【正文】 檢測操作步驟使用 ACL 限制 EIGRP 不能向 Router(config) accesslist 10 deny Router(config) accesslist 10 permit anyRouter(config) router eigrp 100Router(configrouter) distributelist 10 out Router(configrouter) end基線符合性判定依據(jù)28 / 441． 判定條件做了 distributelist 的 acl 控制2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…accesslist 10 deny accesslist 10 permit anyrouter eigrp 100distributelist 10 out3． 補充說明不進行訪問控制容易引起非法路由注入和路由信息泄漏備注 SNMP 的 Community 默認通行字口令強度安全基線項目名稱SNMP 的。備注 防止非法路由注入安全基線項目名稱防止非法路由注入安全基線要求項安全基線編號SBLCiscoRouter040205 安全基線項說明 在網(wǎng)絡邊界運行 IGP 或 EGP 動態(tài)路由協(xié)議時，配置路由更新策略，只接受合法的路由更新，防止非法路由注入。 防止路由風暴安全基線項目名稱防止路由風暴安全基線要求項安全基線編號SBLCiscoRouter040204 安全基線項說明 采用 BGP 協(xié)議作為 EGP 協(xié)議時，使用 Route flap damping 功能防止路由風暴。 啟用路由協(xié)議認證功能*安全基線項目名稱啟用路由協(xié)議認證功能安全基線要求項安全基線編號SBLCiscoRouter040203 安全基線項說明 啟用動態(tài) IGP（RIPVOSPF 、ISIS 等）或 EGP（BGP）協(xié)議時，啟用路由協(xié)議認證功能，如 MD5 加密，確保與可信方進行路由協(xié)議交互。 啟用協(xié)議的認證加密功能*安全基線項目名稱啟用協(xié)議的認證加密功能安全基線要求項安全基線編號SBLCiscoRouter040202 安全基線項說明 啟用協(xié)議的認證，加密功能設備與 RADIUS 服務器、TACACS 服務器、NTP 服務器、SNMP V2 或 V3主機等支持認證加密功能的主機進行通信時，盡可能啟用協(xié)議的認證加密功能，保證通信安全。檢測操作步驟1． 參考配置操作例如：要配置允許目的為 的所有 DNS 訪問流量Router(config) no accesslist 140Router(config) accesslist 140 permit udp any host eq 53Router(config) accesslist 140 deny udp any any log例如：要配置僅允許 訪問路由器Router(config) no accesslist 12 Router(config) accesslist 12 permit host 2． 補充操作說明基線符合性判定依據(jù)1． 判定條件相關服務存在 access 綁定2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…！tel 、ssh 服務器line vty 0 4login localaccessclass 2 inexectimeout 10 0exit…！NTP 服務器accesslist 1 permit ntp accessgroup queryonly 1…！ftp、tftp 服務器ip ftp sourceinterface fastEther 0/0ip tftp sourceinterface fastEther 0/03． 補充說明對不信任的主機開啟 NTP、FTP 等服務，會加大設備的危險備注20 / 44 過濾已知攻擊安全基線項目名稱過濾已知攻擊安全基線要求項安全基線編號SBLCiscoRouter040103 安全基線項說明 過濾已知攻擊：在網(wǎng)絡邊界，設置安全訪問控制，過濾掉已知安全攻擊數(shù)據(jù)包，例如 udp 1434 端口（防止 SQL slammer 蠕蟲） 、tcp445,5800,5900（防止 Della 蠕蟲） 。檢測操作步驟 1. 參考配置操作對向內(nèi)流量配置：Router(config) no accesslist 100 Router(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip any logRouter(config) accesslist 100 deny ip host any logRouter(config) accesslist 100 permit ip any Router(config) accesslist 100 deny ip any any logRouter(config) interface eth0 Router(configif) description External interface to ./16 Router(configif) ip address Router(configif) ip accessgroup 100 inRouter(configif) exit Router(config) interface eth1 Router(configif) description Internal interface to Router(configif) ip address Router(configif) end對向外流量配置：18 / 44Router(config) no accesslist 102 Router(config) accesslist 102 permit ip anyRouter(config) accesslist 102 deny ip any any logRouter(config) interface eth 0/1Router(configif) description internal interfaceRouter(configif) ip address Router(configif) ip accessgroup 102 in2. 補充操作說明假設內(nèi)部網(wǎng)絡是 基線符合性判定依據(jù)1． 判定條件各接口只轉(zhuǎn)發(fā)屬于自己 ip 范圍內(nèi)的源地址數(shù)據(jù)包流出2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…accesslist 10 deny ip any logaccesslist 10 deny ip any log …int f1/1description the outside interface of permeter routerip accessgroup 10 in…accesslist 11 permit ip anyaccesslist 11 deny ip any any loginterface s1/1description inside interface of perimeter routerip address ip accessgroup 11 in3． 補充說明地址欺騙可以造成內(nèi)部網(wǎng)絡的混亂，讓某些被欺騙的計算機無法正常訪問內(nèi)外網(wǎng)，讓網(wǎng)關無法和客戶端正常通信。檢測操作步驟 1. 參考配置操作路由器側配置：Router config tEnter configuration mands, one per line. End with CNTL/ZRouter(config) logging onRouter(config) logging trap informationRouter(config) logging Router(config) logging facility local6Router(config) logging sourceinterface loopback0Router(config) exit Router show loggingSyslog logging: enabled (0 messages dropped, 11 flushes, 0overruns)Console logging: level notifications, 35 messages loggedMonitor logging: level debugging, 35 messages loggedBuffer logging: level informational, 31 messages loggedLogging to , 28 message lines logged..Router2. 補充操作說明I. 假設把 router 日志存儲在 的 syslog 服務器上路由器側配置描述如下：15 / 44啟用日志記錄日志級別設定“information”記錄日志類型設定“l(fā)ocal6”日志發(fā)送到 日志發(fā)送源是 loopback0配置完成可以使用“show logging ”驗證服務器側配置參考如下：Syslog 服務器配置參考：在 上增加一行 Save router messages to /var/log/創(chuàng)建日志文件touch /var/log/II. 如果使用 snmp 存儲日志參考配置如下：Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) logging trap informationRouter(config) snmpserver host traps publicRouter(config) snmpserver trapsource loopback0Router(config) snmpserver enable traps syslogRouter(config) exit 基線符合性判定依據(jù)1. 判定條件I. Syslog logging 和 SNMP logging 至少有一個為“enabled”II. Logging to 后面的主機名或 IP 指向日志服務器III. 通常記錄日志數(shù)不為 02. 檢測操作使用 show logging 命令，如下例：Router show loggingSyslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. Logging to SNMP logging: disabled, retransmission after 30 seconds 0 messages loggedRouter16 / 443. 補充說明備注 根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。所有設備日志均能通過遠程日志功能傳輸?shù)饺罩痉掌?。檢測操作步驟 1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodel Router(config)aaa accounting mands 1 default startstop group tacacs+Router(config