【正文】 .................12 授權(quán) .......................................................................................................................................................13 認(rèn)證 .......................................................................................................................................................13 日志安全要求 ...............................................................................................................................................14 IP 協(xié)議安全要求 ..........................................................................................................................................17 基本協(xié)議安全 .......................................................................................................................................17 路由協(xié)議安全 .......................................................................................................................................23 SNMP協(xié)議安全 ......................................................................................................................................26 MPLS安全 ..............................................................................................................................................28 其他安 全要求 ...............................................................................................................................................295 編制歷史 ................................................................................................................................................................332 / 37前言為了貫徹安全三同步的要求，在設(shè)備選型、入網(wǎng)測(cè)試、工程驗(yàn)收以及運(yùn)行維護(hù)等環(huán)節(jié)，明確并落實(shí)安全功能和配置要求。本規(guī)范是該系列規(guī)范之一，明確了中國(guó)移動(dòng)各類(lèi)型設(shè)備所需滿足的通用安全功能和配置要求，并作為本系列其他規(guī)范的編制基礎(chǔ)。1 / 371 范圍本規(guī)范適用于中國(guó)移動(dòng)通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的思科路由器。 外部引用《中國(guó)移動(dòng)通用安全功能和配置規(guī)范》3 術(shù)語(yǔ)、定義和縮略語(yǔ)BGP Route flap damping：由 RFC2439 定義，當(dāng) BGP 接口翻轉(zhuǎn)后，其他BGP 系統(tǒng)就會(huì)在一段可配置的時(shí)間內(nèi)不接受從這個(gè)問(wèn)題網(wǎng)絡(luò)發(fā)出的路由信息。操作指南1． 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodelRouter(config)aaa authentication login default group tacacs+Router(config)aaa authentication enable default group tacacs+Router(config)tacacsserver host Router(config)tacacsserver key Ir31yh8nw9swDRouter(config)endRouter2. 補(bǔ)充操作說(shuō)明與外部 TACACS+ server 聯(lián)動(dòng)，遠(yuǎn)程登錄使用 TACACS+ serverya 驗(yàn)證；口令強(qiáng)度由 TACACS+ server 控制檢測(cè)方法1. 判定條件此項(xiàng)無(wú)法通過(guò)配置實(shí)現(xiàn)，建議通過(guò)管理實(shí)現(xiàn)2. 檢測(cè)操作此項(xiàng)無(wú)法通過(guò)配置實(shí)現(xiàn)，建議通過(guò)管理實(shí)現(xiàn)3. 補(bǔ)充說(shuō)明要求編號(hào) 安全要求設(shè)備通用配置9適用版本 Cisco IOS Release 以上要求內(nèi)容 在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。操作指南1. 參考配置操作路由器側(cè)配置：Router config tEnter configuration mands, one per line. End with CNTL/ZRouter(config) logging onRouter(config) logging trap informationRouter(config) logging Router(config) logging facility local6Router(config) logging sourceinterface loopback0Router(config) exit Router show loggingSyslog logging: enabled (0 messages dropped, 11 flushes, 0overruns)Console logging: level notifications, 35 messages loggedMonitor logging: level debugging, 35 messages loggedBuffer logging: level informational, 31 messages loggedLogging to , 28 message lines logged..Router2. 補(bǔ)充操作說(shuō)明I. 假設(shè)把 router 日志存儲(chǔ)在 的 syslog 服務(wù)器上路由器側(cè)配置描述如下：?jiǎn)⒂萌罩居涗浫罩炯?jí)別設(shè)定“information”記錄日志類(lèi)型設(shè)定“l(fā)ocal6”日志發(fā)送到 日志發(fā)送源是 loopback0配置完成可以使用“show logging ”驗(yàn)證服務(wù)器側(cè)配置參考如下：Syslog 服務(wù)器配置參考：在 上增加一行 Save router messages to /var/log/7 / 37創(chuàng)建日志文件touch /var/log/II. 如果使用 snmp 存儲(chǔ)日志參考配置如下：Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) logging trap informationRouter(config) snmpserver host traps publicRouter(config) snmpserver trapsource loopback0Router(config) snmpserver enable traps syslogRouter(config) exit Router檢測(cè)方法1. 判定條件I. Syslog logging 和 SNMP logging 至少有一個(gè)為“enabled”II. Logging to 后面的主機(jī)名或 IP 指向日志服務(wù)器III. 通常記錄日志數(shù)不為 02. 檢測(cè)操作使用 show logging 命令，如下例：Router show loggingSyslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. Logging to SNMP logging: disabled, retransmission after 30 seconds 0 messages loggedRouter3. 補(bǔ)充說(shuō)明要求編號(hào) 安全要求設(shè)備通用配置16可選適用版本 Cisco IOS Release 以上要求內(nèi)容 對(duì)于具備 TCP/UDP 協(xié)議功能的設(shè)備，設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP 地址、通信協(xié)議 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量過(guò)濾，過(guò)濾所有和業(yè)務(wù)不相關(guān)的流量。V. 配置遠(yuǎn)程訪問(wèn)協(xié)議為 ssh檢測(cè)方法 1. 判定條件10 / 37I. 存在 rsa 密鑰對(duì)II. 遠(yuǎn)程登錄指定 ssh 協(xié)議2. 檢測(cè)操作I. 使用 show crypto key mypubkey rsa 命令，如下例：Router(config) show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB2204AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302022 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!line vty 0 4transport input ssh3. 補(bǔ)充說(shuō)明使用非加密協(xié)議在傳輸過(guò)程中容易被截獲口令11 / 37 賬號(hào)管理、認(rèn)證授權(quán) 賬戶要求編號(hào) 安全要求設(shè)備思科路由器 配置1適用版本 Cisco IOS Release 以上要求內(nèi)容 應(yīng)按照用戶分配賬號(hào)。操作指南1．參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no username ruser32．補(bǔ)充操作說(shuō)明檢測(cè)方法1. 判定條件I. 配置文件存在多帳號(hào)II. 網(wǎng)絡(luò)管理員確認(rèn)所有帳號(hào)與設(shè)備運(yùn)行、維護(hù)等工作有關(guān)2. 檢測(cè)操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password13. 補(bǔ)充說(shuō)明刪除不用的賬號(hào)，避免被利用 口令要求編號(hào) 安全要求設(shè)備思科路由器 配置3適用版本 Cisco IOS Release 以上要求內(nèi)容 靜