【正文】 只發(fā)布所需的路由更新，防止路由信息泄漏。檢測操作步驟1． 參考配置操作I. 配置 Router1 和 Router2 間 Ospf 啟用 MD5 驗證Router1 配置：Router1 config tEnter configuration mands, one per line. End with CNTL/Z.Router1(config) router ospf 1Router1(configrouter) work area 0 Router1(configrouter) area 0 authentication messagedigestRouter1(configrouter) exit Router1(config) int eth0/1Router1(configif) ip ospf messagedigestkey 1 md5 r0utes4allRouter1(configif) end Router1Router2 配置：Router2 config tEnter configuration mands, one per line. End with CNTL/Z.Router2(config) router ospf 1Router2(configrouter) area 0 authentication messagedigest25 / 44Router2(configrouter) work area 0 Router2(configrouter) work area 0 Router2(configrouter) exit Router2(config) int eth0 Router2(configif) ip ospf messagedigestkey 1 md5 r0utes4allRouter2(configif) end Router2II. 配置 Router1 和 Router2 間 EIGRP 啟用 MD5 驗證Router1 配置：Router1 config tEnter configuration mands, one per with CNTL/Z.Router1(config) router eigrp 100Router1(configrouter) work Router1(configrouter) exit Router1(config) interface eth 0/1Router1(configif) ip authentication mode eigrp 100 md5Router1(configif) ip authentication keychain eigrp 100 Router1KCRouter1(configif) exit Router1(config) key chain Router1KCRouter1(configkeychain) key 1Router1(configkeychainkey) keystring mysecretkeyRouter1(configkeychainkey) sendlifetime 00:00:00 Oct 1 202200:00:00 Jan 1 2022 Router1(configkeychainkey) acceptlifetime 00:00:00 Oct 1 202200:00:00 Jan 7 2022Router1(configkeychainkey) endRouter1Router2 配置：Router2 config tEnter configuration mands, one per line. End with CNTL/Z.Router2(config) router eigrp 100Router2(configrouter) work Router2(configrouter) work Router2(configrouter) passiveinterface eth1Router2(configrouter) exit Router2(config) interface eth 0 Router2(configif) ip authentication mode eigrp 100 md5Router2(configif) ip authentication keychain eigrp 100 Router2KCRouter2(configif) exit Router2(config) key chain Router2KCRouter2(configkeychain) key 1Router2(configkeychainkey) keystring mysecretkeyRouter2(configkeychainkey) sendlifetime 00:00:00 Oct 1 202200:00:00 Jan 1 2022 26 / 44Router2(configkeychainkey) acceptlifetime 00:00:00 Oct 1 202200:00:00 Jan 7 2022Router2(configkeychainkey) endRouter22． 補(bǔ)充操作說明基線符合性判定依據(jù) 1． 判定條件有 ip rip(ospf、eigrp 等) md5 的字段2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…I. ！RIPV2router ripversion 2work int ether0/1ip rip authentication keychain xxxxip rip authentication mode md5…II. ！OSPFip ospf messagedigestkey 1 md5 xxxxx…III. ！EIGRPip authentication mode eigrp 1 md53． 補(bǔ)充說明備注 根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。檢測操作步驟 1． 參考配置操作屏蔽常見的漏洞端口 143 4444,tftp UDP69, 135, 137, 138, 139, 445, 593, 1434， 5000，5554 ，5800,5900,6667,9996 等：Router(config) no accesslist 102Router(config) accesslist 102 deny tcp any any eq 445 logRouter(config) accesslist 102 deny tcp any any eq 5800 logRouter(config) accesslist 102 deny tcp any any eq 5900 logRouter(config) accesslist 102 deny udp any any eq 1434 logRouter(config) accesslist 102 deny udp destinationport eq tftp logRouter(config) accesslist 102 deny tcp destinationport eq 135 logRouter(config) accesslist 102 deny udp destinationport eq 137 logRouter(config) accesslist 102 deny udp destinationport eq 138 logRouter(config) accesslist 102 deny tcp destinationport eq 139 logRouter(config) accesslist 102 deny udp destinationport eq biosssn logRouter(config) accesslist 102 deny tcp destinationport eq 539 logRouter(config) accesslist 102 deny udp destinationport eq 539 logRouter(config) accesslist 102 deny tcp destinationport eq 593 log2． 補(bǔ)充操作說明基線符合性判定依據(jù)1. 判定條件存在類似 acl，拒絕上述端口2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…21 / 44accesslist 102accesslist 102 deny tcp any any eq 445 logaccesslist 102 deny tcp any any eq 5800 logaccesslist 102 deny tcp any any eq 5900 logaccesslist 102 deny udp any any eq 1434 log…3. 補(bǔ)充說明染備注 功能配置 功能禁用*安全基線項目名稱功能禁用安全基線要求項安全基線編號SBLCiscoRouter040201 安全基線項說明 功能禁用檢測操作步驟 1． 參考配置操作I. 禁用 IP 源路由Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no ip sourcerouteII. 禁用 PROXY ARPRouter config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip proxyarpRouter(configif) exit Router(config) interface eth 0/1Router(configif) no ip proxyarpRouter(configif) exit Router(config) interface eth 0/2Router(configif) no ip proxyarpRouter(configif) exit 22 / 44Router(config) interface eth 0/3Router(configif) no ip proxyarpRouter(configif) endIII. 禁用直播功能Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip directedbroadcastRouter(configif) endIV. 禁用 IP 重定向Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip redirectsRouter(configif) endV. 禁用 IP 掩碼響應(yīng)Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth 0/0Router(configif) no ip maskreplyRouter(configif) end2． 補(bǔ)充操作說明基線符合性判定依據(jù)1． 判定條件上述條目，在相應(yīng)版本 IOS 中是“no”掉的2． 檢測操作I. 禁用 IP 源路由no ip sourceroute…II. 禁用 PROXY ARPint s0/0no ip proxyarp…III. 禁用直播功能, 之后默認(rèn)int s0no ip directedbroadcast…IV. 禁用 IP 重定向int s023 / 44no ip unreachableno ip redirectsV. 禁用 IP 掩碼響應(yīng)no ip maskrepy3． 補(bǔ)充說明備注 根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，則強(qiáng)制要求此項。建議核心設(shè)備必選，其它根據(jù)實際情況啟用17 / 44第 4 章 IP 協(xié)議安全要求 IP 協(xié)議 配置路由器防止地址欺騙安全基線項目名稱配