3.1.1.9. 运行路由协议的时候,增加对路由协议的加密认证
现网上已经发现有对BGP的攻击,导致BGP链路异常断链。
建议对于现在网络上使用的ISIS、BGP路由协议,对报文进行加密认证。
由于采用明文验证的时候,会在网络上传播验证密码,并不安全,所以建议使用MD5算法,对于密钥的设置要求足够的强壮。
在增加了对于路由协议报文的加密认证会略微增加设备的CPU利用率,由于对于路由协议报文的处理在主控板,而对于数据的转发是由接口板直接处理,所以路由协议增加了对报文的加密验证,不会影响设备的转发。
3.1.1.10. 设备上开启URPF功能
URPF通过获取报文的源地址和入接口,以源地址为目的地址,在转发表中查找源地址对应的接口是否与入接口匹配,如果不匹配,认为源地址是伪装的,丢弃该报文。通过这种方式,URPF就能有效地防范网络中通过修改源地址而进行的恶意攻击行为的发生。通过URPF,可以防止基于源地址欺骗的网络攻击行为。
H3C系列核心路由器的各种板卡均支持URPF功能,并支持strict、loose和ACL三种模式。
3.1.1.11. ICMP协议的安全配置
ICMP协议很多具有一些安全隐患,因此在骨干网络上,如果没有特别需要建议禁止一些ICMP协议报文:ECHO、Redirect、Mask request。同时禁止TraceRoute命令的探测。对于流出的ICMP流,可以允许ECHO、Parameter Problem、Packet too big。还有TraceRoute命令的使用。这些的措施通过ACL功能都可以实现,H3C系列核心路由器的ACL命令中包含icmp-type安全选项。
3.1.1.12. DDOS攻击的防范
DDoS(分布式拒绝服务),它的英文全称为Distributed Denial of Service,它是一种基于DoS的特殊形式的拒绝服务攻击,是一种分布、协作的大规模攻击方式,主要瞄准比较大的站点,比如商业公司,搜索引擎和政府部门的站点。典型攻击包括Smurf、TCP SYN、LAND.C等攻击类型