運(yùn)維設(shè)備安全配置流程目錄TOC\o"1-5"\h\z\o"CurrentDocument"^、簡述2\o"CurrentDocument"二、升級(jí)說明2\o"CurrentDocument"三、安全內(nèi)容2\o"CurrentDocument"網(wǎng)絡(luò)設(shè)備2\o"CurrentDocument"windows2008服務(wù)器安全配置：5四、標(biāo)準(zhǔn)配置流程6基本配置作用6\o"CurrentDocument"特殊配置作用6\o"CurrentDocument"優(yōu)化配置流程6一、簡述本安排配置配置標(biāo)準(zhǔn)為網(wǎng)絡(luò)設(shè)備和服務(wù)器通用版本，所有網(wǎng)絡(luò)設(shè)備和服務(wù)器在上架或接入公網(wǎng)之前必須按照本標(biāo)準(zhǔn)進(jìn)行配置，否則一律視為不安全設(shè)備并不予安全驗(yàn)收。所有設(shè)備在沒有通過安全驗(yàn)收不得直連公網(wǎng)，否則將追述相關(guān)責(zé)任人與其直屬領(lǐng)導(dǎo)。二、升級(jí)說明當(dāng)網(wǎng)絡(luò)環(huán)境出現(xiàn)新的風(fēng)險(xiǎn)，應(yīng)第一時(shí)間對(duì)所有設(shè)備進(jìn)行風(fēng)險(xiǎn)排查并完成配置更新。新的配置方案及時(shí)與運(yùn)維部門全體成員召開討論會(huì)，并對(duì)安全標(biāo)準(zhǔn)進(jìn)行更新升級(jí)。完成升級(jí)后的標(biāo)準(zhǔn)提交總監(jiān)級(jí)和公司CTO進(jìn)行審批。完成審批后公布新版安全標(biāo)準(zhǔn)。三、安全內(nèi)容安全標(biāo)準(zhǔn)內(nèi)容對(duì)設(shè)備安全等級(jí)劃分為3個(gè)等級(jí)，分別為《安全級(jí)別一》、《安全級(jí)別二》和《安全級(jí)別三》。其中《安全級(jí)別三》為最高安全級(jí)別，并包含以上所有安全級(jí)別配置要求。網(wǎng)絡(luò)設(shè)備1）設(shè)備命名（安全級(jí)別一）：所有設(shè)備命名必須遵循命名規(guī)則：設(shè)備層級(jí)-設(shè)備位置-設(shè)備型號(hào)簡寫-設(shè)備編號(hào)。M-GD3#3F-S55-1M代表核心層設(shè)備，H代表匯聚層設(shè)備，J代表接入層設(shè)備；GD是國定的縮寫，3#表示3號(hào)樓，3F表示3樓；S表示交換機(jī)Switch首字母，55表示交換機(jī)型號(hào)為5500簡寫；1表示當(dāng)前樓層第一臺(tái)設(shè)備。2）設(shè)備配置原則（安全級(jí)別一）新設(shè)備配置：配置前必須查看設(shè)備是否為出廠配置，如不是出廠配置，必須恢復(fù)成出廠配置后方能進(jìn)行全新配置，配置完成后對(duì)設(shè)備配置進(jìn)行保存并備份。舊設(shè)備配置更新：配置前必須備份當(dāng)前設(shè)備配置腳本，對(duì)設(shè)備配置過程中嚴(yán)禁對(duì)設(shè)備配置進(jìn)行保存，以免更新配置中出現(xiàn)新故障無法進(jìn)行數(shù)據(jù)回滾。完成所有配置更新后對(duì)設(shè)備進(jìn)行保存操作，并對(duì)更新后對(duì)配置文件進(jìn)行備份操作。舊設(shè)備新用途：配置前必須對(duì)設(shè)備進(jìn)行恢復(fù)出廠配置，恢復(fù)完成后對(duì)設(shè)備配置新數(shù)據(jù)，配置完成后對(duì)配置文件進(jìn)行保存并備份。3）設(shè)備權(quán)限配置（安全級(jí)別一）設(shè)備權(quán)限劃分為三個(gè)級(jí)別，分別為level1、level2和level3。不同權(quán)限的用戶名不得相同，用戶名長度不得低于5個(gè)字符。levell:僅查看權(quán)限，level2：可修改權(quán)限，level3:管理員權(quán)限，4）口令配置標(biāo)準(zhǔn)（安全級(jí)別一）不同權(quán)限用戶口令必須不一致，口令長度最低不得低于10位，口令必須包含字母大小寫+數(shù)字+特殊符號(hào)，并且口令必須無序隨機(jī)生成。所有口令必須密文配置。配置命令：[M-GD3#3F-S55-1]local-userzhadmin[M-GD3#3F-S55-1]passwordcipherXkGX![Pwe#[M-GD3#3F-S55-1]local-userzhroot[M-GD3#3F-S55-1]passwordcipher"\）RcAJ>S3[M-GD3#3F-S55-1]local-userzhuser[M-GD3#3F-S55-1]passwordcipher;,Tx*jh>l32）、創(chuàng)建登錄賬戶與口令（創(chuàng)建zhadmin、zhroot、zhuser三個(gè)賬戶分別給予不同的級(jí)別，zhadmin賬戶level2有所有配置命令除管理級(jí)命令外、zhroot賬戶level3是管理賬戶具有所有命令權(quán)限、zhuser賬戶level1只有監(jiān)控與查看的權(quán)限）；每個(gè)賬戶有個(gè)對(duì)應(yīng)密碼（密碼設(shè)置嚴(yán)格按照安全密碼規(guī)則配置，應(yīng)用10位復(fù)雜加密，配置密碼必須用密文并且是MD5加密方法來加密口令）提高密碼安全；配置標(biāo)準(zhǔn)：[M-GD3#3F-S55-1]local-userzhadmin[M-GD3#3F-S55-1]passwordcipherXkGX![Pwe#[M-GD3#3F-S55-1]local-userzhroot[M-GD3#3F-S55-1]passwordcipher"\）RcAJ>S3[M-GD3#3F-S55-1]local-userzhuser[M-GD3#3F-S55-1]passwordcipher;,Tx*jh>l33）、方便配置和維護(hù)交換機(jī)，在交換機(jī)上配置遠(yuǎn)程登錄telnet，配置telnet時(shí)注意網(wǎng)絡(luò)安全問題（1、用戶名和密碼認(rèn)證；2、超級(jí)密碼認(rèn)證；3、基于源地址ACL控制；4、vty接入禁止ssh報(bào)文進(jìn)入，防止ssh攻擊網(wǎng)絡(luò)設(shè)備）；[M-GD3#3F-S55-1]interfaceVlan-interface7[M-GD3#3F-S55-1-interface]ipaddressx.x.x.xx.x.x.0[M-GD3#3F-S55-1]telnetserverenable[M-GD3#3F-S55-1]user-interfaceaux0[M-GD3#3F-S55-1]authentication-modescheme[M-GD3#3F-S55-1]user-interfaceaux1[M-GD3#3F-S55-1]user-interfacevty04[M-GD3#3F-S55--ui-vty0-4]acl2000inbound[M-GD3#3F-S55-1]authentication-modescheme[M-GD3#3F-S55-1]userprivilegelevel3[M-GD3#3F-S55-1]user-interfacevty57[M-GD3#3F-S55-1]acl2000inbound[M-GD3#3F-S55-1]authentication-modescheme[M-GD3#3F-S55-1]userprivilegelevel2[M-GD3#3F-S55-1]user-interfacevty815[M-GD3#3F-S55-1]acl2000inbound[M-GD3#3F-S55-1]authentication-modescheme4）、ACL訪問控制列表在網(wǎng)絡(luò)中是不可缺少的安全工具，acl可以管理基本的通信流量，控制制定的數(shù)據(jù)流量通過，在設(shè)備上配置ACL根據(jù)訪問需求配置訪問規(guī)則（訪問控制列表）控制internet的通信流量；[M-GD3#3F-S55-1]aclnumber2000[M-GD3#3F-S55-1]rule0permitsourcex.x.x.x05）、端口聚合增加所連鏈路帶寬，為后續(xù)相關(guān)配置只需在其中一個(gè)光口或鏈路聚合組中操作即可，數(shù)據(jù)會(huì)自動(dòng)復(fù)制到其他成員端口上，在鏈路上起到負(fù)載均衡；[M-GD3#3F-S55-1]interfaceBridge-Aggregation1[M-GD3#3F-S55-1]portlink-typetrunk[M-GD3#3F-S55-1]undoporttrunkpermitvlan1[M-GD3#3F-S55-1]porttrunkpermitvlan256）、日志監(jiān)控與snmp（網(wǎng)絡(luò)管理協(xié)議），配置syslogserver,將日志信息發(fā)送到監(jiān)控服務(wù)器上log紀(jì)錄交換機(jī)的平時(shí)運(yùn)行產(chǎn)生的一些事件；snmp用以監(jiān)測(cè)連接到網(wǎng)絡(luò)上的設(shè)備是否有任何引起管理上關(guān)注的情況，在設(shè)備上必須開啟；[M-GD3#3F-S55-1]info-centerloghost[M-GD3#3F-S55-1]snmp-agent[M-GD3#3F-S55-1]snmp-agentcommunityreadyovole.c0m7）、根據(jù)網(wǎng)絡(luò)環(huán)境配置最優(yōu)路由（默認(rèn)路由或靜態(tài)路由）；[M-GD3#3F-S55-1]iproute-static0.0.0.00.0.0.0下一調(diào)地址[M-GD3#3F-S55-1]iprouter-staticx.x.x.0x.x.x.0下一調(diào)地址8）、創(chuàng)建vlan（虛擬局域網(wǎng)）阻隔廣播域，設(shè)備默認(rèn)的端口都屬于vlan1為了安全期間建議創(chuàng)建指定vlan后將vlan1關(guān)閉，切記vlan1是不可刪除；[M-GD3#3F-S55-1]vlan29）、配置trunk（中繼模式）、access（普通模式）實(shí)現(xiàn)設(shè)備間vlan互通；[M-GD3#3F-S55-1]interfaceGigabitEthernet1/1[M-GD3#3F-S55-1-GigabitEthernet1/1]portlink-typetrunk[M-GD3#3F-S55-1-GigabitEthernet1/1]porttrunkpermitvlan1020[M-GD3#3F-S55-1]interfaceGigabitEthernet1/1[M-GD3#3F-S55-1-GigabitEthernet1/1]portaccessvlan7910）、為了節(jié)約內(nèi)存防止安全破壞行為與攻擊，關(guān)閉命令如:ndp發(fā)現(xiàn)鄰居關(guān)系，以及指定端口鏈路配置完成后將其閑置端口showdown，并且針對(duì)多設(shè)備的互連開啟STP（生成樹）；（ps:對(duì)于核心設(shè)備切勿配置，STP計(jì)算值會(huì)損耗資源）[M-GD3#3F-S55-1]undondpenable[M-GD3#3F-S55-1]stpenable2.windows2008服務(wù)器安全配置：1）、賬戶與密碼：創(chuàng)建server2008管理賬戶密碼并且將administrator賬戶更改其他賬戶或者創(chuàng)建其他用戶為管理員，設(shè)置密碼符合復(fù)雜性要求；2）、數(shù)據(jù)備份：定期備份服務(wù)器數(shù)據(jù)，如:server2008上虛擬機(jī)服務(wù)器cacti監(jiān)控?cái)?shù)據(jù)，客戶郵箱服務(wù)器數(shù)據(jù)等定期備份；3）、遠(yuǎn)程訪問服務(wù)：服務(wù)器開啟遠(yuǎn)程服務(wù)方便遠(yuǎn)程管理以及配置，設(shè)置用戶密碼遠(yuǎn)程認(rèn)證，根據(jù)訪問需求設(shè)置遠(yuǎn)程連接數(shù)、對(duì)指定的用戶開放遠(yuǎn)程權(quán)限，也可將默認(rèn)的遠(yuǎn)程桌面3389端口更改其他端口，防止黑客攻擊；4）、服務(wù)監(jiān)控：將服務(wù)器日志加入監(jiān)控范圍內(nèi)，并且設(shè)置閾值報(bào)警;5）、服務(wù)器安全：由于服務(wù)器用于公網(wǎng)地址，對(duì)服務(wù)器運(yùn)行攻擊風(fēng)險(xiǎn)很高，為了防止ping攻擊在組策略上設(shè)置禁止來自外網(wǎng)的非法ping攻擊；為了阻止非