一、Cisco網(wǎng)絡(luò)設(shè)備安全基線規(guī)范

本建議用于Cisco路由器和基于Cisco IOS的交換機(jī)及其三層處理模塊，其軟件版本為CISCO IOS 12.0及以上版本。加固前應(yīng)該先備份系統(tǒng)配置文件。

01賬號(hào)管理、認(rèn)證授權(quán)

1.1.本機(jī)認(rèn)證和授權(quán)

初始模式下，設(shè)備內(nèi)一般建有沒(méi)有密碼的管理員賬號(hào)，該賬號(hào)只能用于

Console連接，不能用于遠(yuǎn)程登錄。強(qiáng)烈建議用戶(hù)應(yīng)在初始化配置時(shí)為它們加添密碼。一般而言，設(shè)備允許用戶(hù)自行創(chuàng)建本機(jī)登錄賬號(hào)，并為其設(shè)定密碼和權(quán)限。同時(shí)，為了AAA服務(wù)器出現(xiàn)問(wèn)題時(shí)，對(duì)設(shè)備的維護(hù)工作仍可正常進(jìn)行，建議保留必要的維護(hù)用戶(hù)

操作方式：

配置本地用戶(hù)ShiRan，密碼ShiRanIT.com,權(quán)限為10 Router(config)#username ShiRan privilege 10 password ShiRanIT.com Router(config)#privilege exec level 10 telnet Router(config)#privilege exec level 10 show ip access-list

1.2設(shè)置特權(quán)口令

不要采用enable password設(shè)置密碼，而采用enable secret命令設(shè)置，enable secret命令用于設(shè)定具有管理員權(quán)限的口令，而enable password采用的加密算法比較弱。而要采用enable secret命令設(shè)置。并且要啟用Service password-encryption，這條命令用于對(duì)存儲(chǔ)在配置文件中的所有口令和類(lèi)似數(shù)據(jù)進(jìn)行加密。避免當(dāng)配置文件被不懷好意者看見(jiàn)，從而獲得這些數(shù)據(jù)的明文。

操作方式：

Router(Config)#enable secret xxxxxxxxRouter(Config)#Service password-encryption

對(duì)比enable password和enabl esecret :

1.3登陸要求

控制CON端口的訪問(wèn),給CON口設(shè)置高強(qiáng)度的登錄密碼，修改默認(rèn)參數(shù)，配置認(rèn)證策略。

操作方式：???????

Router(Config)#line con 0Router(config-line)#password ShiRanIT.comRouter(config-line)#exec-timeout 300Router(config-line)#session-limit 5

除非使用撥號(hào)接入時(shí)使用AUX端口，否則禁止這個(gè)端口。

操作方式：???????

Router(config)#line aux 0Router(config-line)#transport input none Router(config-line)#no exec設(shè)置完成后無(wú)法通過(guò)AUX撥號(hào)接入路由器

如非要采用HTTP服務(wù)，要求對(duì)HTTP服務(wù)進(jìn)行嚴(yán)格的控制，如果必須選擇使用HTTP進(jìn)行管理，最好用ip http access-class命令限定訪問(wèn)地址且用ip http authentication命令配置認(rèn)證，修改HTTP的默認(rèn)端口。

操作方式：???????

修改默認(rèn)端口Router(Config)# ip http port 50000 Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny any 啟用ACL嚴(yán)格控制可以登陸的維護(hù)地址Router(Config)# ip http access-class 10 配置本地?cái)?shù)據(jù)庫(kù)Router(Config)# username ShiRan privilege 10 password ShiRanIT.com 啟用本地認(rèn)證Router(config)#ip http authentication localRouter(Config)# ip http server啟用HTTP服務(wù)

02日志配置

2.1開(kāi)啟日志功能

為了實(shí)現(xiàn)對(duì)設(shè)備安全的管理，要求對(duì)設(shè)備的安全審計(jì)進(jìn)行有效管理。根據(jù)設(shè)備本身具有的屬性和實(shí)際維護(hù)經(jīng)驗(yàn)，建議相關(guān)安全審計(jì)信息應(yīng)包括設(shè)備登錄信息日志和設(shè)備事件信息日志，同時(shí)提供SYSLOG服務(wù)器的設(shè)置方式。

Cisco設(shè)備將LOG信息分成八個(gè)級(jí)別，由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies?？紤]到日志信息的種類(lèi)和詳細(xì)程度，并且日志開(kāi)啟對(duì)設(shè)備的負(fù)荷有一定影響，在這建議獲取有意義的日志信息，并將其發(fā)送到網(wǎng)管主機(jī)或日志服務(wù)器并進(jìn)行分析，建議將notifications及以上的LOG信息送到日志服務(wù)器。

操作方式：???????

開(kāi)啟日志Router(Config)#logging on 設(shè)置日志服務(wù)器地址Router(Config)#logging 192.168.0.254日志記錄級(jí)別，可用”?”查看詳細(xì)內(nèi)容Router(Config)#logging trap notifications 日志發(fā)出用的源IP地址Router(Config)#logging source-interface g0/0 日志記錄的時(shí)間戳設(shè)置，可根據(jù)需要具體配置Router(Config)#service timestamps log datetime localtime

03通信協(xié)議

3.1SNMP服務(wù)配置

如不需要提供SNMP服務(wù)的，要求禁止SNMP協(xié)議服務(wù)，注意在禁止時(shí)刪除一些SNMP服務(wù)的默認(rèn)配置。

操作方式：

???????

Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community private RWRouter(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system-shutdownRouter(Config)# no snmp-server關(guān)閉，網(wǎng)管系統(tǒng)無(wú)法采集到相關(guān)管理數(shù)據(jù)，不能進(jìn)行告警監(jiān)控

如開(kāi)啟SNMP協(xié)議，要求更改SNMP trap協(xié)議的標(biāo)準(zhǔn)端口號(hào)，以增強(qiáng)其安全性。

操作方式：

Router(config)# snmp-server host 192.168.0.254 traps version 2c public udp-port 1661

如開(kāi)啟SNMP協(xié)議，要求更改SNMP連接的源地址，以增強(qiáng)其安全性。

操作方式：???????

Router(Config)# access-list 10 permit 192.168.0.1 Router(Config)# access-list 10 deny anyRouter(Config)# SNMP-server community MoreHardPublic Ro 10【影響】：只有指定的網(wǎng)管網(wǎng)段才能使用SNMP維護(hù)

如開(kāi)啟SNMP協(xié)議，要求設(shè)置并定期更改SNMP Community（至少半年一次），以增強(qiáng)其安全性，不建議開(kāi)啟SNMP rw特性。

操作方式：???????

Router(Config)# SNMP-server community MoreHardPublic ro！不建議實(shí)施Router(Config)# SNMP-server community MoreHardPublic rw

3.2源地址路由檢查

為了防止利用IP Spoofing手段假冒源地址進(jìn)行的攻擊對(duì)整個(gè)網(wǎng)絡(luò)造成的沖擊，要求在所有的邊緣路由設(shè)備（即直接與終端用戶(hù)網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶(hù)網(wǎng)段規(guī)劃添加源路由檢查。Cisco路由器提供全局模式下啟用URPF（Unicast Reverse Path Forwarding單播反向路徑轉(zhuǎn)發(fā)）的功能。

操作方式：

???????

啟用CEF,要使用VRVF功能必須啟用CEF(Cisco Express Forwarding)Router(config)#ip cef啟用Unicast Reverse-Path VerificationRouter(config)#interface g0/0Router(config-if)#ip verify unicast reverse-path

3.3防止地址欺騙

操作方式：???????

如過(guò)濾非公有地址訪問(wèn)內(nèi)部網(wǎng)絡(luò)。過(guò)濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定義地址 (169.254.0.0/16)；不用的組播地址(224.0.0.0/4)；全網(wǎng)絡(luò)地址(0.0.0.0/8)。Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any anyRouter(config)#interface g0/0Router(Config-if)# ip access-group 100 in 建議采用訪問(wèn)列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。（可選）如：Router(Config)# no access-list 101Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any

04設(shè)備其他安全要求

4.1禁止CDP(Cisco Discovery Protocol)

由于CDP服務(wù)可能被攻擊者利用獲得路由器的版本等信息，從而進(jìn)行攻擊，所以如果沒(méi)有必要使用CDP服務(wù)，則應(yīng)關(guān)閉CDP服務(wù)。

操作方式：???????

全局CDP的關(guān)閉Router(Config)#no cdp run特定端口CDP的關(guān)閉Router(Config)#interface g0/0Router(Config-if)# no cdp enable【影響】：無(wú)法發(fā)現(xiàn)網(wǎng)絡(luò)鄰居的詳細(xì)信息，造成維護(hù)不便。

4.2禁止TCP、UDP Small服務(wù)

Cisco路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來(lái)越過(guò)包過(guò)濾機(jī)制。要求關(guān)閉這些服務(wù)。

操作方式：???????

Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers

4.3禁止Finger、NTP服務(wù)

Finger服務(wù)可能被攻擊者利用查找用戶(hù)和口令攻擊。NTP不是十分危險(xiǎn)的，但是如果沒(méi)有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)。要求關(guān)閉這些服務(wù)。

操作方式：???????

Router(config)#no ip finger Router(config)#no service finger Router(config)#no ntp

4.4禁止IP Source Routing

禁用源路由，防止路由信息泄露

操作方式：

Router(Config)# no ip source-route

4.5禁止IP Classless

禁止無(wú)類(lèi)路由

操作方式：

Router(Config)# no ip classless

4.6WINS和DNS服務(wù)加固

如果沒(méi)必要通過(guò)網(wǎng)絡(luò)進(jìn)行名字查詢(xún)則禁止WINS和DNS服務(wù)

操作方式：

Router(Config)# no ip domain-lookup

二、Huawei網(wǎng)絡(luò)設(shè)備安全基線規(guī)范

01賬號(hào)管理

1.1.無(wú)效帳戶(hù)清理

刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)

操作方式：???????

[Huawei]aaa [Huawei-aaa]undo local-user test

1.2認(rèn)證和授權(quán)設(shè)置

設(shè)備通過(guò)相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿(mǎn)足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。

操作方式：???????

#對(duì)遠(yuǎn)程登錄用戶(hù)先用RADIUS服務(wù)器進(jìn)行認(rèn)證，如果沒(méi)有響應(yīng)，則不認(rèn)證。#認(rèn)證服務(wù)器IP地址為129.7.66.66，無(wú)備用服務(wù)器，端口號(hào)為默認(rèn)值1812。# 配置RADIUS服務(wù)器模板。[Router] radius-server template shiva# 配置RADIUS認(rèn)證服務(wù)器IP地址和端口。Router-radius-shiva]radius-server authentication 129.7.66.66 1812# 配置RADIUS服務(wù)器密鑰、重傳次數(shù)。[Router-radius-shiva] radius-server shared-key cipher shiran.com[Router-radius-shiva] radius-server retransmit 2[Router-radius-shiva] quit# 進(jìn)入AAA視圖。[Router] aaa# 配置認(rèn)證方案shiran，認(rèn)證方法為先RADIUS，如果沒(méi)有響應(yīng)，則不認(rèn)證。[Router–aaa] authentication-scheme shiran[Router-aaa-authen-r-n] authentication-mode radius local [Router-aaa-authen-r-n] quit# 配置default域，在域下采用r-n認(rèn)證方案、缺省的計(jì)費(fèi)方案（不計(jì)費(fèi)），shiva的RADIUS模板。[Router-aaa] domain default[Router-aaa-domain-default] authentication-scheme shiran[Router-aaa-domain-default]radius-server shiva

02日志配置

2.1開(kāi)啟日志功能

支持?jǐn)?shù)據(jù)日志，可以記錄系統(tǒng)日志與用戶(hù)日志。系統(tǒng)日志指系統(tǒng)運(yùn)行過(guò)程中記錄的相關(guān)信息，用以對(duì)運(yùn)行情況、故障進(jìn)行分析和定位，日志文件可以通過(guò)XModem、FTP、TFTP協(xié)議，遠(yuǎn)程傳送到網(wǎng)管中心。

操作方式：???????

[Huawei]info-center enable ；默認(rèn)已啟動(dòng)[Huawei]info-center console channel 0；向控制臺(tái)輸出日志[Huawei]info-center logbuffer ；向路由器內(nèi)部緩沖器輸出日志[Huawei]info-center loghost 192.168.0.254；向日志主機(jī)輸出日志[Huawei]info-center?monitor?channel?monitor?；??????向telnet終端或啞終端輸出日志

03通信協(xié)議

3.1限定特定主機(jī)訪問(wèn)

路由器以UDP/TCP協(xié)議對(duì)外提供服務(wù)，供外部主機(jī)進(jìn)行訪問(wèn)，如作為NTP服務(wù)器、TELNET服務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH服務(wù)器等，應(yīng)配置路由器，只允許特定主機(jī)訪問(wèn)。

操作方式：

???????

acl number 1 rule 1 deny ip 127.0.0.0 0.255.255.255 any log …int f1/1firewall packet-filter 3001 inbound(outbound)

3.2過(guò)濾高危端口

過(guò)濾已知攻擊：在網(wǎng)絡(luò)邊界，設(shè)置安全訪問(wèn)控制，過(guò)濾掉已知安全攻擊數(shù)據(jù)包，例如udp 1434端口（防止SQL slammer蠕蟲(chóng)）、tcp445,5800,5900（防止Della蠕蟲(chóng)）。

操作方式：???????

?全局模式下是否啟用如下命令：acl number 3001 rule 1 deny tcp destination-port eq 135 rule 2 deny udp destination-port eq 135 rule 5 deny tcp destination-port eq 139 rule 7 deny tcp destination-port eq 445 rule 8 deny udp destination-port eq 445 rule 9 deny tcp destination-port eq 539 rule 10 deny udp destination-port eq 539 rule 11 deny udp destination-port eq 593 rule 12 deny tcp destination-port eq 593 rule 13 deny udp destination-port eq 1434 rule 14 deny tcp destination-port eq 4444 rule 15 deny tcp destination-port eq 9996 rule 16 deny tcp destination-port eq 5554 rule 17 deny udp destination-port eq 9996 ?[Quidway-接口]?firewall?packet-filter?3001?inbound(outbound)

04其他設(shè)備安全要求

4.1禁用端口

禁止未使用或空閑的端口

操作方式：

???????

不用端口模式下是否啟用如下命令： # shutdown（不用端口）

4.2啟用源地址檢查

啟用源地址路由檢查(二層不適用）

操作方式：??????????????

不用端口模式下是否啟用如下命令： # urpf enable

總結(jié)

以上是生活随笔為你收集整理的【收藏】网络设备安全加固规范的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。