Cisco网络设备安全检查和配置列表
Cisco网络设备安全检查和配置列表
前言:本文档简单描述关于Cisco网络设备(路由器和交换机)的常规安全配置,旨在提示用户加强网络设备的安全配置。在开始本文档前,有几点需要说明:如果条件允许的话,所有的设备都应该采用最新的IOS或者COS。如果能够采用静态路由的话,尽量采用静态路由;动态路由方面的安全配置未在本文档之内。
一、路由器检查列表:
□路由器的安全策略是否有备案,核查并且实施
□路由器的IOS版本是否是最新
□路由的配置文件是否有离线备份,并且对备份文件的访问有所限制
□路由器的配置是否有清晰的说明和描述
□路由器的登陆用户和密码是否已经配置
□密码是否加密,并且使用secret密码
□ secret密码是否有足够的长度和复杂度,难以猜测
□通过Console,Aux,vty的访问是否有所限制
□不需要的网络服务和特性是否已关闭
□确实需要的网络服务是否已经正确安全的配置
□未使用的接口和vty是否已经配置shutdown
□有风险的接口服务是否已经禁用
□网络中需要使用的协议和端口是否标识正确
□访问控制列表是否配置正确
□访问列表是否禁用了Internet保留地址和其他不适当的地址
□是否采用静态路由
□路由协议是否配置了正确的算法
□是否启用日志功能,并且日志内容清晰可查
□路由器的时间和日期是否配置正确
□日志内容是否保持统一的时间和格式
□日志核查是否符合安全策略
□是否启用SNMP,如果启用是否设置了复杂的strings和控制列表
二、IOS安全配置
1、服务最小化
关闭所有不需要的服务,可以使用show proc命令来查看运行了那些服务。通常来说以下服务不需要启动。
Small services (echo, discard, chargen, etc.)
- no service tcp-small-servers
- no service udp-small-servers
_ BOOTP - no ip bootp server
_ Finger - no service finger
_ HTTP - no ip http server
_ SNMP - no snmp-server
2、登陆控制
Router(config)#line console 0
Router(config-line)#password xxx
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config)#line aux 0
Router(config-line)#password xxx
Router(config-line)#exec-timeout 0 10
Router(config-line)#login
Router(config)#line vty 0 4
Router(config-line)#password xxx
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
注:如果路由器支持的话,请使用ssh替代telnet;
3、密码设置
Router(config)#service password-encryption
Router(config)#enable secret
4、日志功能
Central(config)# logging on
Central(config)# logging IP(SYSLOG SERVER)
Central(config)# logging buffered
Central(config)# logging console critical
Central(config)# logging trap informational
Central(config)# logging facility local1
Router(config)# service timestamps log datetime localtime show-timezone msec
5、SNMP的设置
Router(config)# no snmp community public ro
Router(config)# no snmp community private rw
Router(config)# no access-list 50
Router(config)# access-list 50 permit 10.1.1.1
Router(config)# snmp community xxx ro 50
Router(config)# snmp community yyy rw 50
注:xxx,yyy是你需要设置的community string,越是复杂越好,并且两都绝对不能一致。10.1.1.1是你的snmp服务器,或者说是网管机器
6、访问控制列表
访问控制列表是IOS中最有力的控制工具,根据网络实际情况进行严格的配置,将使路由器达到很好的安全控制。以下仅列出通用配置,其他配置需根据用户实际网络情况进行细化。
?如果处于边界,则需要屏蔽以下地址段的IP包0.0.0.0/8, 10.0.0.0/8,
169.254.0.0/16,172.16.0.0/20, 192.168.0.0/16
?屏蔽来自于127.0.0.0/8的IP包
?屏蔽所有源目的地址相同的包
?限制远程登陆源地址
Router(config)# no access-list 92
Router(config)# access-list 92 permit 14.2.10.1
Router(config)# access-list 92 permit 14.2.9.1
Router(config)# line vty 0 4
Router(config-line)# access-class 92 in
网络设备安全策略
网络设备安全策略 一. 网络设备安全概述 设备的安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。只有网络中所有结点都安全了,才能说整个网络状况是安全的。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。对网络设备进行安全加固的目的是减少攻击者的攻击机会。如果设备本身存在安全上的脆弱性,往往会成为攻击目标。 二. 设备的安全脆弱性分析如下 (1)提供不必要的网络服务,提高了攻击者的攻击机会 (2)存在不安全的配置,带来不必要的安全隐患 (3)不适当的访问控制 (4)存在系统软件上的安全漏洞 (5)物理上没有安全存放,遭受临近攻击(close-in attack) 三. 针对网络设备存在的安全弱点,采取的方法和策略。(1)禁用不必要的网络服务 (2)修改不安全的配置 (3)利用最小权限原则严格对设备的访问控制 (4)及时对系统进行软件升级 (5)提供符合IPP要求的物理保护环境 四. 网络设备安全服务控制 利用IP 地址欺骗控制其他主机,共同要求Router提供的某种服务,导致Router 利用率升高。就可以实现DDOS攻击。防范措施是关闭某些默认状态下开启的服务,以节省内存并防止安全破坏行为/攻击。 (1)禁止CDP协议 (2)禁止其他的TCP、UDP Small服务 (3)禁止Finger服务
(4)建议禁止http server服务。 (5)禁止bootp server服务 (6)禁止代理ARP服务 (7)过滤进来的ICMP的重定向消息 (8)建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤 (9)如果没必要则禁止WINS和DNS服务 (10) 根据公司的业务需求对适合不同业务的网络协议端口进行相应的开放和封闭策略 五. 网络设备运行监控 对重要的网络设备,如核心交换机,防火墙,路由器等进行时时的监控和报警措施,及时做好预防措施,保证公司网络设备的安全运行.
Removed_思科设备telnet登陆方式配置实验
一 telnet 你的路由器地址然后输入密码,一般为CISCO,然后ENA,输入密码CISCO 这样就进到了特权模式了,CONF T 回车进入配置模式,想配置什么就在这里配置好了。顺便给你点命令吧思科命令大全Access-enable 允许路由器在动态访问列表中创建临时访问列表入口Access-group 把访问控制列表(ACL)应用到接口上Access-list 定义一个标准的IP ACL Access-template 在连接的路由器上手动替换临时访问列表入口Appn 向APPN 子系统发送命令Atmsig 执行ATM 信令命令 B 手动引导操作系统Bandwidth 设置接口的带宽Banner motd 指定日期信息标语Bfe 设置突发事件手册模式Boot system 指定路由器启动时加载的系统映像Calendar 设置硬件日历Cd 更改路径Cdp enable 允许接口运行CDP 协议Clear 复位功能Clear counters 清除接口计数器Clear interface 重新启动接口上的件逻辑Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率Cmt 开启/关闭FDDI 连接管理功能Config-register 修改配置寄存器设置Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息Configure memory 从NVRAM 加载配置信息Configure terminal 从终端进行手动配置Connect 打开一个终端连接Copy 复制配置或映像数据Copy flash tftp 备份系统映像文件到TFTP 服务器Copy running-config startup-config 将RAM 中的当前配置存储到NVRAM Copy running-config tftp 将RAM 中的当前配置存储到网络TFTP 服务器上Copy tftp flash 从TFTP 服务器上下载新映像到Flash Copy tftp running-config 从TFTP 服务器上下载配置文件Debug 使用调试功能Debug dialer 显示接口在拨什么号及诸如此类的信息Debug ip rip 显示RIP 路由选择更新数据 Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息Debug isdn q921 显示在路由器 D 通道ISDN 接口上发生的数据链路层(第 2 层)的访问过程Debug ppp 显示在实施PPP 中发生的业务和交换信息Delete 删除文件Deny 为一个已命名的IP ACL 设置条件Dialer idle-timeout 规定线路断开前的空闲时间的长度Dialer map 设置一个串行接口来呼叫一个或多个地点Dialer wait-for-carrier-time 规定花多长时间等待一个载体Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL 与协议的组合来控制控制拨号Dir 显示给定设备上的文件Disable 关闭特许模式Disconnect 断开已建立的连接Enable 打开特许模式Enable password 确定一个密码以防止对路由器非授权的访问Enable password 设置本地口令控制不同特权级别的访问Enable secret 为enable password 命令定义额外一层安全性(强制安全,密码非明文显示) Encapsulation frame-relay 启动帧中继封装Encapsulation novell-ether 规定在网络段上使用的Novell 独一无二的格式Encapsulation PPP 把PPP 设置为由串口或ISDN 接口使用的封装方法Encapsulation sap 规定在网络段上使用的以太网802.2 格式Cisco 的密码是sap End 退出配置模式Erase 删除闪存或配置缓存Erase startup-config 删除NVRAM 中的内容Exec-timeout 配置EXEC 命令解释器在检测到用户输入前所等待的时间Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC Exit 终止任何配置模式或关闭一个活动的对话和结束EXEC format 格式化设备Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)Help 获得交互式帮助系统History 查看历史记录Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用Interface 设置接口类型并且输入接口配置模式Interface 配置接口类型和进入接口配置模式Interface serial 选择接口并且输入接口配置模式Ip access-group 控制对一个接口的访问Ip address 设定接口的网络逻辑地址Ip address 设置
网络设备使用、管理规定
某某石油管理局企业标准 网络设备使用、管理规定 1总则 为保证某某油田网络的正常运行,根据《中华人民共和国信息安全管理条例》等国家规定,制定某某油田管理局《网络设备使用管理规范》,本规范适用于某某油田管理局网络使用和管理人员。 2适用范围 本规范适用于某某油田管理局及下属单位配置的网络设备的购置、使用、维修、储存等方面。 3规范解释权 某某油田管理局信息安全管理中心对本规范拥有解释权。 4网络设备的管理 4.1设备的购置管理 4.1.1设备的选型 1)严禁使用未经国家质量认证的网络产品。 2)尽量采用我国自主开发研制的网络技术和设备。 3)涉及网络安全的网络产品(如:防火墙,路由器,交换机等等),必须 使用经过国家信息安全质量认证的产品。 4)严禁直接采用境外密码设备。 5)必须采用境外安全产品时,该产品必须经过国家信息安全测评机构的认 可。 6)对一般网络设备的选型须遵守以下注意事项: ?确保网络具有良好的可扩充性,系统易于升级; ?确保网络具有开放性,支持异种网络互联;
?确保所选的网管系统,具有数据流量分析、系统故障及运行状态检测和虚拟网络管理功能; ?确保网络的安全性和保密性 4.1.2设备监测 ?设备符合系统选型并获得批准后,方可购置。 ?凡购回的设备应在测试环境下经过连续72小时以上的单机运行和48小时的应用系统兼容性运行测试。 ?通过测试后,设备才能进入时运行阶段。时间长短根据需要自行确定。 ?通过试运行的设备,才能正式运行。 4.1.3设备登记 对所有设备必须建立项目齐全。管理严格的购置、移交、使用、维护、维修、报废等登记制度,并认真做好登记及检查工作,保证设备管理工作正规化。 4.2设备使用管理 4.2.1机房设备各种连接线较多,电源管理应科学、合理,保持电脑和 各种外设处于最佳状态。 4.2.2主服务器如Web、Mail、WWW、DNS等服务器,其中设置参数不得 随意再修改,如果不是特殊情况,不要随意关闭服务器。 4.2.3防火墙,交换机,HUB,路由器等按规定配置,一旦配置成功, 不得随意修改。 4.2.4机箱柜一定要加锁保护,并且远离电源,不宜加锁保护且对管理 人员造成危险的设备靠里间放置,并且一定要设置警告标志。 4.2.5设备的使用必须指定专人负责并建立详细的运行日志。 4.2.6由设备责任人负责设备的使用登记,登记内容应包括运行起止时 间,累计运行时数以及运行状况等。 4.2.7由责任人负责进行设备的日常清洗及定期保养维护,做好维护记 录,保证设备处于最佳状态。 4.2.8一旦设备出现故障,责任人应立即如实填写故障报告,并通知有 关人员处理。 4.2.9设备责任人应保证设备在安全环境(出厂标称的使用环境)下运 行。 4.2.10骨干网络设备所属权归油田管理局,由下级单位维护。 4.3设备维修管理 4.3.1设备必须有专人负责进行维修,并建立满足正常运行最低要求 的易损备件的备件库。
信息安全管理制度-网络安全设备配置规范v1
网络安全设备配置规范 网络安全设备配置规范
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
网络设备配置实验实验报告
实验三交换机的VLAN配置 一、实验目的 1. 理解理解Trunk链路的作用和VLAN的工作原理 2. 掌握交换机上创建VLAN、接口分配 3.掌握利用三层交换机实现VLAN间的路由的方法。 二、实验环境 本实验在实验室环境下进行操作,需要的设备有:配置网卡的PC机若干台,双绞线若干条,CONSOLE线缆若干条,思科交换机cisco 2960两台。 三、实验内容 1. 单一交换机的VLAN配置; 2. 跨交换机VLAN配置,设置Trunk端口; 3. 测试VLAN分配结果; 4.在三层交换机上实现VLAN的路由; 5.测试VLAN间的连通性 四、实验原理 1.什么是VLAN VLAN是建立在局域网交换机上的,以软件方式实现逻辑工作组的划分与管理,逻辑工作组的站点不受物理位置的限制,当一个站点从一个逻辑工作组移到另一个逻辑工作组时,只需要通过软件设定,而不需要改变它在网络中的物理位置;当一个站点从一个物理位置移动到另一个物理位置时,只要将该计算机连入另一台交换机,通过软件设定后该计算机可成为原工作组的一员。 相同VLAN内的主机可以相互直接通信,不同VLAN中的主机之间不能直接通信,需要借助于路由器或具有路由功能的第三层交换机进行转发。广播数据包只可以在本VLAN内进行广播,不能传输到其他VLAN中。 2.交换机的端口 以太网交换机的每个端口都可以分配给一个VLAN,分配给同一个VLAN的端口共享广播域,即一个站点发送广播信息,同一VLAN中的所有站点都可以接收到。 交换机一般都有三种类型的端口:TRUNK口、ACCESS口、CONSOLE口。 ?CONSOLE端口:它是专门用于对交换机进行配置和管理的。通过Console 端口连接并配置交换机,是配置和管理交换机必须经过的步骤。 ?ACCESS口(默认):ACCESS端口只能通过缺省VLAN ID的报文。
网络设备管理制度
网络设备管理制度 为了有效、充分发挥和利用公司网络资源,保障公司网络系统正常、安全、可靠地运行,保证公司日常办公的顺利进行,规范公司网络建设工作,建立信息网络系统,发挥计算机网络的作用,提高办公效率,改善管理方法,提高管理水平。特制定本制度: 一、机房管理 1机房的日常管理、维护工作由信息处人员专职负责。 2机房内各种设备,由信息处人员妥善管理、维护。 3机房需保持环境清洁卫生,设备整齐有序。由信息处人员每周对设备进行一次检查维护。 4未经信息处人员许可,非机房工作人员不得随意进出机房。 5 为保证机房设备运转,未经信息处人员允许,不得改动或移动机房内的电源、机柜、服务器、交换机、收发器、双绞线等。 6未经信息处人员授权,严禁他人开关、操作服务器、交换机等各种网络设备。7未经信息处人员批准,不能带外来人员参观机房设备,禁止在服务器查询信息,收、发E-mail等。 二、电脑办公网络管理 1电脑配件的购置、维修、使用 1.1部门需要购买计算机配件的,先由设备使用人填写物资申购单,相应的配置型号由信息处审核后购买。 1.2电脑及外设需外出维修的,必须填写委外维修单。 1.3电脑安装调试正常领用后,各部门必须指定使用人负责电脑及其外设,并由信息处人员备案。 1.4各部门人员均不得擅自拆装电脑、外设和更换部件。 1.5严禁任何部门和个人上班期间使用公司电脑打游戏、下载等。 1.6各部门的电脑使用者负责自己电脑及外设的清洁工作。
1.7部门人员调动或离司,使用人应通知信息处对电脑进行检查登记、备案,信息处有权回收闲置的计算机重新分配。 1.8如因工作需要为计算机升级,需填写物资申购单并报公司总经理批准。 2 公司网络的接入、使用、维护 2.1公司内外网络的建设由信息处统一规划。禁止任何部门擅自连接网线。 2.2公司的局域网对全公司开放,由信息处负责公司局域网的连通和权限设置。 2.3为保证工作效率和公司网络的安全,公司的互联网,都不予以开通,有工作需要上网的,需打请示报告经过公司总经理同意后方可开通互联网权限。 2.4确有需要查询或下载资料的人员,也可由信息处安排在一时间段内给予协助。 2.5对现有互联网用户,信息处将不定期检查上网记录。 2.6对于接入互联网的用户,禁止工作时间浏览与工作无关的网站,禁止在任何时间浏览不健康的网站,禁止下载、安装具有破坏性的程序。 2.7严禁使用公司网络将公司保密信息上网传播。 2.8禁止利用互联网络进行国家法律法规所禁止的各项内容。 2.9网络出现故障,及时报信息处处理。严禁任何部门和个人擅自更改IP地址。 2.10禁止任何人擅自修改机器设置和更改上网端口。 2.11禁止外来人员未经许可使用公司电脑、网络。 3计算机软件的安装、维护 3.1计算机的操作系统,必须由信息处统一安装。 3.2禁止任何部门在计算机中安装娱乐性的软件和游戏软件。 3.3禁止任何部门和个人安装、传播染有病毒的软件和文件。 3.4禁止任何人在计算机上安装黑客软件和利用黑客程序对他人的计算机和服 务器进行攻击、破坏。 3.5需购买软件或升级现有信息系统的必须打请示报告于公司总经理审批后由 信息处根据其实际工作情况购买。 3.6对于公司购买的软件和随机附带的驱动程序光盘,由信息处统一管理。
(完整版)信息安全管理制度-网络安全设备配置规范
网络安全设备配置规范 XXX 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
思科实验报告
网络应用基础课程实验报告 院系:______________________________ 专业:______________________________ 班级:______________________________ 指导老师:______________________________ 学号:_______________________________ 姓名:_______________________________
目录 实验一 Google 地球和维基 (3) 实验二 AC网站注册 (6) 实验三网线制作.................................. 1.0 实验四Ad-Hoc点对点无线局域网方案 (13) 实验五基本结构型无线局域网方案 (17) 实验六交换机的基本配置....................... 2 1
实验一Google地球和维基 一、实验目的 1.了解Google地球的使用方法; 2?了解维基。 二、实验设备 1. PC机(要求内存128M及以上,带RJ-45接口的独立网卡,预装Win2000 或Win XP 系统); 2.HUB (集线器)或交换机1台; 3.制作完成的直通双绞线若干; 4?机房的电脑能上网。 三、实验内容 1.下载Google地球,安装并使用; 2.使用百度百科,了解维基等概念。 四、实验步骤 1打开IE浏览器在百度中输入Google Earch 2查找Google地球的界面并下载软件 3下载完后进行安装 4打开Google地球进行相关的操作,例如查找武汉长江职业学院。在搜索界面输入武汉长江职业学院然后点击搜索,完成。 1打开百度浏览器输入维基概念进行搜索 维基的概念是一个自由免费,内容开放的百科全书协作计划,参与者来自世界各地,这个站点使用wiki。这意味着任何人都可以编辑维基 百科中的任何文章及条目。博客是由个人创建,而维基网页时有一群分享信息飞人一起创建,编辑的。
网络设备管理制度
网络及交换设备管理 第一章总则 第一条为了规范XXXXXXX信息网络设备管理工作 , 保证信息网络安全、稳定运行 , 特制定本办法。 第二条本办法规定了XXXXXXX在信息网络设备的运行维护管理等方面的管理办法。本办法适用于信息网络设备管理工作。 第二章管理职责 第一条我厂核心层网络交换设备及接入层网络交换设备均为HUAWEI(华为)系列交换设备,操作系统为HUAWEI IOS,所有设备均为可网管设备。网络系统管理员必须严格保密各交换机TELNET密码、本地登录密码及管理地址,并按北方公司网络安全的管理规定定期更换登录密码。确保网络系统的配置等不被恶意修改,不会因此造成网络大面积瘫痪,影响生产管理信息系统的运行。 第二条生产部信息中心网络系统管理员,必须以纸质和电子文件备份所有网络交换设备的配置信息,并严格保管不得外借,网络系统发生故障时做为故障恢复的依据。 第三条网络系统管理员确因工作需要对交换机等网络设备的配置进行修改时,必须征得信息部门主管同意,修改配置前应核对当前配
置是否与备份的配置相同,配置有不相同的部分时必须查找原因并对当前配置进行备份后,才能进行修改工作。工作结束后,检查网络及本交换设备的工作情况是否符合配置要求,并在《网络设备配置变更表》中做好相应记录。 第四条接入交换机通过光缆直接连接至中心交换机,接入交换分布在我厂各主要建筑物及建筑物楼层弱电井内(或各楼层办公室内),为不可移动的网络设备。各建筑物或楼层的使用单位必须确保交换机电源的正常供电,保护好交换机机柜及进出光缆、尾纤、网线不受损伤,保持交换机机柜及周围卫生清洁,发现异常情况及时通知生产部信息中心。 第五条各单位不得私自移动接入交换机机柜,不得随意打开机柜,不得私自从接入交换机联网。 第六条生产部信息中心每月对全厂各接入交换机进行检查,检查内容包括:电源供电是否可靠、光缆及网线保护良好不受损伤、机柜内温度正常、机柜周围无杂物且卫生清洁。并将检查结果记录在《网络设备巡视记录本》中。 第七条生产部信息中心每月对全厂光缆线路进行检查,确保光纤线路安全可靠运行。应检查地埋光缆走向标志清楚,光缆上方有挖土等建筑施工时,向其说明光缆走向及埋深等注意事项,防止电缆遭到破坏。应检查光缆进出建筑物时的PVC保护管是否损坏,固定是否牢固等。将检查结果记录在《网络设备巡视记录本》中。 第八条部分重要的接入层交换机配置有UPS电源,巡视检查时应检
服务器、网络设备以及安全设备日常维护管理制度
服务器、网络设备以及安全设备日常维护管理制度 第一条 服务器、网络设备及安全设备的安全、性能检查。每台服务器、网络设备及安全设备至少保证每周检查两次,每次检查的结果要求进行登记记录。 第二条 数据备份工作。定期对服务器、网络设备、安全设备的配置文件进行备份,每次更改配置、策略后,都要及时更新备份文件,保证当前为备份最新数据。 第三条 服务器、网络设备及安全设备的监控工作。每天正常工作期间必须保证监视所有服务器、网络设备及安全设备状态,一旦发现服务器、网络设备或安全设备异常,要及时采取相应措施。 第四条 服务器、网络设备及安全设备的相关日志操作。每台服务器、网络设备及安全设备保证每周或依据数据情况对相关日志进行整理,整理前对应的各项日志如应用程序日志、安全日志、系统日志等应进行保存。 第五条 要及时做好服务器的补丁升级和漏洞修复工作。对于新发布的漏洞补丁和应用程序方面的安全更新,要及时分发给每台服务器。 第六条 服务器、网络设备及安全设备的安全检查主要包括CPU利用率、运行状态、性能、网络流量等方面。安全管理员必须保证对服务器、网络设备及安全设备每月进行一次安全检查。每次的检查结果必须做好记录,并生成检查报告。 第七条 不定时的相关工作。每台服务器如有应用软件更改、需要安装新的应用程序或卸载应用程序等操作,应提前告知所有管理员。 第八条 密码定期更改工作。每台服务器、网络设备及安全设备保证至少每一个月更改一次密码,密码长度不少于8位,且要满足复杂度要求。
第九条 系统管理人员要定时对系统服务器进行病毒检查,发现病毒要及时处理。 第十条 未经许可,任何人不得在服务器上安装新软件,若确实需要安装,安装前应得到授权并进行病毒例行检查。 第十一条 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 第十二条 定时对硬件进行检查、调试和修理,确保其运行完好。 第十三条 关键设备应指定专人保管,未经授权的人员不得进行单独操作。 第十四条 所有设备未经许可一律不得借用,特殊情况须经批准后办理借用手续,借用期间如有损坏应由借用部门或借用人负责赔偿。 第十五条 硬件设备发生损坏、丢失等事故,应及时上报,填写报告单并按有关规定处理。 第十六条 业务系统设备及其附属设备的管理(登记)与维修由系统、网络管理员负责。设备管理人员每半年要核对一次设备登记情况。 第十七条 系统服务器、网络设备及安全设备应由相关管理人员每周进行一次例行检查和维护,并详细记录检查过程及检查结果。 第十八条
信息安全管理制度网络安全设备配置规范
网络安全设备配置规范 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭、、、等,以及使用而不是远程 管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许到公网服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击? 5.防火墙是否阻断下述欺骗、私有(1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255)
学习网络实验设备和网络命令以及思科模拟器基本操作
武汉理工大学 学生实验报告书 实验课程名称《计算机网络C》 开课学院计算机科学与技术学院 指导老师姓名 学生姓名 学生专业班级 2014 —2015 学年第2 学期
实验课程名称:计算机网络C
第二部分:实验调试与结果分析(可加页) 一、调试过程(包括调试方法描述、实验数据记录,实验现象记录,实验过程发现的问题等) (1).使用ipconfig的结果: (2).使用ipconfig /all的结果: (3).结果如图所示: 如图所示:当ping一个不通的IP或是域名时,会发送请求,但是返回的结果都是显示—请求超时,最后显示此次ping的结果,即发送4次,接受为0,丢失为0; (4).结果如图所示:
由图可以看出,当ping一个可以联通得到IP或是域名时,会显示所ping域名的IP,然后显示请求的结果:字节长度、所需时间和TTL的值,最后的统计信息表示发送的数据包等于接受的数据包,丢失为0,以及往返行程的最短、最长、平均时间。 二、实验结果及分析(包括结果描述、实验现象分析、影响因素讨论、综合分析和结论等) 从上面的结果可以看出,当用ping命令时,如果所ping的域名或是IP不存在时,会返回请求超时的结果;当ping的域名或是IP存在时,会返回具体的数据包的信息和响应时间信息。此外,利用ipconfig可以查看本机的IP、子网掩码、默认网关等信息。当然,使用ping和ipconfig可以获取和进行不同类型的操作。 三、实验小结、建议及体会 通过本次实验,基本掌握了ping命令和ipconfig命令的一些基本用法,当然掌握这些还远远不够,通过查找资料可以更加深入的了解这些命令的一些更加强大的用法。比如:在默认的情况下windows的ping发送的数据包大小为32byt,我们也可以自己定义它的大小,但有一个大小的限制,就是最大只能发送65500byt,因为Windows系列的系统都有一个安全漏洞(也许还包括其他系统)就是当向对方一次发送的数据包大于或等于65532时,对方就很有可能挡机,所以微软公司为了解决这一安全漏洞于是限制了ping的数据包大小。虽然微软公司已经做了此限制,但这个参数配合其他参数以后危害依然非常强大,比如我们就可以通过配合-t参数来实现一个带有攻击性的命令: C:\>ping -l 65500 -t 192.168.1.21 当多台机器同时向一个IP发送数据时,会使机器瘫痪,网络堵塞,HTTP和FTP服务完全停止。因此,可以看出,ping命令也是双刃剑,需要明确使用的目的,不能用于非法目的。
3《中国石化网络安全设备管理规范》(信系[2007]17号)
3《中国石化网络安全设备管理规范》(信系[2007]17号).txt30生命的美丽,永远展现在她的进取之中;就像大树的美丽,是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽,是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽,是展现在它波涛汹涌一泻千里的奔流中。本文由CAPFyn贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 中国石化网络安全设备管理规范网络安全设备管理规范管理 V 1.1 2007 年 5 月 16 日 - 1 - 目 1 2 3 4 录 目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.1 4.2 系统管理员职责……- 4 信息安全管理员职责……- 5 - 5 管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 - 6 策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 - 6.2.1 6.2.2 6.2.3 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3 安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 - 配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 - - 2 - 9.4 9.5 10 11 配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 - - 3 - 1 目的 中国石化信息系统已覆盖全国范围的下属企业,成为中国石化系统生产、经营和管理提供信息化手段的根本,网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行,特制定本规范。 2 范围 本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。本规范中所指网络安全设备包括各种安全网关类设备(防火墙、VPN、代理服务器、IP 加密机等)、入侵检测类设备、漏洞扫描类设备等。
基于思科网络设备(校园网)开题报告
南昌工程学院 2008 级毕业(设计)论文开题报告 信息工程学院系(院)计算机科学与技术专业 题目基于思科网络设备(校园网)的设计与实现学生姓名 班级计算机科学与技术 学号 指导教师 日期2012 年 1 月 9 日 南昌工程学院教务处订制
题目:基于思科网络设备(校园网)的设计与实现 一、选题的依据及课题的意义 校园网建设已逐渐成为信息化时代高校及中小学优先考虑的课题,这与我国倡导的素质教育息息相关。要建设一个能够满足当前使用和将来扩展的校园网,要根据校园网的网络需求和校园信息点的分布来进行设计和建设。将整个网络设为星型拓扑结构,以信息中心中心机房作为整个网络的中心,用两台高速三层交换机作为中心交换机,整网络采用千兆以太网技术形成高速链路通道,辐射到校园内的各处。整网络以虚拟局域网技术为基础,分区域划分为不同的虚拟局域网,为了使不同的虚拟局域网之间能够互相通信,在两台中心交换机之间接入一个中心路由器提供数据转发。整个网络工程分为需求分析、总体设计和工程实施三个部分。 二、研究概况及发展趋势综述 从校园区网建设发展上看,经历了以下阶段: 1) 仅仅是联通办公区域、实现邮件与网络互通; 2) ERP、CRM等系统在企业的生产业务中得到应用; 3)校园规模扩大,需要划分VLAN、配置路由、选择带宽; 随着校园规模的持续扩大,师生需求的增加,校园网网络设备的业务能力、运转能力控制能力也在不断的提高。而校园业务也在向富媒体化、实时业务增多、校园网接入方式的变化、云计算业务的部署、物联网业务的部署等变化。所以未来校园网向着更大、更快、更智能的方向发展。主要特征: 1)更大:在保证安全接入的前提下满足各种终端,教师、学生等的随时随地的接入,网络的扩展性极大的提升。 2)更快:随着承载业务类型的不断更新,所需的带宽也不断提高,所需的带宽也不断提高,校园网向着更加高速,更可靠的方向发展。 3)更智能:当校园网承载的终端种类及业务种类越来越多的时候,要保证校园网为教师、学生服务质量,提供更加安全可靠的用户接入服务。 校园网中技术发展趋势: 1)更高的带宽需求带来下一代以太网标准的发展 2)网络中队接入终端的识别更加智能
网络设备运维管理制度
网络系统运维管理制度 文档状态 为确保公司网络系统稳定、高效、安全地运行,促进办公效率的
不断提高。根据《中华人民共和国计算机信息系统安全保护条例》,特制定此管理规定。内容包括网络系统运维管理职能、管理职责划分及运维管理工作制度。本规定是对公司网络系统运行保障工作实施管理的基本依据,所有人员必须严格遵照执行,最终解释权在总经理办公室。 第一条运维管理职能 运维管理人员具体承担全公司网络系统的设计、规划、建设和管理。主要职责包括: 1、根据网络运维特点和运维需求,拟定我公司网络运维管理的方针、政策、保障计划等提供领导决策,并组织实施; 2、贯彻我公司关于网络管理的各项规章制度,担负网络执勤、监控工作,掌握网络运行状况,及时处理网络故障; 3、在办公室经理领导下,根据需求严密、科学、合理地掌控网络的各项资源,如IP地址分配等; 4、定期分析讨论网络运行状态与运行质量,对比各项参数,排除潜在故障隐患,提出网络改进意见; 5、保障我公司网络系统的正常运行,负责服务器数据及其他重要数据的备份管理及技术文档的管理。 第二条运维人员的职责划分 运维管理保障人员包括管理人员和技术操作人员。 1、管理人员由办公室经理和网络工程师担任。负责组织制定我公司网络运维的方针政策、管理制度,并组织各部门、各分公司积极落
实;完成公司网络运维的日常行政管理工作,负责检查、督促、考核系统执勤情况;组织技术力量,及时、准确地处置网络发生的故障;检查网管工作,定期(或不定期)讲评网管业务工作情况,安排网络管理的相关工作。 2、技术操作人员由技术人员组成。主要职责包括掌握我公司网络总体性能指标,系统拓扑结构、设备连接关系、信息流程以及各系统设备功能和工作状态;熟练掌握系统设备的硬件安装、线缆连接、系统设置;熟悉软件的安装、测试、升级等管理工作;完成网络系统的资源调整、配置等任务;掌握本专业系统常用故障的检测手段与排除方法,迅速准确定位故障部位,积极和其他专业技术人员密切配合,排除系统故障;熟悉公司网络设备及系统定期维护方法和步骤,负责分管设备的安装调试与维护工作;随时监控计算机病毒在公司网络上的流行,定期检查公司计算机病毒库升级工作,做好计算机病毒的防范工作;掌握电工技术、配电设备组成及工作原理,熟悉电源设备的技术指标、机房配电线路及供电情况;掌握机房安装配置的空调机工作原理和空调系统技术性能指标。熟悉空调系统设备的定期维护方法与步骤;在相关技术人员的配合下排除设备疑难故障;保障设备稳定可靠运行。 第三条运维管理工作要求 1、每天两次进行机房巡视、网络运行状况及对外服务器服务状况监控; 2、按照规定的时段巡视机房,检查基础设备包括UPS电源的运行
网络设备安全规范和指南
网络设备安全规范和指南 1. 目的 本规范旨在确定网络设备最低的安全配置标准;本指南旨在为网络管理员选购和配置网络设备提供帮助。 2. 范围 本规定适用于运营平台所有网络设备的选型和配置。 3. 规范 3.1. 选用其硬件平台,操作系统,服务和应用具备适当安全的网络设备; 3.2. 将每个网络设备在本公司的信息管理系统中进行登记。至少记录如下信息: * 设备所在位置和联系人 * 硬件和操作系统版本 * 主要功能和应用 * 特权口令 3.3. 为每个网络设备配置合适的DNS记录; 3.4. 保证网络设备口令符合<<口令安全规范和指南>>的规定, 以安全的加密形式存放口令, 使用强健的SNMP 通信字符串; 3.5. 禁止在网络设备上创建本地用户帐号,应使用TACACS+, RADIUS 验证用户身份; 3.6. 禁用不必要的服务和应用; 3.7 设备间的信任关系只有在业务必需的情况下建立,必须作相应记录; 3.8. 限定只有网管工作站才能登录网络设备或使用SNMP协议获取设备信息; 3.9. 在支持SSH协议的网络设备配置SSH; 3.10. 使用安全的连接协议(SSH, IPSEC)执行远程设备管理; 3.11. 及时安装网络设备厂家和信息安全人员推荐的补丁和修复; 3.12. 为连接服务器的交换机配置端口安全; 3.13. 将安全相关的事件记录到特定的日志里。安全相关的事件包括(但不限于)如下事件: * 用户登录失败; * 获取特权访问失败;
* 违反访问策略; 3.1 4. 每天查看重要网络设备的日志,所有网络设备的日志至少每两周查看一次。 3.15. 改变现有设备的配置和配置新设备必须遵守变更管理制度; 3.16. 新设备必须在经过严格的安全审计后才允许投入产品环境; 3.17. 在网络设备上粘贴警告:“禁止非法访问本设备。你必须在得到明确的许可后才允许 访问或配置该设备。在该设备上执行的一切活动都会被记录,违反本规定会受到本公司的惩罚,甚至承担相应的法律责任。” 3.18. 定期审计网络设备; 3.19. 尽可能为重要网络设备配备备用设备; 4.指南 4.1. 禁用下列事项或确认设备的默认配置已经禁用了下列事项: * IP 定向广播; * 源地址无效的数据包; * 源路由; * Small 服务,路由器上的WEB 服务; * ARP proxy; * 与ISP网络连接的CISCO路由器/交换机上的CDP协议; * IP 重定向; 4.2. 配置默认ACL规则为DROP ALL ; 4.3. 严格限制DNS-TCP, DNS-UDP, ICMP协议数据包; 4.4. 集中存放网络设备产生的日志; 4.5. 订阅网络设备厂家及著名安全网站的安全邮件列表
思科网络设备配置命令
思科网络设备常用配置命令 一、VLAN配置 1、添加VLAN vlan database //VLAN数据库模式 vlan