思科路由器

安全配置規(guī)范

SpecificationforCiscoRouter

ConfigurationUsedinChinaMobiIe

版本號：1.0.0

網(wǎng)絡(luò)與信息安全規(guī)范編號：【網(wǎng)絡(luò)與值息安全規(guī)范】?【第四層：技術(shù)規(guī)范?思科路由器】?【第4502號】

OnA-7nnno_n>i_n4g4二

中國移動通信集團(tuán)企業(yè)公布

目錄

1概述

1.1合用范圍..............................................................

1.2內(nèi)部合用性闡明........................................................

1.3外部引用闡明..........................................................

1.4術(shù)語和定義............................................................

1.5符號和縮略語..........................................................

2思科路由器設(shè)備安全配置規(guī)定...............................................

2.1內(nèi)部合用性安全規(guī)定....................................................

2.2賬號管理、認(rèn)證授權(quán)安全規(guī)定............................................

賬戶.............................................................

口令.............................................................

授權(quán).............................................................

認(rèn)證.............................................................

2.3日志安全規(guī)定..........................................................

2.4IP協(xié)議安全規(guī)定.......................................................

基本協(xié)議安全.....................................................

路由協(xié)議安全.....................................................

SNMP協(xié)議安全.....................................................

MPLS安全

2.5其他安全規(guī)定...............................................................

J予言

本原則由中國移動通信有限企業(yè)網(wǎng)絡(luò)部提出并歸口。

本原則由原則提出并歸口部門負(fù)責(zé)解釋。

本原則起草單位：中國移動通信有限企業(yè)網(wǎng)絡(luò)部。

本原則解釋單位：同提出單位。

本原則重要起草人：中國移動集團(tuán)上海企業(yè)劉金根

中國移動集團(tuán)企業(yè)陳敏時

1概述

1.1合用范圍

本規(guī)范合用于中國移動通信網(wǎng)、業(yè)務(wù)系統(tǒng)和支撐系統(tǒng)的思科路由器C本規(guī)范

明確了思科路由器安全配置方面日勺基本規(guī)定。

1.2內(nèi)部合用性闡明

本規(guī)范是在《中國移動設(shè)備通用設(shè)備安全功能和配置規(guī)范》（如下簡稱《通

用規(guī)范》）各項設(shè)備配置規(guī)定的基礎(chǔ)上.，提出的思科路由器安全配置規(guī)定。如下

分項列出本規(guī)范對《通用規(guī)范》設(shè)備配置規(guī)定的修訂狀況:

設(shè)備通用安全配置規(guī)定編號采納意見備注

安全規(guī)定-設(shè)備-通用-配置-1-可選增強(qiáng)規(guī)定安全規(guī)定-設(shè)備-思科路由器-

配置T

安全規(guī)定-設(shè)備-通用-配置-2-可選增強(qiáng)功能安全規(guī)定-設(shè)備-思科路由器-

配置-2

安全規(guī)定-設(shè)備-通用-配置-3-可選完全采納

安全規(guī)定-設(shè)備-通用-配置-4完全采納

安全規(guī)定-設(shè)備-通用-配置-5不采納設(shè)備不支持

安全規(guī)定-設(shè)備-通用-配置-6-可選不采納設(shè)備不支持

安全規(guī)定-設(shè)備-通用-配置-7-可選不采納設(shè)備不支持

安全規(guī)定-設(shè)備-通用-配置-9完全采納

安全規(guī)定-設(shè)備-通用-配置-12不采納設(shè)備不支持

安全規(guī)定-設(shè)備-通用-配置-13-可選不采納設(shè)備不支持

安全規(guī)定-設(shè)備-通用-配置-24-可選增強(qiáng)規(guī)定安全規(guī)定■設(shè)備-思科路由器?

配置-7.可選

安全規(guī)定-設(shè)備-通用-配置-14-可選完全采納

安全規(guī)定-設(shè)備-通用-配置-16-可選完全采納

安全規(guī)定-設(shè)備-通用-配置-17-可選完全采納

安全規(guī)定-設(shè)備-通用-配置-19-可選增強(qiáng)規(guī)定安全規(guī)定-設(shè)備-思科路由器-配

置-22

安全規(guī)定-設(shè)備-通用-配置-20-可選不采納設(shè)備不支持

安全規(guī)定設(shè)備通用配置-27-可選增強(qiáng)規(guī)定安全規(guī)定設(shè)備思科路由器配

置-23

本規(guī)范新增的安全配置規(guī)定，如下：

安全規(guī)定?設(shè)備-思科路由器-配置-3

安全規(guī)定?設(shè)備-思科路由器-配置4可選

安全規(guī)定?設(shè)備?思科路由器-配置S可選

安全規(guī)定?設(shè)備?思科路由器?配置6可選

安全規(guī)定■設(shè)備■思科路由器■配置-8?可選

安全規(guī)定■設(shè)備■思科路由器■配置-9

安全規(guī)定?設(shè)備-思科路由器-配置」0.可選

安全規(guī)定-設(shè)備-思科路由器-配置

安全規(guī)定-設(shè)備-思科路由器-配置-12.可選

安全規(guī)定?設(shè)備-思科路由器-配置-13

安全規(guī)定-設(shè)備-思科路由器?配置-14?可選

安全規(guī)定-設(shè)備-思科路由器?配置?15

安全規(guī)定-設(shè)備?思科路由器-配置?16

安全規(guī)定■設(shè)備■思科路由器■配置-17

安全規(guī)定?設(shè)備?思科路由器?配置-18-可選

安全規(guī)定?設(shè)備?思科路由器-配置-19

安全規(guī)定?設(shè)備?思科路由器-配置?20

安全規(guī)定-設(shè)備?思科路由器-配置?21-可選

安全規(guī)定?設(shè)備?思科路由器?配置?24

本規(guī)范還針對直接引用《通用規(guī)范》的配置規(guī)定，給出了在思科路由器上日勺

詳細(xì)配置措施和檢測措施。

1.3外部引用闡明

《中國移動通用安全功能和配置規(guī)范》

1.4術(shù)語和定義

BGPRouteflapdamping：由RFC2439定義，當(dāng)BGP接口翻轉(zhuǎn)后，其他

BGP系統(tǒng)就會在一段可配置H勺時間內(nèi)不接受從這個問題網(wǎng)絡(luò)發(fā)出日勺路由信

息、。

1.5符號和縮略語

縮寫英文描述中文描述

2思科路由器設(shè)備安全配置規(guī)定

2.1直接引用《通用規(guī)范》的配置規(guī)定

編號：安全規(guī)定-設(shè)備-通用-配置-3-可選

規(guī)定內(nèi)容限制具有管理員權(quán)限日勺顧客遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先

以一般權(quán)限顧客遠(yuǎn)程登錄后，再切換到管理員權(quán)限賬號后執(zhí)行對應(yīng)操作。

1.參照配置操作

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#servicepassword-encryption

Routericonfig)#usernamenormaluserpassword3d-zirc0nia

Routericonfig)#usernamenormakiserprivilege1

Routcr(config)#linevty04

操作指南Routericonfig-line)#loginlocal

Routcr(config-linc)#cxcc-timcout50

Roulericonfig-line)#end

2.補(bǔ)充操作闡明

設(shè)定賬號密碼加密保留

創(chuàng)立normaluser賬號并指定權(quán)限級別為1；

設(shè)定遠(yuǎn)程登錄啟用路由器賬號驗證；

設(shè)定超時時間為5分鐘；

1,鑒定條件

I.VTY使用顧客名和密碼的方式進(jìn)行連接驗證

II.2、賬號權(quán)限級別較低,例如：I

2.檢測操作

使用showrunning-config命令，如下例：

routcrttshowrunning-config

Buildingconfiguration...

檢測措施

CuirenLconfiguialion:

!

servicepassword-encryption

usernamenormaluserpassword3d-zirc0nia

usernamenormaluserprivilege1

linevty04

loginlocal

編號：安全規(guī)定-設(shè)備-通用-配置-4

規(guī)定內(nèi)容對對于于采采用用靜靜態(tài)態(tài)口口令令認(rèn)認(rèn)證證技技術(shù)術(shù)的的設(shè)設(shè)備備，，口口令令長長度度至至少少66位位，，并并包包括括數(shù)數(shù)字字、、

‘小寫字母、大寫字母和特殊符號4類中至少2類。

小寫字母、大寫字母和特殊符號4類中至少2類。

1.參照配置操作

Router#configureterminal

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#aaanew-model

Routericonfig)#aaaauthenticationlogindefaultgrouptacacs+

Routcr(config)#aaaauthenticationenabledefaultgrouptacacs+

操作指南Router(config)#tacacs-servcrkeyIr3@lyh8n#w9@swD

Router(config)#end

Router#

2.補(bǔ)充操作闡明

與外部TACACS4-server8聯(lián)動,遠(yuǎn)程登錄使用TACACS+

serverya驗證；口令強(qiáng)度由TACACS-server控制

L鑒定條件

此項無法通過配置實現(xiàn)，提議通過管理實現(xiàn)

檢測措施

2.檢測操作

此項無法通過配置實現(xiàn)，提議通過管理實現(xiàn)

編號：安全規(guī)定-設(shè)備-通用-配置-9

規(guī)定內(nèi)容在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)顧客的業(yè)務(wù)需要，配置其所需的最小權(quán)限。

1.參照配置操作

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Routerlconfig)#servicepassword-encryption

Router(config)#usernamenormaluserpassword3d-zirc()nia

Routericonfig)#usernamenormaluserprivilege1

Routcnconfig)#privilegecxcclevel15connect

Rouler(config)#privilegeexeclevel15(elnet

Router(config)#privilegeexeclevel15rlogin

操作指南

Routericonfig)#privilegeexeclevel15showipaccess-lists

Routericonfig)#privilegeexeclevel15showaccess-lists

Routericonfig)#privilegeexeclevel15showlogging

Routericonfig)#!ifSSHissupported..

Routcr(config)#privilegecxeclevel15ssh

Routericonfig)#privilegeexeclevel1showip

2.補(bǔ)充操作闡明

基本思想是創(chuàng)立賬號并賦予不一樣的權(quán)限級別，并將各命令綁定在不一

樣的權(quán)限級別上；上例操作過程如下：

設(shè)定賬號密碼加密保留

創(chuàng)立normakiser賬號并指定權(quán)限級別為1；

將connect、telnet、rlogin>showipaccess-listsshowaccess-lists、show

logging、ssh指定僅當(dāng)賬號權(quán)限級別為15時才可使用；

將showip指定為僅當(dāng)賬號權(quán)限級別不小于1時才可使用；

L鑒定條件

I.顧客名綁定權(quán)限級別

II.操作命令劃分權(quán)限級別

2.檢測操作

使用showrunning-config命令,如下例：

router#showrunning-config

Buildingconfiguration...

Currentconfiguration:

i

檢測措施

usernamenormaluserpassword3d-zirc0nia

usernamenormaluserprivilege1

privilegeexeclevel15connect

privilegeexeclevel15telnet

privilegeexeclevel15rlogin

privilegeexeclevel15showipaccess-lists

privilegeoxoclevel15showaccess-lists

privilegeexeclevel15showlogging

privilegeexeclevel15ssh

privilegeexeclevel1showip

編號：安全規(guī)定-設(shè)備-通用-配置-14-可選

規(guī)定內(nèi)容設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳播到

日志服務(wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程原則日志接口，如

SYSLOG.FTP等。

1.參照配置操作

路由器側(cè)配置：

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z

Routericonfig)#loggingon

Routcr(config)#loggingtrapinformation

Router(config)#loggingfacilityIocal6

Router(config)#loggingsource-interfaceloopbackO

Routerlconfig)#exit

Router#showlogging

Sysloglogging:enabled(0messagesdropped,11flushes,Ooverruns)

Consolslogging:levelnotifications,35messageslogged

Monitorlogging:leveldebugging,35messageslogged

Bufferlogging:levelinformational,31messageslogged

Logging(o00,28messagelineslogged

Router#

2.補(bǔ)充操作闡明

I.假設(shè)把router日志存儲在日勺syslog服務(wù)器上

路由器側(cè)配置描述如下：

操作指南啟用日志

記錄日志級別設(shè)定uinformationn

記錄日志類型設(shè)定rtlocal6w

日志發(fā)送到

口志發(fā)送源是loopbackO

配置完畢可以使用“showlogging”驗證

服務(wù)器側(cè)配置參照如下：

Syslog服務(wù)器配置參照:

在Syslog.conf上增長一行

#Saveroutermessagestorouters.log

Iocal6.debug/var/log/routers.log

創(chuàng)立口志文獻(xiàn)

#touch/var/log/routers.log

II.假如使用snmp存儲日志參照配置如下：

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Routericonfig)#loggingtrapinformation

Roulericonfig)#snmp-serverhost(X)(rapspublic

Router(config)#snnip-servertrap-sourceloopbackO

Routericonfig)#snmp-serverenabletrapssyslog

Routericonfig)#exit

Router#

檢測措施1.鑒定條件

I.Sysioglogging和SNMPlogging至少有一種為"enabled"

II.Loggingto背面日勺主機(jī)名或IP指向日志服務(wù)器

III.一般記錄日志數(shù)不為0

2.檢測操作

使用showlogging命令，如卜例：

Router#showlogging

Sysioglogging:enabled

Consolelogging:disabled

Monitorlogging:leveldebugging,266messageslogged.

Traplogging:levelinformational,266messageslogged.

SNMPlogging:disabled,retransmissior.after30seconds

0messageslogged

Router#

編號：安全規(guī)定-設(shè)備-通用-配置-16-可選

規(guī)定內(nèi)容對于具有TCP/UDP協(xié)議功能的設(shè)備，設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源

IP地址、通信協(xié)議TCP或UDP、目的IP地址、源端口、目的端口的流量

過濾，過濾所有和業(yè)務(wù)不有關(guān)日勺流量。

1.參照配置操作

例如：要配置容許目的為.2的所有DNS訪問流量

Routertconfig)#access-list140permitudpanyhost.2eq53

Routericonfig)#access-list140denyudpanyanylog

例如：要配置容許目『、J為/16的所有DNS訪問流量

Roulericonfig)#access-list140permittepany

Router!config)#access-list140denyipanyanylog

操作指南2.補(bǔ)充操作闡明

訪問控制列表命令格式：

I.原則訪問控制列表

access-listlist-number{deny|permit}source[source-wildcard][log]

II.擴(kuò)展訪問控制列表

access-listlist-number{deny|permit}protocol

sourcesource-wildcardsource-qualifiers

destinationdestination-wildcarddes(ina:ion-qualifiers[log|log-input]

1.鑒定條件

檢測措施

I.針對每個業(yè)務(wù)所需通訊，存在一條acl；

II.對于非公共性服務(wù)，源IP和目《JIP不能具有any

III.目的端口明確

2.檢測操作

使用showipaccess-list[access-1ist-numbername]命令，如下

例：

Router#showipaccess-list

ExtendedIPaccess1ist101

denyudpanyanyeqntp

permittepanyany

permitudpanyanyeqtftp

permitiempanyany

permitudpanyanyeqdomain

編號：安全規(guī)定-設(shè)備-通用-配置-17-可選

規(guī)定內(nèi)容對于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)H勺設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議。

1.參照配置操作

I.配置主機(jī)名和域名

router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

router(conflg)#hostnameRouter

Routericonfig)#ipdomain-nameRouter.domain-name

II.配置訪問控制列表

Routericonfig)#noaccess-list12

Routcr(config)#acccss-iist12permithost

Routericonfig)#linevty04

Router(config-line)#access-class12in

Roulericonfig-line)#exit

III.配置賬號和連接超時

操作指南

Routericonfig)#servicepassword-encryption

Routericonfig)#usernamenormakiserpassword3d-zirc0nia

Router(config)#usernamenormaluserprivilege1

Routericonfig)#linevty04

Routcnconfig-linc)#loginlocal

Roulericonfig-1ine)#exec-timeout50

IV.生成rsa密鑰對

Routericonfig)#cryplokeygeneratersa

Thenameforthekeyswillbe:Router.domain-name

Choosethesizeofthekeymodulusintherangeof360to

2048foryourGeneralPurposeKeys.Choosingakeymodulus

greaterthan512maytakeafewminutes.

Howmanybitsinthemodulus[512]:2048

GeneratingRSAKeys...

[OK]

V.配置僅容許ssh遠(yuǎn)程登錄

Routerlconfig)#linevty04

Routericonfig-line)#transportinputssh

Routericonfig-line)#exit

Router(config)#

2.補(bǔ)充操作闡明

配置描述：

I.配置ssh規(guī)定路由器已經(jīng)存在主機(jī)名和域名

II.配置訪問控制列表,僅授權(quán)00訪問COssh

III.配置遠(yuǎn)程訪問里連接超時

IV.生成rsa密鑰對，假如已經(jīng)存在可以使用此前的。默認(rèn)存在rsa

密鑰對sshd就啟用，不存在rsa密鑰對sshd就停用。

V.配置遠(yuǎn)程訪問協(xié)議為ssh

1.鑒定條件

I.存在rsa密鑰對

II.遠(yuǎn)程登錄指定ssh協(xié)議

2.檢測操作

I.使用showcryptokeymypubkeyrsa命令，如下例：

Router(config)#showcryptokeymypubkeyrsa

%Keypairwasgeneratedat:06:07:49UTCJan131996

Usage:Signatui'cKey

KeyData:

005C300D06092A864886F70D0101010500034B003048024100C5E23B

55D6AE22

檢測措施

04AEF1BAA54028A69ACC01C5129D99E464CAB820847EDAD9DF0B4E4C

73A05DD2

BD62A8A9FA603DD2E2A8A6F898F76E28D58AD221B583D7A471020301

0001

%Keypairwasgeneratedat:06:07:50UTCJan131996

Usage:EncryptionKey

KeyData:

003C20234A7D385B1234EF29335FC9732DD50A37C4F4B0FD9DADE748

429618D5

18242BA32EDFBDD34296142ADDF7D3D8084076852F2190A00B43F1BD

9A8A2CDB

07953829791FCDE9A98420F06A82045B90288A26DBC644687789F76E

EE21

II.使用showrunning-config命令，如下例：

router#showrunning-config

Buildingconfiguration...

Currentconfiguration:

linevty04

transportinputssh

22賬號管理、認(rèn)證授權(quán)

2.2.1賬戶

編號：安全規(guī)定-設(shè)備-思科路由器-配置」

規(guī)定內(nèi)容應(yīng)按照顧客分派賬號。防止不一樣顧客間共享賬號。防止顧客賬號和設(shè)

備間通信使用H勺賬號共享。

1.參照配置操作

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Roi)ter(mnfig)#servicepassword-encryption

Rouler(config)#usernameruserlpassword3d-zirc0nia

Routericonfig)#usernameruserlprivilege1

操作指南Router(config)#usernameruser2password2B-or-3B

Routericonfig)#usernameruser2privilege1

Routenconfig)#end

Router#

2.補(bǔ)充操作闡明

1.鑒定條件

I.配置文獻(xiàn)中，存在不一樣的帳號分派

II.網(wǎng)絡(luò)管理員確認(rèn)顧客與帳號分派關(guān)系明確

檢測措施

2.檢測操作

使用showrunning-config命令,如下例：

router#showrunning-config

Buildingconfiguration...

Currentconfiguration:

!

servicepassword-encryption

usernameruserlpassword3d-zirc0nia

usernameruserlprivilege1

usernameruser2password2B-or-3B

usernaincruser2privilege1

編號：安全規(guī)定-設(shè)備-思科路由器-配置-2

規(guī)定內(nèi)容應(yīng)刪除與設(shè)備運行、維護(hù)等工作無關(guān)的賬號。

1.參照配置操作

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

操作指南

Routerlconfig)#nousernameruser3

2.補(bǔ)充操作闡明

1.鑒定條件

I.配置文獻(xiàn)存在多帳號

II.網(wǎng)絡(luò)管理員確認(rèn)所有帳號與設(shè)備運行、維護(hù)等工作有關(guān)

2.檢測操作

使用showrunning-config命令,如下例:

檢測措施router^showrunning-config

Buildingconfiguration...

Currentconfiguration:

i

usernameuserlprivilege1passwordpassword1

usernamenobodyuseprivilege1passwordpassword1

2.2.2口令

編號：安全規(guī)定-設(shè)備-思科路由器-配置-3

規(guī)定內(nèi)容靜態(tài)口令必須使用不可逆加密算法加密，以密文形式寄存。如使用enable

secret配置Enable密碼，不使用enablepassword配置Enable密碼。

1.參照配置操作

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Routericonfig)#enablesecret2-mAny-rOUtEs

操作指南

Routericonfig)#noenablepassword

Routcr(config)#end

2.補(bǔ)充操A闡明

1.鑒定條件

配置文獻(xiàn)無明文密碼字段

2.檢測操作

使用showrunning-config命令,如下例：

router#showrunning-config

Buildingconfiguration...

檢測措施

Currentconfiguration:

!

servicepassword-encryption

enablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2g

usernameciscoadminpassword7A'bi0qAl$rTsF$Edvjt2gpvyhetTb

2.2.3授權(quán)

2.2.4認(rèn)證

編號：安全規(guī)定-設(shè)備-思科路由器-配置-7-可選

規(guī)定內(nèi)容設(shè)備通過有關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強(qiáng)

制規(guī)定。

1.參照配置操作

Router#configure(erminal

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Rouler(config)#aaanew-model

Routericonfig)#aaaauthenticationlogindefaultgrouptacacs+

操作指南

Router(config)#aaaauthenticationenabledefaultgrouptacacs+

Routcr(config)#tacacs-scrvcrkeyIr3@lyh8n#w9@swD

Routericonfig)#end

Router#

2.補(bǔ)充操作闡明

與外部TACACS+server聯(lián)動，遠(yuǎn)程登錄使用TACACS+serverya驗

證

L鑒定條件

帳號、口令配置，指定了認(rèn)證系統(tǒng)

2.檢測操作

使用showrunning-config命令，如下例；

routerttshowrunning-config

Buildingconfiguration...

檢測措施Currentconfiguration:

I

aaanew-model

aaaauthenticationlogindefaultgrouptacacs+

ciaaaulhencicationenabledefaultgrouplacacs+

tacacs-serverkeyIr3@lyh8n#\v9@swl)

2.3日志安全規(guī)定

編號：安全規(guī)定-設(shè)備-思科路由器-配置-4-可選

規(guī)定內(nèi)容與記賬服務(wù)器（如RADIUS服務(wù)器或TACACS服務(wù)器）配合，設(shè)備應(yīng)配置

日志功能，對顧客登錄進(jìn)行記錄，記錄內(nèi)容包括顧客登錄使用的賬號，

登錄與否成功，登錄時間，以及遠(yuǎn)程登錄時，顧客使用的IP地址。

1.參照配置操作

Router#configureterminal

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Routericonfig)#aaanew-model

Router(config)#aaaaccountingconnectiondefaultstart-stopgrouptacacs+

操作指南

Routcr(config)#aaaaccountingcxecdefaultstart-stopgrouptacacs+

Rouler(config)#end

Router1#

2.補(bǔ)充操作闡明

使用TACACS+server

1.鑒定條件

檢測措施

配置了AAA模板H勺上述詳細(xì)條目

2.檢測操作

使用showrunning-config命令，如下例：

routerlrtshowrunn|includeaaa

Buildingconfiguration...

Currentconfiguration:

[

aaanew-model

aaaauthenticationlogindefaultgrouptacacs+

aaaauthorizationexecdefaultgrouptacacs+

aaasession-idcommon

編號：安全規(guī)定■設(shè)備■思科路由器-配置-5-可選

規(guī)定內(nèi)容與記賬服務(wù)器（如TACACS服務(wù)器）配合，設(shè)備應(yīng)配置日志功能，記錄顧

客對設(shè)備的操作,如賬號創(chuàng)立.、刪除和權(quán)限修改.口令修改,讀取和修

改設(shè)備配置，讀取和修改業(yè)務(wù)顧客的話費數(shù)據(jù)、身份數(shù)據(jù)、波及通信隱

私數(shù)據(jù)。記錄需要包括顧客賬號，操作時間，操作內(nèi)容以及操作成果。

1.參照配置操作

Router#configurcterminal

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Routericonfig)#aaanew-model

Router(config)#aaaaccountingcommands1defaultstart-stopgrouptacacs+

操作指南

Routerlconfig)#aaaaccountingcommands15defaultstart-stopgrouptacacs+

Routcr<config)#cnd

Routeri#

2.補(bǔ)充操作闡明

使用TACACS+server

L鑒定條件

配置了AAA模板口勺上述詳細(xì)條目

2.檢測操作

使用showrunning-config命令，如下例：

routerl#showrunn|includeaaa

檢測措施Buildingconfiguration...

Currentconfiguration:

!

aaanew-model

aaaaccountingcommands1defaultstart-stopgrouptacacs+

aaaarennntingcommands15dnfanltstart-stnpgroup

編號：安全規(guī)定-設(shè)備-思科路由器-配置-6-可選

規(guī)定內(nèi)容啟動NTP服務(wù)，保證日志功能記錄的時間的精確性。

1.參照配置操作

配置命令如下：

Router#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

Routcr(config)#interfacecthO/O

操作指南Routericonfig-if)#nontpdisable

Routcr(config-if)#exit

Routericonfig)#ntpserver.2sourceloopbackO

Routenconfig)#exit

2.補(bǔ)充操A闡明

需要到每個端口啟動NTP

L鑒定條件

I.存在ntpserver配置條目

II.口志記錄時間精確

2.檢測操作

I.使用showrunning-config命令,如下例:

routerSshowrunning-config

Buildingconfiguration...

Currentconfiguration:

檢測措施I

???

nontpdisable

ntpupdate-calendar

ntpserver128.237.32.2

ntpserver142.182.31.6

ILshowloggingincludeNTP

00002C:Jan2910:57:52.637EST:%NTP-6-PEERREACH:Peer172.25.1.5

isreachable

2.4IP協(xié)議安全規(guī)定

2.4.1基本協(xié)議安全

編號：安全規(guī)定-設(shè)備-思科路由器-配置-8-可選

規(guī)定內(nèi)容配置路由器，防止地址欺騙。

1.參照配置操作

對向內(nèi)流量配置：

Roulenconfig)#noaccess-list100

Routenconfig)#access-list100denyip.255anylog

Rouler(config)#access-list100denyip55anylog

Router(config)#access-list100denyi.O55anylog

Router(config)#access-list100denyi.O55anylog

Routericonfig)#access-list100denyip55anylog

Routcr(config)#access-list100denyip55anylog

Routericonfig)#