1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 计算机
  5. 通信/网络

CISCO安全加固配置基线.docxVIP

CISCO安全加固配置基线.docx

    1. 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
    2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    CISCO网络设备安全配置基线

    CISCO安全加固配置基线

    CISCO

    目录

    TOC\o1-2\h\z\u1994054011.概述 2

    13320852871.1适用范围 2

    8403986341.2规范依据 2

    5798953191.3实施策略 2

    10198363472.安全配置基线标准 4

    13224973222.1身份鉴别 4

    7567444042.2访问控制 10

    12050404942.3安全审计 12

    1973078012.4入侵防范 19

    4374604392.5网络设备防护 21

    15610745922.6其他安全项 32

    概述

    适用范围

    本配置基线适用于CISCO网络设备,主要涉及CISCO网络设备安全配置方面的基本要求,用于指导安全例行工作、新系统入网安全检查等场合。

    在未特别说明的情况下,均适用于所有运行的CISCO网络设备。

    规范依据

    根据目前CISCO网络设备的安全现状,综合参考各安全运维专家的一键,结合相关规范性文件指引,制定适合的基线配置规范。

    规范性引用文件:

    GB/T28448-2012《信息安全技术信息系统安全等级保护测评要求》

    GB/T28453-2012《信息安全技术信息系统安全管理评估要求》

    GB/T25063-2010《信息安全技术服务器安全测评要求》

    GB/Z24364-2009《信息安全技术信息安全风险管理指南》

    GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》

    GB/T20270-2006《信息安全技术网络基础安全技术要求》

    GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

    GB/T20269-2006《信息安全技术信息系统安全管理要求》

    YD/T2701-2014《电信网和互联网安全防护基线配置要求及检测要求》

    实施策略

    结合网络和信息系统建设情况,考虑安全配置项影响的范围,结合以往工作经验,提出如下安全项目实施策略:

    基础项:实施安全基线能够明显提升安全水平,实施风险小,可操作性强。

    建议项:实施安全基线能够提升一定安全水平,具有一定风险,可操作性较强。

    序号

    配置类别

    安全基线项目名称

    实施策略

    1

    身份鉴别

    分配用户账号

    基础项

    2

    身份鉴别

    配置密码复杂度

    基础项

    3

    身份鉴别

    加密账号静态口令

    基础项

    4

    身份鉴别

    删除无关帐号

    建议项

    5

    身份鉴别

    启用远程认证授权

    建议项

    6

    访问控制

    防止地址欺骗

    建议项

    7

    安全审计

    记录账号登录

    基础项

    8

    安全审计

    记录用户操作

    建议项

    9

    安全审计

    启用远程日志

    建议项

    10

    安全审计

    启用NTP服务

    建议项

    11

    入侵防范

    过滤已知攻击

    建议项

    12

    网络设备防护

    启用SSH登录维护

    基础项

    13

    网络设备防护

    启用登录失败处置

    基础项

    14

    网络设备防护

    启用登录超时退出

    基础项

    15

    网络设备防护

    更改设备缺省Banner

    基础项

    16

    网络设备防护

    禁用非必要网络服务

    建议项

    17

    网络设备防护

    限制管理员远程登录

    建议项

    18

    网络设备防护

    更改SNMP默认Community串

    建议项

    19

    网络设备防护

    限制SNMP服务主机

    建议项

    20

    网络设备防护

    禁用SNMP写功能

    建议项

    21

    网络设备防护

    启用协议的认证加密功能

    建议项

    22

    其他安全项

    关闭未使用接口

    建议项

    安全配置基线标准

    身份鉴别

    分配用户账号

    基线名称

    分配用户账号(基础项)

    基线编号

    ND-CISCO-1

    基线说明

    按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。

    配置方法

    版本:IOS12.x

    1.参考配置操作

    Router#configt

    Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

    Router(config)#servicepassword-encryption

    Router(config)#usernameruser1password3d-zirc0nia

    Router(config)#usernameruser1privilege1

    Router(config)#usernameruser2password2B-or-3B

    Router(config)#usernameruser2privilege1

    Router(config)#end

    Router#

    2.补充操作说明

    检查方法

    1.判定条件

    配置文件中,存在不同的帐号分配

    网络管理员确认用户

    您可能关注的文档

    最近下载

    文档评论(0)

    新思想与新技术 + 关注
    实名认证
    文档贡献者

    新思想与新技术

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >