网络接入层、汇聚层及核心层安全策略

01设备登录安全策略部署

1.配置本地Console口登录的安全功能，配置Console口用户界面的认证方式和用户级别等。

2.配置远程STelnet登录的安全功能，配置VTY用户界面的协议类型、认证方式和用户级别等。

02接入层设备安全策略部署

1.配置流量抑制功能，对超过设定速率的广播、未知组播或未知单播报文进行丢弃或阻塞。建议在网络内部互联接口配置此功能，减少异常环路的广播风暴对整网业务的影响。

2.配置风暴控制功能，对超过设定速率广播、未知组播或未知单播报文进行阻塞或关闭接口。在树形组网接口下挂用户网络时，建议配置此功能，防止用户网络广播风暴影响整个网络。

5.配置DAI（动态ARP检查）功能，利用DHCP Snooping绑定表匹配检查收到的ARP报文，将不匹配的ARP报文进行丢弃。为防止中间人伪造ARP报文攻击，导致通信双方的数据被窃取时，建议配置此功能。

7.配置端口隔离功能，将端口加入到隔离组中，配置隔离模式以及单向或双向隔离。为实现同一VLAN内端口之间的二层隔离或二三层均隔离时，建议配置此功能。

03汇聚层设备安全策略部署

1.如果核心层作为用户网关，汇聚层下接了多个接入层设备，主要负责业务流量的二层转发，只需要配置端口隔离即可。

2.如果汇聚层作为用户网关，相关的安全策略部署请参考核心层设备安全策略部署。

3.如果汇聚层下接了终端设备，相关的安全策略部署请参考接入层设备安全策略部署。

04核心层设备安全策略部署

1.配置CPU防攻击功能，将单位时间内上送CPU报文的数量在一定范围之内，从而保护CPU的安全。

2.配置攻击溯源功能，根据攻击报文信息找出攻击源用户或攻击源接口，发送日志告警通知管理员并对攻击源实施惩罚。

3.配置端口防攻击功能，通过对超过检查阈值的报文进行溯源和限速，避免因为攻击端口的报文挤占带宽而导致其他端口的报文无法正常上送CPU。

5.配置ARP报文限速功能，防止设备因处理大量ARP报文，导致CPU负荷过重。

6.配置ARP Miss消息限速功能，防止设备处理大量目的IP不能解析的报文，触发大量ARP Miss报文。

7.配置临时ARP表项的老化功能，减少ARP Miss报文的触发频率。

8.配置禁止过路ARP报文上送CPU功能，对过路ARP报文直接转发，提高设备防御ARP泛洪攻击的能力。

10.配置ARP表项严格学习功能，只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，防止设备收到大量ARP攻击报文时，ARP表被无效的ARP条目占满。

11.配置ARP表项功能，设备接口只能学习到设定的最大动态ARP表项数目，防止当一个接口所接入的某一台用户主机发起ARP攻击时消耗整个设备的ARP表项资源。

12.配置禁止接口学习ARP表项功能，防止该接口下所接入的用户主机发起ARP攻击时消耗整个设备的ARP表项资源。

13.配置ARP表项固化功能，设备在第一次学习到ARP之后，不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息，或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认，以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。

14.配置ARP防网关冲突功能，防止用户仿冒网关发送ARP报文，非法修改网络内其他用户的ARP表项。

19.配置ARP表项严格学习功能，只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP，防止设备收到大量ARP攻击报文时，ARP表被无效的ARP条目占满。

20.配置DHCP触发ARP学习功能，设备根据收到的DHCP ACK报文直接生成ARP表项。当DHCP用户数目很大时，可以避免大规模ARP表项的学习和老化对设备性能和网络环境形成的冲击。