資源描述:
《阿爾卡特-7750SR路由器加固.doc》由會(huì)員上傳分享��,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1����、7750SR路由器安全加固手冊(cè)V1.1(適用于SR12,SR7)上海貝爾阿爾卡特股份有限公司互聯(lián)網(wǎng)事業(yè)部二零一一年一月1關(guān)閉未用服務(wù)正常情況下,現(xiàn)場(chǎng)較多使用telnet登錄、管理�����、配置路由器�����,其他服務(wù)在需要的時(shí)候再打開�,不用時(shí)關(guān)閉。7750SR路由器的SSH服務(wù)系統(tǒng)缺省是打開的��,建議關(guān)閉�����。?通過如下命令關(guān)閉sshserver和ftp服務(wù):#config>system>security>ssh#server-shutdown#config>system>security>noftp-server?通過如下命令確認(rèn)系統(tǒng)開
2����、放端口:#showsystemconnections?正常情況下系統(tǒng)只開放如下端口:TCP179:用于BGP連接TCP22:用于SSH登錄TCP646:用于LDPUDP161:用于SNMPUDP123:用于NTP1限制異常流量帶寬7750SR路由器對(duì)于那些必須經(jīng)過CPM上的CPU進(jìn)行處理的流量可以通過cpm-filter命令來進(jìn)行識(shí)別,該命令作用于流量到達(dá)CPMCPU之前的P-Chip芯片上���,并可根據(jù)情況選擇這些流量通過�、拒絕或?qū)ζ溥M(jìn)行cpm-queue限速���。2.1.限制異常ICMP流量大量對(duì)路由器端口或system
3�����、地址的Ping包都會(huì)造成CPMCPU利用率增加�,可通過cpm-filter匹配由IOM送到CPM板卡上的ICMP報(bào)文,并通過cpm-queue限制其速率��。參考配置如下:部署CPM-Queue>config>sys>security>cpm-queue#info----------------------------------------------queue40createcbs1000mbs1000rate2000cir2000//為ICMP協(xié)議只分配2000kbps帶寬exit-----------------
4����、-----------------------------部署CPM-Filter>config>sys>security>cpm-filter#info----------------------------------------------ip-filternoshutdownentry40createactionqueue40matchprotocolicmpexitexitexit----------------------------------------------注:經(jīng)測(cè)試�,上述配置可保證該路由器正
5、常響應(yīng)一臺(tái)網(wǎng)絡(luò)設(shè)備的快速Ping�����,在兩臺(tái)以上網(wǎng)絡(luò)設(shè)備同時(shí)對(duì)其進(jìn)行fastping時(shí)�����,會(huì)造成丟包����,但CPM上的CPU可得到較好保護(hù)。用戶可根據(jù)網(wǎng)絡(luò)實(shí)際情況適當(dāng)放寬ICMP流量帶寬,但應(yīng)注意放寬的流量越大�����,路由器受ICMP攻擊的風(fēng)險(xiǎn)也越大��。2.1.限制異常TCPSYN流量TCPSYNFlood攻擊通過大量偽造的源地址報(bào)文向路由器發(fā)送TCPSYN連接請(qǐng)求�,路由器的TCP緩存隊(duì)列被占滿后,將拒絕新的連接請(qǐng)求�。通常路由器設(shè)備的TCP連接主要來自臨近路由設(shè)備的路由協(xié)議(如BGP協(xié)議采用TCP179端口,LDP協(xié)議使用646端口建
6�、立TCPSession),以及telnet,ssh等管理需要�����。參考配置如下:部署CPM-Queue>config>sys>security>cpm-queue#info----------------------------------------------queue50createcbs1000mbs1000rate2000cir2000//為TCPSYN流量只分配2000kbps帶寬exit----------------------------------------------部署CPM-Filter>co
7���、nfig>sys>security>cpm-filter#info----------------------------------------------ip-filternoshutdownentry50createactionqueue50matchprotocoltcptcp-syntruesrc-ip10.0.0.0/8exitexitentry51createactionqueue50matchprotocoltcptcp-syntruesrc-ip172.16.0.0/12exitexitentry5
8����、2createactionqueue50matchprotocoltcptcp-syntruesrc-ip192.168.0.0/16exitexitexit----------------------------------------------注:上述配置基于常見SYNFlood采用的源地址�,只對(duì)這些源地址產(chǎn)生的TCP連接進(jìn)行限速,其他正
