您的位置:360文档中心› 16、网络设备上线安全手册_管理流程制度 (2)

16、网络设备上线安全手册_管理流程制度 (2)

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

附录15

网络设备上线安全手册

网络设备上线安全手册

1.联各硬件厂商网站,确定最新交换机上运行的操作系统的漏洞描述或风险提示,

对系统进行升级或更新,我司根据实际情况跟踪,如果厂商发布固件版本,有巨大的安全隐患时,我司应立即对系统进行升级或更新。

2.使用复杂的系统口令,确保所有使用的口令必须为复杂口令,并使用MD5加密方

法设置enable口令。

1)对console line、auxiliary line 和virtual terminal lines访

问设置密码并加密保护:

2)Enable secret

enable secret 0 2manyRt3s(口令示例)

3)Console Line

line con 0

password Soda-4-jimmY(口令示例)

4)Auxiliary Line

line aux 0

password Popcorn-4-sara (口令示例)

5)VTY Lines

line vty 0 4

password Dots-4-georg3 (口令示例)

6)Basic protection

service password-encryption

3.确保所有提供登陆服务的位置都有口令防护。确保AUX和Console口都有EXEC

口令,并使用MD5加密,建议使用支持加密的登陆方式,如SSH等;

Enable secret配置:使用enable secret来加密secret口令。

4.访问控制配置:通过配置VTY端口的Access List来增加系统访问的安全性。

5.VTY访问配置:配置VTY的访问方式,用SSH来增加系统访问的安全性。

6.指定IP到路由器的Telnet访问。

7.对于允许远程登陆管理的路由器、交换机,必须设置相应的ACL,限定可远程登

录的主机IP地址范围,VTY只接受来自可信的IP地址的连接。并且应限制只接受一位管理员工作站的访问,避免DoS攻击的威胁,配置VTY连接超时,防止管理员离开时控制台被他人使用。

8.对于支持SNMP,提供网管功能的设备,必须确保MIB库的读/写密码必须设定为

非缺省值。

9.确保所有的接口都禁用 CDP 协议,以防止设备上的关键信息的泄露。

10.锁住到路由器的SNMP访问。

11.通过使用认证来控制对路由器的访问。

12.以相应的优先权登录,使用分级用户配置管理方式。

13.路由更新的认证,路由更新的认证会增加安全,但路由更新认证也会带来路

由更新问题;我司使用的是专线网络,所以可以不考虑路由更新的认证。14.Login Banner配置:修改login banner,隐藏路由器系统真实信息,防止真

实信息的泄露。

15.用户验证配置:配置用户验证方式以增强系统访问的安全性。

16.AAA方式配置:配置AAA方式来增加用户访问安全性。

17.路由命令审计配置:配置AAA命令记账来增强系统访问安全性。

18.路由器应该开启日志功能

1)若路由器没有足够的空间,需要将日志传送到日志服务器上保存。

2)若边界路由器未配合防火墙、IDS、Sniffer等技术使用,必须支持

详尽的日志信息。

3)在日志文件中需要记录登录过该设备的用户名、时间和所作的命令操

作等详细信息,为发现潜在攻击者的不良行为提供有力依据。

4)该设备制定的维护人员必须定期查看所管设备的日志文件,发现异常

情况要及时处理和报告上级主管,尽早消除网络安全隐患。

19.接口安全配置命令

1.Unused interfaces - shutdown

2.No Smurf attacks - no ip directed-broadcast

3.Ad-hoc routing - no ip proxy-arp

20.关闭路由器、以太网交换机内不需要的服务,对于必须开放的服务要限制开

放的范围以及数据的流向;

1)使用show proc 命令,关闭确实没用的服务:

2)Small services (echo, discard, chargen, etc.)

3)no service tcp-small-servers

4)no service udp-small-servers

5)BOOTP - no ip bootp server

6)Finger - no service finger

7)HTTP - no ip http server

8)Identd - no ip identd (some IOS versions)

9)SNMP - no snmp-server

10)CDP - no cdp run

11)Remote config. - no service config

12)Source routing - no ip source-route

21.核查开放的服务是否必须,否则禁用:

相关文档
最新文档