【導(dǎo)讀】效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護(hù)服務(wù)器區(qū)的計(jì)算資源。網(wǎng)絡(luò)基礎(chǔ)拓?fù)浼軜?gòu)在邏輯上分成了5個(gè)功能區(qū)。服務(wù)器區(qū)各應(yīng)用系統(tǒng)服務(wù)器按功能分為三層結(jié)構(gòu)。層（AP層）和數(shù)據(jù)庫(kù)層（DB層）。網(wǎng)絡(luò)管理協(xié)議SNMP非授權(quán)訪問的風(fēng)險(xiǎn)；隔離不同的網(wǎng)段，使不同VLAN之間的設(shè)備互通必須經(jīng)過路由，為安全控。提供了基礎(chǔ)的安全性，VLAN之間的數(shù)據(jù)包在鏈路層上隔離，防止數(shù)據(jù)不。適當(dāng)?shù)霓D(zhuǎn)發(fā)或竊聽。在網(wǎng)絡(luò)中應(yīng)用ACL，能夠達(dá)到這樣。應(yīng)用類型分層之間，通過單向的ACL允許較低級(jí)別的服務(wù)器訪問較高級(jí)。根據(jù)確定的類規(guī)則在VLAN上部署ACL。在管理類客戶端和業(yè)務(wù)類客戶端的VLAN上部署ACL，限制兩類客戶端之。絡(luò)安全有嚴(yán)重的影響。根據(jù)已知的各類惡意代碼，識(shí)別其傳輸特征，編寫相應(yīng)的ACL；把ACL部署在關(guān)鍵的控制點(diǎn)上，這些控制點(diǎn)包括：。在內(nèi)聯(lián)接入?yún)^(qū)的互聯(lián)路由器廣域網(wǎng)端口上，ACL單向部署，控制這。生安全威脅的服務(wù)；網(wǎng)管SNMP安全，對(duì)SNMP訪問設(shè)置ACL控制，只允許許可范圍內(nèi)的IP. 地址通過SNMP管理設(shè)備。

　　

【正文】 是否使用 enable secret 是 無（可以使用 enable secret 密碼，密文傳送，更加安全） 5 是否使用 service passwordencryption 是 無（如果用 enable password，可以使用該服務(wù) , 密 碼加 密； 如果 用enable secret 就不需要使用該服務(wù) ） 6 服務(wù)安全 是否關(guān)閉 IP 直接廣播 是 無（默認(rèn)是關(guān)閉的） 7 是否關(guān)閉 HTTP 設(shè)置 是 無（可以關(guān)閉，關(guān)閉后不能 WEB 管理該設(shè)備） 8 是否封鎖 ICMP PING 請(qǐng)求 否 無（可以實(shí)施，通過 ACL禁止 PING，建議不這樣做，經(jīng)常要用 PING 檢查網(wǎng)絡(luò)） 9 是否控制 Tel 訪問 是 控制 TELNET 訪問（限制訪問的 IP 地址）（已經(jīng)通過 ACL實(shí)施） 10 是否禁止 CDP 否 無（可以禁止 CDP協(xié)議，但不建議這樣做，檢查網(wǎng)絡(luò)時(shí)經(jīng)常CDP 協(xié)議找到鄰居端口） 11 是否關(guān)閉 IP 源路由 否 無（不清楚關(guān)閉源路由會(huì)不會(huì)影響其他服務(wù)） 12 是否禁用了不必要的服務(wù) 否 禁用不必要服務(wù)（可以禁用 HTTP,IP 直接廣播，其它的服務(wù)要視情況而定） 13 是否限制遠(yuǎn)程終 端會(huì)話 是 限制遠(yuǎn)程終端會(huì)話（通過 ACL 實(shí)施了特定 IP 登陸） 14 策略安全 是否建立準(zhǔn)入、準(zhǔn)出地址過濾策略 是 設(shè)置 ACL 或在防火墻上實(shí)現(xiàn)該功能（實(shí)施了 ACL 限制遠(yuǎn)程登陸） 15 是否制定數(shù)據(jù)包過濾策略 否 可以在防火墻上實(shí)現(xiàn)該功能（需要了解數(shù)據(jù)包的類型等） 16 是否配置了強(qiáng)加密和密碼加密 否 設(shè)置強(qiáng)加密和密碼加密（可以 enable secret 實(shí)施密碼加密） 17 是否應(yīng)用Controlplane police預(yù)防 DDOS 攻擊 否 可以在防火墻上實(shí)現(xiàn)該功能 (內(nèi)網(wǎng)內(nèi)無硬件防火墻，邊界處才 有防火墻 ) 18 是否有完整的系統(tǒng)日志記錄功能，包括AAA 、 SNMP Trap Syslog、本地日志緩存 否 使用部分日志功能（接受 SYSLOG 日志）（實(shí)施網(wǎng)管平臺(tái)后可以將網(wǎng)絡(luò)設(shè)備的日志轉(zhuǎn)移到網(wǎng)管服務(wù)器上） 19 是否實(shí)施了配置管理，必要時(shí)可將路由配置恢復(fù)到原先狀態(tài) 是 無 20 OSPF 協(xié)議使用LOOPBACK 是否做ROUTEID 的標(biāo)識(shí) 否 無（也可以使用物理口做ROUTEID，即現(xiàn)在用的情景） 21 接入層和匯聚層之間是否采用靜態(tài)路由 是 無 22 是否存在黑洞路由即孤立的路由 否 無 23 其它 設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計(jì)的權(quán)限分配給不同的網(wǎng)絡(luò)設(shè)備用戶。 否 設(shè)置用戶權(quán)限分離（管理帳號(hào)和查看帳號(hào)分離）（可以實(shí)施，建議不要實(shí)施，因?yàn)槲覀兿拗屏颂囟?IP 登錄，不再需要分權(quán)限了） 24 動(dòng)態(tài)路由協(xié)議是否啟用認(rèn)證功能 否 啟用認(rèn)證功能（可以實(shí)施，可以啟用鏈路上 OSPF 的明文或密文驗(yàn)證，有效的控制3 層設(shè)備的接入，但實(shí)施時(shí)要所有網(wǎng)絡(luò)設(shè)備同時(shí)一起啟用認(rèn)證） 25 使用 SSH 代替TELNET 否 使用 SSH 代替TELNET （不支持SSH 登錄） 26 是否設(shè)置 Syslog 日志 否 接收 SYSLOG 日志（網(wǎng)管平臺(tái)實(shí)施后，可以收集日志） 27 VLAN 設(shè)置是否合理 否 按部門劃分 VLAN， 按 訪 問 需 求 設(shè) 置VLAN 訪問權(quán)限（可以實(shí)施，重新劃分VLAN，通過 ACL 控制 VLAN 之間的訪問，但工作量較大，需商量） 28 ACL 設(shè)置是否合理 否 控制 VLAN 訪問 /可以使用防火墻代理部分 ACL 功能（通過 ACL 控制 VLAN之間的訪問） 圖表 43 交換機(jī)加固建議 編號(hào) 生產(chǎn)廠商 /型號(hào) CISCO 7606 物理位置 人行上海中心機(jī)房 內(nèi)部 IP 地址 操作系統(tǒng) CISCO IOS 版本號(hào) 2XJ 檢查細(xì)目 編號(hào) 檢查項(xiàng)目 檢查內(nèi)容 結(jié)果 檢查記錄 1 系統(tǒng)安全 是否定期更新操作系統(tǒng)的版本 否 定義升級(jí)操作系統(tǒng)版本（沒必要定期升級(jí)，升級(jí)后的版本可能不穩(wěn)定） 2 口令管理 是否修改網(wǎng)絡(luò)設(shè)備的默認(rèn)口令 否 修改默認(rèn)密碼（可以實(shí)施，如修改SNMP 的默認(rèn)密碼） 3 是否設(shè)置口令強(qiáng)度和有效期 否 設(shè)置口令強(qiáng)度和有效期（可以定期修改口令） 4 是否使用 enable secret 是 無 5 是 否 使 用 service passwordencryption 是 無 6 服務(wù)安全 是否關(guān)閉 IP 直接廣播 是 無 7 是否關(guān)閉 HTTP 設(shè)置 是 無 8 是否封鎖 ICMP PING請(qǐng)求 否 無（可以實(shí)施，通過ACL 禁止 PING，建議不這樣做，經(jīng)常要用PING 檢查網(wǎng)絡(luò)） 9 是否控制 Tel 訪問 否 控制 TELNET 訪問（限制訪問 IP）（可以通過 ACL限制訪問 IP） 10 是否禁止 CDP 否 無（可以禁止 CDP 協(xié)議，但不建議這樣做，檢查網(wǎng)絡(luò)時(shí)經(jīng)常 CDP協(xié)議找到鄰居端口） 11 是否關(guān)閉 IP 源路由 否 無 （不清 楚關(guān)閉源路由會(huì)不會(huì)影響其他服務(wù)） 12 是否禁用了不必要的服務(wù) 否 禁用不必要服務(wù)（可以禁用HTTP,IP 直接廣播，其它的服務(wù)要視情況而定） 13 是否限制遠(yuǎn)程終端會(huì)話 否 限制遠(yuǎn)程終端會(huì)話（可以通過 ACL實(shí)施了特定 IP 登陸） 14 策略安全 是否建立準(zhǔn)入、準(zhǔn)出地址過濾策略 否 設(shè)置 ACL 或在防火墻上實(shí)現(xiàn)該功能（實(shí)施了 ACL限制遠(yuǎn)程登陸） 15 是否制定數(shù)據(jù)包過濾策略 否 可以在防火墻上實(shí)現(xiàn)該功能（可以在天融信防火墻上實(shí)施） 16 是否配置了強(qiáng)加密和密碼加密 是 設(shè)置強(qiáng)加密和密碼加密（可以enable secret 實(shí)施密碼加密） 17 是否應(yīng)用 Controlplane police 預(yù)防 DDOS 攻擊 否 可以在防火墻上實(shí)現(xiàn)該功能（可以在天融信防火墻上實(shí)施） 18 是否有完整的系統(tǒng)日志記錄功能，包括 AAA、SNMP Trap Syslog、本地日志緩存 否 使用部分日志功能（接受 SYSLOG日志）（實(shí)施網(wǎng)管平臺(tái)后可以將網(wǎng)絡(luò)設(shè)備的日志轉(zhuǎn)移到網(wǎng)管服務(wù)器上） 19 是否實(shí)施了配置管理，必要時(shí)可將路由配置恢復(fù)到原先狀態(tài) 是 無 20 OSPF 協(xié)議使用LOOPBACK 是 否 做ROUTEID 的標(biāo)識(shí) 否 無（接入層交換機(jī)為 2層， OSPF 為 3 層路由協(xié)議） 21 接入層和匯聚層之間是否采用靜態(tài)路由 是 無 22 是否存在黑洞路由即孤立的路由 否 無 23 其它 設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計(jì)的權(quán)限分配給不同的網(wǎng)絡(luò)設(shè)備用戶。 否 設(shè)置用戶權(quán)限分離（管理用戶和查看用戶分離）（可以實(shí)施） 24 動(dòng)態(tài)路由協(xié)議是否啟用認(rèn)證功能 否 2 層交換機(jī)不能啟用動(dòng)態(tài)路由認(rèn)證 25 使用 SSH代理 TELNET 否 使用 SSH 代替TELNET（不支持SSH 登錄） 26 是否設(shè)置 Syslog 日 志 否 接受 SYSLOG 日志（網(wǎng)管平臺(tái)實(shí)施后，可以收集日志） 27 ACL 設(shè)置是否合理 否 控制訪問權(quán)限或使用防火墻代理部分 ACL功能（可以實(shí)施） 圖表 44 路由器加固建議