XXXXXX網(wǎng)絡(luò)安全設(shè)備配置規(guī)范2011年1月

文檔信息標(biāo)題文檔全名版本號1.0版本日期2011年1月文件名網(wǎng)絡(luò)安全設(shè)備配置規(guī)范所有者XXX作者XXX修訂記錄日期描述作者版本號2011-1創(chuàng)建XXX1.0文檔審核/審批（此文檔需如下審核）姓名公司/部門職務(wù)/職稱文檔分發(fā)（此文檔將分發(fā)至如下各人）姓名公司/部門職務(wù)/職稱網(wǎng)絡(luò)安全設(shè)備配置規(guī)范1防火墻1.1防火墻配置規(guī)范要求管理員分級，包括超級管理員、安全管理員、日志管理員等并定義相應(yīng)的職責(zé)，維護(hù)相應(yīng)的文檔和記錄。防火墻管理人員應(yīng)定期接受培訓(xùn)。對防火墻管理的限制，包括，關(guān)閉telnet、http、ping、snmp等，以及使用SSH而不是telnet遠(yuǎn)程管理防火墻。賬號管理是否安全，設(shè)置了哪些口令和帳戶策略，員工辭職，如何進(jìn)行口令變更？1.2變化控制防火墻配置文件是否備份？如何進(jìn)行配置同步？改變防火墻缺省配置。是否有適當(dāng)?shù)姆阑饓S護(hù)控制程序？加固防火墻操作系統(tǒng)，并使用防火墻軟件的最新穩(wěn)定版本或補(bǔ)丁，確保補(bǔ)丁的來源可靠。是否對防火墻進(jìn)行脆弱性評估/測試？（隨機(jī)和定期測試）規(guī)則檢查防火墻訪問控制規(guī)則集是否和防火墻策略一致？應(yīng)該確保訪問控制規(guī)則集依從防火墻策略，如嚴(yán)格禁止某些服務(wù)、嚴(yán)格開放某些服務(wù)、缺省時禁止所有服務(wù)等，以滿足用戶安全需求，實現(xiàn)安全目標(biāo)。防火墻訪問控制規(guī)則是否有次序性？是否將常用的訪問控制規(guī)則放在前面以增加防火墻的性能？評估防火墻規(guī)則次序的有效性。防火墻訪問控制規(guī)則集的一般次序為：?反電子欺騙的過濾（如，阻斷私有地址、從外口出現(xiàn)的內(nèi)部地址）?用戶允許規(guī)則（如，允許HTTP到公網(wǎng)Web服務(wù)器）管理允許規(guī)則拒絕并報警（如，向管理員報警可疑通信）拒絕并記錄（如，記錄用于分析的其它通信）防火墻是在第一次匹配的基礎(chǔ)上運行，因此，按照上述的次序配置防火墻，對于確保排除可疑通信是很重要的。防火墻訪問控制規(guī)則中是否有保護(hù)防火墻自身安全的規(guī)則防火墻是否配置成能抵抗DoS/DDoS攻擊？防火墻是否阻斷下述欺騙、私有（RFC1918）和非法的地址標(biāo)準(zhǔn)的不可路由地址（55、）?私有（RFC1918）地址（-55、-172.31..255.255、-55）?保留地址（）?非法地址（）是否確保外出的過濾？確保有僅允許源IP是內(nèi)部網(wǎng)的通信通過而源IP不是內(nèi)部網(wǎng)的通信被丟棄的規(guī)則，并確保任何源IP不是內(nèi)部網(wǎng)的通信被記錄。是否執(zhí)行NAT,配置是否適當(dāng)？任何和外網(wǎng)有信息交流的機(jī)器都必須經(jīng)過地址轉(zhuǎn)換（NAT）才允許訪問外網(wǎng)，同樣外網(wǎng)的機(jī)器要訪問內(nèi)部機(jī)器，也只能是其經(jīng)過NAT后的IP，以保證系統(tǒng)的內(nèi)部地址、配置和有關(guān)的設(shè)計信息如拓?fù)浣Y(jié)構(gòu)等不能泄露到不可信的外網(wǎng)中去。在適當(dāng)?shù)牡胤?，防火墻是否有下面的控制？如，URL過濾、端口阻斷、防IP欺騙、過濾進(jìn)入的Java或ActiveX、防病毒等。防火墻是否支持“拒絕所有服務(wù)，除非明確允許”的策略？審計監(jiān)控具有特權(quán)訪問防火墻的人員的活動是否鑒別、監(jiān)控和檢查？對防火墻的管理人員的活動，防火墻應(yīng)該有記錄，并要求記錄不能修改，以明確責(zé)任，同時能檢查對防火墻的變化。通過防火墻的通信活動是否日志？在適當(dāng)?shù)牡胤?，是否有監(jiān)控和響應(yīng)任何不適當(dāng)?shù)幕顒拥某绦?？確保防火墻能夠日志，并標(biāo)識、配置日志主機(jī)，確保日志安全傳輸。管理員通過檢查日志來識別可能顯示攻擊的任何潛在模式，使用審計日志可以監(jiān)控破壞安全策略的進(jìn)入服務(wù)、外出服務(wù)和嘗試訪問。是否精確設(shè)置并維護(hù)防火墻時間？配置防火墻使得在日志記錄中包括時間信息。精確設(shè)置防火墻的時間，使得管理員追蹤網(wǎng)絡(luò)攻擊更準(zhǔn)確。是否按照策略檢查、回顧及定期存檔日志，并存儲在安全介質(zhì)上？確保對防火墻日志進(jìn)行定期存儲并檢查，產(chǎn)生防火墻報告，為管理人員提供必需的信息以幫助分析防火墻的活動，并為管理部門提供防火墻效率情況。應(yīng)急響應(yīng)1.重大事件或活動是否設(shè)置報警？是否有對可以攻擊的響應(yīng)程序？如適當(dāng)設(shè)置入侵檢測功能，或者配合使用IDS（入侵檢測系統(tǒng)），以防止某些類型的攻擊或預(yù)防未知的攻擊。2.是否有災(zāi)難恢復(fù)計劃？恢復(fù)是否測試過？評估備份和恢復(fù)程序（包括持續(xù)性）的適當(dāng)性，考慮：對重要防火墻的熱備份、備份多長時間做一次、執(zhí)行備份是否加密、最近成功備份測試的結(jié)果等。2交換機(jī)2.1交換機(jī)配置文件是否離線保存、注釋、保密、有限訪問，并保持與運行配置同步2.2是否在交換機(jī)上運行最新的穩(wěn)定的IOS版本是否定期檢查交換機(jī)的安全性？特別在改變重要配置之后。是否限制交換機(jī)的物理訪問？僅允許授權(quán)人員才可以訪問交換機(jī)。5VLAN1中不允許引入用戶數(shù)據(jù)，只能用于交換機(jī)內(nèi)部通訊。2.6考慮使用PVLANs,隔離一個VLAN中的主機(jī)。2.7考慮設(shè)置交換機(jī)的SecurityBanner,陳述“未授權(quán)的訪問是被禁止的”。2.8是否關(guān)閉交換機(jī)上不必要的服務(wù)？包括:TCP和UDP小服務(wù)、CDP、finger等。2.9必需的服務(wù)打開,是否安全地配置這些服務(wù)？。2.10保護(hù)管理接口的安全2.11shutdown所有不用的端口。并將所有未用端口設(shè)置為第3層連接的vlan。2.12加強(qiáng)con、aux、vty等端口的安全。2.13將密碼加密，并使用用戶的方式登陸。2.14使用SSH代替Telnet,并設(shè)置強(qiáng)壯口令。無法避免Telnet時，是否為Telnet的使用設(shè)置了一些限制？2.15采用帶外方式管理交換機(jī)。如果帶外管理不可行,那么應(yīng)該為帶內(nèi)管理指定一個獨立的VLAN號。2.16設(shè)置會話超時,并配置特權(quán)等級。2.17使HTTPserver失效,即,不使用Web瀏覽器配置和管理交換機(jī)。18如果使用SNMP,建議使用SNMPv2,并使用強(qiáng)壯的SNMPcommunitystrings?；蛘卟皇褂脮r，使SNMP失效。2.19實現(xiàn)端口安全以限定基于MAC地址的訪問。使端口的auto-trunking失效。2.20使用交換機(jī)的端口映像功能用于IDS的接入。2.21使不用的交換機(jī)端口失效,并在不使用時為它們分配一個VLAN號。22為TRUNK端口分配一個沒有被任何其他端口使用的nativeVLAN號。23限制VLAN能夠通過TRUNK傳輸，除了那些確實是必需的。2.24使用靜態(tài)VLAN配置。2.25如果可能，使VTP失效。否則，為VTP設(shè)置：管理域、口令和pruning。然后設(shè)置VTP為透明模式。2.26在適當(dāng)?shù)牡胤绞褂迷L問控制列表。2.27打開logging功能，并發(fā)送日志到專用的安全的日志主機(jī)。2.28配置logging使得包括準(zhǔn)確的時間信息，使用NTP和時間2.29依照安全策略的要求對日志進(jìn)行檢查以發(fā)現(xiàn)可能的事件并進(jìn)行存檔。2.30為本地的和遠(yuǎn)程的訪問交換機(jī)使用AAA特性。3路由器是否有路由器的安全策略？明確各區(qū)域的安全策略物理安全設(shè)計誰有權(quán)安裝、拆除、移動路由器。設(shè)計誰有權(quán)維護(hù)和更改物理配置。設(shè)計誰有權(quán)物理連接路由器設(shè)計誰有權(quán)物理在Console端口連接路由器設(shè)計誰有權(quán)恢復(fù)物理損壞并保留證據(jù)?靜態(tài)配置安全設(shè)計誰有權(quán)在Console端口登錄路由器。設(shè)計誰有權(quán)管理路由器。設(shè)計誰有權(quán)更改路由器配置設(shè)計口令權(quán)限并管理口令更新設(shè)計允許進(jìn)出網(wǎng)絡(luò)的協(xié)議、IP地址設(shè)計日志系統(tǒng)限制SNMP的管理權(quán)限定義管理協(xié)議(NTP,TACACS+,RADIUS,andSNMP)與更新時限定義加密密鑰使用時限動態(tài)配置安全識別動態(tài)服務(wù)，并對使用動態(tài)服務(wù)作一定的限制識別路由器協(xié)議，并設(shè)置安全功能設(shè)計自動更新系統(tǒng)時間的機(jī)制(NTP)如有VPN,設(shè)計使用的密鑰協(xié)商和加密算法網(wǎng)絡(luò)安全列出允許和過濾的協(xié)議、服務(wù)、端口、對每個端口或連接的權(quán)限。危害響應(yīng)列出危害響應(yīng)中個人或組織的注意事項定義系統(tǒng)被入侵后的響應(yīng)過程收集可捕獲的和其遺留的信息?沒有明確允許的服務(wù)和協(xié)議就拒絕路由器的安全策略的修改內(nèi)網(wǎng)和外網(wǎng)之間增加新的連接。管理、程序、和職員的重大變動。網(wǎng)絡(luò)安全策略的重大變動。?增強(qiáng)了新的功能和組件°(VPNorfirewall)察覺受到入侵或特殊的危害。定期維護(hù)安全策略訪問安全保證路由器的物理安全嚴(yán)格控制可以訪問路由器的管理員口令配置是否安全Example:Enablesecret53424er2w使路由器的接口更安全使路由器的控制臺、輔助線路和虛擬終端更安全控制臺#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#linecon0##configt##configt(config-line)#transportinputnone(config-line)#loginlocal(config-line)#exec-timeout50(config-line)#exit(config)#設(shè)置一個用戶(config)#usernamebrianprivilege1passwordg00d+pa55w0rd(config)#end#關(guān)閉輔助線路#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#lineaux0(config-line)#transportinputnone(config-line)#loginlocal(config-line)#exec-timeout01(config-line)#noexec(config-line)#exit關(guān)閉虛擬終端Enterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#noaccess-list90(config)#access-list90denyanylog(config)#linevty04(config-line)#access-class90in(config-line)#transportinputnone(config-line)#loginlocal(config-line)#exec-timeout01(config-line)#noexec(config-line)#end#訪問列表1.實現(xiàn)訪問列表及過濾拒絕從內(nèi)網(wǎng)發(fā)出的源地址不是內(nèi)部網(wǎng)絡(luò)合法地址的信息流。(config)#noaccess-list102(config)#access-list102permitip55any(config)#access-list102denyipanyanylog(config)#interfaceeth0/1(config-if)#description"internalinterface"(config-if)#ipaddress50(config-if)#ipaccess-group102in?拒絕從外網(wǎng)發(fā)出的源地址是內(nèi)部網(wǎng)絡(luò)地址的信息流?拒絕所有從外網(wǎng)發(fā)出的源地址是保留地址、非法地址、廣播地址的信息流InboundTraffic(config)#noaccess-list100(config)#access-list100denyip55anylog(config)#access-list100denyip55anylog(config)#access-list100denyip55anylog(config)#access-list100denyip55anylog(config)#access-list100denyip55anylog(config)#access-list100denyip55anylog(config)#access-list100denyip77(TCP&UDP)echo77(TCP&UDP)echo55anylog(config)#access-list100denyip55anylog(config)#access-list100denyip55anylog(config)#access-list100denyiphost55anylog(config)#access-list100permitipany55(config)#interfaceeth0/0(config-if)#description"externalinterface"(config-if)#ipaddress0(config-if)#ipaccess-group100in(config-if)#exit(config)#interfaceeth0/1(config-if)#description"internalinterface"(config-if)#ipaddress50(config-if)#end入路由器外部接口阻塞下列請求進(jìn)入內(nèi)網(wǎng)的端口1(TCP&UDP)tcpmux9(TCP&UDP)discard11(TCP)systat13(TCP&UDP)daytime15(TCP)netstat19(TCP&UDP)chargen37(TCP&UDP)time43(TCP)whois67(UDP)bootp69(UDP)tftp93(TCP)supdup111(TCP&UDP)sunrpc135(TCP&UDP)loc-srv137(TCP&UDP)netbios-ns138(TCP&UDP)netbios-dgm139(TCP&UDP)netbios-ssn177(UDP)xdmcp445(TCP)netbios(ds)512(TCP)rexec515(TCP)lpr517(UDP)talk518(UDP)ntalk540(TCP)uucp1900,5000(TCP&UDP)MicrosoftUPnPSSDP2049(UDP)nfs6000-6063(TCP)XWindowSystem6667(TCP)irc12345(TCP)NetBus12346(TCP)NetBus31337(TCP&UDP)BackOrifice161(TCP&UDP)snmp162(TCP&UDP)snmptrap513(TCP)rlogin513(UDP)who514(TCP)rsh,rcp,rdist,rdump514(UDP)syslog2.關(guān)閉路由器上不必要的服務(wù)(可運行showproc命令顯示)CiscoDiscoveryProtocolTcpsmallserversUDPsmallserversFingerhttpserverbootpserverconfigurationautoloading(config)#access-list(config)#access-list100permiticmpany(config)#access-list(config)#access-list100permiticmpany(config)#access-list(config)#access-list100denyiphost0hostipsourceroutingproxyARPIPdirectedbroadcastIPunreachablenotificationIPremarkreplyIPredirectsNTPserviceSimpleNetworkmgmtprotocolDomainNameservice是否過濾通過路由器的通信？是否設(shè)置IP地址欺騙保護(hù)？是否設(shè)置漏洞保護(hù)(ExploitsProtection)?TCPSYN功擊設(shè)置在ROUTER的外網(wǎng)口，只允許從內(nèi)部建立TCP連接(config)#access-list106permittcpany55established(config)#access-list106denyipanyanylog(config)#interfaceeth0/0(config-if)#description"externalinterface"(config-if)#ipaccess-group106in只允許到達(dá)可達(dá)用戶0log(config)#access-list100permitipanyany(config)#interfaceeth0/0(config-if)#descriptionExternalinterfaceto/16(config-if)#ipaddress0(config-if)#ipaccess-group100in(config-if)#exitSmurfAttack不允許向內(nèi)部網(wǎng)絡(luò)發(fā)送IP廣播包(config)#access-list110denyipanyhost55log(config)#access-list110denyipanyhostlog(config)#interfaceinterfaceeth0/0(config-if)#ipaccess-group110in(config-if)#exitICMP和TRACEROUTE功能的設(shè)置禁止PING內(nèi)網(wǎng)(config)#access-list100denyicmpanyanyecholog(config)#access-list100denyicmpanyanyredirectlog(config)#access-list100denyicmpanyanymask-requestlogaccess-listaccess-list170denytcpanyanyeq65000log55(config)#access-list100denyudpanyanyrange3340034400log允許PING外網(wǎng)(config)#access-list102permiticmpanyanyecho(config)#access-list102permiticmpanyanyparameter-problem(config)#access-list102permiticmpanyanypacket-too-big(config)#access-list102permiticmpanyanysource-quench(config)#access-list102denyicmpanyanylog(config)#access-list102permitudpanyanyrange3340034400logDistributedDenialofService(DDoS)Attacksaccess-list170denytcpanyanyeq27665logaccess-list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemaccess-list170denytcpanyanyeq16660log!theTrinityV3systemaccess-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39168log!theSubsevenDDoSsystemandsomevariantsaccess-list170denytcpanyanyrange67116712logaccess-list170denytcpanyanyeq6776logaccess-list170denytcpanyanyeq6669logaccess-list170denytcpanyanyeq2222logaccess-list170denytcpanyanyeq7000log是否過濾訪問路由器自身的通信？路由協(xié)議安全RoutedProtocolsTCP/IP協(xié)議、RIP、OSPF、IGRP、EIGRP、BGPRouteTablesandRoutingProtocolsDirectconnection:Staticrouting.Dynamicrouting.Defaultrouting.建議：1.小型網(wǎng)絡(luò)應(yīng)用靜態(tài)路由Enterconfigurationcommands,oneperline.EndwithEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Enterconfigurationcommands,oneperline.EndwithEnterconfigurationcommands,oneperline.EndwithCNTL/Z.#configt(config)#iproute0120(config)#end#2.使用動態(tài)路由設(shè)置帶權(quán)限的路由信息更新。RouterNeighborAuthenticationOSPFAuthentication#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#routerospf1(config-router)#network55area0(config-router)#area0authenticationmessage-digest(config-router)#exit(config)#inteth0/1(config-if)#ipospfmessage-digest-key1md5r0utes-4-all(config-if)#end#configt#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.#configt#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config-keychain-key)#(config-keychain-key)#exit(config-keychain-key)#(config-keychain-key)#exit(config)#routerospf1(config-router)#area0authenticationmessage-digest(config-router)#network55area0(config-router)#network55area0(config-router)#exit(config)#inteth0(config-if)#ipospfmessage-digest-key1md5r0utes-4-all(config-if)#endRIPAuthenticationRIP2支持此功能#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#keychain-KC(config-keychain)#key1(config-keychain-key)#key-stringmy-supersecret-key(config-keychain)#key(config-keychain)#key2(config-keychain-key)#key-stringmy-othersecret-key(config-keychain-key)#end(config-keychain)#key(config-keychain)#key2(config-keychain-key)#key-stringmy-othersecret-key(config-keychain-key)#end##configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#keychain-KC(config-keychain)#key1(config-keychain-key)#key-stringmy-supersecret-key(config-keychain-key)#exit(config-keychain)#key2(config-keychain-key)#key-stringmy-othersecret-key(config-keychain-key)#end#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#intethernet0/1(config-if)#ipripauthenticationkey-chain-KC(config-if)#ipripauthenticationmodemd5(config-if)#endEnterconfigurationcommands,oneperline.EndwithEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Enterconfigurationcommands,oneperline.EndwithEnterconfigurationcommands,oneperline.EndwithCNTL/Z.#configt(config)#intethernet0/0(config-if)#ipripauthenticationkey-chain-KC(config-if)#ipripauthenticationmodemd5(config-if)#end#EIGRPAuthentication#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#routereigrp100(config-router)#network(config-router)#exit(config)#interfaceeth0/1(config-if)#ipauthenticationmodeeigrp100md5(config-if)#ipauthenticationkey-chaineigrp100-KC(config-if)#exit(config)#keychain-KC(config-keychain)#key1(config-keychain-key)#key-stringsecret-key(config-keychain)#(config-keychain)#key1(config-keychain)#(config-keychain)#key1(config-keychain-key)#send-lifetime00:00:00Oct1200200:00:00Jan12003(config-keychain-key)#accept-lifetime00:00:00Oct1200200:00:00Jan72003(config-keychain-key)#end##configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#routereigrp100(config-router)#network(config-router)#network(config-router)#network(config-router)#passive-interfaceeth1(config-router)#exit(config)#interfaceeth0(config-if)#ipauthenticationmodeeigrp100md5(config-if)#ipauthenticationkey-chaineigrp100-KC(config-if)#exit(config)#keychain-KC(config-keychain-key)#(config-keychain-key)#key-stringsecret-key(config-keychain-key)#(config-keychain-key)#key-stringsecret-key(config-keychain-key)#send-lifetime00:00:00Oct1200200:00:00Jan12003(config-keychain-key)#accept-lifetime00:00:00Oct1200200:00:00Jan72003(config-keychain-key)#end#關(guān)閉ARPPROXY功能#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#interfaceethernet0/0(config-if)#noipproxy-arp(config-if)#exit(config)#interfaceethernet0/1(config-if)#noipproxy-arp(config-if)#endDisablingunneededrouting-relatedservices#configt#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.PassiveInterfaces（被動態(tài)接口）Router1#showconfiginterfaceethernet0descriptionActiveroutinginterfacefornetipaddress50!interfaceethernet1descriptionActiveroutinginterfacefornetipaddress50!interfaceethernet2descriptionPassiveinterfaceonthenetipaddress0!routerospf1network55area0passive-interfaceethernet2說明只在ETHERNETSETHERNET2上運行OSPF協(xié)議。在ETHERNET2上禁止(config)#routerrip(config-router)#passive-interfaceethernet0/0(config-router)#end#Usingfilterstoblockroutingupdates#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#access-list55deny55(config)#access-list55permitany(config)#end##configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#routerospf1(config-router)#distribute-list55out(config-router)#endRip協(xié)議configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#access-list55deny55(config)#access-list55permitany(config)#routerrip(config-router)#distribute-list55out(config-router)#end