【正文】 其他特定的安全配置由于特定的安全設(shè)置在不同設(shè)備上的表現(xiàn)不同，在這只能提出一些思路，具體見各設(shè)備分冊，還有下列安全配置可以考慮：? 對 COM/AUX 等端口的管理要求? 禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件。網(wǎng)絡(luò)設(shè)備一般可以以多種方式最大限度地降低了對主機的 SYN 攻擊，如：? 通過限制了設(shè)備上服務(wù)數(shù)量； ? 正確配置設(shè)備，使得只能從信任的地址建立服務(wù)；通過上述限制，使得即使從保護的地址上發(fā)起 SYN 泛濫，由于它限制了內(nèi)核允許的連接數(shù)量，因此不會出現(xiàn)內(nèi)存耗盡的問題。s Workstation：攻擊者的工作站Your Server：你的服務(wù)器Smurf 攻擊分成兩種類型：對路由器的攻擊和對網(wǎng)絡(luò)上主機的攻擊。但對上述技術(shù)的實施有可能會對設(shè)備的性能造成影響，在實施時建議獲取設(shè)備提供商的意見。對該類服務(wù)的建議是，如果不需要服務(wù)，強烈關(guān)閉這些服務(wù)，尤其是 HTTP 服務(wù)。 特定的安全配置下面涉及特定的安全配置不是所有設(shè)備都具有的，同時考慮到部分特定的安全設(shè)置是通過 ACL 實現(xiàn)的，為了確保設(shè)備性能，在具體實施時，最好獲取廠商的建議實施。FTP 服務(wù)器的設(shè)置，并將獲取的 IOS 軟件放在服務(wù)器上現(xiàn)場工作人員準備一臺筆記本電腦、相關(guān)線纜和其他相關(guān)備件。如果路由器只配有單個路由引擎，建議安排現(xiàn)場升級或必須有具備技術(shù)能力的現(xiàn)場配合人員；并在條件許可的情況下，有備用路由器在現(xiàn)場。對各設(shè)備的日志開啟選項和 SYSLOG 服務(wù)器的設(shè)置見各設(shè)備分冊。17 / 25 設(shè)備異常事件記錄設(shè)備發(fā)生的異常事件日志：包括異常流量、端口狀態(tài)變化、設(shè)備負荷異常、ACL 規(guī)則違反等。強烈建議關(guān)閉 HTTP 服務(wù)。同時，Snmp 也可以進行訪問地址限制。網(wǎng)管系統(tǒng)通過 SNMP GET 或 MGET 指令采集這些信息作為原始數(shù)據(jù)，經(jīng)分析和處理后實現(xiàn)各種網(wǎng)管功能。但不是所有設(shè)備都支持分級權(quán)限管理，這在配置過程中要予以重視，提供分級管理的建議對帳號嚴格實施分級分權(quán)。我們建議用密碼生成器軟件（如 ）來制造隨機密碼。對不支持 SSH 協(xié)議的設(shè)備遠程訪問管理，只能通過 tel 進行維護管理工作，必須通過必要手段提高 tel 安全性，具體如下：? 更改 tel 服務(wù)的端口，不采用標準端口，而采用非標準端口；? 加強登錄用戶密碼的管理，如采用 AAA 認證等；? 對登錄設(shè)備的 IP 地址進行嚴格限制；? 設(shè)置登錄并發(fā)數(shù)、空閑事件、嘗試次數(shù)等相關(guān)限制措施。 限制嘗試次數(shù)為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制。規(guī)范提供遠程登陸 SSH 的開啟方式和 SSH 相關(guān)屬性的設(shè)置，如：超時間隔、嘗試登錄次數(shù)、控制連接的并發(fā)數(shù)目、如何采用訪問列表嚴格控制訪問的地址，對采用 AAA 的設(shè)置見帳號認證和授權(quán)部分。尤其在網(wǎng)絡(luò)受到掃描攻擊或惡意破壞時，大量的流量在此鏈路上循環(huán)將嚴重擠占帶寬和設(shè)備資源，影響網(wǎng)絡(luò)服務(wù)質(zhì)量甚至導(dǎo)致網(wǎng)絡(luò)癱瘓。匯聚層和核心層設(shè)備不建議使用，這主要原因是匯聚層和核心層設(shè)備承載的路由記錄多而且復(fù)雜，不容易區(qū)分某一個方向的合法源地址。建議在與不可信網(wǎng)絡(luò)建立路由關(guān)系時，或鄰居關(guān)系承載在不可信鏈路上時，添加路由策略來限制只與可信設(shè)備間建立路由鄰接關(guān)系，并使得只10 / 25發(fā)送盡可能簡潔和必要的路由信息和只接受必要的外部路由更新，實現(xiàn)將路由協(xié)議的交互工作置于受控狀態(tài)的目的。一旦路由協(xié)議 PDU 被竊聽或冒充后，不對的或被惡意篡改的路由信息將直接導(dǎo)致網(wǎng)絡(luò)故障，甚至網(wǎng)絡(luò)癱瘓。? 對已知攻擊模式的病毒攻擊的防護? 根據(jù) IANA 組織制定的說明，屏蔽不應(yīng)在 Inter 上出現(xiàn)的 IP 地址這些地址包括：回環(huán)地址()；RFC1918 私有地址；DHCP 自定義9 / 25地址()；科學(xué)文檔作者測試用地址()；不用的組播地址()；SUN 公司的古老的測試地址(。匯聚網(wǎng)絡(luò)或核心網(wǎng)絡(luò)中，每一條鏈路上都承載大量各種各樣的流量。建議用 ACL 去限制可以遠程登錄設(shè)備的源地址。如思科和華為的 CAR 功能等。同時，對設(shè)備的設(shè)計結(jié)構(gòu)進行說明，并討論訪問控制的實施是否會對設(shè)備性能造成影響。網(wǎng)絡(luò)設(shè)備的安全機制要考慮以下幾個部分： 訪問控制大多數(shù)網(wǎng)絡(luò)設(shè)備具有訪問控制能力，或通過訪問控制列表，或流量過濾功能實現(xiàn)。對 SYSLOG 的支持等。本部分針對設(shè)備的訪問控制列表功能進行總體的描述，并描述訪問控制列表具體實施和配置等問題。 存在問題注意 ACL 的設(shè)置會可能對路由器設(shè)備性能造成影響，如 CISCO 的 ACL 設(shè)置過多，設(shè)備性能會嚴重下降。 要求配置部分根據(jù)已有經(jīng)驗，要求添加的 ACL 包括以下幾部分：? 對 ICMP 數(shù)據(jù)包的過濾目前網(wǎng)絡(luò)上泛濫著大量的使用 ICMP 數(shù)據(jù)包的 DoS 攻擊，如 W32/Welchia Worm。實現(xiàn)源地址檢查功能的ACL。一般情況下，路由設(shè)備加入某個 IGP 或 EGP 協(xié)議域以后，會與鄰接設(shè)備完整地交換路由信息。 源地址路由檢查為了防止利用 IP Spoofing 手段假冒源地址進行的 DoS 攻擊對整個網(wǎng)絡(luò)造成的沖擊，建議在所有的邊緣路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源地址路由檢查。11 / 25 黑洞路由黑洞路由是：當上級設(shè)備與下級設(shè)備互連時，若下級設(shè)備使用缺省路由引導(dǎo)流出流量，而上級設(shè)備使用靜態(tài)路由或只接收下級設(shè)備宣告的匯聚路由來引導(dǎo)返回流量，常常會在互連鏈路上形成路由環(huán)路。要求采用 SSH 協(xié)議來取代 Tel 進行設(shè)備的遠程登錄，SSH 與 Tel 一樣，提供遠程連接登錄的手段。要求設(shè)定登錄連接空閑時間限制，讓系統(tǒng)自動檢查當前連接是否長時間處于空閑狀態(tài)，若是則自動將其拆除。訪問地址限制是通過 ACL 訪問控制列表實現(xiàn)的。為了提高安全性，在方便記憶的前提下，帳號名字應(yīng)盡量混用字符的大小寫、數(shù)字和符號，提高猜度的難度。 本機認證和授權(quán)初始模式下，設(shè)備內(nèi)一般建有沒有密碼的管理員帳號，該帳號只能用于Console 連接，不能用于遠程登錄。 snmp 協(xié)議Snmp 協(xié)議是目前數(shù)據(jù)網(wǎng)管理中普遍使用的協(xié)議，但 snmp 協(xié)議本身也存在安15 / 25全問題。如 Community，Community 相當于網(wǎng)管系統(tǒng)與設(shè)備之間建立 SNMP 連接合法性的識別字串，它們兩者之間的 SNMP 交互都需要先做 Community 檢查后，再執(zhí)行。SNMP version 3 已經(jīng)商用。最好能記錄該用戶執(zhí)行過的所有 CLI 指令。日志服務(wù)器要實現(xiàn)日志的存儲和管理功能，并可以通過日志分析程序或網(wǎng)管系統(tǒng)，實現(xiàn)對日志的分析和報表統(tǒng)計。 軟件的獲取目前，各大公司基本都會在官方網(wǎng)站上提供最新的軟件版本和對應(yīng)的升級包，但必須有對應(yīng)的登陸帳戶,如 CISCO 設(shè)備必需要有 CCO 帳號。要求在備份前確認備份介質(zhì)的可用性和可靠性，并在備份完升級前進行驗證。完成配置數(shù)據(jù)的恢復(fù)。注意不是所有的設(shè)備都支持此項功能。目前 DoS 攻擊又出現(xiàn)了新的攻擊方式，如 DDoS。Smurf 攻擊是向包含大量主機的網(wǎng)絡(luò)執(zhí)行帶有特定請求（如 ICMP 回應(yīng)請求）的包，攻擊者的 IP 地址并不是這個廣播 ping 的信源地址，而是將源地址偽裝成想要攻擊的主機地址。而正確的信息交換過程應(yīng)該是：客戶機 服務(wù)器23 / 25SYN SYN_ACKACK一般來說，半個會話不會導(dǎo)致重大損害，因為服務(wù)器會認為會話超時，繼續(xù)進行正常的處理工作。 ICMP 協(xié)議的安全配置ICMP 的全名是 Inter Control and Message Protocal 即因特網(wǎng)控制消息/錯誤報文協(xié)議，這個協(xié)議主要是用來進行錯誤信息和控制信息的傳遞，例如著名的 Ping 和 Tracert 工具都是利用 ICMP 協(xié)議中的 ECHO request 報文進行的（請求