Cisco网络设备安全配置基线（缩略版）.docxVIP

Cisco网络设备安全配置基线（缩略版） 1、应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。 2、应删除与设备运行、维护等工作无关的帐号。 3、限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限帐号后执行相应操作。 4、对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 5、静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。 6、设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。 7、在对Cisco网络设备远程维护时应避免使用telnet协议，应采用SSH协议对设备进行远程维护。 8、配置登录账户超时自动登出，适用于TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。 9、修改SNMP的Community默认通行字，防止信息泄漏。 10、设备维护中关闭未使用的接口，如路由器的AUX口；或通过SHUTDOWN命令关闭交换机上未使用接口。 11、修改路由交换设备的缺省Banner信息，Banner最好不要有系统平台或地址等有碍安全的