【導讀】效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護服務器區(qū)的計算資源。網(wǎng)絡基礎(chǔ)拓撲架構(gòu)在邏輯上分成了5個功能區(qū)。服務器區(qū)各應用系統(tǒng)服務器按功能分為三層結(jié)構(gòu)。層（AP層）和數(shù)據(jù)庫層（DB層）。網(wǎng)絡管理協(xié)議SNMP非授權(quán)訪問的風險；隔離不同的網(wǎng)段，使不同VLAN之間的設(shè)備互通必須經(jīng)過路由，為安全控。提供了基礎(chǔ)的安全性，VLAN之間的數(shù)據(jù)包在鏈路層上隔離，防止數(shù)據(jù)不。適當?shù)霓D(zhuǎn)發(fā)或竊聽。在網(wǎng)絡中應用ACL，能夠達到這樣。應用類型分層之間，通過單向的ACL允許較低級別的服務器訪問較高級。根據(jù)確定的類規(guī)則在VLAN上部署ACL。在管理類客戶端和業(yè)務類客戶端的VLAN上部署ACL，限制兩類客戶端之。絡安全有嚴重的影響。根據(jù)已知的各類惡意代碼，識別其傳輸特征，編寫相應的ACL；把ACL部署在關(guān)鍵的控制點上，這些控制點包括：。在內(nèi)聯(lián)接入?yún)^(qū)的互聯(lián)路由器廣域網(wǎng)端口上，ACL單向部署，控制這。生安全威脅的服務；網(wǎng)管SNMP安全，對SNMP訪問設(shè)置ACL控制，只允許許可范圍內(nèi)的IP. 地址通過SNMP管理設(shè)備。

　　

【正文】 是否使用 enable secret 是 無（可以使用 enable secret 密碼，密文傳送，更加安全） 5 是否使用 service passwordencryption 是 無（如果用 enable password，可以使用該服務 , 密 碼加 密； 如果 用enable secret 就不需要使用該服務 ） 6 服務安全 是否關(guān)閉 IP 直接廣播 是 無（默認是關(guān)閉的） 7 是否關(guān)閉 HTTP 設(shè)置 是 無（可以關(guān)閉，關(guān)閉后不能 WEB 管理該設(shè)備） 8 是否封鎖 ICMP PING 請求 否 無（可以實施，通過 ACL禁止 PING，建議不這樣做，經(jīng)常要用 PING 檢查網(wǎng)絡） 9 是否控制 Tel 訪問 是 控制 TELNET 訪問（限制訪問的 IP 地址）（已經(jīng)通過 ACL實施） 10 是否禁止 CDP 否 無（可以禁止 CDP協(xié)議，但不建議這樣做，檢查網(wǎng)絡時經(jīng)常CDP 協(xié)議找到鄰居端口） 11 是否關(guān)閉 IP 源路由 否 無（不清楚關(guān)閉源路由會不會影響其他服務） 12 是否禁用了不必要的服務 否 禁用不必要服務（可以禁用 HTTP,IP 直接廣播，其它的服務要視情況而定） 13 是否限制遠程終 端會話 是 限制遠程終端會話（通過 ACL 實施了特定 IP 登陸） 14 策略安全 是否建立準入、準出地址過濾策略 是 設(shè)置 ACL 或在防火墻上實現(xiàn)該功能（實施了 ACL 限制遠程登陸） 15 是否制定數(shù)據(jù)包過濾策略 否 可以在防火墻上實現(xiàn)該功能（需要了解數(shù)據(jù)包的類型等） 16 是否配置了強加密和密碼加密 否 設(shè)置強加密和密碼加密（可以 enable secret 實施密碼加密） 17 是否應用Controlplane police預防 DDOS 攻擊 否 可以在防火墻上實現(xiàn)該功能 (內(nèi)網(wǎng)內(nèi)無硬件防火墻，邊界處才 有防火墻 ) 18 是否有完整的系統(tǒng)日志記錄功能，包括AAA 、 SNMP Trap Syslog、本地日志緩存 否 使用部分日志功能（接受 SYSLOG 日志）（實施網(wǎng)管平臺后可以將網(wǎng)絡設(shè)備的日志轉(zhuǎn)移到網(wǎng)管服務器上） 19 是否實施了配置管理，必要時可將路由配置恢復到原先狀態(tài) 是 無 20 OSPF 協(xié)議使用LOOPBACK 是否做ROUTEID 的標識 否 無（也可以使用物理口做ROUTEID，即現(xiàn)在用的情景） 21 接入層和匯聚層之間是否采用靜態(tài)路由 是 無 22 是否存在黑洞路由即孤立的路由 否 無 23 其它 設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的網(wǎng)絡設(shè)備用戶。 否 設(shè)置用戶權(quán)限分離（管理帳號和查看帳號分離）（可以實施，建議不要實施，因為我們限制了特定 IP 登錄，不再需要分權(quán)限了） 24 動態(tài)路由協(xié)議是否啟用認證功能 否 啟用認證功能（可以實施，可以啟用鏈路上 OSPF 的明文或密文驗證，有效的控制3 層設(shè)備的接入，但實施時要所有網(wǎng)絡設(shè)備同時一起啟用認證） 25 使用 SSH 代替TELNET 否 使用 SSH 代替TELNET （不支持SSH 登錄） 26 是否設(shè)置 Syslog 日志 否 接收 SYSLOG 日志（網(wǎng)管平臺實施后，可以收集日志） 27 VLAN 設(shè)置是否合理 否 按部門劃分 VLAN， 按 訪 問 需 求 設(shè) 置VLAN 訪問權(quán)限（可以實施，重新劃分VLAN，通過 ACL 控制 VLAN 之間的訪問，但工作量較大，需商量） 28 ACL 設(shè)置是否合理 否 控制 VLAN 訪問 /可以使用防火墻代理部分 ACL 功能（通過 ACL 控制 VLAN之間的訪問） 圖表 43 交換機加固建議 編號 生產(chǎn)廠商 /型號 CISCO 7606 物理位置 人行上海中心機房 內(nèi)部 IP 地址 操作系統(tǒng) CISCO IOS 版本號 2XJ 檢查細目 編號 檢查項目 檢查內(nèi)容 結(jié)果 檢查記錄 1 系統(tǒng)安全 是否定期更新操作系統(tǒng)的版本 否 定義升級操作系統(tǒng)版本（沒必要定期升級，升級后的版本可能不穩(wěn)定） 2 口令管理 是否修改網(wǎng)絡設(shè)備的默認口令 否 修改默認密碼（可以實施，如修改SNMP 的默認密碼） 3 是否設(shè)置口令強度和有效期 否 設(shè)置口令強度和有效期（可以定期修改口令） 4 是否使用 enable secret 是 無 5 是 否 使 用 service passwordencryption 是 無 6 服務安全 是否關(guān)閉 IP 直接廣播 是 無 7 是否關(guān)閉 HTTP 設(shè)置 是 無 8 是否封鎖 ICMP PING請求 否 無（可以實施，通過ACL 禁止 PING，建議不這樣做，經(jīng)常要用PING 檢查網(wǎng)絡） 9 是否控制 Tel 訪問 否 控制 TELNET 訪問（限制訪問 IP）（可以通過 ACL限制訪問 IP） 10 是否禁止 CDP 否 無（可以禁止 CDP 協(xié)議，但不建議這樣做，檢查網(wǎng)絡時經(jīng)常 CDP協(xié)議找到鄰居端口） 11 是否關(guān)閉 IP 源路由 否 無 （不清 楚關(guān)閉源路由會不會影響其他服務） 12 是否禁用了不必要的服務 否 禁用不必要服務（可以禁用HTTP,IP 直接廣播，其它的服務要視情況而定） 13 是否限制遠程終端會話 否 限制遠程終端會話（可以通過 ACL實施了特定 IP 登陸） 14 策略安全 是否建立準入、準出地址過濾策略 否 設(shè)置 ACL 或在防火墻上實現(xiàn)該功能（實施了 ACL限制遠程登陸） 15 是否制定數(shù)據(jù)包過濾策略 否 可以在防火墻上實現(xiàn)該功能（可以在天融信防火墻上實施） 16 是否配置了強加密和密碼加密 是 設(shè)置強加密和密碼加密（可以enable secret 實施密碼加密） 17 是否應用 Controlplane police 預防 DDOS 攻擊 否 可以在防火墻上實現(xiàn)該功能（可以在天融信防火墻上實施） 18 是否有完整的系統(tǒng)日志記錄功能，包括 AAA、SNMP Trap Syslog、本地日志緩存 否 使用部分日志功能（接受 SYSLOG日志）（實施網(wǎng)管平臺后可以將網(wǎng)絡設(shè)備的日志轉(zhuǎn)移到網(wǎng)管服務器上） 19 是否實施了配置管理，必要時可將路由配置恢復到原先狀態(tài) 是 無 20 OSPF 協(xié)議使用LOOPBACK 是 否 做ROUTEID 的標識 否 無（接入層交換機為 2層， OSPF 為 3 層路由協(xié)議） 21 接入層和匯聚層之間是否采用靜態(tài)路由 是 無 22 是否存在黑洞路由即孤立的路由 否 無 23 其它 設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計的權(quán)限分配給不同的網(wǎng)絡設(shè)備用戶。 否 設(shè)置用戶權(quán)限分離（管理用戶和查看用戶分離）（可以實施） 24 動態(tài)路由協(xié)議是否啟用認證功能 否 2 層交換機不能啟用動態(tài)路由認證 25 使用 SSH代理 TELNET 否 使用 SSH 代替TELNET（不支持SSH 登錄） 26 是否設(shè)置 Syslog 日 志 否 接受 SYSLOG 日志（網(wǎng)管平臺實施后，可以收集日志） 27 ACL 設(shè)置是否合理 否 控制訪問權(quán)限或使用防火墻代理部分 ACL功能（可以實施） 圖表 44 路由器加固建議