中国移动思科路由器安全配置规范V2.0解读.docVIP

 目录 1 范围 1 2 规范性引用文件 1 2.1 内部引用 1 2.2 外部引用 2 3 术语、定义和缩略语 2 4 思科路由器设备安全配置要求 3 4.1 直接引用《通用规范》的配置要求 3 4.2 账号管理、认证授权 11 4.2.1 账户 11 4.2.2 口令 12 4.2.3 授权 13 4.2.4 认证 13 4.3 日志安全要求 14 4.4 IP协议安全要求 17 4.4.1 基本协议安全 17 4.4.2 路由协议安全 23 4.4.3 SNMP协议安全 26 4.4.4 MPLS安全 28 4.5 其他安全要求 29 5 编制历史 33  前言 为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。 本标准起草单位：中国移动通信有限公司网络部、中国移动集团上海公司。 本标准解释单位：同提出单位。 本标准主要起草人：刘金根、程晓鸣、陈敏时、周智、曹一生。 范围 本规范适用于中国移动通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本要求。 规范性引用文件 内部引用 本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的思科路由器安全配置要求。以下分项列出本规范对《通用规范》设备配置要求的修订情况： 设备通用安全配置要求编号 采纳意见 备注 安全要求-设备-通用-配置-1 增强要求 安全要求-设备-思科路由器-配置-1 安全要求-设备-通用-配置-2 增强功能 安全要求-设备-思科路由器-配置-2 安全要求-设备-通用-配置-3-可选 完全采纳 安全要求-设备-通用-配置-4 完全采纳 安全要求-设备-通用-配置-5 不采纳 设备不支持 安全要求-设备-通用-配置-6-可选 不采纳 设备不支持 安全要求-设备-通用-配置-7-可选 不采纳 设备不支持 安全要求-设备-通用-配置-9 完全采纳 安全要求-设备-通用-配置-12 不采纳 设备不支持 安全要求-设备-通用-配置-13-可选 不采纳 设备不支持 安全要求-设备-通用-配置-24-可选 增强要求 安全要求-设备-思科路由器-配置-7-可选 安全要求-设备-通用-配置-14-可选 完全采纳 安全要求-设备-通用-配置-16-可选 完全采纳 安全要求-设备-通用-配置-17-可选 完全采纳 安全要求-设备-通用-配置-19 增强要求 安全要求-设备-思科路由器-配置-2安全要求-设备-思科路由器-配置-2Route flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。 缩写 英文描述 中文描述 思科路由器设备安全配置要求 直接引用《通用规范》的配置要求 要求编号 安全要求-设备-通用-配置-3-可选 适用版本 Cisco IOS Release 12.0以上 要求内容 限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。 操作指南 参考配置操作 Router# config t Enter configuration commands, one per line. End with CNTL/Z. Router(config)# service password-encryption Router(config)# username normaluser password 3d-zirc0nia Router(config)# username normaluser privilege 1 Router(config)# line vty 0 4 Router(config-line)# login local Router(config-line)# exec-timeout 5 0 Router(config-line)# end 补充操作说明 设定账号密码加密保存 创建normaluser账号并指定权限级别为1； 设定远程登录启用路由器账号验证； 设定超时时间为5分钟； 检测方法 判定条件 VTY使用用户名和密码的方式进行连接验证 2、账号