路由器设备安全功能规范

智能无线路由器无线接入安全技术规范详解路由器无线接入的应用已经非常普及，这里我们主要介绍智能无线路由器无线接入安全技术规范，包括介绍Wi-Fi保护无线接入(WPA)等方面。

现在，智能无线路由器无线接入越来越普及了，但无线接入的安全性也变得岌岌可危。

为保护个人隐私，用智能无线路由器无线上网安全的意识也需增强。

这里说说智能无线路由器无线上网安全的规范，有助于新手以后用到。

到底无线安全有哪些规范，下面详尽的讲解。

1、服务集标识符(SSID)通过对多个无线接入网点AP(Access Point)设置不同的SSID，并要求无线工作站出示正确的SSID才能访问AP，这样就可以允许不同群组的用户接入，并对资源访问的权限进行区别限制。

因此可以认为SSID是一个简单的口令，从而提供一定的安全，但如果配置AP向外广播其SSID，那么安全程度还将下降。

由于一般情况下，用户自己配置客户端系统，所以很多人都知道该SSID，很容易共享给非法用户。

目前有的厂家支持"任何(ANY)"SSID方式，只要无线工作站在任何AP范围内，客户端都会自动连接到AP，这将跳过SSID安全功能。

2、物理地址过滤(MAC)由于每个无线工作站的网卡都有唯一的物理地址，因此可以在AP中手工维护一组允许访问的MAC地址列表，实现物理地址过滤。

这个方案要求AP 中的MAC地址列表必需随时更新，可扩展性差;而且MAC地址在理论上可以伪造，因此这也是较低级别的授权认证。

物理地址过滤属于硬件认证，而不是用户认证。

这种方式要求AP中的MAC地址列表必需随时更新，目前都是手工操作;如果用户增加，则扩展能力很差，因此只适合于小型网络规模。

3、连线对等保密(WEP)在链路层采用RC4对称加密技术，用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源，从而防止非授权用户的监听以及非法用户的访问。

WEP提供了40位(有时也称为64位)和128位长度的密钥机制，但是它仍然存在许多缺陷，例如一个服务区内的所有用户都共享同一个密钥，一个用户丢失钥匙将使整个网络不安全。

工业安全路由器质量评定标准工业安全路由器是为工业控制系统设计的特殊网络设备，用于保护工业网络的安全性和可靠性。

工业安全路由器质量评定标准是衡量工业安全路由器性能和可靠性的重要标准，以下是对工业安全路由器质量评定标准的讨论。

一、硬件质量评定标准1.设备可靠性工业安全路由器在恶劣工业环境中长期工作，因此必须具备高可靠性。

其关键组件如CPU、内存、存储器等应具备较高的抗震、抗干扰和耐高温等特性。

2.通信接口工业安全路由器必须提供多种通信接口，如以太网口、串口、无线通信接口等，以适应不同的工业通信需求。

这些接口的设计和实现应满足工业网络通信的特殊要求，如抗干扰能力、数据传输速率和稳定性等。

3.安全防护能力工业安全路由器作为安全设备，必须具备较强的安全防护能力。

硬件方面，应具备防火墙、入侵检测和防护系统等功能，以保障工业网络的安全。

此外，硬件上也应具备远程管理、实时监控等功能，以提供方便的网络管理和控制。

二、软件质量评定标准1.系统稳定性工业安全路由器的操作系统应具备良好的稳定性和实时性。

用户通过其进行数据传输和控制操作，因此需要保证操作系统的可靠性和稳定性，以保证工业控制系统正常运行。

2.安全性工业安全路由器软件应具备强大的安全功能，以抵御各种网络攻击和安全威胁。

这包括有效的身份认证机制、数据加密、访问控制和审计等功能，以保护工业控制系统的安全。

3.网络性能工业安全路由器需要具备良好的网络性能，包括数据传输速率、传输可靠性和网络延迟等方面。

在工业控制系统中，传输的数据往往较大且实时性要求较高，因此工业安全路由器在性能方面需要具备较强的支持和保证。

三、标准符合性评定标准工业安全路由器质量评定还需要评估其是否符合国家相关标准和行业规范。

例如，符合ISO 27001、IEC 62443等标准，以及符合各种工业领域的特殊标准和规范。

通过评估其标准符合性，可以判断工业安全路由器的质量和可行性。

四、用户满意度评定标准用户满意度反映了工业安全路由器使用者对其质量的评价。

网络设备配置规范范本一、引言网络设备配置规范是为了确保网络设备的安全性、稳定性和可管理性而制定的标准。

本文档旨在提供一个通用的网络设备配置规范范本，以供参考和应用。

二、设备命名规范为了方便管理和识别网络设备，每个设备均应使用唯一的名称。

设备名称需简洁明确、易于辨识，并按照一定的命名规则命名。

1. 设备类型根据设备的类型，可以在名称中加入相应的前缀，例如：- 路由器：R- 交换机：S- 防火墙：F- 服务器：SRV- 存储设备：STO- 无线接入点：AP- 其他设备根据实际类型确定相应前缀2. 设备位置在设备名称中可以加入位置信息，例如：- 数据中心：DC- 办公楼：BL- 会议室：CR- 机房：GF- 其他位置根据实际情况确定相应信息3. 序号为了区分同一类型设备，可以在设备名称末尾添加序号。

例如，一台位于数据中心的交换机可以被命名为S-DC-01。

三、设备基本配置规范为保证网络设备的基本功能和性能，应按照以下规范进行配置。

1. 管理口/控制台口配置- IP地址：设备的管理口或控制台口需配置一个合适的IP地址，并确保该地址不与其他设备冲突。

- 子网掩码：设备的管理口或控制台口需配置适当的子网掩码。

- 默认网关：根据网络拓扑和需要，配置适当的默认网关。

- 远程管理：根据安全要求和需要，决定是否开启远程管理功能。

2. VLAN配置- 按照实际需求，配置相应的VLAN，并确保VLAN之间的隔离和通信正常。

- 配置端口的Access模式或Trunk模式，以提供正确的VLAN隔离和通信。

3. 网络时间协议（NTP）配置- 配置适当的NTP服务器，确保网络设备的时间同步准确。

4. 系统日志配置- 配置设备的系统日志，包括日志级别、日志存储位置等。

5. 加密与认证配置- 配置合适的加密和认证机制，如SSH、SSL等，以增强设备的安全性。

6. 管理账户配置- 配置合适的管理账户和密码策略，包括管理员账户、操作员账户等。

网络安全设备配置规范XXX2011年1月网络安全设备配置规范1防火墙1.1防火墙配置规范1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。

2.防火墙管理人员应定期接受培训。

3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等，以及使用SSH而不是telnet远程管理防火墙。

4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？1.2变化控制1.防火墙配置文件是否备份？如何进行配置同步？2.改变防火墙缺省配置。

3.是否有适当的防火墙维护控制程序？4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。

5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）1.3规则检查1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。

2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。

防火墙访问控制规则集的一般次序为：✧反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址）✧用户允许规则（如，允许HTTP到公网Web服务器）✧管理允许规则✧拒绝并报警（如，向管理员报警可疑通信）✧拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。

3.防火墙访问控制规则中是否有保护防火墙自身安全的规则4.防火墙是否配置成能抵抗DoS/DDoS攻击？5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址✧标准的不可路由地址（255.255.255.255、127.0.0.0）✧私有（RFC1918）地址（10.0.0.0 –10.255.255.255、172.16.0.0 –172.31..255.255、192.168.0.0 –192.168.255.255）✧保留地址（224.0.0.0）✧非法地址（0.0.0.0）6.是否确保外出的过滤？确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则，并确保任何源IP不是内部网的通信被记录。

密级：内部文档编号：项目代号：中国移动通信集团网络设备安全配置规范总则版本：草稿二零零三年十一月中国移动通信公司福建移动通信公司版本控制目录第一部分概述和介绍 (5)1 概述 (5)1.1 项目背景 (5)1.2 项目目标 (5)1.3 参考资料 (5)第二部分设备的安全机制 (7)1 访问控制 (7)2 数据加密 (7)3 日志问题 (7)4 自身的防攻击能力 (8)第三部分设备安全配置建议 (9)1 访问控制列表及其管理 (9)1.1 实施原则 (9)1.2 存在问题 (10)1.3 要求配置部分 (10)2 路由协议的安全性 (11)2.1 路由协议认证 (11)2.2 源地址路由检查 (12)2.3 黑洞路由 (12)3 网管及认证问题 (13)3.1 访问管理 (13)3.1.1 限制登录空闲时间 (14)3.1.2 限制尝试次数 (14)3.1.3 限制并发数 (14)3.1.4 访问地址限制 (14)3.2 帐号和密码管理 (15)3.3 帐号认证和授权 (15)3.3.1 本机认证和授权 (15)3.3.2 AAA认证 (16)3.4 snmp协议 (16)3.5 HTTP的配置要求 (17)4 安全审计 (17)4.1 设备的登录信息 (18)4.2 设备异常事件 (18)4.3 SYSLOG服务器的设置 (18)5 设备IOS升级方法 (18)5.1 前期准备 (19)5.1.1 软件的获取 (19)5.1.2 制定升级计划 (19)5.1.3 配置同步 (19)5.1.4 数据备份 (20)5.1.5 其他准备工作 (20)5.2 升级操作 (20)5.2.1 记录升级前系统状态 (20)5.2.2 升级IOS或装载补丁 (20)5.2.3 检查升级后系统的状态 (21)5.3 应急保障措施 (21)6 特定的安全配置 (21)6.1 更改标准端口 (21)6.2 关闭不必要的服务 (21)6.3 防DOS攻击 (22)6.3.1 Smurf进攻的防范。

信息安全管理制度-网络安全设备配置规范信息安全管理制度-网络安全设备配置规范1.范围本规范适用于公司内部所有网络安全设备的配置，旨在保护公司网络及信息安全。

2.目的通过合理的网络安全设备配置，保障公司网络的可用性、完整性和机密性，防止未经授权的访问、修改、泄露和破坏。

3.定义(在此处列出本文中涉及的法律名词及其注释，以便员工理解。

)4.硬件设备配置4.1 网关防火墙配置a. 设置基本防火墙规则，包括允许的入站和出站流量、拒绝的流量和黑名单。

b. 启用网络地质转换（NAT）功能，对内部网络的地质进行转换，隐藏内部网络结构。

c. 启用入侵检测和防御系统（IDS/IPS）功能，监测和防止恶意攻击。

d. 定期更新防火墙固件，及时应用安全补丁，修复漏洞。

4.2 路由器配置a. 设置密码保护，限制路由器管理接口的访问。

b. 配置访问控制列表（ACL），限制路由器对外接口的流量。

c. 启用路由器的防火墙功能，过滤恶意流量和DoS攻击。

d. 设置路由器的远程管理权限，只允许授权的人员进行远程管理。

4.3 交换机配置a. 设置密码保护，限制交换机的管理接口的访问。

b. 配置虚拟局域网（VLAN），将网络划分为不同的安全区域。

c. 启用端口安全功能，限制MAC地质数量和绑定静态MAC地质。

d. 配置端口镜像，实时监测网络流量和进行分析。

5.软件配置5.1 防软件配置a. 安装统一的防软件，对公司内部设备进行扫描和实时保护。

b. 定期更新防软件的库，确保最新的识别能力。

c. 设置防软件的自动扫描功能，对用户和的文件进行检测。

5.2 入侵检测与防御系统（IDS/IPS）配置a. 安装并配置入侵检测与防御系统，实时监测网络中的异常行为和攻击。

b. 设置警报系统，及时通知安全管理员发现的潜在威胁。

c. 定期更新IDS/IPS的规则库，增加新的攻击和威胁的识别能力。

5.3 虚拟专用网络（VPN）配置a. 配置安全的 VPN 通道，通过加密和身份验证确保远程访问的安全性。

无线路由器测试规范和要求日期校正版本描述作者审察新拟订刘琢励Tony目录一、测试要求 (4)二、测试设备 (4)三、性能测试 (4)有线测试(用 Smarbit 测试) (4)、 LAN-LAN throughput (100米网线) (4)、 LAN-LAN Frame loss (100米网线) (5)、 Latency(100米网线) (5)、 Back to Back (100米网线) (5)、address cach size (5)、 LAN-WAN Throughput (100米网线) (5)、 LAN → WAN Throughput(100米网线) (5)、并发会话数 (5)、每秒最大连接数 (5)、单向单进度LAN → WLAN (6)、单向单进度WLAN → LAN (6)、单向单进度WLAN → WLAN (6)、单向六进度LAN → WLAN (7)、单向六进度WLAN → LAN (7)、双向六进度WLAN → LAN (7)、双向六进度WLAN............................................................................................................................................................................. → WLAN7 、双向双进度WDS → WDS.. (8)、单向单进度WLAN-W AN (8)3.3 、加密测试 (8)、不加密 (8)、加密种类WEP (8)、加密种类WPA (9)、加密种类WPS (9)3.4 、无线距离测试 (9)、5米距离单向单进度LAN → WLAN (9)、10米距离单向单进度LAN → WLAN (10)、20米距离单向单进度LAN → WLAN (10)、50米距离单向单进度LAN → WLAN (10)、100米距离单向单进度LAN → WLAN (10)、穿墙测试单向单进度LAN → WLAN (11)、电压拉偏测试 (11)、无线路由器其余测试 (11)、指示灯测试 (11)、50次开关电源测试 (11)、按钮测试 (11)、 ping 包测试 (11)、端口双工协商测试 (12)、牢固性测试 (12)、 LAN--WLAN 12小时牢固性测试 (12)、 WDS--WDS 12小时牢固性测试 (12)、 LAN-LAN 12小时牢固性测试 (12)、 PPPOE 拨号上网牢固性测试 (13)、应用程序测试 (13)3.7.6 Qos 测试 (13)、 LAN-W AN12小时牢固性测试 (14)、老化测试 (14)、硬件兼容性测试 (14)、无线兼容性测试 (14)3.10 、比较测试 (15)近距离单向单进度 (15)LAN → WLAN (15)近距离双向六进度 (15)WLAN -LAN (15)四、软件功能测试 (15)为了规范无线路由器测试，特别是硬件测试，拟订本规范。