reference中國移动通信集团网络设备安全配置规范思科路由器分册.docVIP

密 级：内部 文档编号： 项目代号： 附件二 中国移动通信集团 网络设备安全配置规范 CISCO路由器及基于CISCO IOS 的三层交换模块部分 Ver：草稿 二零零三年十一月 中国移动通信公司 福建移动通信公司  版本控制 版本号 日期 参与人员 更新说明 初稿 2003-11-15 洪顺安、林秀 文档建立，初始化 目录 第一部分 概述和介绍 6 1 概述 6 1.1 项目背景 6 1.2 项目目标 6 1.3 参考资料 6 2 适用的软件版本 7 第二部分 设备的安全机制 8 1 访问控制 8 2 数据加密 8 3 日志问题 8 4 防攻击能力 9 第三部分设备安全配置建议 10 1 访问控制列表及其管理 10 1.1 访问控制列表特性 10 1.2 访问控制列表应用 10 1.3 实施原则 12 1.4 配置实例 13 1.4.1 对ICMP数据包的过滤 13 1.4.2 IP欺骗的简单防护 14 2 路由协议的安全性 16 2.1 路由协议认证 16 2.1.1 OSPF路由协议的认证 16 2.1.2 RIP路由协议的认证 17 2.1.3 ISIS路由协议的认证 18 2.1.4 BGP路由协议的认证 18 2.1.5 关于passive-interface命令 19 2.1.6 路由过滤 19 2.2 源地址路由检查 20 2.3 黑洞路由 21 3 网管及认证问题 22 3.1 远程登录 22 3.1.1 远程登录的原则 22 3.1.2 启用SSH服务 22 3.1.3 登录空闲时间 23 3.1.4 登录尝试次数 24 3.1.5 并发登录个数 24 3.1.6 采用访问列表严格控制访问的地址 24 3.2 帐号和密码管理 25 3.3 帐号认证和授权 26 3.3.1 本机认证和授权 26 3.3.2 AAA认证 26 3.3.3 RADIUS认证方式 26 3.3.4 TACACS+认证方式 27 3.4 snmp协议 28 3.4.1 SNMP服务器的开启 29 3.4.2 更改SNMP TRAP协议端口； 29 3.4.3 限制发起SNMP连接的源地址； 30 3.4.4 设置snmp密码 30 3.4.5 开启snmp v3版本 30 3.5 HTTP的配置要求 31 3.6 更改标准端口 31 3.6.1 关闭HTTP服务 31 3.6.2 HTTP安全设置 31 4 安全审计 32 5 设备IOS升级方法 33 5.1 前期准备 33 5.1.1 软件的获取 33 5.1.2 制定升级计划 33 5.1.3 配置同步 34 5.1.4 数据备份 34 5.1.5 其他准备工作 35 5.2 升级操作 35 5.2.1 记录升级前系统状态 35 5.2.2 升级IOS或装载补丁 36 5.2.3 检查升级后系统的状态 37 5.3 应急保障措施 37 5.3.1 设置路由器 37 5.3.2 PC设置（TFTP服务器设置） 38 5.3.3 上传旧的IOS软件 38 5.3.4 组态配置寄存器 38 5.3.5 重启路由器 38 5.3.6 恢复配置 38 6 特定的安全配置 39 6.1 关闭不必要的服务 39 6.1.1 禁止CDP(Cisco Discovery Protocol) 39 6.1.2 禁止TCP、UDP Small服务 39 6.1.3 禁止Finger、NTP服务 40 6.1.4 禁止BOOTp服务 40 6.1.5 禁止IP Source Routing 40 6.1.6 明确的禁止IP Directed Broadcast 41 6.1.7 禁止IP Classless 41 6.1.8 ICMP协议 41 6.1.9 WINS和DNS服务 41 6.1.10 ARP-Proxy服务 42 6.2 DoS攻击防范 42 6.2.1 防DDOS攻击 42 6.2.2 Smurf进攻的防范。 43 6.2.3 TCP SYN的防范。 44 6.2.4 LAND.C 进攻的防范 45 6.3 CAR技术 45 6.4 其他特定的安全配置 46 6.4.1 对COM端口的管理要求 46 6.4.2 对AUX端口的管理要求 47 6.4.3 禁止从网络启动和自动从网络下载初始配置文件。 47 6.4.4 禁止未使用或空闲的端口 47 6.4.5 banner的设置要求 48 第一部分 概述和介绍 概述 本文档对中国移动网络Cisco路由器和基于Cisco IOS的交换机及其三层处理模块的安全配置标准进行描述，规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分，在规范中针对设备的六大安