【正文】 態(tài)口令必須使用不可逆加密算法加密，以密文形式存放。操作指南1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting connection default startstop group tacacs+Router(config)aaa accounting exec default startstop group tacacs+ Router(config)endRouter12. 補(bǔ)充操作說明使用 TACACS+ server檢測(cè)方法 1. 判定條件配置了 AAA 模板的上述具體條目15 / 372. 檢測(cè)操作使用 show runningconfig 命令，如下例：router1show runn | include aaa Building configuration...Current configuration:!aaa newmodelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ aaa sessionid mon3. 補(bǔ)充說明要求編號(hào) 安全要求設(shè)備思科路由器 配置5可選適用版本 Cisco IOS Release 以上要求內(nèi)容 與記賬服務(wù)器(如 TACACS 服務(wù)器)配合，設(shè)備應(yīng)配置日志功能，記錄用戶對(duì)設(shè)備的操作，如賬號(hào)創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。操作指南1. 參考配置操作對(duì)向內(nèi)流量配置：Router(config) no accesslist 100 Router(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip host any logRouter(config) accesslist 100 permit ip any Router(config) accesslist 100 deny ip any any logRouter(config) interface eth0 Router(configif) description External interface to ./16 Router(configif) ip address Router(configif) ip accessgroup 100 inRouter(configif) exit Router(config) interface eth1 Router(configif) description Internal interface to Router(configif) ip address Router(configif) end對(duì)向外流量配置：Router(config) no accesslist 102 Router(config) accesslist 102 permit ip anyRouter(config) accesslist 102 deny ip any any logRouter(config) interface eth 0/118 / 37Router(configif) description internal interfaceRouter(configif) ip address Router(configif) ip accessgroup 102 in2. 補(bǔ)充操作說明假設(shè)內(nèi)部網(wǎng)絡(luò)是 檢測(cè)方法1． 判定條件各接口只轉(zhuǎn)發(fā)屬于自己 ip 范圍內(nèi)的源地址數(shù)據(jù)包流出2． 檢測(cè)操作使用 show runningconfig 命令，如下例：routershow runningconfig…accesslist 10 deny ip any logaccesslist 10 deny ip any log …int f1/1description the outside interface of permeter routerip accessgroup 10 in…accesslist 11 permit ip anyaccesslist 11 deny ip any any loginterface s1/1description inside interface of perimeter routerip address ip accessgroup 11 in3． 補(bǔ)充說明地址欺騙可以造成內(nèi)部網(wǎng)絡(luò)的混亂，讓某些被欺騙的計(jì)算機(jī)無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關(guān)無法和客戶端正常通信。禁用 PROXY ARP 功能，除非路由器端口工作在橋接模式。操作指南1． 參考配置操作I. 配置 Router1 和 Router2 間 Ospf 啟用 MD5 驗(yàn)證Router1 配置：Router1 config tEnter configuration mands, one per line. End with CNTL/Z.Router1(config) router ospf 1Router1(configrouter) work area 0 Router1(configrouter) area 0 authentication messagedigestRouter1(configrouter) exit Router1(config) int eth0/1Router1(configif) ip ospf messagedigestkey 1 md5 r0utes4allRouter1(configif) end Router1Router2 配置：Router2 config t24 / 37Enter configuration mands, one per line. End with CNTL/Z.Router2(config) router ospf 1Router2(configrouter) area 0 authentication messagedigestRouter2(configrouter) work area 0 Router2(configrouter) work area 0 Router2(configrouter) exit Router2(config) int eth0 Router2(configif) ip ospf messagedigestkey 1 md5 r0utes4allRouter2(configif) end Router2II. 配置 Router1 和 Router2 間 EIGRP 啟用 MD5 驗(yàn)證Router1 配置：Router1 config tEnter configuration mands, one per with CNTL/Z.Router1(config) router eigrp 100Router1(configrouter) work Router1(configrouter) exit Router1(config) interface eth 0/1Router1(configif) ip authentication mode eigrp 100 md5Router1(configif) ip authentication keychain eigrp 100 Router1KCRouter1(configif) exit Router1(config) key chain Router1KCRouter1(configkeychain) key 1Router1(configkeychainkey) keystring mysecretkeyRouter1(configkeychainkey) sendlifetime 00:00:00 Oct 1 202200:00:00 Jan 1 2022 Router1(configkeychainkey) acceptlifetime 00:00:00 Oct 1 202200:00:00 Jan 7 2022Router1(configkeychainkey) endRouter1Router2 配置：Router2 config tEnter configuration mands, one per line. End with CNTL/Z.Router2(config) router eigrp 100Router2(configrouter) work Router2(configrouter) work Router2(configrouter) passiveinterface eth1Router2(configrouter) exit Router2(config) interface eth 0 Router2(configif) ip authentication mode eigrp 100 md5Router2(configif) ip authentication keychain eigrp 100 Router2KCRouter2(configif) exit Router2(config) key chain Router2KCRouter2(configkeychain) key 125 / 37Router2(configkeychainkey) keystring mysecretkeyRouter2(configkeychainkey) sendlifetime 00:00:00 Oct 1 202200:00:00 Jan 1 2022 Router2(configkeychainkey) acceptlifetime 00:00:00 Oct 1 202200:00:00 Jan 7 2022Router2(configkeychainkey) endRouter22． 補(bǔ)充操作說明檢測(cè)方法1． 判定條件有 ip rip(ospf、eigrp 等) md5 的字段2． 檢測(cè)操作使用 show runningconfig 命令，如下例：routershow runningconfig…I. ！RIPV2router ripversion 2work int ether0/1ip rip authentication keychain xxxxip rip authentication mode md5…II. ！OSPFip ospf messagedigestkey 1 md5 xxxxx…III. ！EIGRPip authentication mode eigrp 1 md53． 補(bǔ)充說明要求編號(hào) 安全要求設(shè)備思科路由器 配置14可選適用版本 Cisco IOS Release 以上要求內(nèi)容 采用 BGP 協(xié)議作為 EGP 協(xié)議時(shí)，使用 Route flap damping 功能防止路由風(fēng)暴。操作指南1． 參考配置操作使用 ACL 限制 EIGRP 不能向 Router(config) accesslist 10 deny Router(config) accesslist 10 permit anyRouter(config) router eigrp 100Router(configrouter) distributelist 10 out Router(configrouter) end2． 補(bǔ)充操作說明檢測(cè)方法1． 判定條件做了 distributelist 的 acl 控制2． 檢測(cè)操作使用 show runningconfig 命令，如下