用高复杂度密码或限制登录尝试频率。

但在AAA服务器不可用时，本地认证需要具备同样的特性来防止非法用户登录。

在强制增强密码复杂度方面，数据中心网络对本地认证用户的密码和提升等级密码有最低复杂度要求，具体要求如下：密码长度不能小于8个字符，要求包含四种字符，字符种类包括小写字母、大写字母、数字和特殊字符。