【正文】 I / 37中 國 移 動 公 司 思 科 路 由 器安 全 配 置 規(guī) 范Specification for Cisco Router Configuration Used in China Mobile版 本 號 ： XXXXXXXX 發(fā) 布 XXXXXXXX 實 施中國移動通信有限公司網(wǎng)絡(luò)部1 / 37目錄1 范圍 ..........................................................................................................................................................................12 規(guī)范性引用文件 ......................................................................................................................................................1 內(nèi)部引用 .........................................................................................................................................................1 外部引用 .........................................................................................................................................................23 術(shù)語、定義和縮略語 ..............................................................................................................................................24 思科路由器設(shè)備安全配置要求 ..............................................................................................................................3 直接引用《通用規(guī)范》的配置要求 .............................................................................................................3 賬號管理、認(rèn)證授權(quán) ...................................................................................................................................11 賬戶 .......................................................................................................................................................11 口令 .......................................................................................................................................................12 授權(quán) .......................................................................................................................................................13 認(rèn)證 .......................................................................................................................................................13 日志安全要求 ...............................................................................................................................................14 IP 協(xié)議安全要求 ..........................................................................................................................................17 基本協(xié)議安全 .......................................................................................................................................17 路由協(xié)議安全 .......................................................................................................................................23 SNMP協(xié)議安全 ......................................................................................................................................26 MPLS安全 ..............................................................................................................................................28 其他安 全要求 ...............................................................................................................................................295 編制歷史 ................................................................................................................................................................332 / 37前言為了貫徹安全三同步的要求，在設(shè)備選型、入網(wǎng)測試、工程驗收以及運行維護(hù)等環(huán)節(jié)，明確并落實安全功能和配置要求。有限公司組織部分省公司編制了中國移動設(shè)備安全功能和配置系列規(guī)范。本系列規(guī)范可作為編制設(shè)備技術(shù)規(guī)范、設(shè)備入網(wǎng)測試規(guī)范，工程驗收手冊，局?jǐn)?shù)據(jù)模板等文檔的依據(jù)。本規(guī)范是該系列規(guī)范之一，明確了中國移動各類型設(shè)備所需滿足的通用安全功能和配置要求，并作為本系列其他規(guī)范的編制基礎(chǔ)。本標(biāo)準(zhǔn)起草單位：中國移動通信有限公司網(wǎng)絡(luò)部、中國移動集團上海公司。本標(biāo)準(zhǔn)解釋單位：同提出單位。本標(biāo)準(zhǔn)主要起草人：劉金根、程曉鳴、陳敏時、周智、曹一生。1 / 371 范圍本規(guī)范適用于中國移動通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的思科路由器。本規(guī)范明確了思科路由器安全配置方面的基本要求。2 規(guī)范性引用文件 內(nèi)部引用本規(guī)范是在《中國移動設(shè)備通用設(shè)備安全功能和配置規(guī)范》 （以下簡稱《通用規(guī)范》 ）各項設(shè)備配置要求的基礎(chǔ)上，提出的思科路由器安全配置要求。以下分項列出本規(guī)范對《通用規(guī)范》設(shè)備配置要求的修訂情況：設(shè)備通用安全配置要求編號 采納意見 備注安全要求設(shè)備通用配置1 增強要求 安全要求設(shè)備思科路由器配置1安全要求設(shè)備通用配置2 增強功能 安全要求設(shè)備思科路由器配置2安全要求設(shè)備通用配置3可選 完全采納安全要求設(shè)備通用配置4 完全采納安全要求設(shè)備通用配置5 不采納 設(shè)備不支持安全要求設(shè)備通用配置6可選 不采納 設(shè)備不支持安全要求設(shè)備通用配置7可選 不采納 設(shè)備不支持安全要求設(shè)備通用配置9 完全采納安全要求設(shè)備通用配置12 不采納 設(shè)備不支持安全要求設(shè)備通用配置13可選 不采納 設(shè)備不支持安全要求設(shè)備通用配置24可選 增強要求 安全要求設(shè)備 思科路由器配置7可選安全要求設(shè)備通用配置14可選 完全采納安全要求設(shè)備通用配置16可選 完全采納安全要求設(shè)備通用配置17可選 完全采納安全要求設(shè)備通用配置19 增強要求 安全要求設(shè)備思科路由器配置22安全要求設(shè)備通用配置20可選 不采納 設(shè)備不支持安全要求設(shè)備通用配置27 增強要求 安全要求設(shè)備思科路由器配置23安全要求設(shè)備通用 配置28 不采納 設(shè)備不支持安全要求設(shè)備通用 配置29可選 不采納 設(shè)備不支持2 / 37本規(guī)范新增的安全配置要求，如下：安全要求設(shè)備思科路由器 配置3安全要求設(shè)備思科路由器 配置4可選安全要求設(shè)備思科路由器 配置5可選安全要求設(shè)備思科路由器 配置6可選安全要求設(shè)備思科路由器 配置8可選安全要求設(shè)備思科路由器 配置9安全要求設(shè)備思科路由器 配置10可選安全要求設(shè)備思科路由器 配置11安全要求設(shè)備思科路由器 配置12可選安全要求設(shè)備思科路由器 配置13安全要求設(shè)備思科路由器 配置14可選安全要求設(shè)備思科路由器 配置15安全要求設(shè)備思科路由器 配置16安全要求設(shè)備思科路由器 配置17安全要求設(shè)備思科路由器 配置18可選安全要求設(shè)備思科路由器 配置19安全要求設(shè)備思科路由器 配置20安全要求設(shè)備思科路由器 配置21可選安全要求設(shè)備思科路由器 配置24本規(guī)范還針對直接引用《通用規(guī)范》的配置要求，給出了在思科路由器上的具體配置方法和檢測方法。 外部引用《中國移動通用安全功能和配置規(guī)范》3 術(shù)語、定義和縮略語BGP Route flap damping：由 RFC2439 定義，當(dāng) BGP 接口翻轉(zhuǎn)后，其他BGP 系統(tǒng)就會在一段可配置的時間內(nèi)不接受從這個問題網(wǎng)絡(luò)發(fā)出的路由信息?？s寫 英文描述 中文描述3 / 374 思科路由器設(shè)備安全配置要求 直接引用《通用規(guī)范》的配置要求 要求編號 安全要求設(shè)備通用配置3可選適用版本 Cisco IOS Release 以上要求內(nèi)容 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到管理員權(quán)限賬號后執(zhí)行相應(yīng)操作。操作指南1． 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) service passwordencryptionRouter(config) username normaluser password 3dzirc0niaRouter(config) username normaluser privilege 1Router(config) line vty 0 4 Router(configline) login localRouter(configline) exectimeout 5 0Router(configline) end2． 補充操作說明設(shè)定賬號密碼加密保存創(chuàng)建 normaluser 賬號并指定權(quán)限級別為 1；設(shè)定遠(yuǎn)程登錄啟用路由器賬號驗證；設(shè)定超時時間為 5 分鐘；檢測方法1. 判定條件I. VTY 使用用戶名和密碼的方式進(jìn)行連接驗證II. 賬號權(quán)限級別較低，例如：I2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!service passwordencryptionusername normaluser password 3dzirc0niauser