Cisco IOS 安全检查标准.docVIP

目 录 1 目的 3 2 范围 3 3 配置标准 3 3.1 关闭不必要的服务 3 3.1.1 禁止CDP Cisco Discovery Protocol 3 3.1.2 禁止TCP、UDP Small服务 4 3.1.3 禁止Finger服务 4 3.1.4 禁止NTP服务 5 3.1.5 禁止BOOTp服务（路由器适用） 5 3.1.6 禁止IP Source Routing 5 3.1.7 禁止IP Directed Broadcast（路由器和三层交换机适用） 6 3.1.8 启用service password-encryption 6 3.1.9 关闭WINS和DNS服务 7 3.1.10 关闭ARP-Proxy服务 7 3.2 登录要求和帐号管理 8 3.2.1 采用enable secret设置密码 8 3.2.2 采用认证 8 3.2.3 设置exec-timeout（5分钟以内） 9 3.2.4 采用访问控制措施，限制可登录的源地址 9 3.2.5 关闭HTTP服务 10 3.2.6 远程登录采用加密传输（SSH） 10 3.2.7 采用多用户分权管理 11 3.3 SNMP协议设置和日志审计 11 3.3.1 设置SNMP读写密码 11 3.3.2 更改SNMP协议端口 12 3.3.3 限制SNMP发起连接源地址 12 3.3.4 开启日志审计功能 13 3.4 其它安全要求 14 3.4.1 禁止从网络启动和自动从网络下载初始配置文件。 14 3.4.2 禁止未使用或空闲的端口 14 3.4.3 符合banner的设置要求 15 3.4.4 符合设备提示符的设置要求 15 3.4.5 启用源地址路由检查（路由器适用） 16 3.4.6 VTP设置密码（交换机适用） 16 目的 本标准是为了规范网络设备的安全检查，提高网络设备的安全性而提出的。 范围 本标准适用于Cisco路由器和基于Cisco IOS的交换机及其三层处理模块，其软件版本为CISCO IOS 12.0及以上版本。 配置标准 关闭不必要的服务 禁止CDP Cisco Discovery Protocol 默认状态：默认打开。 正确配置： 方法一：全局关闭CDP。全局模式配置如下命令： Router Config #no cdp run 方法二：所有端口关闭CDP。接口模式下配置如下命令： Router Config #interface interface_name Router Config-if # no cdp enable 检查条件： 方法：查看配置文件。 判定条件： “不符合”条件：默认配置；存在一个或多个激活端口未关闭。 “符合”条件：全局关闭CDP；所有接口关闭CDP。 弱点概述：会造成网络设备信息失密。 禁止TCP、UDP Small服务 默认状态：默认关闭。 正确配置：全局模式下启用如下命令： Router Config # no service tcp-small-servers Router Config # no service udp-samll-servers 检查条件： 方法：查看配置文件。 判定条件： “不符合”条件：已经配置“service tcp-small-servers”“service udp-small-servers”。 “符合”条件：默认配置 弱点概述：会造成为网络服务不安全。 禁止Finger服务 默认状态：默认关闭。 正确配置：全局模式下启用如下命令： Router Config # no ip finger 检查条件： 方法：查看配置文件。 判定条件： “不符合”条件：配置文件中存在“ip finger” “符合”条件：默认配置。 弱点概述：该服务会造成网络设备信息和数据信息失密。 禁止NTP服务 默认状态：默认关闭。 正确配置： Router Config #no ntp 检查条件： 方法：查看配置文件。 判定条件： “不符合”条件：含有如下命令之一。 Ntp server x.x.x.x Ntp peer x.x.x.x “符合”条件：默认配置；所有端口端口模式下启用“ntp disable”。 弱点概述：该服务会对网络设备时间造成影响。 禁止BOOTp服务（路由器适用） 默认状态：默认打开。 正确配置：全局模式下启用如下命令： Router Config #no ip bootp server 检查条件： 方法：查看配置文件 判定条件： “不符合”条件：默认配置。 “符合”条件：全局模式下使用“no ip bootp server” “不适用”条件：Cisco 4000系列交换机以下不适用。 弱点概述：该服务会造成网络不稳定。 禁止IP Source Routing 默