设备面临的安全威胁

随着网络通信技术的高速发展，人们享受到了前所未有的便利，与此同时也面临着网络中各种各样的安全威胁。为了抵御网络中的各种攻击，FW系列产品被广泛应用于IDC（Internet Data Center）出口、大小型企业和校园网出口等各种场景，为客户提供多种强大而完备的安全解决方案。与此同时，设备自身也面临着各种被攻击的风险，为了更好的为客户服务，设备需要应对各种可能的安全威胁，并对其提供有效的防护措施。

设备面临的安全威胁主要来自以下几个方面：

•仿冒（Spoofing）：指有能力冒充某人某物。由于业务场景需要，设备需要与多种外部交互方进行数据交互，如果这些外部交互方被仿冒，向设备发送请求，会造成正常业务受到影响，系统资源被占用。例如：由于IP网络的开放性，目前对MAC和IP地址缺乏有力的认证鉴权机制，极易产生基于ARP/IP的地址欺骗攻击，导致设备需要不断刷新转发流程必须的地址表项，处理来自欺骗地址的请求，由于地址表项错误导致转发中断，由于表项学习能力不足引发拒绝服务。

•篡改（Tampering）：指未经授权的更改。当设备与外部交互方进行数据传输时，如果缺乏安全的传输通道或加密手段，可能会被中间人攻击，数据被篡改。例如：WEB管理员通过HTTP协议访问设备，攻击者可通过获取交互报文，对某些重要信息做修改，如：向设备下发错误的指令，达到控制设备的目的；或者构造下发一些超长、畸形的报文字段，如果服务器端未进行完整性校验，可能会引起设备崩溃。

•抵赖（Repudiation）：指否认做过的事情。由于业务场景需要，设备需要响应各种外部交互方的指令，如果缺乏完善的日志机制，则下达指令的行为无法被记录，一旦出现问题，很难被追溯。例如：某管理员出于攻击目的，重启了设备，造成业务中断，配置丢失。如果系统的日志功能不完善，则很难对这种行为进行追溯。

•信息泄露（Information disclosure）：指信息被未授权访问。在实际场景中存在多种信息被泄露的风险。比如：当敏感数据在不同的业务子系统之间传输时，可能被网络黑客嗅探，如果信息采用明文传输或存储，则很容易造成信息被泄露，从而被攻击者获取和利用。

•拒绝服务（DOS）：攻击者向设备发起海量的消息请求，导致设备CPU无法实时处理消息，引发正常的业务交互流程、内部处理流程阻塞，达到拒绝服务的目的。

•权限提升（Elevation of privilege）：指拥有的权限高于实际需要的权限。在实际使用中，不同的用户角色应有不同的权限要求。如果对某类用户的权限定义不当，会导致权限扩大，使用户配置、查看到不应有的业务内容，导致安全风险。

除此之外，还有一些人为管理的原因，如：管理人员没有严格执行安全管理规章制度，管理人员安全意识不足等原因，也会给实际使用带来难以预估的安全风险。

设备脆弱性分析

控制平面与管理平面处理能力局限性

随着芯片等技术的发展，以及网络带宽需求的迅速增长，设备转发处理能力得到了极大的提升。近10年来，网络带宽经历了10M到100G的万倍跨越，转发平面的处理能力急剧提升。

设备的控制和管理平面运行在CPU上，软件处理能力的增长有限。超宽带时代终端与网元之间的通道得到极大增强，极易出现基于流量泛洪等方式的拒绝服务攻击。

存在大量安全性不足的访问通道

由于业界标准、管理便利性、历史继承性等原因，设备存在大量安全性不足的访问通道，例如：SNMP v1/v2，Telnet等，这些协议早期对安全性考虑不足，而新的协议（SNMP v3，SSH）并没有强制性替换老的协议。因此，如果用户不恰当的使用了这些安全不足的访问通道，容易造成信息泄密，被恶意用户利用时，容易产生非授权的访问行为。

同时，由于这些安全性不足的协议，没有进行任何完整性校验，容易引起中间人攻击，恶意攻击者可以通过篡改协议消息，达成攻击的目的。

IP网络开放性带来的安全隐患

IP网络的开放性带来网络架构便利性的同时，也带来了巨大的安全隐患。

1.首先，IP网络对接入终端无认证授权机制，导致任何终端均可以随意接入网络。恶意攻击者可以轻易的进入IP网络，只要探测到设备的IP地址，即可发起攻击行为。而且容易采用地址欺骗的方法，模拟海量源IP地址对设备进行攻击。

2.其次，IP网络在TCP/IP的第四层及以下，没有安全防御能力，所有消息的完整性、认证鉴权、协议一致性，都由应用层自行保障。因此，当攻击发生在第四层及以下时，设备往往成为攻击的对象。

3.再次，以太网架构本身的身份认证能力缺乏，容易引发基于MAC地址欺骗的攻击。

4.最后，IP协议栈本身的安全能力薄弱，协议设计时没有完整的安全策略架构，导致基于协议本身的攻击也频繁发生。

以上这些安全隐患，容易引发诸如地址欺骗、重放攻击、畸形报文、网络病毒、消息篡改、流量泛洪等一系列的安全攻击，引发各种各样的安全问题。

电信网络复杂性带来的管理挑战

由于电信网络规模庞大，系统构造复杂，导致网络节点数量众多、访问通道灵活复杂、通信协议层出不穷。

电信网络的管理也变得极其复杂，安全性和业务能力，安全性和业务灵活性，安全性和管理维护便利性，矛盾无处不在。不同技术能力、管理水平的运营商和管理人员，对这些矛盾的处理能力也参差不齐。

因此，电信网络的安全策略难以保持高水平的一致性，往往会暴露出部分安全漏洞，引发诸如感染病毒、非授权访问、以某个网元为跳板进行渗透攻击等问题。

设备本身的复杂性带来的挑战

设备配置模型复杂，管理员往往追求业务可用性，而忽略了安全防御能力，导致必要的安全措施没有得到妥善的配置，设备本身的安全能力无法发挥。

设备安全配置模型复杂，需要极高的技能才能完全掌握，对资深技术人员的依赖较大，容易造成在用户技能不足的情况下，以牺牲安全来达到业务可用。

设备安全风险评估

综合网络安全威胁、设备的脆弱性，可以评估出设备面临的安全风险，并给出安全风险抑制建议，如下表所示：

FW的安全隔离与防御机制

FW遵循X.805的三层三面安全隔离机制，其体系架构如下图所示。

由于不同的数据流的重要程度不同、受到的安全威胁不同、对用户的影响不同，为避免数据流相互影响，FW划分为三个不同的安全平面。

• 管理平面：关注管理用户的应用和业务数据的安全，即管理信息的安全，包括操作、维护和管理信息。
• 控制平面：FW需要运行各种各样的协议来达成业务，这些协议自身需要考虑安全性，避免被攻击或者仿冒。
• 转发平面：信息流的转发主要通过IP报文的目的MAC地址、目的IP地址来查找路径转发；相关安全性主要针对转发路径上如何避免对交换机自身的恶意攻击行为，以及预防某些攻击流量在IP网络中的扩散。

通过将控制平面、管理平面和转发平面进行隔离，FW能够保证任何一个平面在遭受攻击时，不会影响其他平面的正常运行

图1 X.805的三层三面安全隔离架构

通用的安全加固建议

日志维护建议

利用审核日志记录来帮助发现可疑的活动。系统对于重要业务的操作需要记录日志。通过系统加固对日志文件进行保护。

· 定期检查日志

定期查看设备产生的日志，若发现有异常日志出现，应及时向上级部门汇报，若不能定位原因或无法自行解决时，及时联系客户服务中心，或者直接联系华为技术有限公司驻当地办事处的技术支持人员或联系代理商。

· 定期备份日志

日志应当定期进行备份，同时将备份文件在外介质（硬盘、磁带、光盘等）上存档。应当及时在设备上删除已备份的日志，以释放空间。

· 审计功能的配置更改

在系统初装时完成系统审计功能的配置，一般情况下不建议修改。若需要修改系统审计功能的配置，请报上级部门批准，同时将修改的内容作书面记录。

安全评估建议

建议运营商定期对系统进行安全评估，特别是在进行系统重大升级、网络搬迁、系统扩容等网络变更较大的情况下。

建议运营商找具有安全评估资质的专业机构对系统进行安全评估，评估时请与技术服务工程师联系。

漏洞扫描建议

漏洞扫描是指通过扫描等手段，对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。

端口扫描是漏洞扫描的一部分。建议运营商使用NMAP工具扫描系统，参照产品的《通信矩阵》文档，检查系统是否开放了不必要的或可疑的端口。

运营商需要建立应对安全事故的应急响应处理机制，以保证出现安全事故后，可以尽快恢复生产和解决问题，将损失降至最低。

建议如下场景进行漏洞扫描：

• 周期性扫描，例如，按季度进行漏洞扫描。
• 在系统安装或者升级完成后进行漏洞扫描。
• 在发布重大漏洞公告时，需要对系统进行扫描确认是否存在重大漏洞。
• 在补丁安装完成后进行漏洞扫描。

备份建议

出于安全防护的需要，数据备份可以避免异常情况设备配置丢失，可以及时恢复数据。

• 在进行日常安全配置维护、故障处理之前和之后进行备份。
• 安装补丁、升级之前和之后进行备份。
• 请在备份前制定备份计划，确定备份时间和备份内容。
• 建议有专门的服务器备份所有软件版本、配置文件，并每周定期备份。
• 可以通过PC建立FTP/TFTP/SFTP服务器，将版本信息和配置信息下载存储在备份服务器上，作为备份。SFTP协议比FTP和TFTP有更高的安全保证，建议采用SFTP进行数据备份。

补丁管理建议

营商需要建立应用程序补丁的管理制度，设置相关人员，检视华为技术有限公司发布的补丁，并检查操作系统、数据库、中间件厂商发布的补丁。