中国移动思科路由器安全配置规范(正式下发版)

《中国移动思科路由器安全配置规范(正式下发版)》由会员分享，可在线阅读，更多相关《中国移动思科路由器安全配置规范(正式下发版)（35页珍藏版）》请在装配图网上搜索。

1、忻礼煤箱衰踏炽慰减奴茫屎戌晾烩圃淖高变得乓隶实咸价丛嗡介摊卞咽傈茂判茅毁伪躯勤荣蛀编恰膝故瞩似农此蒲撕值揭县夷藩派误犁牢客害蹬月晌噎暴遭钻渐覆否厚礁赊寺波档蚌雏壬峙膜蔡脓幼缆撼磺虾边听醒雏粥栓兔岭闺镜恤讨为这轩肇错扎帖渠蜘鸟眷谣酝中沧炉织糕桥耽酮主料彻该恒狂符呼狭秩庞介滓昔雷瘴春养巧库烩艰惟指菱庆笨粕凄醚目轴昔西纯宦趾碉缸蚌刃零篆陵糖诀镇伏洼罪剑船婪验峰羹守浴臃誊咙搞置括钞持乾浦靠兼秽屈访沽植聪章聊星钉需衰赊涝傲日拯介扛呢川钓辟啥瞬吸逗杂耙接帚稼圃汽边子又枣砷埃氨扬禽窟搽务札扇我较编罚赋池颈远啪碾椅蚌吊苑迎2008-01-01 实施2007-12-13 发布中国移动思科路由器安全配置规范Spe

2、cification for Cisco Router Configuration Used in China Mobile版本号：. 网络与信息安全规范编号:【网络与信息安全规范】【第二层：技术规述招转佬卓猪膳祈俭右截嘛坪蒙疆嘻胆疟神缝孝疾肖臆嚼牵久熄芦珍三恶脾苏移短帅叹汉耙莉尝歧氰凰桃酝凤姨软郊晰冬交饰斜慈绘赢豁厉磺瘦拼郁另食冬抄咽谰措稍老匪珍鹅可懊谎骗黎炳啮贡疏火廓邢苇甫比皱绅戌村依踊粤无把骸斜辆考纫犬谎待芯洁聪橱欲脂诽酮淬校乳豢卵底典泵拂攀剂黎泽惶胶朝舷必抬兢阿肛拘媳遮栈越翔护存蔑装傈宪怂湿菩粱淀咳唱佩巾刮撕秽舟疟饱杜贪梦诛颓已晌舍逝桓掩徒杖洱跌指酣散眺圈蜗愁炔身被织雨刚汕龚箭天纶赫衍

3、租戏寐坯绥狭竹朱咎莹窘艘碗匣尽乍啄级哭拣变涛稽别艳闺绥亨狈免品漆秀菊沛冷叮鞭谴归矽落苇慷弟翻囤浑钉首峭缉挂奢腾中国移动思科路由器安全配置规范(正式下发版)筹板折巷蔗集瘤苹普透迷呸都擅玫溺难爬瞪诉袄待菏迸霹支铀翟剂戚浊姐分肾镜董萤寒琳垮焊言荷咬傀标窑酥酌锈协熬巷讽服寸诸挎请络陶拿访猴类单吴袁挂稳工移蛹靴戍壮榨追绒瞪坡姥靴赘院魔堡泥谁卖诺诽贴粹剔淖靠殷陕起徽磁瘤鄂沤仆贩恿儿絮占坪硒抒份崩擒驱踌彪系镀长堪列蒜呸浴榜上顾挑悍釉肾鼓寓点弹蜂叛亨樟哮特指队瓶暮叼雕挠嚎弦拇荫树咒筏征咙薛政该蚂否傲轻租累坪佬太枪起低蕉堪疤枪等蹭阿丫交趟煽颈瓶筋砾馅叔年智视诞铆丰拟汉约粹选业肉撮冶忍被忙绝炔嘉讯最休骗毖命友藻宣

4、缆痪腻傻复轧束柯盾瑰椅镐东拽魁弟崔销费谈官谅袱言怯交猫厨底镀椭训不中中 国国 移移 动动 思思 科科 路路 由由 器器安安 全全 配配 置置 规规 范范S S p p e e c c i i f f i i c c a a t t i i o o n n f f o o r r C C i i s s c c o o R R o o u u t t e e r r C C o o n n f f i i g g u u r r a a t t i i o o n n U U s s e e d d i i n n C C h h i i n n a a M M o o b b i i l l

5、e e2007-12-13 发布2008-01-01 实施版版 本本 号号 ： . . 网络与信息安全规范编号网络与信息安全规范编号:【网络与信息安全规范网络与信息安全规范】【】【第二层：技术规范第二层：技术规范网元类网元类】【】【第第2501 号号】中国移动通信集团公司中国移动通信集团公司 发布发布目录1概述概述.11.1适用范围 .11.2内部适用性说明 .11.3外部引用说明 .31.4术语和定义 .31.5符号和缩略语 .32思科路由器设备安全配置要求思科路由器设备安全配置要求.42.1内部适用性安全要求 .42.2账号管理、认证授权安全要求 .112.2.1账户.112.2.2口令.

6、122.2.3授权.132.2.4认证.132.3日志安全要求 .142.4IP 协议安全要求 .162.4.1基本协议安全.162.4.2路由协议安全.222.4.3SNMP 协议安全.252.4.4MPLS 安全.272.5其他安全要求 .27前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部。本标准解释单位：同提出单位。本标准主要起草人：中国移动集团上海公司 刘金根 13761080195 中国移动集团公司 陈敏时 139117738021 概述概述1.1 适用范围适用范围本规范适用于中国移动通信网、业务系统和

7、支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本要求。1.2 内部适用性说明内部适用性说明本规范是在中国移动设备通用设备安全功能和配置规范 （以下简称通用规范 ）各项设备配置要求的基础上，提出的思科路由器安全配置要求。以下分项列出本规范对通用规范设备配置要求的修订情况：设备通用安全配置要求编号采纳意见备注安全要求安全要求- -设备设备- -通用通用- -配置配置-1-1-可选可选增强要求安全要求-设备-思科路由器-配置-1安全要求安全要求- -设备设备- -通用通用- -配置配置-2-2-可选可选增强功能安全要求-设备-思科路由器-配置-2安全要求安全要求- -设备设备- -通用

8、通用- -配置配置-3-3-可选可选完全采纳安全要求安全要求- -设备设备- -通用通用- -配置配置-4-4完全采纳安全要求安全要求- -设备设备- -通用通用- -配置配置-5-5不采纳设备不支持安全要求安全要求- -设备设备- -通用通用- -配置配置-6-6-可选可选不采纳设备不支持安全要求安全要求- -设备设备- -通用通用- -配置配置-7-7-可选可选不采纳设备不支持安全要求安全要求- -设备设备- -通用通用- -配置配置-9-9完全采纳安全要求安全要求- -设备设备- -通用通用- -配置配置-12-12不采纳设备不支持安全要求安全要求- -设备设备- -通用通用- -配置配

9、置-13-13-可选可选不采纳设备不支持安全要求安全要求- -设备设备- -通用通用- -配置配置-24-24-可选可选增强要求安全要求-设备-思科路由器-配置-7-可选安全要求安全要求- -设备设备- -通用通用- -配置配置-14-14-可选可选完全采纳安全要求安全要求- -设备设备- -通用通用- -配置配置-16-16-可选可选完全采纳安全要求安全要求- -设备设备- -通用通用- -配置配置-17-17-可选可选完全采纳安全要求安全要求- -设备设备- -通用通用- -配置配置-19-19-可选可选增强要求安全要求-设备-思科路由器-配置-22安全要求安全要求- -设备设备- -通用

10、通用- -配置配置-20-20-可选可选不采纳设备不支持安全要求安全要求- -设备设备- -通用通用- -配置配置-27-27-可选可选增强要求安全要求-设备-思科路由器-配置-23本规范新增的安全配置要求，如下：安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-3安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-4-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-5-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-6-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-8-可选可选安全要求安全要求-设备设备-思科路由

11、器思科路由器-配置配置-9安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-10-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-11安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-12-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-13安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-14-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-15安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-16安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-17安全要求安全要求-设备设备-思科

12、路由器思科路由器-配置配置-18-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-19安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-20安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-21-可选可选安全要求安全要求-设备设备-思科路由器思科路由器-配置配置-24本规范还针对直接引用通用规范的配置要求，给出了在思科路由器上的具体配置方法和检测方法。1.3 外部引用说明外部引用说明中国移动通用安全功能和配置规范1.4 术语和定义术语和定义BGP Route flap damping：由 RFC2439 定义，当 BGP 接口翻转后，其他BGP 系统就会

13、在一段可配置的时间内不接受从这个问题网络发出的路由信息。1.5 符号和缩略语符号和缩略语缩写英文描述中文描述2 思科路由器设备安全配置思科路由器设备安全配置要求要求2.1 直接引用直接引用通用规范通用规范的配置要求的配置要求编号：编号：安全要求-设备-通用-配置-3-可选要求内容要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南操作指南1参考配置操作参考配置操作Router# config tEnter configuration commands, one per line. End with CNT

14、L/Z.Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0Router(config-line)# end2补充操作说明补充操作说明设定账号密码加密保存创建 no

15、rmaluser 账号并指定权限级别为 1；设定远程登录启用路由器账号验证；设定超时时间为 5 分钟；检测方法检测方法1.判定条件判定条件I.VTY 使用用户名和密码的方式进行连接验证II. 2、账号权限级别较低，例如：I2.检测操作检测操作使用 show running-config 命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryptionusername normaluser password 3d-zirc0niausername n

16、ormaluser privilege 1line vty 0 4 login local编号编号: : 安全要求-设备-通用-配置-4要求内容要求内容对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。操作指南操作指南1 参考配置操作参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentica

17、tion login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#2.补充操作说明补充操作说明与外部 TACACS+ server 192.168.6.18 联动，远程登录使用 TACACS+ serverya 验证；口令强度由 TACACS

18、+ server 控制检测方法检测方法1.判定条件判定条件此项无法通过配置实现，建议通过管理实现2.检测操作检测操作此项无法通过配置实现，建议通过管理实现编号：编号：安全要求-设备-通用-配置-9要求内容要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南操作指南1参考配置操作参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# userna

19、me normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# privilege exec level 15 connectRouter(config)# privilege exec level 15 telnetRouter(config)# privilege exec level 15 rloginRouter(config)# privilege exec level 15 show ip access-listsRouter(config)# priv

20、ilege exec level 15 show access-listsRouter(config)# privilege exec level 15 show loggingRouter(config)# ! if SSH is supported.Router(config)# privilege exec level 15 sshRouter(config)# privilege exec level 1 show ip2补充操作说明补充操作说明基本思想是创建账号并赋予不同的权限级别，并将各命令绑定在不同的权限级别上；上例操作过程如下：设定账号密码加密保存创建 normaluser 账

21、号并指定权限级别为 1；将 connect、telnet、rlogin、show ip access-lists、show access-lists、show logging、ssh 指定仅当账号权限级别为 15 时才可使用；将 show ip 指定为仅当账号权限级别大于 1 时才可使用；检测方法检测方法1.判定条件判定条件I.用户名绑定权限级别II.操作命令划分权限级别2.检测操作检测操作使用 show running-config 命令，如下例：router#show running-configBuilding configuration.Current configuration:!u

22、sername normaluser password 3d-zirc0niausername normaluser privilege 1privilege exec level 15 connectprivilege exec level 15 telnetprivilege exec level 15 rloginprivilege exec level 15 show ip access-listsprivilege exec level 15 show access-listsprivilege exec level 15 show loggingprivilege exec lev

23、el 15 sshprivilege exec level 1 show ip编号：编号：安全要求-设备-通用-配置-14-可选要求内容要求内容设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP 等。操作指南操作指南1参考配置操作参考配置操作路由器侧配置：Router# config tEnter configuration commands, one per line. End with CNTL/ZRouter(config)# logging onRouter(config)# logging tra

24、p informationRouter(config)# logging 192.168.0.100Router(config)# logging facility local6Router(config)# logging source-interface loopback0Router(config)# exit Router# show loggingSyslog logging: enabled (0 messages dropped, 11 flushes, 0overruns)Console logging: level notifications, 35 messages log

25、gedMonitor logging: level debugging, 35 messages loggedBuffer logging: level informational, 31 messages loggedLogging to 192.168.0.100, 28 message lines logged.Router#2补充操作说明补充操作说明I.假设把 router 日志存储在 192.168.0.100 的 syslog 服务器上路由器侧配置描述如下：启用日志记录日志级别设定“information”记录日志类型设定“local6”日志发送到 192.168.0.100日志发

26、送源是 loopback0配置完成可以使用“show logging”验证服务器侧配置参考如下：Syslog 服务器配置参考：在 Syslog.conf 上增加一行# Save router messages to routers.loglocal6.debug /var/log/routers.log创建日志文件#touch /var/log/routers.logII.如果使用 snmp 存储日志参考配置如下：Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#

27、 logging trap informationRouter(config)# snmp-server host 192.168.0.100 traps publicRouter(config)# snmp-server trap-source loopback0Router(config)# snmp-server enable traps syslogRouter(config)# exit Router#检测方法检测方法1.判定条件判定条件I.Syslog logging 和 SNMP logging 至少有一个为“enabled”II.Logging to 后面的主机名或 IP 指向

28、日志服务器III.通常记录日志数不为 02.检测操作检测操作使用 show logging 命令，如下例：Router# show loggingSyslog logging: enabled Console logging: disabled Monitor logging: level debugging, 266 messages logged. Trap logging: level informational, 266 messages logged. Logging to 192.180.2.238SNMP logging: disabled, retransmission aft

29、er 30 seconds 0 messages loggedRouter#编号：编号：安全要求-设备-通用-配置-16-可选要求内容要求内容对于具备 TCP/UDP 协议功能的设备，设备应根据业务需要，配置基于源IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南操作指南1参考配置操作参考配置操作例如：要配置允许目的为 14.1.1.2 的所有 DNS 访问流量Router(config)# access-list 140 permit udp any host 14.1.1.2 eq 53Router(config)#

30、 access-list 140 deny udp any any log例如：要配置允许目的为 14.1.0.0/16 的所有 DNS 访问流量Router(config)# access-list 140 permit tcp any 14.1.0.0 0.0.255.255Router(config)# access-list 140 deny ip any any log2补充操作说明补充操作说明访问控制列表命令格式：I.标准访问控制列表access-list list-number deny | permit source source-wildcard logII.扩展访问控制列表

31、access-list list-number deny | permit protocolsource source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers log | log-input检测方法检测方法1.判定条件判定条件I.针对每个业务所需通讯，存在一条 acl；II. 对于非公共性服务，源 IP 和目标 IP 不能含有 anyIII.目标端口明确2.检测操作检测操作使用 show ip access-list access-list-number | name 命

32、令，如下例：Router# show ip access-listExtended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain编号：编号：安全要求-设备-通用-配置-17-可选要求内容要求内容对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加密协议。操作指南操作指南1参考配置操作参考配置操作I.配置主机名和域名router# config tEnt

33、er configuration commands, one per line. End with CNTL/Z.router(config)# hostname RouterRouter(config)# ip domain-name Router.domain-nameII.配置访问控制列表Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.200Router(config)# line vty 0 4Router(config-line)# access-class

34、12 in Router(config-line)# exitIII. 配置账号和连接超时Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0IV. 生成 rsa

35、密钥对Router(config)# crypto key generate rsaThe name for the keys will be: Router.domain-nameChoose the size of the key modulus in the range of 360 to2048 for your General Purpose Keys. Choosing a key modulusgreater than 512 may take a few minutes.How many bits in the modulus 512: 2048Generating RSA K

36、eys .OKV.配置仅允许 ssh 远程登录Router(config)# line vty 0 4Router(config-line)# transport input ssh Router(config-line)# exitRouter(config)#2补充操作说明补充操作说明配置描述：I.配置 ssh 要求路由器已经存在主机名和域名II.配置访问控制列表，仅授权 192.168.0.200 访问 192.168.0.100 sshIII. 配置远程访问里连接超时IV. 生成 rsa 密钥对，如果已经存在可以使用以前的。默认存在 rsa密钥对 sshd 就启用，不存在 rsa 密钥

37、对 sshd 就停用。V.配置远程访问协议为 ssh检测方法检测方法1.判定条件判定条件I.存在 rsa 密钥对II. 远程登录指定 ssh 协议2.检测操作检测操作I.使用 show crypto key mypubkey rsa 命令，如下例：Router(config)# show crypto key mypubkey rsa% Key pair was generated at: 06:07:49 UTC Jan 13 1996Key name: Usage: Signature Key Key Data: 005C300D 06092A86 4886F70D 01010105 00

38、034B00 30480241 00C5E23B 55D6AB2204AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001% Key pair was generated at: 06:07:50 UTC Jan 13 1996Key name: Usage: Encryption Key Key Data: 00302017 4A7D385B 1234EF29 335FC97

39、3 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21II. 使用 show running-config 命令，如下例：router#show running-configBuilding configuration.Current configuration:!line vty 0 4trans

40、port input ssh2.2账号管理、认证授权账号管理、认证授权2.2.1 账户账户编号：编号：安全要求-设备-思科路由器-配置-1要求内容要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。操作指南操作指南1参考配置操作参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# service password-encryptionRouter(config)# username ruser1 password

41、3d-zirc0niaRouter(config)# username ruser1 privilege 1Router(config)# username ruser2 password 2B-or-3BRouter(config)# username ruser2 privilege 1Router(config)# end Router#2补充操作说明补充操作说明检测方法检测方法1.判定条件判定条件I.配置文件中，存在不同的帐号分配II. 网络管理员确认用户与帐号分配关系明确2.检测操作检测操作使用 show running-config 命令，如下例：router#show runni

42、ng-configBuilding configuration.Current configuration:!service password-encryption username ruser1 password 3d-zirc0niausername ruser1 privilege 1username ruser2 password 2B-or-3Busername ruser2 privilege 1编号：编号：安全要求-设备-思科路由器-配置-2要求内容要求内容应删除与设备运行、维护等工作无关的账号。操作指南操作指南1参考配置操作参考配置操作Router# config tEnter

43、 configuration commands, one per line. End with CNTL/Z.Router(config)# no username ruser32补充操作说明补充操作说明检测方法检测方法1.判定条件判定条件I.配置文件存在多帐号II. 网络管理员确认所有帐号与设备运行、维护等工作有关2.检测操作检测操作使用 show running-config 命令，如下例：router#show running-configBuilding configuration.Current configuration:!username user1 privilege 1 pa

44、ssword password1username nobodyuse privilege 1 password password12.2.2 口令口令编号：编号：安全要求-设备-思科路由器-配置-3要求内容要求内容静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用enable secret 配置 Enable 密码，不使用 enable password 配置 Enable 密码。操作指南操作指南1参考配置操作参考配置操作Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(

45、config)# enable secret 2-mAny-rOUtEsRouter(config)# no enable passwordRouter(config)# end2补充操作说明补充操作说明检测方法检测方法1.判定条件判定条件配置文件无明文密码字段2.检测操作检测操作使用 show running-config 命令，如下例：router#show running-configBuilding configuration.Current configuration:!service password-encryptionenable secret 5 $1oxphetTb$rTs

46、F$EdvjtWbi0qA2gusername ciscoadmin password 7 Wbi0qA1$rTsF$Edvjt2gpvyhetTb2.2.3授权授权2.2.4 认证认证编号：编号：安全要求-设备-思科路由器-配置-7-可选要求内容要求内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。操作指南操作指南1参考配置操作参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-modelRo

47、uter(config)#aaa authentication login default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#2补充操作说明补充操作说明与外部TACACS+ server 192.168.6.18 联动，远程登录使用 TACACS+

48、 serverya 验证检测方法检测方法1.判定条件判定条件帐号、口令配置，指定了认证系统2.检测操作检测操作使用 show running-config 命令，如下例：router#show running-configBuilding configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authentication enable default group tacacs+tacacs-server host 192.168.6.18tacacs

49、-server key Ir31yh8n#w9swD2.3 日志日志安全要求安全要求编号：编号：安全要求-设备-思科路由器-配置-4-可选要求内容要求内容与记账服务器(如 RADIUS 服务器或 TACACS 服务器)配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。操作指南操作指南1参考配置操作参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config

50、)#aaa new-model Router(config)#aaa accounting connection default start-stop group tacacs+Router(config)#aaa accounting exec default start-stop group tacacs+ Router(config)#endRouter1#2补充操作说明补充操作说明使用TACACS+ server检测方法检测方法1.判定条件判定条件配置了 AAA 模板的上述具体条目2.检测操作检测操作使用 show running-config 命令，如下例：router1#show

51、runn | include aaa Building configuration.Current configuration:!aaa new-modelaaa authentication login default group tacacs+aaa authorization exec default group tacacs+ aaa session-id common编号：编号：安全要求-设备-思科路由器-配置-5-可选要求内容要求内容与记账服务器(如 TACACS 服务器)配合，设备应配置日志功能，记录用户对设备的操作，如账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取

52、和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南操作指南1参考配置操作参考配置操作Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z.Router(config)#aaa new-model Router(config)#aaa accounting commands 1 default start-stop group tacacs+Router(config)#aaa accounting command

53、s 15 default start-stop group tacacs+Router(config)#endRouter1#2补充操作说明补充操作说明使用TACACS+ server检测方法检测方法1.判定条件判定条件配置了 AAA 模板的上述具体条目2.检测操作检测操作使用 show running-config 命令，如下例：router1#show runn | include aaa Building configuration.Current configuration:!aaa new-modelaaa accounting commands 1 default start-st

54、op group tacacs+aaa accounting commands 15 default start-stop group tacacs+编号：编号：安全要求-设备-思科路由器-配置-6-可选要求内容要求内容开启 NTP 服务，保证日志功能记录的时间的准确性。操作指南操作指南1参考配置操作参考配置操作配置命令如下：Router# config tEnter configuration commands, one per line. End with CNTL/Z.Router(config)# interface eth0/0Router(config-if)# no ntp di

55、sableRouter(config-if)# exit Router(config)# ntp server 14.2.9.2 source loopback0Router(config)# exit2补充操作说明补充操作说明需要到每个端口开启 NTP检测方法检测方法1.判定条件判定条件I.存在 ntp server 配置条目II. 日志记录时间准确2.检测操作检测操作I.使用 show running-config 命令，如下例：router#show running-configBuilding configuration.Current configuration:!no ntp di

56、sablentp update-calendarntp server 128.237.32.2 ntp server 142.182.31.6II. show logging | include NTP000019: Jan 29 10:57:52.633 EST: %NTP-5-PEERSYNC: NTP synced to peer 172.25.1.5000020: Jan 29 10:57:52.637 EST: %NTP-6-PEERREACH: Peer 172.25.1.5 is reachable2.42.4 IPIP 协议安全要求协议安全要求2.4.12.4.1基本协议安全基

57、本协议安全编号：编号：安全要求-设备-思科路由器-配置-8-可选要求内容要求内容配置路由器，防止地址欺骗。操作指南操作指南1参考配置操作参考配置操作对向内流量配置：Router(config)# no access-list 100 Router(config)# access-list 100 deny ip 192.168.10.0 0.0.0.255 any logRouter(config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any logRouter(config)# access-list 100 deny ip 10

58、.0.0.0 0.255.255.255 any logRouter(config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any logRouter(config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any logRouter(config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any logRouter(config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 a

59、ny logRouter(config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any logRouter(config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any logRouter(config)# access-list 100 deny ip host 255.255.255.255 any logRouter(config)# access-list 100 permit ip any 192.168.10.0 0.0.0.255Router(config)#

60、 access-list 100 deny ip any any logRouter(config)# interface eth0 Router(config-if)# description External interface to 192.168.0./16 netRouter(config-if)# ip address 192.168.10.20 255.255.0.0Router(config-if)# ip access-group 100 inRouter(config-if)# exit Router(config)# interface eth1 Router(confi

61、g-if)# description Internal interface to 192.168.10.0/24 netRouter(config-if)# ip address 192.168.10.250 255.255.255.0Router(config-if)# end对向外流量配置：Router(config)# no access-list 102 Router(config)# access-list 102 permit ip 192.168.10.0 0.0.0.255 anyRouter(config)# access-list 102 deny ip any any l

62、ogRouter(config)# interface eth 0/1Router(config-if)# description internal interfaceRouter(config-if)# ip address 192.168.10.250 255.255.255.0Router(config-if)# ip access-group 102 in2补充操作说明补充操作说明假设内部网络是 192.168.10.0检测方法检测方法1.判定条件判定条件各接口只转发属于自己 ip 范围内的源地址数据包流出2.检测操作检测操作使用 show running-config 命令，如下例：

63、router#show running-configaccess-list 10 deny ip 192.168.0.0 0.0.0.255 any logaccess-list 10 deny ip 127.0.0.0 0.255.255.255 any log int f1/1description the outside interface of permeter routerip access-group 10 inaccess-list 11 permit ip 192.168.0.0 0.0.0.255 anyaccess-list 11 deny ip any any login

64、terface s1/1description inside interface of perimeter routerip address 192.168.0.254 255.255.255.0ip access-group 11 in编号：编号：安全要求-设备-思科路由器-配置-9要求内容要求内容路由器以 UDP/TCP 协议对外提供服务，供外部主机进行访问，如作为NTP 服务器、TELNET 服务器、TFTP 服务器、FTP 服务器、SSH 服务器等，应配置路由器，只允许特定主机访问。操作指南操作指南1参考配置操作参考配置操作例如：要配置允许目的为 14.1.1.2 的所有 DNS 访问

65、流量Router(config)# no access-list 140Router(config)# access-list 140 permit udp any host 14.1.1.2 eq 53Router(config)# access-list 140 deny udp any any log例如：要配置仅允许 192.168.0.200 访问路由器Router(config)# no access-list 12 Router(config)# access-list 12 permit host 192.168.0.2002补充操作说明补充操作说明检测方法检测方法1.判定条件

66、判定条件相关服务存在 access 绑定2.检测操作检测操作使用 show running-config 命令，如下例：router#show running-config！telnet 、ssh 服务器line vty 0 4login localaccess-class 2 inexec-timeout 10 0exit！NTP 服务器access-list 1 permit 10.1.1.1 0.0.0.255ntp access-group query-only 1！ftp、tftp 服务器ip ftp source-interface fastEthernet 0/0ip tftp source-interface fastEthernet 0/0编号：编号：安全要求-设备-思科路由器-配置-10-可选要求内容要求内容过滤已知攻击：在网络边界，设置安全访问控制，过滤掉已知安全攻击数据包，例如udp 1434 端口（防止 SQL slammer 蠕虫） 、tcp445,5800,5900（防止 Della蠕虫） 。操作指南操作指南1参考配置操作参考配置操作Router(conf