IDC数据中心设备安全加固方法探析论文IDC数据中心设备安全加固方法探析论文近几年来，互联网数据中心在国内发展迅猛，与此同时互联网安全事件也愈演愈烈，数据中心安全事件的发生率呈指数上升趋势。各种xxx攻击软件，隐藏在服务器中的病毒，以及网络内的僵尸主机，都可能会成为网络攻击源。攻击会导致网络服务质量下降导致网络不可用，严重影响运营商的品牌形象。在日趋严峻的网络安全形势面前，需要尽可能地提高网络健壮性，有效抑止一些常见的攻击和病毒，降低安全事件发生的概率和影响程度。目前针对数据中心基础架构的网络攻击和网络病毒主要有以下几类：一类是攻击直接针对网络设备，造成网络设备处理器和内存资源大量消耗，使得网络性能收到影响，甚至中断；另一类是采用大数据包的攻击，使网络带宽拥塞，影响网络的性能；还有一类是采用小数据包的攻击，造成网络设备三层转发负载加重，使设备性能降低，影响网络性能。结合笔者十多年的数据中心建设维护和安全防御经验，提出从技术上建立数据中心网络配置标准，对设备进行安全加固。通过对网络安全体系的各个安全环节、各个保护对象的防御措施等方面的均衡，提高IDC整体防护能力，降低上述几种攻击模式对数据网络的冲击，实现网络整体安全水平的提高。1IDC数据中心设备进行安全加固主要实施对象是机房网络设备，通过对设备自身的安全加固，提升网络的自我防护能力，加强重点设备的抗攻击能力，提高网络的生存性和可用性。1.1通用性安全配置要求为保证IDC内数据安全，建议对机房内各设备按照如下安全配置要求进行策略部署：（1）设备端口安全管理对于网络设备的`服务端口遵循最小化原则，关闭不必要的应用端口和服务，主要包括如下内容：关闭IP直接广播；关闭控制平面未使用的服务，如代理ARP、IP源路由；关闭不使用的管理平面服务：Bootp,Finger、PAD、CDP,DHCP,小TCP/UDP等，对于不使用Web方式管理的网络设备关闭其HTTP服务，对于必须启用WEB管理的设备，需通过访问控制列表进行访问限制。（2）设备认证控制和密码管理设备采用集中认证方式，通过Radius或者Tacacs+认证模式登录，由认证服务器对维护操作人员进行认证授权，用户权限遵循最小授权原则，在设备增加本地账户，作为认证服务器失效时的备用管理账号。对于所有的设备配置中登录密码，必须使用加密显示，控制台接口必须启用密码保护功能。认证服务器可将相关的认证授权操作信息送到安全管理平台。不允许使用系统缺省配置的用户和口令，应给网管人员配置各自的用户名和口令，做到个人账号专人专用，建议每三个月进行一次密码更新，口令要求不少于8个字符，口令使用大写字母、小写字母、数字、标点及特殊字符四种字符中至少三种的组合，口令以加密方式存储。网管人员离职、岗位调动必须通过相应的管理流程对其账号、密码进行删除。（3）设备访问限制在网络设备上限定只允许网管地址网段能实现和设备之间的管理通信；限定设备登录的并发连接数，限定登录最大连接时长，对于支持SSH模式的设备，一律采用SSH方式进行远程访问。需要外网操作的设备，建议采用VPN方式登录到网管中心，然后通过网管中心作为跳板进行设备访问。为加强跳板的可用性，可以采用主备冗余方式。（4）设备关键资源保护使用RACL和COPP等类似技术部署设备控制卡板的防护策略，对设备处理能力进行保护，增强设备本身的安全性。（5）路由安全对于启用动态路由的设备，要求在建立邻接关系时使用MD5算法加密，保证路由信息的可信度。对于无需参与动态路由计算的端口，建议配置为被动接口。对于多跳EBGP互联邻居，为避免路由震荡和攻击，在确定路由跳数的情况下，应启用BGPTTLsecurity-check功能。与用户通过BGP互连时，在EBGP邻接上使用AS-PATH严格匹配对方广播的路由，并使用IPprefix-list过滤缺省和私有路由，原则上只接收掩码为/24或以内等路由。（6）服务质量配置要求与信任域进行对接时，如对方服务质量（QOS）标记规则与网内不一致，在对接处需要按照流量标记对应关系对每类流量进行标记重置，对非信任域的所有流量的标记应重置为0.（7）时间同步和流量监控机房网络设备必须采用网络时间协议（NTP）方式实现时间同步。全网设备使用统一的时间服务器，在服务器上通过访问控制列表对客户端接入限制。要求机房内设备都启用简单网络管理协议（SNMP）来监控端口流量，应只采用只读模式，同时要求设备只允许网管网络的网段来读取流量，共同体字串建议采用强口令要求长度8位以上，包含特殊字符、大小写和数字。要求网管软件能对端口流量设置基线，当端口流量严重超过基线时能发出告警。（8）设备日志要求设备必须配置日志功能，其中必须包括设备访问、配置、状态等安全相关事件的来源、时间、描述等信息内容，并对高风险的事件产生告