IP网络设备配置规范书-BRAS分册（201004修订征求意见）(10)

`

二、URPF

1） 二层接口：

[Quidway] traffic classifier URPF

[Quidway-classifier-URPF] if-match any [Quidway-classifier-URPF] quit [Quidway] traffic behavior URPF

[Quidway-behavior-URPF] ip urpf loose [Quidway-behavior-URPF] quit [Quidway] traffic policy URPF

[Quidway-trafficpolicy-URPF] classifier URPF behavior URPF [Quidway-trafficpolicy-URPF] quit

[Quidway] interface gigabitethernet 2/0/0

[Quidway-GigabitEthernet1/0/0]traffic-policy URPF inbound 2） 三层接口 Interface X/X/X

ip urpf loose

2、Juniper设备

一、病毒木马端口过滤

ip classifier-list isVirus tcp any any eq 139 ip classifier-list isVirus udp any any eq 139 ip classifier-list isVirus tcp any any eq 445 ip classifier-list isVirus udp any any eq 445 ip classifier-list isVirus tcp any any eq 3127 ip classifier-list isVirus tcp any any eq 1025 ip classifier-list isVirus tcp any any eq 5554 ip classifier-list isVirus tcp any any eq 9996 ip classifier-list isVirus tcp any any eq 1068 ip classifier-list isVirus tcp any any eq 135 ip classifier-list isVirus tcp any any eq 137 ip classifier-list isVirus tcp any any eq 138 ip classifier-list isVirus tcp any any eq 593 ip classifier-list isVirus tcp any any eq 4444 ip classifier-list isVirus tcp any any eq 5800 ip classifier-list isVirus tcp any any eq 5900 ip classifier-list isVirus tcp any any eq 8998 ip classifier-list isVirus udp any any eq 135 ip classifier-list isVirus udp any any eq 1434

二、URPF

`

针对pppoe拨号用户: profile pppoe ip unnumbered loopback 0 ip sa-vaildate //在pppoe用户使用的profile中加入该命令 ppp authentication pap 针对静态用户： conf t int g X/X/X ip sa-vaildate //针对静态专线用户在端口配置下加入该命令 3、中兴设备

acl extended number 101

rule 1 deny tcp any any eq 135 rule 2 deny tcp any any eq 136 rule 3 deny tcp any any eq 137 rule 4 deny tcp any any eq 138 rule 5 deny tcp any any eq 139 rule 6 deny tcp any any eq 445 rule 7 deny tcp any any eq 593 rule 8 deny tcp any any eq 1433 rule 9 deny tcp any any eq 1434 rule 10 deny tcp any any eq 3333 rule 11 deny tcp any any eq 4444 rule 12 deny tcp any any eq 5554 rule 13 deny udp any any eq 135 rule 14 deny udp any any eq 136 rule 15 deny udp any any eq 137 rule 16 deny udp any any eq 138 rule 17 deny udp any any eq 139 rule 18 deny udp any any eq 445 rule 19 deny udp any any eq 593 rule 20 deny udp any any eq 1433 rule 21 deny udp any any eq 1434 rule 22 deny udp any any eq 3333 rule 23 deny udp any any eq 4444 rule 24 deny udp any any eq 5554 rule 25 permit ip any any

Urpf：

中兴BRAS默认开启。

`

第2节 控制层面安全加固

2.1 IGP 安全防护

■ 配置内容：

网络规划和IGP配置。 ■ 规范要求：

原则上城域网设备不与骨干网设备建立IGP 邻居关系。 ■ 配置示例： 参照OSPF章节。 2.2 关闭控制平面未使用的服务

■ 配置内容：

关闭控制平面未使用的服务。 ■ 规范要求：

按照网络安全的基本要求，在网络中的每个设备上需要禁用未使用的设备和协议，因此在城域网网络设备上，需要禁止以下不使用的协议：

1）代理ARP（no ip proxy-arp） 例外的情况：

-------软交换业务上AG必须开启proxy-arp。

-------SR上如启用Super-vlan，且子网内用户需互通，必须开启proxy-arp。 2）源路由（no ip source-route） ■ 配置示例： 1、华为设备 代理ARP和IP源路由缺省关闭。 以下是NE80E在使用SUPER－VLAN的时候需要开始ARP代理的脚本： interface vlanif xx arp-proxy enable arp-proxy inner-sub-vlan-proxy enable arp-proxy inter-sub-vlan-proxy enable 2、Juniper设备 pppoe 拨号端口上proxy-arp默认关闭，仅在软交换端口上使用命令ip proxy-arp 打开。

3、中兴设备 中兴BRAS默认关闭proxy-arp，如要开启ip源路由，使用以下命令， ZXR10(config)#ip source-route `

2.3 控制引擎防护

■ 配置内容：

配置控制引擎防护。 ■ 规范要求：

实现设备基础结构的安全性，并通过和接口ACL 结合使用，增加设备本身的安全性。 ■ 配置示例： 1、华为设备 缺省开启。

2、Juniper设备 缺省开启。 3、中兴设备 无需部署 第3节 管理层面安全加固

3.1 禁用未使用的管理平面服务

■ 配置内容：

关闭不使用的管理平面服务。 ■ 规范要求：

对于城域网网络设备不经常或不使用的管理平面服务，需要在设备上强制进行关闭，视实际应用情况，关闭网络设备不必要的服务（FTP、TFTP、TCP UDP SMALL 、Finger 、HTTP、BOOTP 、echo、chargen、cdp、DNS查询、ip rediect、ip direct-broadcast等服务功能）。 ■ 配置示例： 1、华为设备 缺省关闭。 2、Juniper设备 conf t no ftp-server //其他类型服务不支持 int g X/X/X no ip proxy-arp no ip rediect ip direct -broadcast 3、中兴设备

`

中兴BRAS默认关闭ftp、bootp、proxy-arp，其余无此应用，故默认都是关闭。