互联网网络安全加固配置要求.docx

qp中国电信 CHINA TELECOM 中国电信CH NANET网络及省内相关互联网络安全加固配置要求（修订） 中国电信集团公司网络运行维护事业部 二零一零年三月 目录 TOC \o "1-5" \h \z \o "Current Document" 概述 1 \o "Current Document" CHINANET网络设备安全加固策略 1 \o "Current Document" C/D 路由器安全加固策略 1 \o "Current Document" 数据平面安全加固策略 1 \o "Current Document" 控制层面安全加固策略 3 \o "Current Document" 管理层面安全加固策略 6 \o "Current Document" E 路由器安全加固策略 8 \o "Current Document" 数据平面安全加固策略 8 \o "Current Document" 控制层面安全加固策略 9 \o "Current Document" 管理层面安全加固策略 11 \o "Current Document" X/F 路由器安全加固策略 12 \o "Current Document" 数据平面安全加固策略 12 \o "Current Document" 控制层面安全加固策略 14 \o "Current Document" 管理层面安全加固策略 15 \o "Current Document" I 路由器安全加固策略 17 \o "Current Document" 数据平面安全加固策略 17 \o "Current Document" 控制层面安全加固策略 17 \o "Current Document" 管理层面安全加固策略 18 \o "Current Document" 其它省管设备安全加固策略 19 \o "Current Document" S路由器安全加固策略 19 \o "Current Document" RR路由器安全加固策略 23 \o "Current Document" 数据平面安全加固策略 23 \o "Current Document" 控制层面安全加固策略 24 \o "Current Document" 管理层面安全加固策略 24 \o "Current Document" 省内互联网络安全加固策略 26 \o "Current Document" 城域网安全加固策略 26 \o "Current Document" 城域网出口路由器安全加固策略 26 \o "Current Document" 其它设备安全加固策略 29 \o "Current Document" IDC 网络安全加固策略 32 \o "Current Document" 数据层面安全加固策略 32 \o "Current Document" 控制层面安全加固策略 32 \o "Current Document" 管理层面安全加固策略配置要求 33 1 概述 随着中国电信宽带互联网业务的不断发展，CHINANE网络承载的用户业务量 越来越大，对于CHINANE网络安全、稳定运行不断提出了新的需求。 在网络安全 问题日渐突出的情况下，CHINANE网络必须提供一个有效的安全结构， 以适应今 后CHINANE网络的可持续，可监控性发展的需要。 根据目前CHINANET网络的结构和业务运行的实际情况，CHINANE网络的安 全防护主要针对以下几个层面进行： ?数据平面：数据层面承载了 CHINANE网络的主要流量，主要对基础设施 访问进行控制、对典型的病毒、垃圾流量进行控制； ? 控制平面：用于创建和维护网络状态和路由接口信息（路由、信令，链 路状态），由CHINANE各类设备产生和处理； ? 管理平面：用于访问、管理和监视所有网络元素的流量。 2 CHINANET网络设备安全加固策略 C/D 路由器安全加固策略 随着网络结构调整，C D路由器主要与城域网和IDC互联（目前还存在少 数AS4134中尚未下放至城域网的 A路由器，如果未能尽快下放要参照 D路由器 进行加固）。 数据平面安全加固策略 、关闭 IP 选项 IP 数据平面中的 IP 选项功能一般在特定情况中需要应用， 但对于多数常见 的 IP 通信则不是必须的。由于 IP 选项导致 IP 数据包的可变长度和复杂处理的 需要，具有 IP 选项的数据包会通过数据平面转发的慢速路径进行