网络设备安全配置规范.docx

网络设备安全配置规范全文共19页，当前为第1页。网络设备安全配置规范全文共19页，当前为第1页。 网络设备安全配置规范全文共19页，当前为第1页。 网络设备安全配置规范全文共19页，当前为第1页。 网络设备安全配置规范 CISCO路由器及基于CISCO IOS 的三层交换模块部分 网络设备安全配置规范全文共19页，当前为第2页。网络设备安全配置规范全文共19页，当前为第2页。目录 网络设备安全配置规范全文共19页，当前为第2页。 网络设备安全配置规范全文共19页，当前为第2页。 第一部分 设备的安全机制 8 1 访问控制 8 2 数据加密 8 3 日志问题 8 4 防攻击能力 9 第二部分 设备安全配置建议 10 1 访问控制列表及其管理 10 1.1 访问控制列表特性 10 1.2 访问控制列表应用 10 1.3 实施原则 12 3 网管及认证问题 22 3.1 远程登录 22 3.1.1 远程登录的原则 22 3.1.2 启用SSH服务 22 3.1.3 登录空闲时间 23 3.1.4 登录尝试次数 24 3.1.5 并发登录个数 24 3.1.6 采用访问列表严格控制访问的地址 24 3.2 帐号和密码管理 25 3.3 帐号认证和授权 26 3.3.1 本机认证和授权 26 3.3.2 AAA认证 26 3.3.3 RADIUS认证方式 26 3.3.4 TACACS+认证方式 27 网络设备安全配置规范全文共19页，当前为第3页。网络设备安全配置规范全文共19页，当前为第3页。第一部分 设备的安全机制 网络设备安全配置规范全文共19页，当前为第3页。 网络设备安全配置规范全文共19页，当前为第3页。 该部分内容对Cisco路由器和基于Cisco IOS的交换机及其三层处理模块自身的安全机制进行简单描述，对每种安全机制可以解决什么问题进行阐述。 访问控制 Cisco设备具有强大的访问控制能力，具体如下： 可以实现对远程登录并发个数和空闲时长的限制； 支持使用SSH代替Telnet，并提供ACL对用户登陆进行严格控制； 支持AAA认证和授权； 支持snmp管理认证、限制TRAP主机，修改TRAP端口等； 路由协议的认证支持RIP、OSPF和BGP MD5认证，同时也支持密码明文认证； 数据加密 CISCO设备的数据加密能力主要有： 支持SSH替代Telnet,可以在网络中传递加密的用户名和密码； 对于enable密码，使用加密的enable secret,并且密码可以通过service password-encryption命令，进行密码加密； 提供Cisco加密技术（CET）； IPSec技术实现数据传输的加密技术。 网络设备安全配置规范全文共19页，当前为第4页。网络设备安全配置规范全文共19页，当前为第4页。日志问题 网络设备安全配置规范全文共19页，当前为第4页。 网络设备安全配置规范全文共19页，当前为第4页。 Cisco设备将LOG信息分成八个级别，由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给SERVER长期保存，对SERVER的地址可以进行严格控制。 防攻击能力 Cisco设备的防攻击能力主要体现如下： 可以通过对Q0S技术的配置，起到自身的防护的能力，它支持排队技术、CAR和GTS等； 结合强大的ACL命令，用于自身以及网络的防攻击，支持标准访问控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、基于时间的访问控制列表、基于上下文的访问控制列表，从而保证了强大的防攻击能力； 支持黑洞路由； 支持源路由检查。 对QOS属性的说明如下：Cisco设备通过配置QOS属性具有一定的自动攻击检测和防范机制。如排队技术、CAR、GTS，都通过对网络流量控制，在一定程度上实现对攻击的防护。排队技术允许用户按照报文优先级的顺序，定义报文从接口发送的顺序，从而控制路由器接口的拥塞。这样我们可以对已经明确的安网络设备安全配置规范全文共19页，当前为第5页。网络设备安全配置规范全文共19页，当前为第5页。全流量设置高优先级，让这些流量优先通过，而丢弃低优先级流量，在一定程度上丢弃了一些攻击包；CAR是Committed Access Rate的简写，意思是：承诺访问速率，允许某一设备严格地限制流入或流出某一接口流量数量的一种技术。CAR软件确保只有指定数量的流量被发送或接收，而其他的流量会被丢弃。流量整形技术GTS，与CAR技术相似，都是通过定义参数来对流量分类，并按这些分类来管理流量。区别在于整形试图缓冲流量，并尽