【正文】 只發(fā)布所需的路由更新，防止路由信息泄漏。操作指南1． 參考配置操作Router(config) router bgp 27701Router(configrouter) neighbor remoteas 26625Router(configrouter) bgp dampeningRouter(configrouter) end2． 補充操作說明26 / 37檢測方法1． 判定條件做了 bgp dampening 配置2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…router bgp 27701neighbor remoteas 26625bgp dampening3． 補充說明bgp dampening 使用來抑制一些頻繁浮動路由的，當超過抑制閥值時就被抑制，從而防止 bgp 表的抖動。操作指南1． 參考配置操作TACACS 服務器：Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)tacacsserver host Router(config)tacacsserver key Ir31yh8nw9swDRouter(config)endRouterRADIUS 服務器：Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config) radiusserver host Router(config) radiusserver key i*Ma5inu9ps5wD2． 補充操作說明啟用 TACACS 服務器、RADIUS 服務器認證23 / 37檢測方法1． 判定條件I. 指定了服務器II. 設定了認證 key2． 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…！TACACS 服務器：tacacsserver host acacsserver key Ir31yh8nw9swD…！RADIUS 服務器： radiusserver host radiusserver key i*Ma5inu9ps5wD3． 補充說明要求編號 安全要求設備思科路由器 配置13適用版本 Cisco IOS Release 要求內容 啟用動態(tài) IGP（RIPVOSPF 、ISIS 等）或 EGP（BGP）協(xié)議時，啟用路由協(xié)議認證功能，如 MD5 加密，確保與可信方進行路由協(xié)議交互。禁用直播（IP DIRECTED BROADCAST）功能在非可信網(wǎng)段內禁用 IP 重定向功能。操作指南1． 參考配置操作Router(config) no accesslist 102Router(config) accesslist 102 deny tcp any any eq 445 logRouter(config) accesslist 102 deny tcp any any eq 5800 logRouter(config) accesslist 102 deny tcp any any eq 5900 logRouter(config) accesslist 102 deny udp any any eq 1434 log20 / 37Router(config) accesslist 102 deny udp destinationport eq tftp logRouter(config) accesslist 102 deny tcp destinationport eq 135 logRouter(config) accesslist 102 deny udp destinationport eq 137 logRouter(config) accesslist 102 deny udp destinationport eq 138 logRouter(config) accesslist 102 deny tcp destinationport eq 139 logRouter(config) accesslist 102 deny udp destinationport eq biosssn logRouter(config) accesslist 102 deny tcp destinationport eq 539 logRouter(config) accesslist 102 deny udp destinationport eq 539 logRouter(config) accesslist 102 deny tcp destinationport eq 593 log2． 補充操作說明檢測方法1. 判定條件存在類似 acl，拒絕上述端口2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfig…accesslist 102accesslist 102 deny tcp any any eq 445 logaccesslist 102 deny tcp any any eq 5800 logaccesslist 102 deny tcp any any eq 5900 logaccesslist 102 deny udp any any eq 1434 log…3. 補充說明感染要求編號 安全要求設備思科路由器 配置11適用版本要求內容 功能禁用：禁用 IP 源路由功能，除非特別需要。要求編號 安全要求設備思科路由器 配置9適用版本 Cisco IOS Release 以上要求內容 路由器以 UDP/TCP 協(xié)議對外提供服務，供外部主機進行訪問，如作為NTP 服務器、TELNET 服務器、TFTP 服務器、FTP 服務器、SSH 服務器等，應配置路由器，只允許特定主機訪問。操作指南1. 參考配置操作配置命令如下：Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) interface eth0/0Router(configif) no ntp disableRouter(configif) exit Router(config) ntp server source loopback0Router(config) exit2. 補充操作說明需要到每個端口開啟 NTP檢測方法1. 判定條件I. 存在 ntp server 配置條目II. 日志記錄時間準確2. 檢測操作I. 使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!…no ntp disablentp updatecalendarntp server ntp server II. show logging | include NTP000019: Jan 29 10:57: EST: %NTP5PEERSYNC: NTP synced to peer 000020: Jan 29 10:57: EST: %NTP6PEERREACH: Peer is reachable17 / 373. 補充說明日志時間不準確導致安全事件定位的不準確 IP 協(xié)議安全要求要求編號 安全要求設備思科路由器 配置8可選適用版本 Cisco IOS Release 以上要求內容 配置路由器，防止地址欺騙。記錄需要包含用戶賬號，操作時間，操作內容以及操作結果。操作指南1. 參考配置操作Routerconfigure terminal Enter configuration mands, one per line. End with CNTL/Z.Router(config)aaa newmodelRouter(config)aaa authentication login default group tacacs+Router(config)aaa authentication enable default group tacacs+Router(config)tacacsserver host Router(config)tacacsserver key Ir31yh8nw9swD14 / 37Router(config)endRouter2. 補充操作說明與外部 TACACS+ server 聯(lián)動，遠程登錄使用 TACACS+ serverya 驗證檢測方法1. 判定條件帳號、口令配置，指定了認證系統(tǒng)2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!aaa newmodelaaa authentication login default group tacacs+aaa authentication enable default group tacacs+tacacsserver host tacacsserver key Ir31yh8nw9swD3. 補充說明 日志安全要求要求編號 安全要求設備思科路由器 配置4可選適用版本 Cisco IOS Release 以上要求內容 與記賬服務器(如 RADIUS 服務器或 TACACS 服務器)配合，設備應配置日志功能，對用戶登錄進行記錄，記錄內容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的 IP 地址。如使用enable secret 配置 Enable 密碼，不使用 enable password 配置 Enable 密碼。操作指南1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) service passwordencryptionRouter(config) username ruser1 password 3dzirc0niaRouter(config) username ruser1 privilege 1Router(config) username ruser2 password 2Bor3BRouter(config) username ruser2 privilege 1Router(config) end Router2. 補充操作說明檢測方法1. 判定條件I. 配置文件中，存在不同的帳號分配II. 網(wǎng)絡管理員確認用戶與帳號分配關系明確2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!service passwordencryption username ruser1 password 3dzirc0niausername ruser1 privilege 1username ruser2 password 2Bor3Busername ruser2 privilege 13. 補充說明使用共享賬號容易造成職責不清12 / 37要求編號 安全要求設備思科路由器 配置2適用版本 Cisco IOS Release 以上要求內容 應刪除與設備運行、維護等工作無關的賬號。避免不同用戶間共享賬號。默認存在 rsa密鑰對 sshd 就啟用，不存在 rsa 密鑰對 sshd 就停用。8 / 37操作指南1. 參考配置操作例如：要配置允許目的為 的所有 DNS 訪問流量Router(config) accesslist 140 permit udp any host eq 53Router(config) accesslist 140 deny udp any any log例如：要配置允許目的為 Router(config) accesslist 140 permit tcp any Router(config) accesslist 140 deny ip any any log2. 補充操作說明訪問控制列表命令格式：I. 標準訪問控制列表accesslist listnumber {deny