【正文】 ............................................................................................11 對用戶登錄進(jìn)行記錄 ....................................................................................................11 記錄用戶對設(shè)備的操作 ................................................................................................12 開啟 NTP 服務(wù)保證記錄的時(shí)間的準(zhǔn)確性 ...................................................................13 遠(yuǎn)程日志功能 *..............................................................................................................14第 4 章 IP 協(xié)議安全要求 ...............................................................................................................17 IP 協(xié)議 ....................................................................................................................................17 配置路由器防止地址欺騙 ............................................................................................17 系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問 ............................................................................18 過濾已知攻擊 ................................................................................................................20 功能配置 .................................................................................................................................21 功能禁用 *......................................................................................................................21 啟用協(xié)議的認(rèn)證加密功能 *..........................................................................................23 啟用路由協(xié)議認(rèn)證功能 *..............................................................................................24 防止路由風(fēng)暴 ................................................................................................................26 防止非法路由注入 ........................................................................................................27 SNMP 的 Community 默認(rèn)通行字口令強(qiáng)度 .....................................................................28 只與特定主機(jī)進(jìn)行 SNMP 協(xié)議交互 ............................................................................29 配置 SNMPV2 或以上版本 ...........................................................................................30 關(guān)閉未使用的 SNMP 協(xié)議及未使用 RW 權(quán)限 ............................................................314 / 44 LDP 協(xié)議認(rèn)證功能 ........................................................................................................31第 5 章 其他安全要求 .........................................................................................................................33 其他安全配置 .........................................................................................................................33 關(guān)閉未使用的接口 ........................................................................................................33 修改路由缺省器缺省 BANNER 語 ...............................................................................34 配置定時(shí)賬戶自動(dòng)登出 ................................................................................................34 配置 consol 口密碼保護(hù)功能 ........................................................................................36 關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)或功能 ....................................................................................37 端口與實(shí)際應(yīng)用相符 ....................................................................................................38第 6 章 評審與修訂 .............................................................................................................................401 / 44第 1 章 概述 目的本文檔規(guī)定了中國移動(dòng)管理信息系統(tǒng)部所維護(hù)管理的 Cisco 路由器應(yīng)當(dāng)遵循的設(shè)備安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 Cisco 路由器的安全配置。本配置標(biāo)準(zhǔn)適用的范圍包括：中國移動(dòng)總部和各省公司信息化部門維護(hù)管理的 Cisco路由器。 實(shí)施本標(biāo)準(zhǔn)的解釋權(quán)和修改權(quán)屬于中國移動(dòng)集團(tuán)管理信息系統(tǒng)部，在本標(biāo)準(zhǔn)的執(zhí)行過程中若有任何疑問或建議，應(yīng)及時(shí)反饋。 例外條款欲申請本標(biāo)準(zhǔn)的例外條款，申請人必須準(zhǔn)備書面申請文件，說明業(yè)務(wù)需求和原因，送交中國移動(dòng)通信有限公司管理信息系統(tǒng)部進(jìn)行審批備案。避免不同用戶間共享帳號。檢測操作步驟 1. 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) service passwordencryptionRouter(config) username ruser1 password 3dzirc0niaRouter(config) username ruser1 privilege 1Router(config) username ruser2 password 2Bor3BRouter(config) username ruser2 privilege 1Router(config) end Router2. 補(bǔ)充操作說明基線符合性判定依據(jù)1. 判定條件I. 配置文件中，存在不同的帳號分配II. 網(wǎng)絡(luò)管理員確認(rèn)用戶與帳號分配關(guān)系明確2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!3 / 44service passwordencryption username ruser1 password 3dzirc0niausername ruser1 privilege 1username ruser2 password 2Bor3Busername ruser2 privilege 13. 補(bǔ)充說明使用共享帳號容易造成職責(zé)不清備注 需要手工檢查，由管理員確認(rèn)帳號分配關(guān)系。檢測操作步驟 1．參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) no username ruser32．補(bǔ)充操作說明基線符合性判定依據(jù)1. 判定條件I. 配置文件存在多帳號II. 網(wǎng)絡(luò)管理員確認(rèn)所有帳號與設(shè)備運(yùn)行、維護(hù)等工作有關(guān)2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!username user1 privilege 1 password password1username nobodyuse privilege 1 password password13. 補(bǔ)充說明刪除不用的帳號，避免被利用4 / 44備注 需要手工檢查，由管理員判斷是否存在無關(guān)帳號 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄*安全基線項(xiàng)目名稱限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄安全基線要求項(xiàng)安全基線編號SBLCiscoRouter020103 安全基線項(xiàng)說明 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。檢測操作步驟 1． 參考配置操作Router config tEnter configuration mands, one per line. End with CNTL/Z.Router(config) service passwordencryptionRouter(config) username normaluser password 3dzirc0niaRouter(config) username normaluser privilege 1Router(config) line vty 0 4 Router(configline) login localRouter(configline) exectimeout 5 0Router(configline) end2． 補(bǔ)充操作說明設(shè)定帳號密碼加密保存創(chuàng)建 normaluser 帳號并指定權(quán)限級別為 1；設(shè)定遠(yuǎn)程登錄啟用路由器帳號驗(yàn)證；設(shè)定超時(shí)時(shí)間為 5 分鐘；基線符合性判定依據(jù)1. 判定條件I. VTY 使用用戶名和密碼的方式進(jìn)行連接驗(yàn)證II. 帳號權(quán)限級別較低，例如：I2. 檢測操作使用 show runningconfig 命令，如下例：routershow runningconfigBuilding configuration...Current configuration:!service passwordencryptionusername normaluser password 3dzirc0nia5 / 44username normaluser privilege 1line vty 0 4 logi