思科路由器安全测评指导书.doc

思科路由器安全测评指导书 序号 测评指标 测评项 检查方法 预期结果 1 访问控制 a)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 检查网络拓扑结构和相关路由器配置，查看是否在路由器上启用了访问控制功能。 输入命令 show access-lists 检查配置文件中是否存在以下类似配置项： ip access-list 1 deny x.x.x.x 路由器启用了访问控制功能，根据需要配置了访问控制列表。 b)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 输入命令shou running， 检查访问控制列表的控制粒度是否为端口级，例如： access-list 101 permit udp any 55 eq 21 根据会话状态信息为数据流提供了明确的访问控制策略，控制粒度为端口级。 c)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查：检查防火墙或IPS安全策略是否对重要数据流启用应用层协议检测、过滤功能。 防火墙或IPS开启了重要数据流应用层协议检测、过滤功能，可以对应用层HTTP、FTP、TELNET、SMTP、POP3等协议进行控制。 d)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 访谈： 访谈系统管理员，是否在会话处于非活跃一定时间或会话结束后终止网络连接； 检查： 输入命令show running，查看配置中是否存在命令设定管理会话的超时时间： line vty 0 4 exec-timeout x x 1）会话处于非活跃一定时间或会话结束后，路由器会终止网络连接； 2）路由器配置中存在会话超时相关配置。 e)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 1）在网络出口和核心网络处的网络设备是否配置了网络最大流量数及网络连接数； 2）是否有专用的流量控制设备限制网络最大流量数及网络连接数。 1）网络出口和核心网络处的网络设备配置了合理QOS策略，优化了网络最大流量数； 2）通过专用的流量控制设备限制网络最大流量数及网络连接数。 f)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 是否通过IP/MAC绑定手段防止地址欺骗， 输入命令 show running， 检查配置文件中是否存在arp绑定配置： arp x.x.x.x x.x.x.x 1）通过网络设备配置命令进行IP/MAC地址绑定防止地址欺骗； 2）通过专用软件或设备进行IP/MAC地址绑定防止地址欺骗。 g)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 1）是否针对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）以拨号或VPN等方式接入网络的，是否采用强认证方式。 1）对单个远程拨号用户或VPN用户访问受控资源进行了有效控制； 2）通过拨号或VPN等方式接入网络时，采用了强认证方式（证书、KEY等）。 h)检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力；检查拨号接入路由器，测评分析信息系统远程拨号访问控制规则的合理性和安全性。 检查： 是否限制具有远程访问权限的用户数量。 限制了具有远程访问权限的用户数量。 2 安全审计 a)检查核心交换机、路由器等网络互联设备的安全审计情况等，测评分析信息系统审计配置和审计记录保护情况。 检查： 1）网络系统中的网络设备是否开启日志记录功能； 输入show logging命令，检查Syslog logging进程是否为enable状态； 2）是否对网