網(wǎng)絡(luò)平安設(shè)備配置規(guī)網(wǎng)絡(luò)平安設(shè)備配置規(guī)1防火墻1.1防火墻配置規(guī)要求管理員分級(jí)，包括超級(jí)管理員、平安管理員、日志管理員等，并定義相應(yīng)的職責(zé)，維護(hù)相應(yīng)的文檔和記錄。防火墻管理人員應(yīng)定期承受培訓(xùn)。對(duì)防火墻管理的限制，包括，關(guān)閉telnet、、ping、snmp等，以及使用SSH而不是telnet遠(yuǎn)程管理防火墻。賬號(hào)管理是否平安，設(shè)置了哪些令和**策略，員工辭職，如進(jìn)展令變更.1.2變化控制防火墻配置文件是否備份.如進(jìn)展配置同步.改變防火墻缺省配置。是否有適當(dāng)?shù)姆阑饓S護(hù)控制程序.加固防火墻操作系統(tǒng)，并使用防火墻軟件的最新穩(wěn)定版本或補(bǔ)丁，確保補(bǔ)丁的來源可靠。是否對(duì)防火墻進(jìn)展脆弱性評(píng)估/測(cè)試.〔隨機(jī)和定期測(cè)試〕..1.3規(guī)則檢查防火墻訪問控制規(guī)則集是否和防火墻策略一致.應(yīng)該確保訪問控制規(guī)則集依從防火墻策略，如格制止*些效勞、格開放*些效勞、缺省時(shí)制止所有效勞等，以滿足用戶平安需求，實(shí)現(xiàn)平安目標(biāo)。防火墻訪問控制規(guī)則是否有次序性.是否將常用的訪問控制規(guī)則放在前面以增加防火墻的性能.評(píng)估防火墻規(guī)則次序的有效性。防火墻訪問控制規(guī)則集的一般次序?yàn)椋悍措娮悠垓_的過濾〔如，阻斷私有地址、從外出現(xiàn)的部地址〕?用戶允規(guī)則〔如，允到公網(wǎng)Web效勞器〕?管理允規(guī)則?拒絕并報(bào)警〔如，向管理員報(bào)警可疑通信〕?拒絕并記錄〔如，記錄用于分析的其它通信〕防火墻是在第一次匹配的根底上運(yùn)行，因此，按照上述的次序配置防火墻，對(duì)于確保排除可疑通信是很重要的。防火墻訪問控制規(guī)則中是否有保護(hù)防火墻自身平安的規(guī)則防火墻是否配置成能抵抗DoS/DDoS攻擊.防火墻是否阻斷下述欺騙、私有〔RFC1918〕和非法的地址標(biāo)準(zhǔn)的不可路由地址〔、〕私有〔RFC191〕地址〔.、-172.31..255.255、〕保存地址〔〕非法地址〔.0〕z.是否確保外出的過濾.確保有僅允源IP是部網(wǎng)的通信通過而源IP不是部網(wǎng)的通信被丟棄的規(guī)則，并確保任源IP不是部網(wǎng)的通信被記錄。是否執(zhí)行NAT，配置是否適當(dāng).任和外網(wǎng)有信息交流的機(jī)器都必須經(jīng)過地址轉(zhuǎn)換〔NAT〕才允訪問外網(wǎng)，同樣外網(wǎng)的機(jī)器要訪問部機(jī)器，也只能是其經(jīng)過NAT后的IP，以保證系統(tǒng)的部地址、配置和有關(guān)的設(shè)計(jì)信息如拓?fù)錁?gòu)造等不能泄露到不可信的外網(wǎng)中去。在適當(dāng)?shù)牡?，防火墻是否有下面的控?如，URL過濾、端阻斷、防IP欺騙、過濾進(jìn)入的Java或Active*、防病毒等。防火墻是否支持”拒絕所有效勞，除非明確允〃的策略.1.4審計(jì)監(jiān)控具有特權(quán)訪問防火墻的人員的活動(dòng)是否鑒別、監(jiān)控和檢查.對(duì)防火墻的管理人員的活動(dòng)，防火墻應(yīng)該有記錄，并要求記錄不能修改，以明確責(zé)任，同時(shí)能檢查對(duì)防火墻的變化。通過防火墻的通信活動(dòng)是否日志.在適當(dāng)?shù)牡兀欠裼斜O(jiān)控和響應(yīng)任不適當(dāng)?shù)幕顒?dòng)的程序.確保防火墻能夠日志，并標(biāo)識(shí)、配置日志主機(jī)，確保日志平安傳輸。管理員通過檢查日志來識(shí)別可能顯示攻擊的任潛在模式，使用審計(jì)日志可以監(jiān)控破壞平安策略的進(jìn)入效勞、外出效勞和嘗試z.訪問。是否準(zhǔn)確設(shè)置并維護(hù)防火墻時(shí)間.配置防火墻使得在日志記錄中包括時(shí)間信息。準(zhǔn)確設(shè)置防火墻的時(shí)間，使得管理員追蹤網(wǎng)絡(luò)攻擊更準(zhǔn)確。是否按照策略檢查、回憶及定期存檔日志，并存儲(chǔ)在平安介質(zhì)上.確保對(duì)防火墻日志進(jìn)展定期存儲(chǔ)并檢查，產(chǎn)生防火墻報(bào)告，為管理人員提供必需的信息以幫助分析防火墻的活動(dòng)，并為管理部門提供防火墻效率情況。1.5應(yīng)急響應(yīng)重大事件或活動(dòng)是否設(shè)置報(bào)警.是否有對(duì)可以攻擊的響應(yīng)程序.如適當(dāng)設(shè)置入侵檢測(cè)功能，或者配合使用IDS〔入侵檢測(cè)系統(tǒng)〕，以防止*些類型的攻擊或預(yù)防未知的攻擊。是否有災(zāi)難恢復(fù)方案.恢復(fù)是否測(cè)試過.評(píng)估備份和恢復(fù)程序〔包括持續(xù)性〕的適當(dāng)性，考慮：對(duì)重要防火墻的熱備份、備份多長(zhǎng)時(shí)間做一次、執(zhí)行備份是否加密、最近成功備份測(cè)試的結(jié)果等。z.2交換機(jī)2.1交換機(jī)配置文件是否離線保存、注釋、**、有限訪問，并保持與運(yùn)行配置同步2.2是否在交換機(jī)上運(yùn)行最新的穩(wěn)定的IOS版本2.3是否認(rèn)期檢查交換機(jī)的平安性.特別在改變重要配置之后。是否限制交換機(jī)的物理訪問.僅允才受權(quán)人員才可以訪問交換機(jī)。VLAN1中不允引入用戶數(shù)據(jù)，只能用于交換機(jī)部通訊?？紤]使用PVLANs，隔離一個(gè)VLAN中的主機(jī)?？紤]設(shè)置交換機(jī)的SecurityBanner，述”未才受權(quán)的訪問是被制止的〃。是否關(guān)閉交換機(jī)上不必要的效勞.包括：TCP和UDP小效勞、CDP、finger等。2.9必需的效勞翻開，是否平安地配置這些效勞.。2.10保護(hù)管理接的平安2.11shutdown所有不用的端。并將所有未用端設(shè)置為第3層連接的vlan。2.12加強(qiáng)con、au*、vty等端的平安。z.2.13將密碼加密，并使用用戶的式登陸。2.14使用SSH代替Telnet，并設(shè)置強(qiáng)壯令。無法防止Telnet時(shí)，是否為Telnet的使用設(shè)置了一些限制.2.15采用帶外式管理交換機(jī)。如果帶外管理不可行，則應(yīng)該為帶管理指定一個(gè)獨(dú)立的VLAN號(hào)。2.16設(shè)置會(huì)話超時(shí)，并配置特權(quán)等級(jí)。2.17使server失效，即，不使用Web瀏覽器配置和管理交換機(jī)。2.18如果使用SNMP，建議使用SNMPv2，并使用強(qiáng)壯的SNMPmunitystrings?；蛘卟皇褂脮r(shí)，使SNMP失效。2.19實(shí)現(xiàn)端平安以限定基于MAC地址的訪問。使端的auto-trunking失效。2.20使用交換機(jī)的端映像功能用于IDS的接入。2.21使不用的交換機(jī)端失效，并在不使用時(shí)為它們分配一個(gè)VLAN號(hào)。2.22為TRUNK端分配一個(gè)沒有被任其他端使用的nativeVLAN號(hào)。2.23限制VLAN能夠通過TRUNK傳輸，除了那些確實(shí)是必需的。z.2.24使用靜態(tài)VLAN配置。2.25如果可能，使VTP失效。否則，為VTP設(shè)置：管理域、令和pruningo然后設(shè)置VTP為透明模式。2.26在適當(dāng)?shù)牡厥褂迷L問控制列表。2.27翻開logging功能，并發(fā)送日志到專用的平安的日志主機(jī)。2.28配置logging使得包括準(zhǔn)確的時(shí)間信息，使用NTP和時(shí)間戳。2.29依照平安策略的要求對(duì)日志進(jìn)展檢查以發(fā)現(xiàn)可能的事件并進(jìn)展存檔。2.30為本地的和遠(yuǎn)程的訪問交換機(jī)使用AAA特性。3路由器是否有路由器的平安策略.明確各區(qū)域的平安策略?物理平安設(shè)計(jì)誰有權(quán)安裝、撤除、移動(dòng)路由器。設(shè)計(jì)誰有權(quán)維護(hù)和更改物理配置。設(shè)計(jì)誰有權(quán)物理連接路由器設(shè)計(jì)誰有權(quán)物理在Console端連接路由器設(shè)計(jì)誰有權(quán)恢復(fù)物理?yè)p壞并保存證據(jù)?靜態(tài)配置平安z.設(shè)計(jì)誰有權(quán)在Console端登錄路由器。設(shè)計(jì)誰有權(quán)管理路由器。設(shè)計(jì)誰有權(quán)更改路由器配置設(shè)計(jì)令權(quán)限并管理令更新設(shè)計(jì)允進(jìn)出網(wǎng)絡(luò)的協(xié)議、IP地址設(shè)計(jì)日志系統(tǒng)限制SNMP的管理權(quán)限定義管理協(xié)議〔NTP,TACACS+,RADIUS,andSNMP〕與更新時(shí)限定義加密密鑰使用時(shí)限?動(dòng)態(tài)配置平安識(shí)別動(dòng)態(tài)效勞，并對(duì)使用動(dòng)態(tài)效勞作一定的限制識(shí)別路由器協(xié)議，并設(shè)置平安功能設(shè)計(jì)自動(dòng)更新系統(tǒng)時(shí)間的機(jī)制〔NTP〕如有VPN，設(shè)計(jì)使用的密鑰協(xié)商和加密算法?網(wǎng)絡(luò)平安列出允和過濾的協(xié)議、效勞、端、對(duì)每個(gè)端或連接的權(quán)限。?危害響應(yīng)列出危害響應(yīng)中個(gè)人或組織的本卷須知定義系統(tǒng)被入侵后的響應(yīng)過程收集可捕獲的和其遺留的信息z.?沒有明確允的效勞和協(xié)議就拒絕路由器的平安策略的修改?網(wǎng)和外網(wǎng)之間增加新的連接。?管理、程序、和職員的重大變動(dòng)。?網(wǎng)絡(luò)平安策略的重大變動(dòng)。?增強(qiáng)了新的功能和組件。〔VPNorfirewall)?覺察受到入侵或特殊的危害。定期維護(hù)平安策略訪問平安保證路由器的物理平安格控制可以訪問路由器的管理員令配置是否平安E*ample:Enable53424er2w使路由器的接更平安使路由器的控制臺(tái)、輔助線路和虛擬終端更平安控制臺(tái)*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*linecon0(config-line)*transportinputnone(config-line)*loginlocalz.(config-line)*e*ec-timeout50(config-line)*e*it(config)*設(shè)置一個(gè)用戶(config)*usernamebrianprivilege1passwordgd+pa55w0rd(config)*end*關(guān)閉輔助線路configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*lineau*0(config-line)*transportinputnone(config-line)*loginlocal(config-line)*e*ec-timeout01(config-line)*noe*ec(config-line)*e*it關(guān)閉虛擬終端configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*noaccess-list90(config)*access-list90denyanylog(config)*linevty04.z.(config-line)*access-class90in(config-line)*transportinputnone(config-line)*loginlocal(config-line)*e*ec-timeout01(config-line)*noe*ec(config-line)*end*訪問列表實(shí)現(xiàn)訪問列表及過濾拒絕從網(wǎng)發(fā)出的源地址不是部網(wǎng)絡(luò)合法地址的信息流。(config)*noaccess-list102(config)*access-list102permiti.055any(config)*access-list102denyipanyanylog(config)*interfaceeth0/1(config-if)*description"internalinterface"(config-if)*ipaddress(config-if)*ipaccess-group102in?拒絕從外網(wǎng)發(fā)出的源地址是部網(wǎng)絡(luò)地址的信息流拒絕所有從外網(wǎng)發(fā)出的源地址是保存地址、非法地址、播送地址的信息流InboundTrafficz.(config)*noaccess-list1(config)*access-list1denyi.055anylog(config)*access-list1denyip55anylog(config)*access-list1denyi.055anylog(config)*access-list1denyi.055anylog(config)*access-list1denyip55anylog(config)*access-list1denyip55anylog(config)*access-list1denyip.255anylog(config)*access-list1denyip55anyloganylog(config)*access-list1denyiphost55anylog(config)*access-list1permitipany(config)*interfaceeth0/0(config-if)*description"e*ternalinterface"(config-if)*ipaddress(config-if)*ipaccess-group1inz.(config-if)*e*it(config)*interfaceeth0/1(config-if)*description"internalinterface"(config-if)*ipaddress(config-if)*end入路由器外部接阻塞以下請(qǐng)求進(jìn)入網(wǎng)的端。(TCP&UDP)tcpmu*7(TCP&UDP)echo9(TCP&UDP)discard(TCP)systat13(TCP&UDP)daytime15(TCP)netstat19(TCP&UDP)chargen37(TCP&UDP)time43(TCP)whois67(UDP)bootp69(UDP)tftp93(TCP)supdup(TCP&UDP)sunrpc(TCP&UDP)loc-srv137(TCP&UDP)netbios-ns(TCP&UDP)netbios-dgmz.(TCP&UDP)netbios-ssn177(UDP)*dmcp445(TCP)netbios(ds)(TCP)re*ec515(TCP)lpr(UDP)talk(UDP)ntalk540(TCP)uucp19,50(TCP&UDP)Microso任UPnPSSDP2049(UDP)nfs60-6063(TCP)*WindowSystem6667(TCP)irc(TCP)NetBus(TCP)NetBus31337(TCP&UDP)BackOrifice161(TCP&UDP)snmp(TCP&UDP)snmptrap(TCP)rlogin(UDP)who(TCP)rsh,rcp,rdist,rdump514(UDP)syslog2.關(guān)閉路由器上不必要的效勞〔可運(yùn)行showproc命令顯示〕z.CiscoDiscoveryProtocolTcpsmallserversUDPsmallserversFingerserverbootpserverconfigurationautoloadingipsourceroutingpro*yARPIPdirectedbroadcastIPunreachablenotificationIPremarkreplyIPredirectsNTPserviceSimpleNetworkmgmtprotocolDomainNameservice是否過濾通過路由器的通信.是否設(shè)置IP地址欺騙保護(hù).是否設(shè)置漏洞保護(hù)〔E*ploitsProtection].TCPSYN功擊設(shè)置在ROUTER的外網(wǎng)，只允從部建立TCP連接(config)*access-list106permittcpany.055establishedz.(config)*access-list106denyipanyanylog(config)*interfaceeth0/0(config-if)*description"e*ternalinterface"(config-if)*ipaccess-group106in只允到達(dá)可達(dá)用戶(config)*access-list1denyiphost.20host0log(config)*access-list1permitipanyany(config)*interfaceeth0/0(config-if)*descriptionE*ternalinterfaceto.0/16(config-if)*ipaddress(config-if)*ipaccess-group1in(config-if)*e*itSmurfAttack不允向部網(wǎng)絡(luò)發(fā)送IP播送包(config)*access-list110denyipanyhost.255log(config)*access-list110denyipanyhost.0log(config)*interfaceinterfaceeth0/0(config-if)*ipaccess-group110in(config-if)*e*itICMP和TRACEROUTE功能的設(shè)置制止PING網(wǎng)(config)*access-list1denyicmpanyanyechologz.(config)*access-list1denyicmpanyanyredirectlog(config)*access-list1denyicmpanyanymask-requestlog(config)*access-list1permiticmpany(config)*access-list1denyudpanyanyrange334344log允PING外網(wǎng)(config)*access-list102permiticmpanyanyecho(config)*access-list102permiticmpanyanyparameter-problem(config)*access-list102permiticmpanyanypacket-too-big(config)*access-list102permiticmpanyanysource-quench(config)*access-list102denyicmpanyanylog(config)*access-list102permitudpanyanyrange334344logDistributedDenialofService(DDoS)Attacksaccess-listdenytcpanyanyeq27665logaccess-listdenyudpanyanyeq31335logaccess-listdenyudpanyanyeq27444log!theStacheldrahtDDoSsystemaccess-listdenytcpanyanyeq16660logaccess-listdenytcpanyanyeq650log!theTrinityV3systemaccess-listdenytcpanyanyeq33270logz.access-listdenytcpanyanyeq39168log!theSubsevenDDoSsystemandsomevariantsaccess-listdenytcpanyanyrange67116712logaccess-listdenytcpanyanyeq6776logaccess-listdenytcpanyanyeq6669logaccess-listdenytcpanyanyeq2222logaccess-listdenytcpanyanyeq70log是否過濾訪問路由器自身的通信.路由協(xié)議平安RoutedProtocolsTCP/IP協(xié)議、RIP、OSPF、IGRP、EIGRP、BGPRouteTablesandRoutingProtocolsDirectconnection:Staticrouting.Dynamicrouting.Defaultrouting.建議：小型網(wǎng)絡(luò)應(yīng)用靜態(tài)路由*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*iproute.00120z.(config)*end*使用動(dòng)態(tài)路由設(shè)置帶權(quán)限的路由信息更新。RouterNeighborAuthenticationOSPFAuthenticationconfigtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*routerospf1(config-router)*network.055area0(config-router)*area0authenticationmessage-digest(config-router)*e*it(config)*inteth0/1(config-if)*ipospfmessage-digest-key1md5r0utes-4-all(config-if)*end*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*routerospf1(config-router)*area0authenticationmessage-digest(config-router)*network.055area0(config-router)*network.055area0(config-router)*e*itz.(config)*inteth0(config-if)*ipospfmessage-digest-key1md5r0utes-4-all(config-if)*endRIPAuthenticationRIP2支持此功能configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*keychain-KC(config-keychain)*key1(config-keychain-key)*key-stringmy-super-key(config-keychain-key)*e*it(config-keychain)*key2(config-keychain-key)*key-stringmy-other-key(config-keychain-key)*end*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*keychain-KC(config-keychain)*key1(config-keychain-key)*key-stringmy-super-key(config-keychain-key)*e*it(config-keychain)*key2z.(config-keychain-key)*key-stringmy-other-key(config-keychain-key)*endconfigtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*intethernet0/1(config-if)*ipripauthenticationkey-chain-KC(config-if)*ipripauthenticationmodemd5(config-if)*end*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*intethernet0/0(config-if)*ipripauthenticationkey-chain-KC(config-if)*ipripauthenticationmodemd5(config-if)*end*EIGRPAuthenticationconfigtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*routereigrp1(config-router)*network(config-router)*e*itz.(config)*interfaceeth0/1(config-if)*ipauthenticationmodeeigrp1md5(config-if)*ipauthenticationkey-chaineigrp1-KC(config-if)*e*it(config)*keychain-KC(config-keychain)*key1(config-keychain-key)*key-string-key(config-keychain-key)*send-lifetime::Oct122::Jan123(config-keychain-key)*accept-lifetime::Oct122::Jan723(config-keychain-key)*end**configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*routereigrp1(config-router)*network(config-router)*network(config-router)*passive-interfaceeth1(config-router)*e*it(config)*interfaceeth0(config-if)*ipauthenticationmodeeigrp1md5z.(config-if)*ipauthenticationkey-chaineigrp1-KC(config-if)*e*it(config)*keychain-KC(config-keychain)*key1(config-keychain-key)*key-string-key(config-keychain-key)*send-lifetime::Oct122::Jan123(config-keychain-key)*accept-lifetime::Oct122::Jan723(config-keychain-key)*end*關(guān)閉ARPPRO*Y功能*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*interfaceethernet0/0(config-if)*noippro*y-arp(config-if)*e*it(config)*interfaceethernet0/1(config-if)*noippro*y-arp(config-if)*endDisablingunneededrouting-relatedservicesPassiveInterfaces(被動(dòng)態(tài)接)z.Routerl*showconfiginterfaceethernet0descriptionActiveroutinginterfacefor.0netipaddress!interfaceethernetldescriptionActiveroutinginterfacefor.0netipaddress!interfaceethernet2descriptionPassiveinterfaceonthe.0net!routerospflnetwork.055area0passive-interfaceethernet2說明只在ETHERNET1、ETHERNET2上運(yùn)行OSPF協(xié)議。在ETHERNET2上制止*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*routerripz.(config-router)*passive-interfaceethernet0/0(config-router)*end*UsingfilterstoblockroutingupdatesconfigtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*access-list55deny(config)*access-list55permitany(config)*end*configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*routerospf1(config-router)*distribute-list55out(config-router)*end*Rip協(xié)議configtEnterconfigurationmands,oneperline.EndwithTL/Z.(config)*access-list55deny(config)*access-list55permitany(config)*routerripz.(config-router)*distribute-list55out(config-router)*end*BGPandM