文档介绍：目录
17 系统安全配置 17-1
关于本章 17-1
概述 17-2
相关概念 17-2
启动防御DoS攻击功能 17-4
使能防御MAC Spoofing功能 17-5
使能防御IP Spoofing功能 17-6
配置IP报文安全优化 17-7
配置ICMP报文安全优化 17-7
配置MAC地址过滤 17-8
配置黑名单功能 17-9
配置带外/带内防火墙 17-10
插图目录
图17-1 带外/带内防火墙配置流程 17-11
表格目录
表17-1 启动防御DoS攻击相关操作表 17-4
表17-2 使能防御MAC Spoofing功能相关操作表 17-5
表17-3 使能防御IP Spoofing相关操作表 17-6
表17-4 IP报文安全优化配置的相关操作表 17-7
表17-5 ICMP报文安全优化配置的相关操作表 17-8
表17-6 MAC地址过滤配置的相关操作表 17-9
表17-7 配置黑名单功能的相关操作表 17-10
表17-8 配置带外/带内防火墙的相关操作表 17-12
系统安全配置
关于本章
本章主要包括以下内容:
标题
描述
概述
介绍安全特性在MA5600中的配置。
相关概念
介绍系统安全的相关概念。
启动防御DoS攻击功能
介绍如何进行防御DoS攻击的配置。
使能防御MAC Spoofing功能
介绍如何进行防御MAC Spoofing的配置。
使能防御IP Spoofing功能
介绍如何进行防御IP Spoofing的配置。
配置IP报文安全优化
介绍如何进行IP报文安全优化的配置。
配置ICMP报文安全优化
介绍如何进行ICMP报文安全优化的配置。
配置MAC地址过滤
介绍如何进行MAC地址过滤的配置。
配置黑名单功能
介绍如何进行黑名单功能的配置。
配置带外/带内防火墙
介绍如何进行带外/带内防火墙的配置。
概述
业务描述
安全特性配置是为了防护网络对设备或用户的攻击,使设备或用户在网络上稳定运行的一些配置操作。
业务规格
MA5600支持的安全特性包括:防御IP Spoofing、防御MAC Spoofing、IP/ICMP报文安全优化配置、MAC地址过滤、IP/MAC地址绑定、带外/带内防火墙和SSH等。
相关概念
防御DoS攻击
DoS(Denial of Service)攻击是指接入用户发送大量控制报文对DSLAM设备进行的攻击,它危害接入系统的正常运行,可能造成系统无法接受正常用户的服务请求,甚至导致系统挂起。
MA5600防御DoS攻击实现方式是:
主机维护一个DoS攻击黑名单。通过设置全局开关,使主控板和单板之间对防御DoS攻击开关设置同步。
业务单板限制用户上交给主机CPU的控制报文数目,并在发现用户进行DoS攻击时,暂停接收用户的控制报文。
防御MAC spoofing
MAC spoofing攻击是指接入用户伪造MAC地址对IP DSLAM设备进行攻击,其危害很大,轻则导致正常用户业务中断,重则可能导致整个IP DSLAM设备瘫痪。
MA5600防御MAC spoofing攻击实现方式是:
停止单板逻辑的MAC地址自动学习功能,根据合法的DHCP报文和PPPoE报文,设置MAC地址绑定。
动态IP地址绑定功能
IP spoofing攻击是指接入用户伪造IP地址对IP DSLAM设备进行攻击,启动动态IP地址绑定功能,增强系统的安全性,可以防止IP spoofing。
ICMP/IP报文的安全优化
启动ICMP安全优化开关,则下发流规则到LAN Switch,丢弃用户侧发出的目的IP为本设备接口IP地址的ICMP报文。
启动IP安全优化开关,如果IP报文来自业务单板,且出接口为环回接口,则丢弃报文。
MAC地址过滤
MAC地址过滤就是配置了过滤的MAC地址后,在业务单板上对报文源MAC地址做检查,把源MAC地址与配置的MAC地址相同的报文丢弃。MAC地址过滤通常应用于防止用户仿造上层设备的MAC地址。
黑名单
黑名单为一个IP地址集,系统将过滤掉所有源IP地址在黑名单上的数据包,从而实现安全特性。
这个名单只对业务通道的报文有效。
带外/带内防火墙
配置带外/带内防火墙是为了禁止未授权的用户通过设备维护网口对设备进行维护,从而实现系统的安全性。带外/带内/带内防火墙是根据ACL(Access Control List)