- 1、本文档共53页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
《中国移动华为路由器交换机安全管理及策略》.doc
中国移动华为路由器交换机
安全配置手册
Version 1.1
中国移动通信有限公司
二零零四年十二月
目 录
目 录 ii
第1章 概述 1-1
1.1 交换机 1-1
1.2 路由器 1-5
第2章 华为路由器交换机物理安全管理 2-1
2.1 定期检查机房的温度和湿度 2-1
2.2 定期检查机房电源输入是否完好 2-1
2.3 定期检查设备的接地电阻是否正常 2-2
2.4 定期检查设备的相关线缆是否完好 2-2
2.5 定期检查设备的风扇是否运行正常 2-2
第3章 华为路由器交换机数据安全配置 3-1
3.1 分级设置用户口令 3-1
3.2 对任何方式的用户登录都进行认证 3-2
3.3 对于网络上已知的病毒所使用的端口进行过滤 3-4
3.4 关闭危险的服务 3-6
3.5 在使用SNMP协议时候的安全建议 3-7
3.6 关闭不使用的物理端口 3-7
3.7 保持系统日志的打开 3-8
3.8 注意检查设备的系统时间是否准确 3-8
3.9 路由协议采用加密认证 3-8
3.10 在设备上开启URPF功能 3-12
3.11 防攻击的措施 3-13
3.12 攻击防范配置 3-15
3.12.1 使能IP欺骗攻击防范功能 3-16
3.12.2 使能Land攻击防范功能 3-16
3.12.3 使能Smurf攻击防范功能 3-17
3.12.4 使能Fraggle攻击防范功能 3-17
3.12.5 使能WinNuke攻击防范功能 3-18
3.12.6 配置SYN Flood攻击防范功能 3-18
3.12.7 配置ICMP Flood攻击防范功能 3-20
3.12.8 配置UDP Flood攻击防范功能 3-22
3.12.9 使能ICMP重定向报文攻击防范功能 3-24
3.12.10 使能ICMP不可达报文攻击防范功能 3-24
3.12.11 配置地址扫描攻击防范功能 3-25
3.12.12 配置端口扫描攻击防范功能 3-26
3.12.13 使能带源站路由选项IP报文攻击防范功能 3-27
3.12.14 使能带路由记录选项IP报文攻击防范功能 3-28
3.12.15 使能带时间戳记录选项IP报文攻击防范功能 3-28
3.12.16 使能Tracert报文攻击防范功能 3-29
3.12.17 使能TCP报文标志合法性检测功能 3-29
3.12.18 使能Ping of Death攻击防范功能 3-30
3.12.19 使能TearDrop攻击防范功能 3-31
3.12.20 使能IP分片报文攻击防范功能 3-31
3.12.21 配置超大ICMP报文攻击防范功能 3-32
3.13 端口镜像功能 3-33
第4章 华为路由器交换机安全管理制度 4-1
4.1 登录口令的强壮性 4-1
4.2 登录口令的定期更换 4-1
4.3 不同的人员掌握不同等级的登录口令 4-1
4.4 对于设备的硬件、软件、数据配置操作进行登记备案 4-2
4.5 对于每一次的网络异常进行登记备案 4-2
4.6 在设备外保存设备当前运行的版本、数据配置、日志信息 4-2
4.7 机房的安全管理建议: 4-3
概述
交换机
交换机是构建网络平台的“基石”。从传输介质和传输速度上可分为以太网交换机、快速以太网交换机、千兆以太网交换机、FDDI交换机、ATM交换机和令牌环交换机等。从规模应用上又可分为企业级交换机、部门级交换机和工作组交换机等。一般来讲,企业级交换机都是机架式,部门级交换机可以是机架式(插槽数较少),也可以是固定配置式,而工作组级交换机为固定配置式(功能较为简单)。
众所周知,传统的交换机工作在OSI参考模型的第二层——数据链路层上,主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。物理编址(相对应的是网络编址)定义了设备在数据链路层的编址方式;网络拓扑结构包括数据链路层的说明,定义了设备的物理连接方式,如星型拓扑结构或总线拓扑结构等;错误校验向发生传输错误的上层协议告警;数据帧序列重新整理并传输除序列以外的帧;流控可以延缓数据的传输能力,以使接收设备不会因为在某一时刻接收到了超过其处理能力的信息流而崩溃。目前很多交换机还具备VLAN、链路汇聚、MPLS等功能。
华为的交换机主要有以下几个系列:
产品型号 特性 Quidway? S8016多业务核心路由交换机 面向IP城域网的网络骨干、交换核心、汇聚中心建设,基于硬件的二到七层和MPLS线速转发技术。
支持MPLS以及基于MPLS的二、三层VPN业务,支持丰富的组播协议,支持WEB SWITCH(硬件支持)、NAT(硬件支持),支持DHCP Relay并内置DHCP Server功能;支持VLAN聚合、VLAN Tru
您可能关注的文档
- 《[铀矿开采安全与防护].王前裕.文字版.(ED2016.COM)》.pdf
- 《_自动化仪表安装工程预算知识问答》.doc
- 《“2016年全国职业院校技能大赛”高职组农产品质量安全检测赛项规程》.doc
- 《“功能安全产品实现技术”系列讲座-第3讲 功能安全管理》.pdf
- 《“四口”“五临边”安全防护检查验收表》.doc
- 《“安全期”试纸》.pdf
- 《“防爆安全技术”讲座_第10讲_安全栅与安全仪表安全参数的确定》.pdf
- 《【@PPT精选 案例3】生活中隐藏的哲理@妙手回春》.ppt
- 《【@PPT精选 案例6】马佳佳-万科演讲78页超流弊PPT版本下载》.ppt
- 《【商务模板案例】@PPT精选 110215》.ppt
文档评论(0)