【正文】 載補(bǔ)丁 .....................................................................................19 檢查升級(jí)后系統(tǒng)的狀態(tài) ..................................................................................204 / 28 應(yīng)急保障措施 ..........................................................................................................21 恢復(fù)軟件 ..........................................................................................................21 恢復(fù)配置 ..........................................................................................................215 特定的安全配置 ...........................................................21 關(guān)閉不必要的服務(wù) ..................................................................................................21 禁止 CDP(Cisco Discovery Protocol).............................................................22 ICMP 服務(wù) .......................................................................................................22 DNS 服務(wù) .........................................................................................................22 其他特定的安全配置 ..............................................................................................23 VTP 安全的配置 .............................................................................................23 對(duì) CON 端口的管理要求 ...............................................................................23 對(duì) sl0 端口的管理要求 ...................................................................................24 禁止未使用或空閑的端口 ..............................................................................24 banner 的設(shè)置要求 ..........................................................................................255 / 28第一部分 概述和介紹1 概述本文檔對(duì)中國(guó)移動(dòng)網(wǎng)絡(luò)思科 Catalyst 交換機(jī)安全配置標(biāo)準(zhǔn)進(jìn)行描述，規(guī)范涉及適用范圍、對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備 本身安全機(jī)制介紹和設(shè)備安全配置標(biāo)準(zhǔn)三個(gè)部分，在規(guī)范中針對(duì)設(shè)備的六大安全規(guī)范主題進(jìn)行描述，除了提供詳細(xì)的安全配置標(biāo)準(zhǔn)外，同時(shí) 考慮設(shè)備型號(hào)和適用網(wǎng)絡(luò)層次的不同，并 對(duì)實(shí)際配置過程中應(yīng)注意的問題進(jìn)行詳細(xì)描述。 項(xiàng)目背景該項(xiàng)目是為了規(guī)范網(wǎng)絡(luò)設(shè)備的安全配置標(biāo)準(zhǔn)，提高中國(guó)移動(dòng)網(wǎng)絡(luò)設(shè)備的安全性而提出的。該項(xiàng)目成果將適用于集團(tuán)公司以及各省公司網(wǎng)絡(luò)部、計(jì)費(fèi)、信息化等部門，涵蓋業(yè)務(wù)網(wǎng)絡(luò)（GPRS、CMNet、各數(shù)據(jù) 業(yè)務(wù) 系統(tǒng)）、支撐系 統(tǒng)（網(wǎng)管、BOSS、OA）等。 項(xiàng)目目標(biāo)該項(xiàng)目的目標(biāo)是對(duì)中國(guó)移動(dòng)網(wǎng)絡(luò)中使用的思科 Catalyst 交換機(jī)安全配置標(biāo)準(zhǔn)進(jìn)行規(guī)范，實(shí)現(xiàn)規(guī)范和指導(dǎo) 各省的各應(yīng)用系統(tǒng)網(wǎng)絡(luò)設(shè)備安全配置的作用。 參考資料? 中國(guó) IT 認(rèn)證實(shí)驗(yàn) 室網(wǎng)站 ? 《Cisco 局域網(wǎng)交換配置技術(shù)》6 / 28? 《Cisco Catalyst 交換技術(shù)》? 思科官方網(wǎng)站 參與本項(xiàng)目編寫的人員有：福建移動(dòng)通信公司：洪順安、林秀感謝：泰訊網(wǎng)絡(luò)給予大力支持。2 適用的軟件版本本規(guī)范適用的設(shè)備版本如下表：設(shè)備名稱 設(shè)備型號(hào) IOS 版本 備注Catalyst 交換機(jī) catalyst1900、3000、3900、5000系列交換機(jī)；Catalyst 4000 系列的交換模塊；舊版本的Catalyst 6000 系列交換機(jī)Catalyst NMP 及以上版本本規(guī)范僅討論交換機(jī)的二層功能的安全配置，三層模塊都采用Cisco IOS 操作系統(tǒng)，以及采用Cisco IOS 的二層交換機(jī)，其配置與 Cisco 路由器一樣，不在本規(guī)范討論之內(nèi)考慮到思科設(shè)備的小版本號(hào)繁多，并且不易分辨。建議最好從集成商那獲取最新版本軟件。7 / 28第二部分 設(shè)備的安全機(jī)制在訪問控制能力上，思科 Catalyst 交換機(jī)可以限制遠(yuǎn)程登錄管理 VLAN 的劃分，控制空閑時(shí)長(zhǎng)，并提供 ACL 對(duì)用戶登陸進(jìn)行嚴(yán) 格控制；支持 AAA 認(rèn)證和授權(quán)；支持 snmp 管理認(rèn)證、限制 TRAP 主機(jī)，修改 TRAP 端口等；支持撥號(hào)接入控制；實(shí)現(xiàn)對(duì)密碼自動(dòng)加密。在日志信息記錄上，思科 Catalyst 交換機(jī)將 LOG 信息分成八個(gè) 級(jí)別，由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies；可以 設(shè)置將一定級(jí)別的 LOG 消息通過 SYSLOG、SNMP TRAP 傳遞給SERVER 長(zhǎng)期保存； 對(duì) SERVER 的地址可以進(jìn)行嚴(yán) 格控制。思科 Catalyst 交換機(jī)可以通過設(shè)置 ACL，可以實(shí)現(xiàn)端口與 MAC 地址及協(xié)議的綁定， 實(shí)現(xiàn)對(duì)數(shù)據(jù)包的過濾，達(dá)到網(wǎng) 絡(luò)的安全防護(hù) 。8 / 28第三部分設(shè)備安全配置建議設(shè)備安全配置建議是本規(guī)范重要的一個(gè)部分，該部分將對(duì)思科 Catalyst 交換機(jī)安全配置的細(xì)節(jié)進(jìn)行描述，并對(duì)配置適用的網(wǎng)絡(luò)層次、對(duì)設(shè)備性能的影響和配置實(shí)施的注意點(diǎn)進(jìn)行詳細(xì)說明。1 訪問控制列表及其管理Catalyst提供了ACL功能，主要運(yùn)用于遠(yuǎn)程管理的安全性控制，如對(duì)tel、SNMP的IP地址的限制。其功能類似于Cisco路由器的標(biāo)準(zhǔn)訪問列表，只能提供源地址的限制。啟用Catalyst訪問控制的命令格式如下：FJFZSWITCH01 (enable) set ip permit enanble具體的應(yīng)用將在以下的telnent 和SNMP 配置中描述。2 網(wǎng)管及認(rèn)證問題 遠(yuǎn)程登錄網(wǎng)維人員習(xí)慣使用 CLI 來進(jìn)行設(shè)備配置和日常管理，常會(huì)使用 Tel 來遠(yuǎn)程登錄設(shè)備。大部分設(shè)備都提供標(biāo)準(zhǔn)的 Tel 接口， 雖然 Tel 在連接建立初期也需要核查帳號(hào)和密碼，但是此過程中，以及后 續(xù)會(huì)話 中，都是明文方式 傳送所有數(shù)據(jù)，容易造竊聽而泄密。Tel 并不是一個(gè)安全的 協(xié)議。9 / 28 關(guān)閉遠(yuǎn)程登錄如果不需要遠(yuǎn)程登陸，則要求關(guān)閉它。 Catalyst 交換機(jī)的遠(yuǎn)程登陸是通過 SC0口實(shí)現(xiàn)的?！緫?yīng)用網(wǎng)絡(luò)層次】：在所有層面設(shè)備 【影響】：無法遠(yuǎn)程管理網(wǎng)元設(shè)備，包括 tel 和 SNMP【具體配置】：FJFZSWITCH02 (enable) set interface sc0 down 登錄空閑時(shí)間由于意外掉線或不良習(xí)慣，部分登錄連接長(zhǎng)時(shí)間懸掛在設(shè)備上，造成安全隱患。如果懸空的登錄連接過 多，會(huì) 導(dǎo)致后續(xù)的登陸無法實(shí)施，影響 對(duì)系統(tǒng)管理。要求設(shè)定登錄連接空閑時(shí)間限制，讓系統(tǒng)自動(dòng)檢查當(dāng)前連接是否長(zhǎng)時(shí)間處于空閑狀態(tài)，若是則自動(dòng)將其拆除。Timeout 具體取值應(yīng)視實(shí)際需要而定。建議設(shè)置為 3 分鐘左右。如果出于排障目的，需要長(zhǎng)時(shí)間登 錄設(shè)備檢查系統(tǒng)狀態(tài)， 則需臨時(shí)延長(zhǎng)或取消這項(xiàng)設(shè)置?！緫?yīng)用網(wǎng)絡(luò)層次】：在所有層面設(shè)備 【影響】：超時(shí)自動(dòng)退出設(shè)備【具體配置】：！設(shè)置 SC 地址FJFZSWITCH02 (enable)set interface sc0 ！設(shè)置管理路由FJFZSWITCH02 (enable)se