如果从版本 3.7.1 升级到更高版本，RPM
注册升级映像时会验证签名。如果
签名验证失败，升级中止。
验证 Cisco NFVIS ISO 映像或升级映像的哈希值
使用命令： /usr/bin/sha512sum <image_filepath>。将哈希值与已发布的进行比较
散列以确保完整性。

安全启动

安全启动是 ENCS 上提供的一项功能（默认情况下禁用）
确保设备仅使用受信任的软件启动。到
启用安全启动：

更多信息请参阅主机安全启动文档
信息。

按照提供的说明在您的设备上启用安全启动
设备。

安全唯一设备识别 (SUDI)

SUDI 为 NFVIS 提供不可变的身份，验证
它是真正的思科产品，并确保其在业界的认可
客户的库存系统。

常问问题

问：什么是 NFVIS？

答：NFVIS 代表网络功能虚拟化
基础设施软件。它是一个用于部署的软件平台
并管理虚拟网络功能。

问：如何验证 NFVIS ISO 映像的完整性或
升级形象？

A：要验证完整性，请使用命令
/usr/bin/sha512sum <image_filepath> 并比较
哈希值与思科提供的已发布哈希值。

问：ENCS 上是否默认启用安全启动？

答：不，ENCS 上默认禁用安全启动。这是
建议启用安全启动以增强安全性。

问：NFVIS 中 SUDI 的目的是什么？

答：SUDI 为 NFVIS 提供了唯一且不可变的身份，
确保其作为思科产品的真实性并促进其
客户库存系统中的识别。

View Fullscreen

安全注意事项
本章介绍 NFVIS 中的安全功能和注意事项。它给出了一个高水平的view NFVIS 中与安全相关的组件的数量，以规划特定于您的部署的安全策略。它还提供了有关实施网络安全核心要素的安全最佳实践的建议。 NFVIS 软件从安装到所有软件层都嵌入了安全性。后续章节重点介绍这些开箱即用的安全方面，例如凭证管理、完整性和安全性。amp呃保护、会话管理、安全设备访问等等。

· 安装，第 2 页 · 安全唯一设备标识，第 3 页 · 设备访问，第 4 页

安全注意事项 1

安装

安全注意事项

· 基础设施管理网络，第 22 页 · 本地存储的信息保护，第 23 页 · File 传输，第 24 页 · 日志记录，第 24 页 · 虚拟机安全性，第 25 页 · VM 隔离和资源调配，第 26 页 · 安全开发生命周期，第 29 页

安装
确保NFVIS软件未被盗用amp使用，在安装之前使用以下机制验证软件映像：

图像Tamper保护
NFVIS 支持 ISO 和升级映像中所有 RPM 包的 RPM 签名和签名验证。

RPM 签名

思科企业 NFVIS ISO 和升级映像中的所有 RPM 软件包均经过签名，以确保加密完整性和真实性。这保证了RPM包没有被tampRPM 包来自 NFVIS。用于签署 RPM 包的私钥由 Cisco 创建和安全维护。

RPM 签名验证

NFVIS 软件在安装或升级之前验证所有 RPM 包的签名。下表描述了安装或升级期间签名验证失败时思科企业 NFVIS 的行为。

设想

描述

思科企业 NFVIS 3.7.1 及更高版本安装如果在安装思科企业 NFVIS 时签名验证失败，安装将中止。

思科企业 NFVIS 从 3.6.x 升级到版本 3.7.1

执行升级时会验证 RPM 签名。如果签名验证失败，则会记录错误，但升级已完成。

思科企业 NFVIS 从版本 3.7.1 升级升级时验证 RPM 签名

到以后的版本

图像已注册。如果签名验证失败，

升级被中止。

图像完整性验证
RPM 签名和签名验证只能针对 Cisco NFVIS ISO 和升级映像中提供的 RPM 包进行。确保所有附加非 RPM 的完整性 file由于 Cisco NFVIS ISO 映像中提供了该映像，因此 Cisco NFVIS ISO 映像的哈希值会随映像一起发布。同样，思科 NFVIS 升级映像的哈希值也会随映像一起发布。验证 Cisco 的哈希值

安全注意事项 2

安全注意事项

ENCS 安全启动

NFVIS ISO 映像或升级映像与 Cisco 发布的哈希值匹配，运行以下命令并将该哈希值与发布的哈希值进行比较：
% /usr/bin/sha512sumFile> c2122783efc18b039246ae1bcd4eec4e5e027526967b5b809da5632d462dfa6724a9b20ec318c74548c6bd7e9b8217ce96b5ece93dcdd74fda5e01bb382ad607
<图片File>
ENCS 安全启动
安全启动是统一可扩展固件接口 (UEFI) 标准的一部分，该标准确保设备仅使用原始设备制造商 (OEM) 信任的软件启动。当 NFVIS 启动时，固件会检查启动软件和操作系统的签名。如果签名有效，设备就会启动，固件会将控制权交给操作系统。
ENCS 上提供安全启动，但默认情况下处于禁用状态。思科建议您启用安全启动。更多信息，请参见主机安全启动。
安全的唯一设备识别
NFVIS 使用一种称为安全唯一设备标识 (SUDI) 的机制，为其提供不可变的身份。此身份用于验证该设备是否为正品 Cisco 产品，并确保该设备为客户的库存系统所熟知。
SUDI 是一个 X.509v3 证书和一个受硬件保护的关联密钥对。 SUDI 证书包含产品标识符和序列号，植根于思科公钥基础设施。密钥对和SUDI证书在制造过程中被插入到硬件模块中，并且私钥永远无法导出。
基于 SUDI 的身份可用于使用零接触配置 (ZTP) 执行经过身份验证的自动化配置。这可以实现设备的安全远程登录，并确保编排服务器与真正的 NFVIS 设备进行通信。后端系统可以向 NFVIS 设备发出质询以验证其身份，并且设备将使用其基于 SUDI 的身份来响应质询。这使得后端系统不仅可以根据其库存来验证正确的设备是否位于正确的位置，还可以提供只能由特定设备打开的加密配置，从而确保传输过程中的机密性。
以下工作流程图说明了 NFVIS 如何使用 SUDI：

安全注意事项 3

设备访问图 1：即插即用 (PnP) 服务器身份验证

安全注意事项

图 2：即插即用设备身份验证和授权

设备访问
NFVIS 提供不同的访问机制，包括控制台以及基于 HTTPS 和 SSH 等协议的远程访问。每个访问机制都应该仔细重新设计view编辑并配置。确保仅启用所需的访问机制并正确保护它们。确保 NFVIS 交互和管理访问安全的关键步骤是限制设备可访问性、将允许用户的能力限制为所需的能力以及限制允许的访问方法。 NFVIS 确保仅向经过身份验证的用户授予访问权限，并且他们只能执行授权的操作。记录设备访问以供审核，NFVIS 确保本地存储的敏感数据的机密性。建立适当的控制措施以防止未经授权访问 NFVIS 至关重要。以下部分描述了实现此目的的最佳实践和配置：
安全注意事项 4

安全注意事项

首次登录时强制更改密码

首次登录时强制更改密码
默认凭据是产品安全事件的常见来源。客户经常忘记更改默认登录凭据，从而导致他们的系统容易受到攻击。为了防止这种情况，NFVIS 用户在使用默认凭据（用户名：admin 和密码 Admin123#）首次登录后被迫更改密码。有关详细信息，请参阅访问 NFVIS。
限制登录漏洞
您可以使用以下功能来防止字典和拒绝服务 (DoS) 攻击的漏洞。
强制执行强密码
身份验证机制的强度取决于其凭证。因此，确保用户拥有强密码非常重要。 NFVIS 检查是否按照以下规则配置了强密码：密码必须包含：
· 至少一个大写字符 · 至少一个小写字符 · 至少一个数字 · 至少一个以下特殊字符：井号 (#)、下划线 (_)、连字符 (-)、星号 (*) 或问题
标记（？） · 7 个字符或更多 · 密码长度应在 128 到 XNUMX 个字符之间。
配置密码的最小长度
缺乏密码复杂性，特别是密码长度，会显着减少攻击者尝试猜测用户密码时的搜索空间，从而使暴力攻击变得更加容易。管理员用户可以配置所有用户密码所需的最小长度。最小长度必须介于 7 到 128 个字符之间。默认情况下，密码所需的最小长度设置为 7 个字符。命令行界面：
nfvis(config)# rbac 身份验证 min-pwd-length 9
API：
/api/config/rbac/身份验证/最小密码长度
配置密码有效期
密码生存期决定了密码在要求用户更改之前可以使用多长时间。

安全注意事项 5

限制以前的密码重复使用

安全注意事项

管理员用户可以为所有用户配置密码的最小和最大生命周期值，并强制执行规则来检查这些值。默认最小生命周期值设置为 1 天，默认最大生命周期值设置为 60 天。配置最短生命周期值后，在指定的天数过去之前，用户无法更改密码。同样，配置最大生命周期值后，用户必须在指定的天数过去之前更改密码。如果用户未更改密码且已过了指定天数，则会向用户发送通知。
注意最小和最大生命周期值以及检查这些值的规则不适用于管理员用户。
CLI：
配置终端 rbac 身份验证密码生命周期强制 true min-days 2 max-days 30 提交
API：
/api/config/rbac/身份验证/密码生命周期/
限制以前的密码重复使用
在不阻止使用以前的密码短语的情况下，密码过期基本上是无用的，因为用户可以简单地更改密码短语，然后将其更改回原始密码。 NFVIS 检查新密码是否与之前使用的 5 个密码之一不同。此规则的一个例外是，管理员用户可以将密码更改为默认密码，即使该密码是以前使用的 5 个密码之一。
限制登录尝试的频率
如果允许远程对等点登录无限次，它最终可能能够通过暴力猜测登录凭据。由于密码通常很容易被猜到，因此这是一种常见的攻击。通过限制对等方尝试登录的速率，我们可以防止这种攻击。我们还避免花费系统资源来不必要地验证这些可能造成拒绝服务攻击的暴力登录尝试。 NFVIS 在 5 次登录尝试失败后强制执行 10 分钟的用户锁定。
禁用不活动的用户帐户
监视用户活动并禁用未使用或过时的用户帐户有助于保护系统免受内部攻击。未使用的帐户最终应被删除。管理员用户可以强制执行规则，将未使用的用户帐户标记为非活动状态，并配置将未使用的用户帐户标记为非活动状态之前的天数。一旦标记为非活动，该用户就无法登录系统。为了允许用户登录系统，管理员用户可以激活用户帐户。
注意不活动时间和检查不活动时间的规则不适用于管理员用户。

安全注意事项 6

安全注意事项

激活非活动用户帐户

以下 CLI 和 API 可用于配置帐户不活动的强制执行。命令行界面：
配置终端 rbac 身份验证帐户不活动强制执行 true 不活动天 30 提交
API：
/api/config/rbac/身份验证/帐户不活动/
不活动天数的默认值为 35。
激活非活动用户帐户管理员用户可以使用以下 CLI 和 API 激活非活动用户的帐户： CLI:
配置终端 rbac 身份验证用户 user guest_user 激活提交
API：
/api/操作/rbac/身份验证/用户/用户/用户名/激活

强制设置 BIOS 和 CIMC 密码

表 1：功能历史表

特征名称

发布信息

强制设置 BIOS 和 CIMC NFVIS 4.7.1 密码

描述
此功能强制用户更改 CIMC 和 BIOS 的默认密码。

强制设置 BIOS 和 CIMC 密码的限制
· 此功能仅在 Cisco Catalyst 8200 UCPE 和 Cisco ENCS 5400 平台上受支持。
· 仅全新安装的 NFVIS 4.7.1 及更高版本支持此功能。如果从 NFVIS 4.6.1 升级到 NFVIS 4.7.1，则不支持此功能，并且不会提示您重置 BIOS 和 CIMS 密码，即使未配置 BIOS 和 CIMC 密码也是如此。

有关强制设置 BIOS 和 CIMC 密码的信息
此功能通过在全新安装 NFVIS 4.7.1 后强制重置 BIOS 和 CIMC 密码来解决安全漏洞。 CIMC 默认密码为password，默认BIOS 密码为无密码。
为了修复安全漏洞，您必须在 ENCS 5400 中配置 BIOS 和 CIMC 密码。在全新安装 NFVIS 4.7.1 期间，如果 BIOS 和 CIMC 密码尚未更改且仍然存在

安全注意事项 7

配置示例amp用于强制重置 BIOS 和 CIMC 密码的文件

安全注意事项

默认密码，然后系统会提示您更改 BIOS 和 CIMC 密码。如果只有其中一个需要重置，系统将提示您仅重置该组件的密码。 Cisco Catalyst 8200 UCPE 仅需要 BIOS 密码，因此如果尚未设置，则仅提示 BIOS 密码重置。
注如果从任何早期版本升级到 NFVIS 4.7.1 或更高版本，则可以使用 hostaction change-bios-password newpassword 或 hostaction change-cimc-password newpassword 命令更改 BIOS 和 CIMC 密码。
有关 BIOS 和 CIMC 密码的更多信息，请参阅 BIOS 和 CIMC 密码。
配置示例amp用于强制重置 BIOS 和 CIMC 密码的文件
1. 安装 NFVIS 4.7.1 时，必须首先重置默认管理员密码。
思科网络功能虚拟化基础设施软件 (NFVIS)
NFVIS 版本：99.99.0-1009
版权所有 (c) 2015-2021 Cisco Systems, Inc.。 Cisco、Cisco Systems 和 Cisco Systems 徽标是 Cisco Systems, Inc. 和/或其附属公司在美国和某些其他国家/地区的注册商标。
本软件中包含的某些作品的版权归其他第三方所有，并根据第三方许可协议使用和分发。本软件的某些组件已根据 GNU GPL 2.0、GPL 3.0、LGPL 2.1、LGPL 3.0 和 AGPL 3.0 获得许可。
管理员使用 nfvis 上的 ssh 从 10.24.109.102 连接，使用默认凭据登录请提供满足以下条件的密码：
1. 至少 2 个小写字符 3. 至少 4 个大写字符 5. 至少 7 个数字 128. 至少 XNUMX 个 # _ – * ? 中的特殊字符XNUMX.长度应在 XNUMX 到 XNUMX 个字符之间请重置密码 : 请重新输入密码 :
重置管理员密码
2. 在 Cisco Catalyst 8200 UCPE 和 Cisco ENCS 5400 平台上，全新安装 NFVIS 4.7.1 或更高版本时，必须更改默认 BIOS 和 CIMC 密码。如果之前未配置 BIOS 和 CIMC 密码，系统将提示您重置 Cisco ENCS 5400 的 BIOS 和 CIMC 密码，以及仅重置 Cisco Catalyst 8200 UCPE 的 BIOS 密码。
新的管理员密码已设置
请提供满足以下条件的 BIOS 密码： 1. 至少 2 个小写字符 3. 至少 4 个大写字符 5. 至少 8 个数字 20. 至少 6 个 #、@ 或 _ 中的特殊字符 7. 长度应介于XNUMX 和 XNUMX 个字符 XNUMX. 不应包含以下任何字符串（区分大小写）：bios XNUMX. 第一个字符不能是 #

安全注意事项 8

安全注意事项

验证 BIOS 和 CIMC 密码

请重置 BIOS 密码 : 请重新输入 BIOS 密码 : 请提供满足以下条件的 CIMC 密码：
1. 至少一个小写字符 2. 至少一个大写字符 3. 至少一个数字 4. 至少一个 #、@ 或 _ 中的特殊字符 5. 长度应在 8 到 20 个字符之间 6. 不应包含以下任何字符以下字符串（区分大小写）： admin 请重置 CIMC 密码：请重新输入 CIMC 密码：

验证 BIOS 和 CIMC 密码
要验证 BIOS 和 CIMC 密码是否已成功更改，请使用 show log nfvis_config.log | 包含 BIOS 或显示日志 nfvis_config.log | 包括 CIMC 命令：

nfvis# 显示日志 nfvis_config.log | 包括BIOS

2021-11-16 15:24:40,102 INFO

[hostaction:/system/settings] [] BIOS 密码更改

成功了

您还可以下载 nfvis_config.log file 并验证密码是否重置成功。

与外部 AAA 服务器集成
用户通过 ssh 或 Web 用户界面。无论哪种情况，都需要对用户进行身份验证。也就是说，用户需要提供密码凭据才能获得访问权限。
一旦用户通过身份验证，该用户执行的所有操作都需要获得授权。也就是说，某些用户可以被允许执行某些任务，而其他用户则不能。这称为授权。
建议部署集中式 AAA 服务器，以对 NFVIS 访问强制实施基于 AAA 的每用户登录身份验证。 NFVIS 支持 RADIUS 和 TACACS 协议来协调网络访问。在 AAA 服务器上，应根据经过身份验证的用户的特定访问要求，仅授予其最低访问权限。这减少了恶意和无意安全事件的风险。
有关外部身份验证的更多信息，请参阅配置 RADIUS 和配置 TACACS+ 服务器。

外部身份验证服务器的身份验证缓存

特征名称

发布信息

外部 NFVIS 4.5.1 身份验证服务器的身份验证缓存

描述
此功能支持通过 NFVIS 门户上的 OTP 进行 TACACS 身份验证。

初始身份验证后，NFVIS 门户对所有 API 调用使用相同的一次性密码 (OTP)。一旦 OTP 过期，API 调用就会失败。此功能支持通过 NFVIS 门户进行 TACACS OTP 身份验证。
使用 OTP 通过 TACACS 服务器成功进行身份验证后，NFVIS 使用用户名和 OTP 创建一个哈希条目，并将该哈希值存储在本地。这个本地存储的哈希值有

安全注意事项 9

基于角色的访问控制

安全注意事项

过期时间stamp 与之相关。时间amp 与 SSH 会话空闲超时值相同，均为 15 分钟。所有具有相同用户名的后续身份验证请求都会首先根据此本地哈希值进行身份验证。如果使用本地哈希进行身份验证失败，NFVIS 会使用 TACACS 服务器对此请求进行身份验证，并在身份验证成功时创建一个新的哈希条目。如果哈希条目已经存在，则其时间为amp 重置为 15 分钟。
如果您在成功登录门户后被从 TACACS 服务器中删除，您可以继续使用门户，直到 NFVIS 中的哈希条目过期。
当您明确从 NFVIS 门户注销或由于空闲时间而注销时，门户会调用新的 API 通知 NFVIS 后端刷新哈希条目。 NFVIS 重新启动、恢复出厂设置或升级后，身份验证缓存及其所有条目都会被清除。

基于角色的访问控制

对于拥有大量员工、雇用承包商或允许第三方（例如客户和供应商）访问的组织来说，限制网络访问非常重要。在这种场景下，很难对网络访问进行有效监控。相反，最好控制可访问的内容，以保护敏感数据和关键应用程序的安全。
基于角色的访问控制 (RBAC) 是一种根据企业内单个用户的角色限制网络访问的方法。 RBAC 允许用户仅访问他们需要的信息，并阻止他们访问不属于他们的信息。
应根据员工在企业中的角色来确定授予的权限，以确保权限较低的员工无法访问敏感信息或执行关键任务。
NFVIS 中定义了以下用户角色和权限

用户角色

特权

管理员

可以配置所有可用功能并执行所有任务，包括更改用户角色。管理员无法删除对 NFVIS 至关重要的基础设施。管理员用户的角色无法更改；它始终是“管理员”。

运算符

可以启动和停止虚拟机，并且 view 所有信息。

审计师

他们是权限最小的用户。他们具有只读权限，因此无法修改任何配置。

RBAC 的好处
使用 RBAC 根据组织内人员的角色限制不必要的网络访问有很多好处，包括：
· 提高运营效率。
在 RBAC 中预定义角色可以轻松添加具有正确权限的新用户或切换现有用户的角色。它还减少了分配用户权限时出现错误的可能性。
· 加强合规性。

安全注意事项 10

安全注意事项

基于角色的访问控制

每个组织都必须遵守地方、州和联邦法规。公司通常更喜欢实施 RBAC 系统来满足保密和隐私的监管和法定要求，因为管理人员和 IT 部门可以更有效地管理数据的访问和使用方式。这对于管理敏感数据的金融机构和医疗保健公司尤其重要。
· 降低成本。通过不允许用户访问某些流程和应用程序，公司可以以经济高效的方式节省或使用网络带宽、内存和存储等资源。
· 降低违规和数据泄露的风险。实施 RBAC 意味着限制对敏感信息的访问，从而减少数据泄露或数据泄漏的可能性。
基于角色的访问控制实施的最佳实践 · 作为管理员，确定用户列表并将用户分配给预定义的角色。对于前amp在该文件中，可以创建用户“networkadmin”并将其添加到用户组“administrators”中。
配置终端 rbac 身份验证用户 create-用户名 networkadmin 密码 Test1_pass 角色管理员 commit
说明用户组或角色由系统创建。您无法创建或修改用户组。要更改密码，请在全局配置模式下使用 rbacauthenticationusersuserchange-password 命令。要更改用户角色，请在全局配置模式下使用 rbacauthenticationusersuserchange-role 命令。
· 终止不再需要访问的用户的帐户。
配置终端rbac认证用户delete-用户名test1
· 定期进行审核以评估角色、分配给这些角色的员工以及每个角色允许的访问权限。如果发现用户对某个系统有不必要的访问权限，请更改该用户的角色。
有关更多详细信息，请参阅用户、角色和身份验证
基于角色的细化访问控制从 NFVIS 4.7.1 开始，引入了基于角色的细化访问控制功能。此功能添加了新的资源组策略，用于管理 VM 和 VNF，并允许您在 VNF 部署期间将用户分配到组以控制 VNF 访问。有关详细信息，请参阅基于角色的精细访问控制。

安全注意事项 11

限制设备可访问性

安全注意事项

限制设备可访问性
用户屡屡因未受保护的功能遭受攻击而措手不及，因为他们不知道这些功能已启用。未使用的服务往往保留默认配置，而这些配置并不总是安全的。这些服务也可能使用默认密码。某些服务可以使攻击者轻松访问有关服务器正在运行的内容或网络设置方式的信息。以下各节介绍 NFVIS 如何避免此类安全风险：

减少攻击向量
任何软件都可能包含安全漏洞。更多的软件意味着更多的攻击途径。即使在纳入时没有公开已知的漏洞，将来也可能会发现或披露漏洞。为了避免这种情况，仅安装 NFVIS 功能必需的软件包。这有助于限制软件漏洞，减少资源消耗，并减少发现这些软件包存在问题时的额外工作。 NFVIS 中包含的所有第三方软件均在思科的中央数据库中注册，以便思科能够执行公司级别的有组织的响应（法律、安全等）。每个版本中的软件包都会定期修补已知的常见漏洞和暴露 (CVE)。

默认情况下仅启用必要端口

默认情况下，仅提供设置和管理 NFVIS 绝对必需的服务。这消除了用户配置防火墙和拒绝访问不必要的服务所需的工作。下面列出了默认启用的唯一服务及其打开的端口。

打开端口

服务

描述

22 / TCP

SSH

用于远程命令行访问 NFVIS 的安全套接字 Shell

80 / TCP

HTTP

用于 NFVIS 门户访问的超文本传输协议。 NFVIS 收到的所有 HTTP 流量都会重定向到 HTTPS 的端口 443

443 / TCP

HTTPS

超文本传输协议安全，用于安全 NFVIS 门户访问

830 / TCP

NETCONF-ssh

通过 SSH 为网络配置协议 (NETCONF) 打开的端口。 NETCONF 是一种用于自动配置 NFVIS 以及从 NFVIS 接收异步事件通知的协议。

161/UDP

简单网络管理协议

简单网络管理协议（SNMP）。由 NFVIS 用于与远程网络监控应用程序进行通信。有关详细信息，请参阅 SNMP 简介

安全注意事项 12

安全注意事项

限制访问授权网络以获取授权服务

只有授权的发起者才被允许尝试设备管理访问，并且访问应该仅限于他们被授权使用的服务。可以配置 NFVIS，将访问限制为已知、可信来源和预期管理流量files。这降低了未经授权访问的风险以及遭受其他攻击的风险，例如暴力破解、字典或 DoS 攻击。
为了保护 NFVIS 管理接口免受不必要和潜在有害流量的影响，管理员用户可以为收到的网络流量创建访问控制列表 (ACL)。这些 ACL 指定流量源自的源 IP 地址/网络，以及允许或拒绝来自这些源的流量类型。这些 IP 流量过滤器应用于 NFVIS 上的每个管理接口。以下参数在 IP 接收访问控制列表 (ip-receive-acl) 中配置

范围

价值

描述

源网络/网络掩码

网络/网络掩码。对于前amp乐：0.0.0.0/0
172.39.162.0/24

该字段指定流量源自的 IP 地址/网络

服务行动

https icmp netconf scpd snmp ssh 接受丢弃拒绝

来自指定源的流量类型。
对来自源网络的流量采取的操作。使用accept，将允许新的连接尝试。使用拒绝，连接尝试将不会被接受。如果规则适用于基于 TCP 的服务，例如 HTTPS、NETCONF、SCP、SSH，则源将收到 TCP 重置 (RST) 数据包。对于非 TCP 规则（例如 SNMP 和 ICMP），数据包将被丢弃。使用丢弃时，所有数据包将立即丢弃，没有信息发送到源。

安全注意事项 13

特权调试访问

安全注意事项

参数优先级

值数值

描述
优先级用于强制执行规则的顺序。优先级数值较高的规则将添加到链的下游。如果要确保规则将在另一个规则之后添加，请为第一个规则使用低优先级编号，为后续规则使用较高优先级编号。

以下amp文件配置说明了一些可适用于特定用例的场景。
配置IP接收ACL
ACL 的限制性越强，未经授权的访问尝试的风险就越有限。但是，限制性更强的 ACL 可能会产生管理开销，并可能影响执行故障排除的可访问性。因此，需要考虑平衡。一种折衷方案是仅限制对内部公司 IP 地址的访问。每个客户必须根据自己的安全策略、风险、暴露和接受程度来评估 ACL 的实施。
拒绝来自子网的 ssh 流量：

nfvis(config)# 系统设置 ip-receive-acl 171.70.63.0/24 服务 ssh 操作拒绝优先级 1

删除 ACL：
当从 ip-receive-acl 中删除条目时，由于源 IP 地址是关键，因此该源的所有配置都将被删除。如果仅删除一项服务，请重新配置其他服务。

nfvis(config)# 无系统设置 ip-receive-acl 171.70.63.0/24
有关更多详细信息，请参阅配置 IP 接收 ACL
特权调试访问
默认情况下，NFVIS 上的超级用户帐户处于禁用状态，以防止所有不受限制的、潜在不利的系统范围的更改，并且 NFVIS 不会向用户公开系统 shell。
但是，对于 NFVIS 系统上的一些难以调试的问题，思科技术支持中心团队 (TAC) 或开发团队可能需要对客户的 NFVIS 进行 shell 访问。 NFVIS 拥有安全解锁基础设施，可确保现场设备的特权调试访问仅限于授权的思科员工。为了安全地访问 Linux shell 进行此类交互式调试，在 NFVIS 和 Cisco 维护的交互式调试服务器之间使用质询-响应身份验证机制。除了质询-响应条目之外，还需要管理员用户的密码，以确保在客户同意的情况下访问设备。
访问 shell 进行交互式调试的步骤：
1. 管理员用户使用此隐藏命令启动此过程。

nfvis# 系统 shell 访问

安全注意事项 14

安全注意事项

安全接口

2. 屏幕将显示挑战字符串，例如amp乐：
挑战字符串（请仅复制星号行之间的所有内容）：
******************************************************************************** SPH//wkAAABORlZJU0VOQ1M1NDA4L0s5AQAAABt+dcx+hB0V06r9RkdMMjEzNTgw RlHq7BxeAAA= DONE. ********************************************************************************
3. 思科成员在思科维护的交互式调试服务器上输入质询字符串。该服务器验证 Cisco 用户是否有权使用 shell 调试 NFVIS，然后返回响应字符串。
4. 在屏幕上此提示下方输入响应字符串：准备好后输入您的响应：
5. 出现提示时，客户应输入管理员密码。 6. 如果密码有效，您将获得 shell 访问权限。 7. 开发或TAC团队使用shell进行调试。 8. 要退出 shell 访问，请键入 Exit。
安全接口
使用图中所示的接口允许 NFVIS 管理访问。以下部分介绍了这些 NFVIS 接口的安全最佳实践。

控制台 SSH

控制台端口是一个异步串行端口，允许您连接到 NFVIS CLI 进行初始配置。用户可以通过物理访问 NFVIS 或通过使用终端服务器进行远程访问来访问控制台。如果需要通过终端服务器访问控制台端口，请在终端服务器上配置访问列表以仅允许来自所需源地址的访问。
用户可以使用 SSH 作为远程登录的安全方式来访问 NFVIS CLI。 NFVIS 管理流量的完整性和机密性对于受管网络的安全至关重要，因为管理协议经常携带可用于渗透或破坏网络的信息。

安全注意事项 15

CLI 会话超时

安全注意事项

NFVIS 使用 SSH 第 2 版，这是思科和互联网事实上的交互式登录标准协议，并支持思科内部安全与信任组织推荐的强加密、散列和密钥交换算法。

CLI 会话超时
通过 SSH 登录，用户与 NFVIS 建立会话。当用户登录时，如果用户在无人看管的情况下离开登录会话，则可能会使网络面临安全风险。会话安全性限制了内部攻击的风险，例如一个用户尝试使用另一用户的会话。
为了减轻此风险，NFVIS 在 15 分钟不活动后使 CLI 会话超时。当达到会话超时时，用户将自动注销。

网络会议

网络配置协议（NETCONF）是由 IETF 开发和标准化的网络管理协议，用于网络设备的自动配置。
NETCONF 协议对配置数据和协议消息使用基于可扩展标记语言 (XML) 的数据编码。协议消息在安全传输协议之上交换。
NETCONF 允许 NFVIS 公开基于 XML 的 API，网络运营商可以使用该 API 通过 SSH 安全地设置和获取配置数据和事件通知。
有关详细信息，请参阅 NETCONF 事件通知。

REST API

可以使用基于 HTTPS 的 RESTful API 来配置 NFVIS。 REST API 允许请求系统通过使用一组统一且预定义的无状态操作来访问和操作 NFVIS 配置。有关所有 REST API 的详细信息可以在 NFVIS API 参考指南中找到。
当用户发出 REST API 时，将与 NFVIS 建立会话。为了限制与拒绝服务攻击相关的风险，NFVIS 将并发 REST 会话总数限制为 100。

网络可视化系统 Web 门户网站
NFVIS 门户是 web基于图形用户界面，显示有关 NFVIS 的信息。该门户为用户提供了一种通过 HTTPS 配置和监控 NFVIS 的简单方法，而无需了解 NFVIS CLI 和 API。

会话管理
HTTP 和 HTTPS 的无状态特性需要一种通过使用唯一会话 ID 和 cookie 来唯一跟踪用户的方法。
NFVIS 加密用户的会话。 AES-256-CBC 密码用于通过 HMAC-SHA-256 身份验证来加密会话内容 tag。为每个加密操作生成一个随机的 128 位初始化向量。
创建门户会话时将启动审核记录。当用户注销或会话超时时，会话信息将被删除。
门户会话的默认空闲超时为 15 分钟。但是，可以在“设置”页面上将当前会话的时间配置为 5 到 60 分钟之间的值。此后将启动自动注销

安全注意事项 16

安全注意事项

HTTPS

时期。单个浏览器中不允许多个会话。最大并发会话数设置为 30。NFVIS 门户使用 cookie 将数据与用户关联。它使用以下 cookie 属性来增强安全性：
· ephemeral 确保 cookie 在浏览器关闭时过期 · httpOnly 使 cookie 无法从 JavaScript 访问 · secureProxy 确保 cookie 只能通过 SSL 发送。
即使经过身份验证，跨站点请求伪造 (CSRF) 等攻击也是可能的。在这种情况下，最终用户可能会无意中在计算机上执行不需要的操作。 web 他们当前已在其中进行身份验证的应用程序。为了防止这种情况，NFVIS 使用 CSRF 令牌来验证每个会话期间调用的每个 REST API。
URL 典型重定向 web 服务器上，当在服务器上找不到页面时 web 服务器，用户收到404消息；对于存在的页面，他们会获得一个登录页面。这样做的安全影响是，攻击者可以执行强力扫描并轻松检测存在哪些页面和文件夹。为了防止 NFVIS 出现这种情况，一切都不存在 URL以设备 IP 为前缀的 s 将被重定向到带有 301 状态响应代码的门户登录页面。这意味着无论 URL 当攻击者请求时，他们总是会获得登录页面来验证自己的身份。所有 HTTP 服务器请求都重定向到 HTTPS 并配置以下标头：
· X-内容类型选项 · X-XSS 保护 · 内容安全策略 · X 帧选项 · 严格传输安全 · 缓存控制
禁用门户 NFVIS 门户访问默认启用。如果您不打算使用门户，建议使用以下命令禁用门户访问：
配置终端系统门户访问禁用提交
所有进出 NFVIS 的 HTTPS 数据都使用传输层安全性 (TLS) 通过网络进行通信。 TLS 是安全套接字层 (SSL) 的后继者。

安全注意事项 17

HTTPS

安全注意事项
TLS 握手涉及身份验证，在此期间客户端向颁发该证书的证书颁发机构验证服务器的 SSL 证书。这确认了服务器确实是它所说的那个服务器，并且客户端正在与域的所有者进行交互。默认情况下，NFVIS 使用自签名证书向客户端证明其身份。该证书具有 2048 位公钥，以提高 TLS 加密的安全性，因为加密强度与密钥大小直接相关。
证书管理 NFVIS 在首次安装时生成自签名 SSL 证书。安全最佳实践是将此证书替换为由合规证书颁发机构 (CA) 签署的有效证书。使用以下步骤替换默认的自签名证书： 1. 在 NFVIS 上生成证书签名请求 (CSR)。
证书签名请求 (CSR) 是 file 包含在申请 SSL 证书时提供给证书颁发机构的一段编码文本。这 file 包含应包含在证书中的信息，例如组织名称、通用名称（域名）、地点和国家/地区。这 file 还包含应包含在证书中的公钥。 NFVIS 使用 2048 位公钥，因为密钥大小越大，加密强度越高。要在 NFVIS 上生成 CSR，请运行以下命令：
nfvis# 系统证书签名请求 [通用名称国家/地区代码地点组织组织单位名称州] CSR file 保存为/data/intdatastore/download/nfvis.csr。。 2. 使用 CSR 从 CA 获取 SSL 证书。从外部主机，使用 scp 命令下载证书签名请求。
[myhost:/tmp] > scp -P 22222 admin@ ：/data/intdatastore/download/nfvis.csrfile-名称>
请联系证书颁发机构以使用此 CSR 颁发新的 SSL 服务器证书。 3. 安装 CA 签名证书。
从外部服务器，使用 scp 命令上传证书 file 进入 NFVIS 到 data/intdatastore/uploads/ 目录。
[myhost:/tmp] > scp -P 22222 file> 管理员@ ：/数据/intdatastore/上传
使用以下命令在 NFVIS 中安装证书。
nfvis#系统证书安装-证书路径 file:///data/intdatastore/uploads/<证书 file>
4. 切换到使用 CA 签名证书。使用以下命令开始使用 CA 签名证书而不是默认的自签名证书。

安全注意事项 18

安全注意事项

SNMP 访问

nfvis(config)# 系统证书 use-cert cert-type ca-signed

SNMP 访问

简单网络管理协议 (SNMP) 是一种 Internet 标准协议，用于收集和组织有关 IP 网络上的受管设备的信息，以及修改该信息以更改设备行为。
SNMP 的三个重要版本已经开发出来。 NFVIS 支持 SNMP 版本 1、版本 2c 和版本 3。SNMP 版本 1 和 2 使用团体字符串进行身份验证，并且这些字符串以纯文本形式发送。因此，使用 SNMP v3 是一种安全最佳实践。
SNMPv3 通过使用三个方面提供对设备的安全访问： – 用户、身份验证和加密。 SNMPv3 使用 USM（基于用户的安全模块）来控制对通过 SNMP 提供的信息的访问。 SNMP v3 用户配置有身份验证类型、隐私类型以及密码。共享一个组的所有用户都使用相同的 SNMP 版本，但是，特定的安全级别设置（密码、加密类型等）是为每个用户指定的。
下表总结了 SNMP 中的安全选项

模型

等级

验证

加密

结果

无授权无隐私

社区字符串号

使用社区

字符串匹配

验证。

v2c

无授权无隐私

社区字符串号

使用社区字符串匹配进行身份验证。

无授权无隐私

用户名

不

使用用户名

匹配

验证。

授权无隐私

消息摘要 5 否

提供

（MD5）

基于身份验证

在 HMAC-MD5-96 上或

安全哈希

HMAC-SHA-96

算法（SHA）

算法。

安全注意事项 19

法律通知横幅

安全注意事项

模型v3

级别 authPriv

身份验证 MD5 或 SHA

加密

结果

数据加密提供

标准 (DES) 或基于身份验证

先进的

在

加密标准 HMAC-MD5-96 或

（AES）

HMAC-SHA-96

算法。

在密码块链接模式 (CBC-DES) 中提供 DES 密码算法

密码反馈模式 (CFB) 中使用的 AES 加密算法，密钥大小为 128 位(CFB128-AES-128)

自 NIST 采用以来，AES 已成为整个行业的主导加密算法。为了跟随行业从 MD5 转向 SHA 的迁移，将 SNMP v3 身份验证协议配置为 SHA，将隐私协议配置为 AES 是一种安全最佳实践。
有关 SNMP 的更多详细信息，请参阅 SNMP 简介

法律通知横幅
建议在所有交互式会话上显示法律通知横幅，以确保用户了解正在执行的安全策略以及他们受到的约束。在某些司法管辖区，如果显示法律通知横幅，告知未经授权的用户他们的使用实际上是未经授权的，那么对闯入系统的攻击者进行民事和/或刑事起诉会更容易，甚至是必需的。在某些司法管辖区，还可能禁止监视未经授权的用户的活动，除非他们已被告知这样做的意图。
法律通知要求很复杂，并且因每个司法管辖区和情况而异。即使在不同的司法管辖区，法律意见也各不相同。请与您自己的法律顾问讨论此问题，以确保通知横幅符合公司、当地和国际法律要求。这对于在发生安全漏洞时采取适当的行动通常至关重要。与公司法律顾问合作，法律通知横幅中可能包含的声明包括：
· 告知系统访问和使用仅由经过特别授权的人员许可，或许还有有关谁可以授权使用的信息。
· 通知未经授权访问和使用系统是非法的，可能会受到民事和/或刑事处罚。
· 通知系统的访问和使用可能会被记录或监控，恕不另行通知，并且生成的日志可以用作法庭证据。
· 具体当地法律要求的其他具体通知。

安全注意事项 20

安全注意事项

恢复出厂设置

从安全而非法律的角度来看 view，法律通知横幅不应包含有关设备的任何特定信息，例如其名称、型号、软件、位置、操作员或所有者，因为此类信息可能对攻击者有用。
以下是amp登录前可显示的法律通知横幅：
禁止未经授权访问此设备您必须拥有明确的授权权限才能访问或配置此设备。未经授权的访问或使用尝试和行为
该系统可能会导致民事和/或刑事处罚。在此设备上执行的所有活动都会被记录和监控

注意出示经公司法律顾问批准的法律通知横幅。
NFVIS 允许配置横幅和每日消息 (MOTD)。该横幅在用户登录之前显示。用户登录 NFVIS 后，系统定义的横幅将提供有关 NFVIS 的版权信息，并且将显示每日消息 (MOTD)（如果已配置），然后显示命令行提示符或门户 view，取决于登录方法。
建议实施登录横幅，以确保在显示登录提示之前，在所有设备管理访问会话上显示合法通知横幅。使用此命令配置横幅和 MOTD。
nfvis(config)# 横幅-motd 横幅莫德
有关横幅命令的更多信息，请参阅配置横幅、每日消息和系统时间。

恢复出厂设置
恢复出厂设置会删除自发货以来已添加到设备的所有客户特定数据。擦除的数据包括配置、日志 files、VM 映像、连接信息和用户登录凭据。
它提供了一个将设备重置为出厂设置的命令，并且在以下场景中很有用：
· 设备的退货授权 (RMA) – 如果您必须将设备退回思科进行 RMA，请使用出厂默认重置来删除所有客户特定数据。
· 恢复受损的设备 - 如果设备上存储的密钥材料或凭据遭到泄露，请将设备重置为出厂配置，然后重新配置设备。
· 如果需要在不同站点以新配置重新使用同一设备，请执行出厂默认重置以删除现有配置并将其恢复到干净状态。

NFVIS 在出厂默认重置中提供以下选项：

出厂重置选项

数据已删除

数据保留

全部

所有配置、上传的图片管理员帐户均保留并

fileS、VM 和日志。

密码将更改为

连接到设备时将使用出厂默认密码。

丢失的。

安全注意事项 21

基础设施管理网络

安全注意事项

恢复出厂设置选项所有图像除外
除图像之外的所有连接
制造业

数据已删除

数据保留

除图像之外的所有配置图像配置，已注册

配置、虚拟机以及上传的镜像和日志

图像 files.

管理员帐户被保留并且

连接到设备后密码将更改为

丢失的。

出厂默认密码。

除图像、图像、网络和连接之外的所有配置

网络和连接

相关配置，注册

配置、虚拟机、上传的映像和日志。

图像 files.

管理员帐户被保留并且

与设备的连接是

之前配置的管理员

可用的。

密码将被保留。

除映像配置、虚拟机、上传映像外的所有配置 files 和日志。
与设备的连接将会丢失。

图像相关配置和注册图像
管理员帐户将被保留，密码将更改为出厂默认密码。

用户必须根据恢复出厂设置的目的仔细选择适当的选项。有关详细信息，请参阅重置为出厂默认设置。

基础设施管理网络
基础设施管理网络是指为基础设施设备承载控制和管理平面流量（例如NTP、SSH、SNMP、syslog等）的网络。设备访问可以通过控制台以及以太网接口进行。这种控制和管理平面流量对于网络运营至关重要，可以提供对网络的可见性和控制。因此，设计良好且安全的基础设施管理网络对于网络的整体安全和运营至关重要。安全基础设施管理网络的关键建议之一是管理和数据流量的分离，以确保即使在高负载和高流量条件下也能进行远程管理。这可以使用专用管理界面来实现。
以下是基础设施管理网络的实现方法：
带外管理
带外管理 (OOB) 管理网络由完全独立且物理上与其帮助管理的数据网络不同的网络组成。这有时也称为数据通信网络 (DCN)。网络设备可以通过不同方式连接到 OOB 网络： NFVIS 支持可用于连接到 OOB 网络的内置管理接口。 NFVIS 允许将预定义的物理接口（ENCS 上的 MGMT 端口）配置为专用管理接口。将管理数据包限制到指定接口可以更好地控制设备的管理，从而为该设备提供更高的安全性。其他好处包括提高非管理接口上数据包的性能、支持网络可扩展性、

安全注意事项 22

安全注意事项

伪带外管理

需要更少的访问控制列表 (ACL) 来限制对设备的访问，并防止管理数据包泛洪到达 CPU。网络设备还可以通过专用数据接口连接到 OOB 网络。在这种情况下，应部署 ACL 以确保管理流量仅由专用接口处理。有关详细信息，请参阅配置 IP 接收 ACL 和端口 22222 以及管理接口 ACL。
伪带外管理
伪带外管理网络使用与数据网络相同的物理基础设施，但通过使用 VLAN 进行流量的虚拟分离来提供逻辑分离。 NFVIS 支持创建 VLAN 和虚拟网桥，以帮助识别不同的流量源并分离虚拟机之间的流量。拥有单独的网桥和 VLAN 可隔离虚拟机网络的数据流量和管理网络，从而在虚拟机和主机之间提供流量分段。有关更多信息，请参阅为 NFVIS 管理流量配置 VLAN。
带内管理
带内管理网络使用与数据流量相同的物理和逻辑路径。最终，这种网络设计需要对每个客户的风险与收益和成本进行分析。一些一般性考虑因素包括：
· 隔离的 OOB 管理网络即使在中断事件期间也能最大限度地提高网络的可见性和控制力。
· 通过 OOB 网络传输网络遥测数据，最大限度地减少了提供关键网络可见性的信息中断的可能性。
· 如果发生网络事件，对网络基础设施、主机等的带内管理访问很容易完全丢失，从而消除所有网络可见性和控制。应采取适当的 QoS 控制来减轻这种情况的发生。
· NFVIS具有专用于设备管理的接口，包括串行控制台端口和以太网管理接口。
· OOB 管理网络通常可以以合理的成本进行部署，因为管理网络流量通常不需要高带宽或高性能设备，只需要足够的端口密度来支持与每个基础设施设备的连接。
本地存储的信息保护
保护敏感信息
NFVIS 在本地存储一些敏感信息，包括密码和机密。密码通常应由集中式 AAA 服务器维护和控制。然而，即使部署了集中式 AAA 服务器，在某些情况下也需要一些本地存储的密码，例如 AAA 服务器不可用时的本地回退、特殊用途的用户名等。这些本地密码和其他敏感信息

安全注意事项 23

File 转移

安全注意事项

信息以散列形式存储在 NFVIS 上，因此无法从系统恢复原始凭证。哈希是广泛接受的行业规范。

File 转移
File可能需要传输到 NFVIS 设备的内容包括 VM 映像和 NFVIS 升级 files。安全传输 file对于网络基础设施安全至关重要。 NFVIS支持SCP（Secure Copy），保证数据安全 file 转移。 SCP 依靠 SSH 进行安全身份验证和传输，从而实现安全且经过身份验证的复制 files.
通过 scp 命令启动 NFVIS 的安全副本。安全复制 (scp) 命令仅允许管理员用户安全复制 file从 NFVIS 到外部系统，或从外部系统到 NFVIS。
scp 命令的语法为：
SCP
我们将端口 22222 用于 NFVIS SCP 服务器。默认情况下，此端口是关闭的，用户无法安全复制 file从外部客户端进入 NFVIS。如果需要 SCP file 从外部客户端，用户可以使用以下命令打开端口：
系统设置 ip-receive-acl（地址）/（掩码长度）服务 scpd 优先级（数字）操作接受
犯罪
为了防止用户访问系统目录，只能对 intdatastore:、extdatastore1:、extdatastore2:、usb: 和 nfs:（如果可用）执行安全复制。还可以从日志执行安全复制：和技术支持：

日志记录

NFVIS 访问和配置更改记录为审核日志，以记录以下信息： · 谁访问了设备 · 用户何时登录 · 用户在主机配置和 VM 生命周期方面做了什么 · 用户何时登录关闭 · 访问尝试失败 · 身份验证请求失败 · 授权请求失败
此信息对于在未经授权的尝试或访问的情况下进行取证分析、配置更改问题以及帮助规划组管理更改非常宝贵。它还可以实时用于识别可能表明正在发生攻击的异常活动。此分析可以与来自其他外部源的信息相关联，例如 IDS 和防火墙日志。

安全注意事项 24

安全注意事项

虚拟机安全

NFVIS 上的所有关键事件都作为事件通知发送到 NETCONF 订阅者，并作为系统日志发送到配置的中央日志服务器。有关系统日志消息和事件通知的更多信息，请参阅附录。
虚拟机安全
本节介绍与 NFVIS 上虚拟机的注册、部署和操作相关的安全功能。
VNF安全启动
NFVIS 支持开放虚拟机固件 (OVMF)，可为支持安全启动的虚拟机启用 UEFI 安全启动。 VNF 安全启动可验证 VM 启动软件的每一层是否已签名，包括引导加载程序、操作系统内核和操作系统驱动程序。

有关详细信息，请参阅 VNF 的安全启动。
VNC 控制台访问保护
NFVIS 允许用户创建虚拟网络计算 (VNC) 会话来访问已部署的 VM 的远程桌面。为了实现这一点，NFVIS 动态地打开一个端口，用户可以使用他们的设备连接到该端口。 web 浏览器。此端口仅开放 60 秒，以便外部服务器启动与虚拟机的会话。如果在此时间内没有看到任何活动，则端口将关闭。端口号是动态分配的，因此仅允许一次性访问 VNC 控制台。
nfvis# vncconsole 启动部署名称 1510614035 虚拟机名称 ROUTER vncconsole-url :6005/vnc_auto.html
将浏览器指向 https:// :6005/vnc_auto.html 将连接到 ROUTER VM 的 VNC 控制台。
安全注意事项 25

加密的虚拟机配置数据变量

安全注意事项

加密的虚拟机配置数据变量
在VM部署期间，用户提供day-0配置 file 对于虚拟机。这 file 可能包含密码和密钥等敏感信息。如果此信息以明文形式传递，它将出现在日志中 files 和内部数据库记录以明文形式显示。此功能允许用户将配置数据变量标记为敏感，以便在存储或传递到内部子系统之前使用 AES-CFB-128 加密对其值进行加密。
有关详细信息，请参阅虚拟机部署参数。
远程图像注册的校验和验证
要注册远程 VNF 映像，用户需要指定其位置。需要从外部源下载映像，例如 NFS 服务器或远程 HTTPS 服务器。
想知道是否下载了 file 安装是否安全，有必要进行比较 file使用前的校验和。验证校验和有助于确保 file 在网络传输过程中没有被损坏，或者在您下载之前被恶意第三方修改。
NFVIS 支持 checksum 和 checksum_algorithm 选项，为用户提供预期的校验和和校验和算法（SHA256 或 SHA512），用于验证下载映像的校验和。如果校验和不匹配，映像创建将失败。
远程图像注册的认证验证
要注册位于 HTTPS 服务器上的 VNF 映像，需要从远程 HTTPS 服务器下载该映像。为了安全地下载此映像，NFVIS 验证服务器的 SSL 证书。用户需要指定证书的路径 file 或 PEM 格式证书内容以启用此安全下载。
更多详细信息，请参阅图像注册的证书验证部分
虚拟机隔离和资源配置
网络功能虚拟化 (NFV) 架构包括：
· 虚拟化网络功能 (VNF)，这是运行软件应用程序的虚拟机，可提供路由器、防火墙、负载平衡器等网络功能。
· 网络功能虚拟化基础设施，由基础设施组件（计算、内存、存储和网络）组成，位于支持所需软件和管理程序的平台上。
通过 NFV，网络功能被虚拟化，以便多个功能可以在单个服务器上运行。因此，需要更少的物理硬件，从而实现资源整合。在此环境中，必须从单个物理硬件系统模拟多个 VNF 的专用资源。使用 NFVIS，可以以受控方式部署虚拟机，以便每个虚拟机都能接收其所需的资源。根据需要将资源从物理环境划分到许多虚拟环境。各个 VM 域是隔离的，因此它们是独立、独特且安全的环境，不会相互竞争共享资源。
VM 使用的资源不能多于预配的资源。这可以避免一台虚拟机消耗资源而导致拒绝服务情况。因此，CPU、内存、网络和存储都受到保护。

安全注意事项 26

安全注意事项
CPU隔离

CPU隔离

NFVIS系统为主机上运行的基础设施软件预留核心。其余核心可用于 VM 部署。这保证了VM的性能不会影响NFVIS主机的性能。低延迟虚拟机 NFVIS 显式地将专用核心分配给部署在其上的低延迟虚拟机。如果虚拟机需要 2 个 vCPU，则会为其分配 2 个专用核心。这可以防止核心共享和超额订阅，并保证低延迟虚拟机的性能。如果可用核心数量小于另一个低延迟虚拟机请求的 vCPU 数量，则部署将被阻止，因为我们没有足够的资源。非低延迟虚拟机 NFVIS 将可共享 CPU 分配给非低延迟虚拟机。如果虚拟机需要 2 个 vCPU，则为其分配 2 个 CPU。这 2 个 CPU 可在其他非低延迟 VM 之间共享。如果可用 CPU 数量小于另一个非低延迟虚拟机请求的 vCPU 数量，则仍允许部署，因为该虚拟机将与现有非低延迟虚拟机共享 CPU。
内存分配
NFVIS基础设施需要一定量的内存。部署 VM 时，会进行检查，以确保在预留基础架构和之前部署的 VM 所需的内存后，可用内存足以供新 VM 使用。我们不允许虚拟机内存超额订阅。
安全注意事项 27

储存隔离
不允许虚拟机直接访问主机 file 系统和存储。
储存隔离

安全注意事项

ENCS 平台支持内部数据存储（M2 SSD）和外部磁盘。 NFVIS 安装在内部数据存储上。 VNF 也可以部署在此内部数据存储上。在外部磁盘上存储客户数据和部署客户应用程序虚拟机是安全最佳实践。为系统提供物理上独立的磁盘 files 与应用程序 file有助于保护系统数据免受损坏和安全问题。
·
接口隔离
单根 I/O 虚拟化或 SR-IOV 是一种允许隔离 PCI Express (PCIe) 资源（例如以太网端口）的规范。使用 SR-IOV，单个以太网端口可以显示为多个独立的物理设备，称为虚拟功能。该适配器上的所有 VF 设备共享相同的物理网络端口。访客可以使用这些虚拟功能中的一项或多项。虚拟功能对于访客来说就像网卡一样，就像普通网卡对于操作系统来说一样。虚拟功能具有接近本机的性能，并且比半虚拟化驱动程序和模拟访问提供更好的性能。虚拟功能在同一物理服务器上的来宾之间提供数据保护，因为数据由硬件管理和控制。 NFVIS VNF 可以使用 SR-IOV 网络连接到 WAN 和 LAN 背板端口。
安全注意事项 28

安全注意事项

安全开发生命周期

每个这样的VM都拥有一个虚拟接口及其相关资源，实现VM之间的数据保护。
安全开发生命周期
NFVIS 遵循软件的安全开发生命周期 (SDL)。这是一个可重复、可衡量的流程，旨在减少漏洞并增强思科解决方案的安全性和弹性。 Cisco SDL 应用行业领先的实践和技术来构建值得信赖的解决方案，减少现场发现的产品安全事件。每个 NFVIS 版本都会经历以下流程。
· 遵循思科内部和基于市场的产品安全要求 · 在思科的中央存储库中注册第三方软件以进行漏洞跟踪 · 定期使用已知的 CVE 修复程序修补软件。 · 设计软件时考虑到安全性 · 遵循安全编码实践，例如使用经过审查的常见安全模块（如 CiscoSSL）、运行
静态分析和实施输入验证以防止命令注入等。 · 使用应用安全工具，例如 IBM AppScan、Nessus 和其他思科内部工具。

安全注意事项 29

安全开发生命周期

安全注意事项

安全注意事项 30

文件/资源

CISCO企业网络功能虚拟化基础设施软件 [pdf] 用户指南
企业网络功能虚拟化基础设施软件、企业、网络功能虚拟化基础设施软件、虚拟化基础设施软件、基础设施软件

参考

用户手册

企业网络功能虚拟化基础设施软件

产品信息

规格

安全注意事项

安装

安全启动

安全唯一设备识别 (SUDI)

常问问题

问：什么是 NFVIS？

问：如何验证 NFVIS ISO 映像的完整性或
升级形象？

问：ENCS 上是否默认启用安全启动？

问：NFVIS 中 SUDI 的目的是什么？

文件/资源

参考

发表评论

取消回复

企业网络功能虚拟化基础设施软件

产品信息

规格

安全注意事项

安装

安全启动

安全唯一设备识别 (SUDI)

常问问题

问：什么是 NFVIS？

问：如何验证 NFVIS ISO 映像的完整性或 升级形象？

问：ENCS 上是否默认启用安全启动？

问：NFVIS 中 SUDI 的目的是什么？

文件/资源

参考

相关文章

发表评论

取消回复

问：如何验证 NFVIS ISO 映像的完整性或
升级形象？