您的位置:360文档中心› 信息安全管理制度网络安全设备配置规范

信息安全管理制度网络安全设备配置规范

合集下载

信息安全管理制度-网络安全设备配置规范

信息安全管理制度-网络安全设备配置规范

信息安全管理制度-网络安全设备配置规范信息安全管理制度-网络安全设备配置规范1.范围本规范适用于公司内部所有网络安全设备的配置,旨在保护公司网络及信息安全。

2.目的通过合理的网络安全设备配置,保障公司网络的可用性、完整性和机密性,防止未经授权的访问、修改、泄露和破坏。

3.定义(在此处列出本文中涉及的法律名词及其注释,以便员工理解。

)4.硬件设备配置4.1 网关防火墙配置a. 设置基本防火墙规则,包括允许的入站和出站流量、拒绝的流量和黑名单。

b. 启用网络地质转换(NAT)功能,对内部网络的地质进行转换,隐藏内部网络结构。

c. 启用入侵检测和防御系统(IDS/IPS)功能,监测和防止恶意攻击。

d. 定期更新防火墙固件,及时应用安全补丁,修复漏洞。

4.2 路由器配置a. 设置密码保护,限制路由器管理接口的访问。

b. 配置访问控制列表(ACL),限制路由器对外接口的流量。

c. 启用路由器的防火墙功能,过滤恶意流量和DoS攻击。

d. 设置路由器的远程管理权限,只允许授权的人员进行远程管理。

4.3 交换机配置a. 设置密码保护,限制交换机的管理接口的访问。

b. 配置虚拟局域网(VLAN),将网络划分为不同的安全区域。

c. 启用端口安全功能,限制MAC地质数量和绑定静态MAC地质。

d. 配置端口镜像,实时监测网络流量和进行分析。

5.软件配置5.1 防软件配置a. 安装统一的防软件,对公司内部设备进行扫描和实时保护。

b. 定期更新防软件的库,确保最新的识别能力。

c. 设置防软件的自动扫描功能,对用户和的文件进行检测。

5.2 入侵检测与防御系统(IDS/IPS)配置a. 安装并配置入侵检测与防御系统,实时监测网络中的异常行为和攻击。

b. 设置警报系统,及时通知安全管理员发现的潜在威胁。

c. 定期更新IDS/IPS的规则库,增加新的攻击和威胁的识别能力。

5.3 虚拟专用网络(VPN)配置a. 配置安全的 VPN 通道,通过加密和身份验证确保远程访问的安全性。

信息安全管理制度网络安全设备配置规范

信息安全管理制度网络安全设备配置规范

信息安全管理制度网络安全设备配置规范1. 引言信息安全是当今社会的重要议题之一,各组织必须制定和执行相应的信息安全管理制度,以保护其敏感信息和资产。

网络安全设备的配置规范是信息安全管理制度的重要组成部分,本文将详细介绍网络安全设备的配置规范,以确保组织网络的安全性。

2. 安全设备分类网络安全设备主要包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)、虚拟专用网络(VPN)等。

每个设备都有其特定的配置要求,下面将对每种设备进行规范。

2.1 防火墙配置规范防火墙是网络安全的首要防线,其配置规范主要包括以下几个方面:2.1.1 网络拓扑规划在配置防火墙之前,需要对网络进行合理的拓扑规划。

首先,确定内外网的界限,将网络划分为信任区、非信任区和半信任区。

其次,根据企业的安全策略,在防火墙上配置访问控制规则,限制各区域之间的通信。

2.1.2 访问控制列表(ACL)配置访问控制列表是防火墙的核心功能,用于过滤数据包并控制访问权限。

配置ACL时应遵循以下原则: - 明确规定允许通过的网络流量和禁止通过的网络流量。

- 限制不必要的协议和端口的访问。

- 配置ACL时使用最少特权原则,即只开放必要的端口和服务。

根据企业的安全需求,制定合理的安全策略,并在防火墙上进行配置。

安全策略包括: - 允许或禁止特定IP地址或IP地址范围的访问。

- 允许或禁止特定应用程序或服务的访问。

- 设置防火墙日志,以监控网络流量并检测潜在的攻击。

2.2 入侵检测系统(IDS)配置规范入侵检测系统可以监测网络中的异常行为和攻击,及时发出警报并采取相应的措施。

下面是入侵检测系统的配置规范:2.2.1 网络监测规则配置根据企业的安全需求和网络特点,配置适当的监测规则。

监测规则应涵盖以下几个方面: - 网络流量监测规则:监测不正常的流量模式,如大数据传输、频繁的连接请求等。

-异常行为监测规则:监测异常登录、账户权限变更等异常行为。

信息安全管理制度-网络安全设备配置规范正规范本(通用版)

信息安全管理制度-网络安全设备配置规范正规范本(通用版)

信息安全管理制度-网络安全设备配置规范1. 简介信息安全是现代企业不可忽视的重要方面。

网络安全设备的配置规范是企业保护敏感信息和防止网络攻击的关键措施之一。

本文档旨在为企业提供网络安全设备的配置规范,以确保信息安全。

2. 配置规范2.1 防火墙防火墙是网络安全的第一道防线,它负责监控和控制进出网络的数据流量。

是防火墙的配置规范:•安装最新的防火墙软件和补丁,并定期进行更新。

•配置强密码以保护防火墙管理账户。

•启用日志功能以记录防火墙活动,便于网络安全审计。

•配置合适的策略,只允许必要的网络流量通过,阻止潜在的恶意流量。

2.2 入侵检测与防御系统入侵检测与防御系统是用于监控和识别异常网络活动的重要设备。

是入侵检测与防御系统的配置规范:•定期更新入侵检测与防御系统的软件和规则库,以确保对新型威胁的有效防御。

•配置入侵检测与防御系统的日志功能,记录所有的安全事件和警报信息。

•配置警报机制,及时通知安全管理员发生的安全事件。

•配置适当的防御规则,阻止已知的攻击类型,并监控和分析未知攻击的行为。

2.3 虚拟专用网络(VPN)虚拟专用网络(VPN)用于在公共网络上创建加密通道,安全地传输敏感信息。

是VPN的配置规范:•选择安全可靠的VPN协议,如IPsec或SSL/TLS。

•配置合适的身份验证机制,要求用户输入用户名和密码或使用双因素身份验证。

•使用强加密算法和安全密钥,保护VPN通信的机密性。

•配置适当的访问控制策略,只允许经过身份验证的用户访问VPN服务。

2.4 无线网络无线网络的安全性常常容易被忽视,但却是网络攻击的重要目标。

是无线网络的配置规范:•配置无线网络的加密功能,使用WPA2或更高级别的加密算法。

•禁用无线网络的广播功能(SSID隐藏),以防止未经授权的用户发现无线网络。

•设置强密码来保护无线网络的访问。

•定期更改无线网络密码,防止恶意用户猜测密码并访问网络。

2.5 安全更新和维护及时安装安全更新和维护网络安全设备是保持网络安全的关键步骤。

信息安全管理制度-网络安全设备配置规范

信息安全管理制度-网络安全设备配置规范

信息安全管理制度-网络安全设备配置规范信息安全管理制度-网络安全设备配置规范1. 引言本文档旨在规范网络安全设备的配置要求,以保障信息系统和网络的安全性、可靠性和稳定性。

网络安全设备是信息安全管理中的关键组成部分,对于保护网络资源、防范各类网络威胁具有重要作用。

2. 背景随着信息技术的快速发展和广泛应用,各类网络威胁和攻击手段也日益增多和复杂化。

为了有效地应对这些威胁,必须建立健全的网络安全设备配置规范,确保网络安全设备能够发挥最大的防护效果。

3. 目标本文档的目标在于建立网络安全设备配置规范,确保网络安全设备的配置符合最佳实践,以提供最高水平的安全保护。

4. 网络安全设备配置规范要求4.1 管理策略和准则- 确定网络安全设备的管理策略,包括设备的访问控制、认证和授权等。

- 制定网络安全设备的管理准则,包括设备的日志管理、备份和恢复等。

4.2 防火墙配置规范- 配置防火墙的访问控制策略,禁止未授权访问。

- 配置防火墙的应用代理,对网络流量进行深度检查,防范应用层攻击。

- 定期更新和维护防火墙的软件和签名库,及时修补安全漏洞。

4.3 入侵检测与防御系统配置规范- 配置入侵检测与防御系统的基线策略,及时发现和阻止潜在的入侵行为。

- 对入侵检测与防御系统进行漏洞扫描和补丁更新,确保系统的安全性和稳定性。

- 配置入侵检测与防御系统的告警机制,及时通知安全管理员进行处理。

4.4 安全路由器和交换机配置规范- 配置安全路由器和交换机的访问控制列表(ACL),限制网络流量的传输。

- 启用端口安全功能,限制未授权的设备接入网络。

- 采用安全协议,如SSH和HTTPS等,保证设备的远程管理安全。

4.5 无线网络设备配置规范- 配置无线网络设备的SSID隐藏,减少网络被发现的风险。

- 采用WPA2-PSK认证方式,确保无线网络的安全性。

- 配置无线网络设备的访问控制,限制未授权设备接入网络。

5. 配置规范的执行与评估5.1 执行- 在购买和部署网络安全设备时,按照本规范要求进行配置。

网络安全管理制度对网络设备配置管理的要求

网络安全管理制度对网络设备配置管理的要求

网络安全管理制度对网络设备配置管理的要求随着互联网的快速发展,网络设备的配置管理日益重要。

网络安全管理制度作为保障网络安全的重要手段,对网络设备配置管理提出了一系列要求。

本文将就此进行探讨。

一、合理规划网络设备配置网络安全管理制度要求在规划网络设备配置时,需要考虑各种因素,包括网络规模、业务需求、安全等级等。

合理规划网络设备配置可以有效降低网络安全风险,保障网络的正常运行。

首先,根据网络规模和业务需求,确定网络设备的数量和类型。

不同的业务需求可能需要不同类型的设备,如路由器、交换机、防火墙等。

同时,根据网络规模确定设备分布的位置和布线方案,确保设备的连接和拓扑结构合理可靠。

其次,根据信息安全等级的要求,设置合适的防护措施。

对于涉密信息的网络,需采取严格的控制措施,包括加密传输、身份认证等。

对于普通网络,则可采取适度的安全措施,避免过度限制影响正常使用。

二、设备配置的权限管理网络设备配置管理要求设备配置的权限进行严格管理,确保只有授权人员能够对设备进行配置修改。

网络安全管理制度规定了权限分配和管理流程,确保配置管理的合规性和安全性。

首先,网络管理员应根据人员职责和权限设置不同的用户角色。

例如,超级管理员拥有最高权限,可以对设备进行全部配置;普通管理员只能进行部分配置;操作员只能查看设备状态等。

通过角色权限的划分,限制了非授权人员对设备的操作。

其次,网络安全管理制度要求严格的授权流程和记录。

对于每一次配置修改,应有专门的授权人员进行授权,并记录下配置修改的时间、人员和内容等信息。

这样一来,不仅可以保障配置修改的合法性,也有利于事后的审计和追溯。

三、配置备份和更新网络安全管理制度对网络设备配置管理也要求进行配置备份和定期更新,以应对配置丢失、漏洞利用等问题,提高网络设备的稳定性和安全性。

首先,定期对网络设备的配置进行备份。

配置备份可以帮助快速恢复设备配置,避免因误操作、故障等原因导致配置丢失的风险。

备份的频率和保存的时间根据实际情况进行配置,一般建议每周备份一次,并至少保存三个月的配置备份。

信息化设备安全管理制度(4篇)

信息化设备安全管理制度(4篇)

信息化设备安全管理制度一、总则为保障信息化设备安全和数据的保密性、完整性和可用性,规范信息化设备的使用和管理,根据《中华人民共和国网络安全法》等相关法律、法规规章以及国家标准、行业惯例,制定本制度。

二、适用范围本制度适用于本单位内所有信息化设备的安全管理。

信息化设备包括但不限于计算机、服务器、网络设备、存储设备、打印机等。

三、安全管理责任1. 本单位设立信息安全管理委员会,负责制定信息安全政策、制度,协调、推动信息安全管理工作,并对信息化设备的安全管理负有最终责任。

2. 信息安全管理委员会下设信息化设备安全管理部门,负责具体的信息化设备安全管理工作。

3. 各部门负责人是本部门信息化设备的安全管理责任人,负责本部门信息化设备的安全管理工作。

4. 全体员工都是信息化设备的安全管理参与人,负责遵守本制度的各项规定,并积极参与信息安全教育和培训。

四、信息化设备的安全控制措施1. 信息化设备的接入控制(1)所有信息化设备的接入必须经过授权,并分配唯一的账号和密码。

(2)禁止使用未经授权的设备接入本单位的网络。

2. 信息化设备的访问控制(1)信息化设备必须设置强密码,并定期更换。

(2)对丢失或损坏的信息化设备必须及时上报,并进行相应的处理。

(3)禁止私自安装或卸载软件,必须经过信息化设备安全管理部门的审批。

(4)禁止私自更改设备配置,必须经过信息化设备安全管理部门的审批。

3. 信息化设备的存储控制(1)对于存有重要数据的信息化设备,必须定期进行备份,并存放在安全的地方。

(2)禁止将机密、敏感数据存储在非加密的设备或移动存储介质上。

4. 信息化设备的网络安全控制(1)所有信息化设备必须安装并定期更新杀毒软件、防火墙等安全软件。

(2)禁止随意连接未知网络,必须根据实际需求经过授权。

(3)禁止使用未经授权的网络接入本单位的网络。

(4)禁止访问未经授权的网站、下载未经授权的软件。

(5)禁止在信息化设备上进行非法的网络攻击行为。

信息安全管理制度网络安全设备配置规范标准

信息安全管理制度网络安全设备配置规范标准

网络安全设备配置规范XXX 2011年1月网络安全设备配置规范1防火墙1.1防火墙配置规范1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等,并定义相应的职责,维护相应的文档和记录。

2.防火墙管理人员应定期接受培训。

3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等,以及使用SSH而不是telnet远程管理防火墙。

4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如何进行口令变更?1.2变化控制1.防火墙配置文件是否备份?如何进行配置同步?2.改变防火墙缺省配置。

3.是否有适当的防火墙维护控制程序?4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可靠。

5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)1.3规则检查1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。

2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。

防火墙访问控制规则集的一般次序为:✧反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地址)✧用户允许规则(如,允许HTTP到公网Web服务器)✧管理允许规则✧拒绝并报警(如,向管理员报警可疑通信)✧拒绝并记录(如,记录用于分析的其它通信)防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。

3.防火墙访问控制规则中是否有保护防火墙自身安全的规则4.防火墙是否配置成能抵抗DoS/DDoS攻击?5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址✧标准的不可路由地址(255.255.255.255、127.0.0.0)✧私有(RFC1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 –172.31..255.255、192.168.0.0 –192.168.255.255)✧保留地址(224.0.0.0)✧非法地址(0.0.0.0)6.是否确保外出的过滤?确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则,并确保任何源IP不是内部网的通信被记录。

信息网络安全管理制度(3篇)

信息网络安全管理制度(3篇)

信息网络安全管理制度1.局域网由市公司信息中心统一管理。

2.计算机用户加入局域网,必须由系统管理员安排接入网络,分配计算机名、IP地址、帐号和使用权限,并记录归档。

3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。

登录时必须使用自己的帐号。

口令长度不得小于____位,必须是字母数字混合。

4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。

业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。

5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经单位分管领导或部门负责人同意后,由信息中心安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。

不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。

6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外单位通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。

因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。

7.所有办公电脑都应安装全省统一指定的趋势防病毒系统,并定期升级病毒码及杀毒引擎,按时查杀病毒。

未经信息中心同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向信息中心汇报,由系统管理员统一清除病毒。

8.入网用户不得从事下列危害公司网络安全的活动:(1)未经允许,对公司网络及其功能进行删除、修改或增加;(2)未经允许,对公司网络中存储、处理或传输的数据和应用程序进行删除、修改或增加;(3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外单位或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。

9.入网用户必须遵守国家的有关法律法规和公司的有关规定,如有违反,信息中心将停止其入网使用权,并追究其相应的责任。

10.用户必须做好防火、防潮、防雷、防盗、防尘和防泄密等防范措施,重要文件和资料须做好备份。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网络安全设备配置规范XXX2011年1月网络安全设备配置规范1防火墙1.1防火墙配置规范1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等,并定义相应的职责,维护相应的文档和记录。

2.防火墙管理人员应定期接受培训。

3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等,以及使用SSH而不是telnet远程管理防火墙。

4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如何进行口令变更?1.2变化控制1.防火墙配置文件是否备份?如何进行配置同步?2.改变防火墙缺省配置。

3.是否有适当的防火墙维护控制程序?4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁,确保补丁的来源可靠。

5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)1.3规则检查1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。

2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。

防火墙访问控制规则集的一般次序为:✧反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地址)✧用户允许规则(如,允许HTTP到公网Web服务器)✧管理允许规则✧拒绝并报警(如,向管理员报警可疑通信)✧拒绝并记录(如,记录用于分析的其它通信)防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。

3.防火墙访问控制规则中是否有保护防火墙自身安全的规则4.防火墙是否配置成能抵抗DoS/DDoS攻击?5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址✧标准的不可路由地址(255.255.255.255、127.0.0.0)✧私有(RFC1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 –172.31..255.255、192.168.0.0 –192.168.255.255)✧保留地址(224.0.0.0)✧非法地址(0.0.0.0)6.是否确保外出的过滤?确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则,并确保任何源IP不是内部网的通信被记录。

7.是否执行NAT,配置是否适当?任何和外网有信息交流的机器都必须经过地址转换(NAT)才允许访问外网,同样外网的机器要访问内部机器,也只能是其经过NAT 后的IP,以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去。

8.在适当的地方,防火墙是否有下面的控制?如,URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等。

9.防火墙是否支持“拒绝所有服务,除非明确允许”的策略?1.4审计监控1.具有特权访问防火墙的人员的活动是否鉴别、监控和检查?对防火墙的管理人员的活动,防火墙应该有记录,并要求记录不能修改,以明确责任,同时能检查对防火墙的变化。

2.通过防火墙的通信活动是否日志?在适当的地方,是否有监控和响应任何不适当的活动的程序?确保防火墙能够日志,并标识、配置日志主机,确保日志安全传输。

管理员通过检查日志来识别可能显示攻击的任何潜在模式,使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问。

3.是否精确设置并维护防火墙时间?配置防火墙使得在日志记录中包括时间信息。

精确设置防火墙的时间,使得管理员追踪网络攻击更准确。

4.是否按照策略检查、回顾及定期存档日志,并存储在安全介质上?确保对防火墙日志进行定期存储并检查,产生防火墙报告,为管理人员提供必需的信息以帮助分析防火墙的活动,并为管理部门提供防火墙效率情况。

1.5应急响应1.重大事件或活动是否设置报警?是否有对可以攻击的响应程序?如适当设置入侵检测功能,或者配合使用IDS(入侵检测系统),以防止某些类型的攻击或预防未知的攻击。

2.是否有灾难恢复计划?恢复是否测试过?评估备份和恢复程序(包括持续性)的适当性,考虑:对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。

2交换机2.1交换机配置文件是否离线保存、注释、保密、有限访问,并保持与运行配置同步2.2是否在交换机上运行最新的稳定的IOS版本2.3是否定期检查交换机的安全性?特别在改变重要配置之后。

2.4是否限制交换机的物理访问?仅允许授权人员才可以访问交换机。

2.5VLAN 1中不允许引入用户数据,只能用于交换机内部通讯。

2.6考虑使用PVLANs,隔离一个VLAN中的主机。

2.7考虑设置交换机的Security Banner,陈述“未授权的访问是被禁止的”。

2.8是否关闭交换机上不必要的服务?包括:TCP和UDP小服务、CDP、finger等。

2.9必需的服务打开,是否安全地配置这些服务?。

2.10保护管理接口的安全2.11s hutdown所有不用的端口。

并将所有未用端口设置为第3层连接的vlan。

2.12加强con、aux、vty等端口的安全。

2.13将密码加密,并使用用户的方式登陆。

2.14使用SSH代替Telnet,并设置强壮口令。

无法避免Telnet时,是否为Telnet的使用设置了一些限制?2.15采用带外方式管理交换机。

如果带外管理不可行,那么应该为带内管理指定一个独立的VLAN号。

2.16设置会话超时,并配置特权等级。

2.17使HTTP server失效,即,不使用Web浏览器配置和管理交换机。

2.18如果使用SNMP,建议使用SNMPv2,并使用强壮的SNMP communitystrings。

或者不使用时,使SNMP失效。

2.19实现端口安全以限定基于MAC地址的访问。

使端口的auto-trunking失效。

2.20使用交换机的端口映像功能用于IDS的接入。

2.21使不用的交换机端口失效,并在不使用时为它们分配一个VLAN号。

2.22为TRUNK端口分配一个没有被任何其他端口使用的native VLAN号。

2.23限制VLAN能够通过TRUNK传输,除了那些确实是必需的。

2.24使用静态VLAN配置。

2.25如果可能,使VTP失效。

否则,为VTP设置:管理域、口令和pruning。

然后设置VTP为透明模式。

2.26在适当的地方使用访问控制列表。

2.27打开logging功能,并发送日志到专用的安全的日志主机。

2.28配置logging使得包括准确的时间信息,使用NTP和时间戳。

2.29依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。

2.30为本地的和远程的访问交换机使用AAA特性。

3路由器1.是否有路由器的安全策略?明确各区域的安全策略物理安全设计谁有权安装、拆除、移动路由器。

设计谁有权维护和更改物理配置。

设计谁有权物理连接路由器设计谁有权物理在Console端口连接路由器设计谁有权恢复物理损坏并保留证据●静态配置安全设计谁有权在Console端口登录路由器。

设计谁有权管理路由器。

设计谁有权更改路由器配置设计口令权限并管理口令更新设计允许进出网络的协议、IP地址设计日志系统限制SNMP的管理权限定义管理协议(NTP, TACACS+, RADIUS, and SNMP)与更新时限定义加密密钥使用时限●动态配置安全识别动态服务,并对使用动态服务作一定的限制识别路由器协议,并设置安全功能设计自动更新系统时间的机制(NTP)如有VPN,设计使用的密钥协商和加密算法●网络安全列出允许和过滤的协议、服务、端口、对每个端口或连接的权限。

●危害响应列出危害响应中个人或组织的注意事项定义系统被入侵后的响应过程收集可捕获的和其遗留的信息●没有明确允许的服务和协议就拒绝2.路由器的安全策略的修改●内网和外网之间增加新的连接。

●管理、程序、和职员的重大变动。

●网络安全策略的重大变动。

●增强了新的功能和组件。

(VPN or firewall)●察觉受到入侵或特殊的危害。

3.定期维护安全策略访问安全1.保证路由器的物理安全2.严格控制可以访问路由器的管理员3.口令配置是否安全Example :Enable secret 5 3424er2w4.使路由器的接口更安全5.使路由器的控制台、辅助线路和虚拟终端更安全控制台# config tEnter configuration commands, one per line. End withCNTL/Z.(config)# line con 0(config-line)# transport input none(config-line)# login local(config-line)# exec-timeout 5 0(config-line)# exit(config)#设置一个用户(config)# username brian privilege 1 passwordg00d+pa55w0rd(config)# end#关闭辅助线路# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# line aux 0(config-line)# transport input none(config-line)# login local(config-line)# exec-timeout 0 1(config-line)# no exec(config-line)# exit关闭虚拟终端# config tEnter configuration commands, one per line. End withCNTL/Z.(config)# no access-list 90(config)# access-list 90 deny any log(config)# line vty 0 4(config-line)# access-class 90 in(config-line)# transport input none(config-line)# login local(config-line)# exec-timeout 0 1(config-line)# no exec(config-line)# end#访问列表1.实现访问列表及过滤拒绝从内网发出的源地址不是内部网络合法地址的信息流。

(config)# no access-list 102(config)# access-list 102 permit ip 14.2.6.00.0.0.255 any(config)# access-list 102 deny ip any any log(config)# interface eth 0/1(config-if)# description "internal interface"(config-if)# ip address 14.2.6.250 255.255.255.0 (config-if)# ip access-group 102 in●拒绝从外网发出的源地址是内部网络地址的信息流●拒绝所有从外网发出的源地址是保留地址、非法地址、广播地址的信息流Inbound Traffic(config)# no access-list 100(config)# access-list 100 deny ip 14.2.6.00.0.0.255 any log(config)# access-list 100 deny ip 127.0.0.00.255.255.255 any log(config)# access-list 100 deny ip 10.0.0.00.255.255.255 any log(config)# access-list 100 deny ip 0.0.0.00.255.255.255 any log(config)# access-list 100 deny ip 172.16.0.00.15.255.255 any log(config)# access-list 100 deny ip 192.168.0.00.0.255.255 any log(config)# access-list 100 deny ip 192.0.2.00.0.0.255 any log(config)# access-list 100 deny ip 169.254.0.00.0.255.255 any log(config)# access-list 100 deny ip 224.0.0.015.255.255.255 any log(config)# access-list 100 deny ip host255.255.255.255 any log(config)# access-list 100 permit ip any 14.2.6.00.0.0.255(config)# interface eth0/0(config-if)# description "external interface"(config-if)# ip address 14.1.1.20 255.255.0.0(config-if)# ip access-group 100 in(config-if)# exit(config)# interface eth0/1(config-if)# description "internal interface"(config-if)# ip address 14.2.6.250 255.255.255.0 (config-if)# end入路由器外部接口阻塞下列请求进入内网的端口。

相关文档
最新文档