与入接口一致,是则转发,否则进行ACL匹配。 忽略缺省路由的URPF(lnRPF) 用源地址进行路由(不包括缺省路由)查找,找到就转发,否则进行ACL匹配 优点:只使用缺省路由来丢弃非法数据流的情况下十分有效。 络 BAC处于路由非对称IP网络
2、现网使用建议
1)在现网实施过程中,建议当BAC处于对称路由IP网络时,可启用严格的
uRFP (sRPF),若BAC处于非对称路由IP网络时,可启动忽略缺省路由的URPF(lnRPF)。同时开启启用uRPF日志。 2)启动SOCKET底层过滤功能。
3)启用IP层防攻击相关开关,设置攻击阀门值: 500包/秒 (建议值) 3、对BAC处理性能的影响 1)BAC处理能力影响
由于主要在IP层进行识别、分类和适当的处理IP包,未上升至业务层CPU处理。因此其启用uRFP协议和SOCKET底层过滤功能, 几乎不会对系统性能产生额外影响。 2)业务影响
由于路由器的IP流量发生拥塞后,势必也对BAC业务造成影响,在现网运营时必须注意。
3.1.2 基于ACL规则的报文过滤
1、基于ACL规则的报文过滤功能介绍
报文过滤机制主要是针对IP数据包的过滤。收到数据报文的时候,BAC先读取报文头信息,包括上层协议号、源/目的地址、源/目的端口,然后将报文头信息与定义的ACL规则相比较。根据比较的结果,确定发送或丢弃报文。BAC具有丰富的过滤功能,可以将不需要的流量过滤掉,只转发符合ACL规则定义的报文到核心网。
ACL规范表内容包含以下五元组:
基于源IP地址的数据过滤 基于目的IP地址的数据过滤 基于源端口的数据过滤 基于目的端口的数据过滤 基于特定协议的数据过滤
2、使用分析
1)基于源IP地址的数据过滤功能的使用分析:
接入用户的接入类型较复杂,如(1)通过公网CHINA-NAT 接入;(2)通过电信本地城域网接入;(3)通过移动PDSN接入;(4)通过CN2本地网络接入等。省内对接入用户的IP地址分配采用两种方式:(1)由DHCP实施IP地址动态分配方式:(2)通过IP地址整体规划,对部分接入用户的IP地址固定化。
若用户地址发生变更后,BAC无法判断原有用户地址是否为原来的IP地址。因此,接入用户采用DHCP方式分配IP地址的本地网不具备对接入用户实施基于源IP地址的数据过滤功能。
2)基于目的IP地址的数据过滤的使用分析:
从BAC角度来说,目的IP地址主要为两类:1)接入用户发起的目的IP地址为BAC 地址;2)BAC发起的目的IP地址为用户接入IP地址。从安全方面来
看,这两类目的IP地址,均可视为安全地址消息。
3)基于源端口和目的端口的数据过滤的使用分析:
对于业务应用主要承载于各类端口,如FTP的访问端口为20/21、HTTP的访问端口为80/8080、SIP消息访问端口为5060、H.248消息访问端口为2944D等。
因此基于源端口和目的端口的数据过滤可控制各类业务或协议的使用,从而保证在IP层防范其他业务类型的冲击。
4)基于特定协议的数据过滤的使用分析
基于特定协议的数据过滤实现方式主要基于IP报分消息解析消息类型。
3、现网使用建议
1)有用户接入的IP地址固定且明确的情况下,可使用源IP地址的数据过滤
ACL。使用范围可为:FTTX(H)用户接入(包括SIP用户接入、H.248用户接入)以及IP PBX企业接入。
2)协议应用端口采用固定模式,如SIP端口主要应用于5000~7000范围;H.248
主要应用2944端口等。建议使用基于源端口和目的端口的数据过滤。 4、对BAC处理性能的影响
ACL可以有效的完成对BAC自身网管或指定通道的流量保护,防止非法源的泛洪攻击;在内部处理过程中,不涉及业务CPU应用。因此几乎不会对BAC系统性能产生额外影响。
3.2信令层安全防范 3.2.1 信令防火墙
1、功能介绍
信令防火墙的主要功能是检查和过滤各种信令攻击,信令攻击方式主要有:过滤畸形 SIP 消息、未注册用户的注册消息攻击、未注册用户的非注册消息、已注册用户的 SIP消息攻击。
在信令层防范攻击涉及整个信令流程中,因此信令防火墙主要包括: 2)注册泛洪接纳控制策略; 3)CAC呼叫接纳控制策略; 4)畸形包防火墙: 5)动态黑白名单功能 ? 注册泛洪接纳控制策略
注册泛洪策略主要采用两种方式:1)单个用户注册频率控制策略;2)最大注册用户数控制策略。其中单个用户注册频率是指对单个用户的初始注册请求实施准入控制,当前初始注册请求频率超过预设门限时,注册请求不再接纳;最大注册用户数是指根据允许的最大注册用户数对用户注册请求实施准入控制,当前注册用户数超过预设门限时,注册请求不予接纳。具体业务应用可见本文4.3章节
? CAC呼叫接纳控制策略
CAC呼叫控制策略是根据用户允许的最大呼叫频率对用户呼叫请求实施准入控制,该用户的呼叫频率超过预设门限时,对呼叫请求不予接纳。具体业务应用可见本文4.3章节 ? 畸形包防火墙
畸形包防火墙主要指安全引擎设置SIP协议消息标准格式、字节大小等规则,对每个SIP消息进行筛选,过滤掉语法、语义上不正确的SIP消息。各厂家BAC均采用程序内置相关规则,只需开启功能即可。 ? 黑白名单功能
保持业务中各个用户的当前状态,对每个消息进行严格的状态检查。对攻击报文能够立即识别,分类并按优先级排列。正常的业务报文进入高优先级队列,攻击报文进入低优先级队列,其它报文根据具体的状态进入相应的队列。BAC先发送高优先级报文,然后是中等优先级报文,最后是低优先级报文,对大多数攻击报文不予处理。在判断是否为攻击报文主要是两个依据:1)用户连接速度的阀值;2)注册行为设定时间阀值。当超过阀值时,即认为当前有信令攻击发生,从而自动将攻击者的IP地址和端口加入黑名单中,直到老化时间到期;具体业务应用可见本文4.3章节
同时也会配置一些预定设置的辅助策略进行处理信令防火墙功能,如: 1)根据用户注册状态进行消息的处理,对未注册用户发送的非注册消息进行丢弃处理。
2)对注册鉴权失败的用户终端建立监视列表,记录IP地址/端口和用户名,并能采取动态黑白名单机制进行处理。
3)根据资源管理策略对用户请求消息进行过滤,对资源管理策略不允许的用户请求进行丢弃或拒绝处理。 2、使用分析
在现网具体运用用,注册泛洪接纳控制策略与CAC呼叫接纳控制策略需要结合不同用户群的需求以及市场定位,可分不同策略要求,例如普通用户在注册和CAC控制策略中可降低用户使用的频率,而集团用户则可提供用户使用的频率。需要有所针对性的区分。
畸形包防火墙主要内置于系统内部,判断用户消息流程是否有效、消息语法是否有效,消息字节数是否超过阀值等。因此无需用户进一步进行参数设置。
动态黑白名单功能则需要分别与注册泛洪接纳控制策略与CAC呼叫接纳控制策略、畸形包防火墙等信令防护策略相结合运用,当超过一定阀值可设置为黑名单用户。
通过分析可知,注册泛洪接纳控制策略与CAC呼叫接纳控制策略需要详细规范设置。 3、现网使用建议