【正文】 禁用無用服務(wù)ARPProxy服務(wù)禁止禁用無用服務(wù)cdp服務(wù)（可選）禁止禁用無用服務(wù)FTP服務(wù)禁止禁用無用服務(wù) 安全防護(hù)應(yīng)對設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明login banner信息修改默認(rèn)值防止信息泄露NTP服務(wù)使用統(tǒng)一NTP時間建立統(tǒng)一時鐘BGP認(rèn)證（可選）啟用加強(qiáng)路由信息安全EIGRP認(rèn)證（可選）啟用加強(qiáng)路由信息安全OSPF認(rèn)證（可選）啟用加強(qiáng)路由信息安全RIPv2認(rèn)證（可選）啟用加強(qiáng)路由信息安全I(xiàn)CMP服務(wù)加強(qiáng)（可選）數(shù)據(jù)流控制大量的使用ICMP數(shù)據(jù)包的DoS攻擊接入層網(wǎng)絡(luò)設(shè)備端口控制TCP 5554震蕩波端口TCP 9996震蕩波端口TCP 4444Blaster端口UDP 1434Slammer端口MAC綁定IP+MAC+端口綁定重要服務(wù)器采用IP+MAC+端口綁定網(wǎng)絡(luò)端口關(guān)閉關(guān)閉沒用網(wǎng)絡(luò)端口 防火墻 Cisco防火墻（Pix ASA FWSM）安全基線技術(shù)要求 設(shè)備管理應(yīng)配置設(shè)備管理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高安全設(shè)備遠(yuǎn)程管理安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明遠(yuǎn)程管理服務(wù)啟用ssh服務(wù)采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性管理IP地址控制允許管理員IP地址配置訪問控制列表，只允許管理員IP或網(wǎng)段訪問設(shè)備管理服務(wù) 用戶賬號與口令安全應(yīng)配置用戶賬號與口令安全策略，提高設(shè)備賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明Service password密碼加密采用service passwordencryptionenable密碼加密采用secret對密碼進(jìn)行加密帳戶登錄空閑時間登錄超時時間5分鐘登錄超時時間5分鐘密碼長度8位密碼長度為8個字符 日志與審計應(yīng)對系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明更改SNMP的團(tuán)體串（可選）更改SNMP Community修改默認(rèn)值public更改SNMP主機(jī)IP轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置接受與存儲日志信息日志保存要求（可選）2個月日志必須保存2個月 服務(wù)優(yōu)化應(yīng)提高設(shè)備的安全性，優(yōu)化設(shè)備資源?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明HTTP服務(wù)（可選）禁止禁用弱服務(wù) Juniper(NetScreen系列)防火墻安全基線技術(shù)要求 設(shè)備管理應(yīng)配置設(shè)備管理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高安全設(shè)備遠(yuǎn)程管理安全?；€標(biāo)準(zhǔn)要求基線技術(shù)點（參數(shù)）說明遠(yuǎn)程管理啟用安全網(wǎng)絡(luò)管理服務(wù)SSH采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性遠(yuǎn)程管理限制登錄口令錄入時間設(shè)置登錄口令錄入時間，建議為30秒遠(yuǎn)程管理限制root登錄限制root用戶只能通過CONSOLE接口訪問設(shè)備，而不能遠(yuǎn)程登錄遠(yuǎn)程管理限制可登錄的訪問地址限制對特定工作站的管理能力，必須配置管理客戶端IP 地址遠(yuǎn)程管理啟用只接受管理流量的邏輯管理IP地址網(wǎng)絡(luò)用戶流量分離管理流量大大增加了管理安全性，并確保了穩(wěn)定的管理帶寬遠(yuǎn)程管理更改HTTP監(jiān)聽端口號通過更改HTTP監(jiān)聽端口號提高系統(tǒng)安全性遠(yuǎn)程管理使用SSL保障HTTP訪問的安全性配置并啟用HTTPS進(jìn)行設(shè)備遠(yuǎn)程管理 用戶賬號與口令安全應(yīng)配置用戶賬號與口令安全策略，提高設(shè)備賬戶與口令安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明賬號和密碼管理更改系統(tǒng)初始帳號和密碼在完成初始配置后應(yīng)盡快修改缺省用戶名和密碼賬號和密碼管理限制密碼最短長度應(yīng)將帳戶密碼最短長度設(shè)置為8位 日志與審計應(yīng)對系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性。基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明SNMP配置限制發(fā)起SNMP連接的源地址　設(shè)置并定期更改SNMPCommunity至少半年一次除特殊情況，否則不設(shè)置SNMP RW Community　安全審計針對重要策略開啟信息流日志　安全審計將日志轉(zhuǎn)發(fā)至SYSLOG服務(wù)器　轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置接受與存儲日志信息日志保存要求（可選）2個月日志必須保存2個月 安全防護(hù)應(yīng)對設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性。基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明安全設(shè)置NetScreen防火墻的防攻擊設(shè)置防攻擊選項包括：SYN Attack、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、SYNACKACK Proxy 保護(hù)、SYN Fragment（SYN 碎片）等。 Nokia(CheckPoint系列)防火墻安全基線技術(shù)要求 設(shè)備管理應(yīng)配置設(shè)備管理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高安全設(shè)備遠(yuǎn)程管理安全?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明遠(yuǎn)程管理啟用安全網(wǎng)絡(luò)管理服務(wù)SSH采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性遠(yuǎn)程管理限制登錄口令錄入時間設(shè)置登錄口令錄入時間，建議為30秒遠(yuǎn)程管理限制root登錄限制root用戶只能通過CONSOLE接口訪問設(shè)備，而不能遠(yuǎn)程登錄遠(yuǎn)程管理限制可登錄的訪問地址限制對特定工作站的管理能力，必須配置管理客戶端IP 地址遠(yuǎn)程管理更改HTTP監(jiān)聽端口號通過更改HTTP監(jiān)聽端口號提高系統(tǒng)安全性遠(yuǎn)程管理使用SSL保障HTTP訪問的安全性配置并啟用HTTPS進(jìn)行設(shè)備遠(yuǎn)程管理 用戶賬號與口令安全應(yīng)配置用戶賬號與口令安全策略，提高設(shè)備賬戶與口令安全。基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明賬號和密碼管理更改系統(tǒng)初始帳號和密碼在完成初始配置后應(yīng)盡快修改缺省用戶名和密碼賬號和密碼管理限制密碼最短長度應(yīng)將帳戶密碼最短長度設(shè)置為8位 日志與審計應(yīng)對系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明SNMP配置限制發(fā)起SNMP連接的源地址　設(shè)置并定期更改SNMPCommunity至少半年一次除特殊情況，否則不設(shè)置SNMP RW Community　安全審計將日志存儲到遠(yuǎn)程系統(tǒng)　安全審計基于閃存的日志　安全審計審計Voyager應(yīng)用對通過Web界面的操作進(jìn)行審計轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置接受與存儲日志信息日志保存要求（可選）2個月日志必須保存2個月 安全防護(hù)應(yīng)對設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明安全設(shè)置配置ANTISPOOFINGCheckPoint防火墻使用ANTISPOOFING來防止IP欺騙安全設(shè)置配置SmartDefenseSmartDefense是Chick Point防火墻軟件特有的攻擊防御軟件，具有多種抗攻擊功能 中興通訊ICT（US系列）防火墻安全基線技術(shù)要求 設(shè)備管理應(yīng)配置設(shè)備管理服務(wù)，預(yù)防遠(yuǎn)程訪問服務(wù)攻擊或非授權(quán)訪問，提高網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理安全?；€標(biāo)準(zhǔn)要求基線技術(shù)點（參數(shù)）說明遠(yuǎn)程管理啟用安全網(wǎng)絡(luò)管理服務(wù)SSH采用ssh服務(wù)代替telnet服務(wù)管理網(wǎng)絡(luò)設(shè)備，提高設(shè)備管理安全性限制可登錄的訪問地址限制對特定工作站的管理能力，必須配置管理客戶端IP 地址使用SSL保障HTTP訪問的安全性配置并啟用HTTPS進(jìn)行設(shè)備遠(yuǎn)程管理 用戶賬號與口令安全應(yīng)配置用戶賬號與口令安全策略，提高網(wǎng)絡(luò)設(shè)備賬戶與口令安全。基線標(biāo)準(zhǔn)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明更改缺省賬號和密碼更改系統(tǒng)初始帳號和密碼在完成初始配置后應(yīng)盡快修改缺省用戶名和密碼密碼長度限制密碼最短長度應(yīng)將帳戶密碼最短長度設(shè)置為8位帳戶登錄空閑時間登錄超時時間5分鐘登錄超時時間5分鐘限制登錄失敗次數(shù)限制登錄口令失敗次數(shù)設(shè)置登錄口令登錄失敗次數(shù)為3次，超過則會暫時禁止同一IP繼續(xù)登錄。 日志與審計應(yīng)對系統(tǒng)的日志進(jìn)行安全控制與管理，保護(hù)日志的安全與有效性?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明SNMP配置定期更改SNMP Community安全審計針對重要策略開啟記錄流量日志　安全審計將日志轉(zhuǎn)發(fā)至SYSLOG服務(wù)器　轉(zhuǎn)存日志（可選）配置日志服務(wù)器設(shè)置接受與存儲日志信息日志保存要求（可選）2個月日志必須保存2個月 服務(wù)優(yōu)化應(yīng)提高網(wǎng)絡(luò)設(shè)備的安全性，優(yōu)化設(shè)備資源?；€技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明服務(wù)禁用關(guān)閉弱服務(wù) 安全防護(hù)應(yīng)對設(shè)備配置進(jìn)行調(diào)整，提高設(shè)備或網(wǎng)絡(luò)安全性。基線技術(shù)要求基線標(biāo)準(zhǔn)點（參數(shù)）說明安全設(shè)置防火墻的防攻擊設(shè)置防攻擊選項包括：SYN Flood、ICMP Flood、UDP Flood、Port Scan Attack、 Limit session、ICMP Sweep等。29 /