Cisco网络设备安全配置
Cisco网络设备安全检查和配置列表
前言:本文档简单描述关于Cisco网络设备(路由器和交换机)的常规安全配置,旨在提示用户加强网络设备的安全配置。在开始本文档前,有几点需要说明:如果条件允许的话,所有的设备都应该采用最新的IOS或者COS。如果能够采用静态路由的话,尽量采用静态路由;动态路由方面的安全配置未在本文档之内。
一、路由器检查列表:
□路由器的安全策略是否有备案,核查并且实施
□路由器的IOS版本是否是最新
□路由的配置文件是否有离线备份,并且对备份文件的访问有所限制
□路由器的配置是否有清晰的说明和描述
□路由器的登陆用户和密码是否已经配置
□密码是否加密,并且使用secret密码
□ secret密码是否有足够的长度和复杂度,难以猜测
□通过Console,Aux,vty的访问是否有所限制
□不需要的网络服务和特性是否已关闭
□确实需要的网络服务是否已经正确安全的配置
□未使用的接口和vty是否已经配置shutdown
□有风险的接口服务是否已经禁用
□网络中需要使用的协议和端口是否标识正确
□访问控制列表是否配置正确
□访问列表是否禁用了Internet保留地址和其他不适当的地址
□是否采用静态路由
□路由协议是否配置了正确的算法
□是否启用日志功能,并且日志内容清晰可查
□路由器的时间和日期是否配置正确
□日志内容是否保持统一的时间和格式
□日志核查是否符合安全策略
二、IOS安全配置
1、服务最小化
关闭所有不需要的服务,可以使用show proc命令来查看运行了那些服务。通常来说以下服务不需要启动。
Small services (echo, discard, chargen, etc.)
- no service tcp-small-servers
- no service udp-small-servers
_ BOOTP - no ip bootp server
_ Finger - no service finger
_ HTTP - no ip http server
_ SNMP - no snmp-server
2、登陆控制
Router(config)#line console 0
Router(config-line)#password xxx
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
Router(config)#line aux 0
Router(config-line)#password xxx
Router(config-line)#exec-timeout 0 10
Router(config-line)#login
Router(config)#line vty 0 4
Router(config-line)#password xxx
Router(config-line)#exec-timeout 5 0
Router(config-line)#login
注:如果路由器支持的话,请使用ssh替代telnet;
3、密码设置
Router(config)#service password-encryption
Router(config)#enable secret
4、日志功能
Central(config)# logging on
Central(config)# logging IP(SYSLOG SERVER)
Central(config)# logging buffered
Central(config)# logging console critical
Central(config)# logging trap informational
Central(config)# logging facility local1
Router(config)# service timestamps log datetime localtime show-timezone msec
5、SNMP的设置
Router(config)# no snmp community public ro
Router(config)# no snmp community private rw
Router(config)# no access-list 50
Router(config)# access-list 50 permit 10.1.1.1
Router(config)# snmp community xxx ro 50
Router(config)# snmp community yyy rw 50
注:xxx,yyy是你需要设置的community string,越是复杂越好,并且两都绝对不能一致。10.1.1.1是你的snmp服务器,或者说是网管机器
6、访问控制列表
访问控制列表是IOS中最有力的控制工具,根据网络实际情况进行严格的配置,将使路由器达到很好的安全控制。以下仅列出通用配置,其他配置需根据用户实际网络情况进行细化。
?如果处于边界,则需要屏蔽以下地址段的IP包0.0.0.0/8, 10.0.0.0/8,
169.254.0.0/16,172.16.0.0/20, 192.168.0.0/16
?屏蔽来自于127.0.0.0/8的IP包
?屏蔽所有源目的地址相同的包
?限制远程登陆源地址
Router(config)# no access-list 92
Router(config)# access-list 92 permit 14.2.10.1
Router(config)# access-list 92 permit 14.2.9.1
Router(config)# line vty 0 4
Router(config-line)# access-class 92 in
网络设备安全策略
网络设备安全策略 一. 网络设备安全概述 设备的安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中设备来破坏系统和信息,或扩大已有的破坏。只有网络中所有结点都安全了,才能说整个网络状况是安全的。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。对网络设备进行安全加固的目的是减少攻击者的攻击机会。如果设备本身存在安全上的脆弱性,往往会成为攻击目标。 二. 设备的安全脆弱性分析如下 (1)提供不必要的网络服务,提高了攻击者的攻击机会 (2)存在不安全的配置,带来不必要的安全隐患 (3)不适当的访问控制 (4)存在系统软件上的安全漏洞 (5)物理上没有安全存放,遭受临近攻击(close-in attack) 三. 针对网络设备存在的安全弱点,采取的方法和策略。(1)禁用不必要的网络服务 (2)修改不安全的配置 (3)利用最小权限原则严格对设备的访问控制 (4)及时对系统进行软件升级 (5)提供符合IPP要求的物理保护环境 四. 网络设备安全服务控制 利用IP 地址欺骗控制其他主机,共同要求Router提供的某种服务,导致Router 利用率升高。就可以实现DDOS攻击。防范措施是关闭某些默认状态下开启的服务,以节省内存并防止安全破坏行为/攻击。 (1)禁止CDP协议 (2)禁止其他的TCP、UDP Small服务 (3)禁止Finger服务
(4)建议禁止http server服务。 (5)禁止bootp server服务 (6)禁止代理ARP服务 (7)过滤进来的ICMP的重定向消息 (8)建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤 (9)如果没必要则禁止WINS和DNS服务 (10) 根据公司的业务需求对适合不同业务的网络协议端口进行相应的开放和封闭策略 五. 网络设备运行监控 对重要的网络设备,如核心交换机,防火墙,路由器等进行时时的监控和报警措施,及时做好预防措施,保证公司网络设备的安全运行.
思科交换机安全 做 802.1X、port-security案例
端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping cisco所有局域网缓解技术都在这里了! 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦 当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT必须支持802.1X方式,如安装某个软件 Extensible Authentication Protocol Over Lan(EAPOL) 使用这个协议来传递认证授权信息 示例配置: Router#config ure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Switch(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用
信息安全管理制度-网络安全设备配置规范v1
网络安全设备配置规范 网络安全设备配置规范
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
(完整版)信息安全管理制度-网络安全设备配置规范
网络安全设备配置规范 XXX 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
思科交换机安全配置(包括AAA、端口安全、ARP安全、DHCP侦听、日志审计流量限制)
网络拓扑图如下: 根据图示连接设备。 在本次试验中,具体端口情况如上图数字标出。核心交换机(core )设置为s1或者SW1,汇聚层交换机(access)设置为s2或者SW2。 IP 地址分配: Router:e0::f0/1: 接口:Core vlan10: Vlan20: Vlan30: Access vlan10: Vlan20: Vlan30: 服务器IP地址:区域网段地址: PC1:PC2:路由器清空配置命令: en erase startup-config Reload 交换机清空配置命令: en erase startup-config
delete Reload 加速命令: en conf t no ip domain lookup line con 0 exec-timeout 0 0 logging syn hostname 一、OFFICE 区域地址静态分配,防止OFFICE 网络发生ARP 攻击,不允许OFFICE 网段PC 互访;STUDENTS 区域主机输入正确的学号和密码后接入网络,自动获取地址,阻止STUDENTS网段地址发生ARP攻击; 1、基本配置 SW1的配置: SW1(config)#vtp domain cisco 然后在pc上进入接口,设置为DHCP获取地址,命令如下: int f0/1 ip add dhcp 查看结果:
5、Student区域ARP防护: SW2配置如下: ip dhcp snooping //开启DHCP侦听 ip dhcp snooping vlan 20 int range f0/1,f0/2 ip dhcp snooping limit rate 5 //限制DHCP请求包数量,此处为5 ip verify source port-security exit int port-channel 10 ip dhcp snooping trust //设置信任端口 然后修改pc1的mac地址,就可以发现端口down状态,修改mac地址命令如下: pc1(config)#int e0/0 pc1(config-if)#mac-address 、AAA认证: 服务器地址为:vlan 30 //创建vlan 30的原因:在sw1、sw2中配置svi口,服务器的地址为,使他们位于同一个网段。这样pc机发出的认证数据包就会被发往服务器 s1(config-if)#ip add f0/5 s1(config-if)#switchport mode access s1(config-if)#switchport access vlan 30 s2(config)#int vlan 30 s2(config-if)#ip add new-model //AAA配置位于接入层交换机,所以核心交换机sw1连接服务器的接口不需要配置IP地址 s2(config)#aaa authentication login vtylogin group radius s2(config)#radius-server host auth-port 1812 acct
服务器、网络设备以及安全设备日常维护管理制度
服务器、网络设备以及安全设备日常维护管理制度 第一条 服务器、网络设备及安全设备的安全、性能检查。每台服务器、网络设备及安全设备至少保证每周检查两次,每次检查的结果要求进行登记记录。 第二条 数据备份工作。定期对服务器、网络设备、安全设备的配置文件进行备份,每次更改配置、策略后,都要及时更新备份文件,保证当前为备份最新数据。 第三条 服务器、网络设备及安全设备的监控工作。每天正常工作期间必须保证监视所有服务器、网络设备及安全设备状态,一旦发现服务器、网络设备或安全设备异常,要及时采取相应措施。 第四条 服务器、网络设备及安全设备的相关日志操作。每台服务器、网络设备及安全设备保证每周或依据数据情况对相关日志进行整理,整理前对应的各项日志如应用程序日志、安全日志、系统日志等应进行保存。 第五条 要及时做好服务器的补丁升级和漏洞修复工作。对于新发布的漏洞补丁和应用程序方面的安全更新,要及时分发给每台服务器。 第六条 服务器、网络设备及安全设备的安全检查主要包括CPU利用率、运行状态、性能、网络流量等方面。安全管理员必须保证对服务器、网络设备及安全设备每月进行一次安全检查。每次的检查结果必须做好记录,并生成检查报告。 第七条 不定时的相关工作。每台服务器如有应用软件更改、需要安装新的应用程序或卸载应用程序等操作,应提前告知所有管理员。 第八条 密码定期更改工作。每台服务器、网络设备及安全设备保证至少每一个月更改一次密码,密码长度不少于8位,且要满足复杂度要求。
第九条 系统管理人员要定时对系统服务器进行病毒检查,发现病毒要及时处理。 第十条 未经许可,任何人不得在服务器上安装新软件,若确实需要安装,安装前应得到授权并进行病毒例行检查。 第十一条 经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 第十二条 定时对硬件进行检查、调试和修理,确保其运行完好。 第十三条 关键设备应指定专人保管,未经授权的人员不得进行单独操作。 第十四条 所有设备未经许可一律不得借用,特殊情况须经批准后办理借用手续,借用期间如有损坏应由借用部门或借用人负责赔偿。 第十五条 硬件设备发生损坏、丢失等事故,应及时上报,填写报告单并按有关规定处理。 第十六条 业务系统设备及其附属设备的管理(登记)与维修由系统、网络管理员负责。设备管理人员每半年要核对一次设备登记情况。 第十七条 系统服务器、网络设备及安全设备应由相关管理人员每周进行一次例行检查和维护,并详细记录检查过程及检查结果。 第十八条
cisco交换机的端口安全配置
【官方提供】【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
信息安全管理制度网络安全设备配置规范
网络安全设备配置规范 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭、、、等,以及使用而不是远程 管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许到公网服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击? 5.防火墙是否阻断下述欺骗、私有(1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255)
思科交换机安全(详细配置、讲解)(知识材料)
cisco所有局域网缓解技术 交换机安全802.1X、port-security、DHCP SNOOP、DAI、VACL、SPAN RSPAN 端口和MAC绑定:port-security 基于DHCP的端口和IP,MAC绑定:ip source guard 基于DHCP的防止ARP攻击:DAI 防止DHCP攻击:DHCP Snooping 常用的方式: 1、802.1X,端口认证,dot1x,也称为IBNS(注:IBNS包括port-security):基于身份的网络安全;很多名字,有些烦当流量来到某个端口,需要和ACS交互,认证之后得到授权,才可以访问网络,前提是CLIENT 必须支持802.1X方式,如安装某个软件Extensible Authentication Protocol Over Lan(EAPOL)使用这个协议来传递认证授权信息 示例配置: Router#configure terminal Router(config)#aaa new-model Router(config)#aaa authentication dot1x default group radius Router(config)#radius-server host 10.200.200.1 auth-port 1633 key radkey Router(config)#dot1x system-auth-control 起用DOT1X功能 Router(config)#interface fa0/0 Router(config-if)#dot1x port-control auto AUTO是常用的方式,正常的通过认证和授权过程 强制授权方式:不通过认证,总是可用状态 强制不授权方式:实质上类似关闭了该接口,总是不可用 可选配置: Switch(config)#interface fa0/3 Switch(config-if)#dot1x reauthentication Switch(config-if)#dot1x timeout reauth-period 7200//2小时后重新认证 Switch#dot1x re-authenticate interface fa0/3//现在重新认证,注意:如果会话已经建立,此方式不断开会话 Switch#dot1x initialize interface fa0/3 //初始化认证,此时断开会话 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout quiet-period 45 //45秒之后才能发起下一次认证请求 Switch(config)#interface fa0/3 Switch(config-if)#dot1x timeout tx-period 90 //默认是30S Switch(config-if)#dot1x max-req count 4//客户端需要输入认证信息,通过该端口应答AAA服务器,如果交换机没有收到用户的这个信息,交换机发给客户端的重传信息,30S发一次,共4次Switch#configure terminal Switch(config)#interface fastethernet0/3 Switch(config-if)#dot1x port-control auto Switch(config-if)#dot1x host-mode multi-host//默认是一个主机,当使用多个主机模式,必须使用AUTO方式授权,当一个主机成功授权,其他主机都可以访问网络;当授权失败,例如重认证失败或LOG OFF,所有主机都不可以使用该端口 Switch#configure terminal
3《中国石化网络安全设备管理规范》(信系[2007]17号)
3《中国石化网络安全设备管理规范》(信系[2007]17号).txt30生命的美丽,永远展现在她的进取之中;就像大树的美丽,是展现在它负势向上高耸入云的蓬勃生机中;像雄鹰的美丽,是展现在它搏风击雨如苍天之魂的翱翔中;像江河的美丽,是展现在它波涛汹涌一泻千里的奔流中。本文由CAPFyn贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 中国石化网络安全设备管理规范网络安全设备管理规范管理 V 1.1 2007 年 5 月 16 日 - 1 - 目 1 2 3 4 录 目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.1 4.2 系统管理员职责……- 4 信息安全管理员职责……- 5 - 5 管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 - 6 策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 - 6.2.1 6.2.2 6.2.3 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3 安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 - 配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 - - 2 - 9.4 9.5 10 11 配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 - - 3 - 1 目的 中国石化信息系统已覆盖全国范围的下属企业,成为中国石化系统生产、经营和管理提供信息化手段的根本,网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行,特制定本规范。 2 范围 本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。本规范中所指网络安全设备包括各种安全网关类设备(防火墙、VPN、代理服务器、IP 加密机等)、入侵检测类设备、漏洞扫描类设备等。
网络设备安全规范和指南
网络设备安全规范和指南 1. 目的 本规范旨在确定网络设备最低的安全配置标准;本指南旨在为网络管理员选购和配置网络设备提供帮助。 2. 范围 本规定适用于运营平台所有网络设备的选型和配置。 3. 规范 3.1. 选用其硬件平台,操作系统,服务和应用具备适当安全的网络设备; 3.2. 将每个网络设备在本公司的信息管理系统中进行登记。至少记录如下信息: * 设备所在位置和联系人 * 硬件和操作系统版本 * 主要功能和应用 * 特权口令 3.3. 为每个网络设备配置合适的DNS记录; 3.4. 保证网络设备口令符合<<口令安全规范和指南>>的规定, 以安全的加密形式存放口令, 使用强健的SNMP 通信字符串; 3.5. 禁止在网络设备上创建本地用户帐号,应使用TACACS+, RADIUS 验证用户身份; 3.6. 禁用不必要的服务和应用; 3.7 设备间的信任关系只有在业务必需的情况下建立,必须作相应记录; 3.8. 限定只有网管工作站才能登录网络设备或使用SNMP协议获取设备信息; 3.9. 在支持SSH协议的网络设备配置SSH; 3.10. 使用安全的连接协议(SSH, IPSEC)执行远程设备管理; 3.11. 及时安装网络设备厂家和信息安全人员推荐的补丁和修复; 3.12. 为连接服务器的交换机配置端口安全; 3.13. 将安全相关的事件记录到特定的日志里。安全相关的事件包括(但不限于)如下事件: * 用户登录失败; * 获取特权访问失败;
* 违反访问策略; 3.1 4. 每天查看重要网络设备的日志,所有网络设备的日志至少每两周查看一次。 3.15. 改变现有设备的配置和配置新设备必须遵守变更管理制度; 3.16. 新设备必须在经过严格的安全审计后才允许投入产品环境; 3.17. 在网络设备上粘贴警告:“禁止非法访问本设备。你必须在得到明确的许可后才允许 访问或配置该设备。在该设备上执行的一切活动都会被记录,违反本规定会受到本公司的惩罚,甚至承担相应的法律责任。” 3.18. 定期审计网络设备; 3.19. 尽可能为重要网络设备配备备用设备; 4.指南 4.1. 禁用下列事项或确认设备的默认配置已经禁用了下列事项: * IP 定向广播; * 源地址无效的数据包; * 源路由; * Small 服务,路由器上的WEB 服务; * ARP proxy; * 与ISP网络连接的CISCO路由器/交换机上的CDP协议; * IP 重定向; 4.2. 配置默认ACL规则为DROP ALL ; 4.3. 严格限制DNS-TCP, DNS-UDP, ICMP协议数据包; 4.4. 集中存放网络设备产生的日志; 4.5. 订阅网络设备厂家及著名安全网站的安全邮件列表
思科交换机端口安全(Port-Security)
思科交换机端口安全(Port-Security) Cisco Catalyst交换机端口安全(Port-Security) 1、Cisco29系列交换机可以做基于2层的端口安全,即mac地址与端口进行绑定。 2、Cisco3550以上交换机均可做基于2层和3层的端口安全,即mac 地址与端口绑定以及mac地址与ip地址绑定。 3、以cisco3550交换机为例 做mac地址与端口绑定的可以实现两种应用: a、设定一端口只接受第一次连接该端口的计算机mac地址,当该端口第一次获 得某计算机mac地址后,其他计算机接入到此端口所发送的数据包则认为非法,做丢弃处理。 b、设定一端口只接受某一特定计算机mac地址,其他计算机均无法接入到此端口。 4、破解方法:网上前辈所讲的破解方法有很多,主要是通过更改新接入计算机网卡的mac地址来实现,但本人认为,此方法实际应用中基本没有什么作用,原因很简单,如果不是网管,其他一般人员平时根本不可能去注意合法计算机的mac地址,一般情况也无法进入合法计算机去获得mac地址,除非其本身就是该局域网的用户。
5、实现方法: 针对第3条的两种应用,分别不同的实现方法 a、接受第一次接入该端口计算机的mac地址: Switch#config terminal Switch(config)#inte**ce inte**ce-id 进入需要配置的端口 Switch(config-if)#switchport mode access 设置为交换模式 Switch(config-if)#switchport port-security 打开端口安全模式 Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //针对非法接入计算机,端口处理模式{丢弃数据包,不发警告| 丢弃数据包, 在console发警告| 关闭端口为err-disable状态,除非管理员手工激活,否则该端口失效。 b、接受某特定计算机mac地址: Switch(config-if)#switchport mode access Switch(config-if)#switchport port-security Switch(config-if)#switchport port-security violation {protect | restrict | shutdown } //以上步骤与a同 Switch(config-if)#switchport port-security mac-address sticky Switch(config-if)#switchport port-security aging static //打开静态映射Switch(config-if)#switchport port-security mac-address sticky
Cisco路由器交换机安全配置
一、网络结构及安全脆弱性 为了使设备配置简单或易于用户使用,Router或Switch初始状态并没有配置安全措施,所以网络具有许多安全脆弱性,因此网络中常面临如下威胁: 1. DDOS攻击 2. 非法授权访问攻击。 口令过于简单,口令长期不变,口令明文创送,缺乏强认证机制。 3.IP地址欺骗攻击 …. 利用Cisco Router和Switch可以有效防止上述攻击。 二、保护路由器 2.1 防止来自其它各省、市用户Ddos攻击 最大的威胁:Ddos, hacker控制其他主机,共同向Router访问提供的某种服务,导致Router 利用率升高。 Ddos是最容易实施的攻击手段,不要求黑客有高深的网络知识就可以做到。 如SMURF DDOS 攻击就是用最简单的命令ping做到的。利用IP 地址欺骗,结合ping就可以实现DDOS攻击。 防X措施: 应关闭某些缺省状态下开启的服务,以节省内存并防止安全破坏行为/攻击
以上均已经配置。 防止ICMP-flooging攻击 以上均已经配置。 除非在特别要求情况下,应关闭源路由:
Router(config-t)#no ip source-route 以上均已经配置。 禁止用CDP发现邻近的cisco设备、型号和软件版本 如果使用works2000网管软件,则不需要此项操作 此项未配置。 使用CEF转发算法,防止小包利用fast cache转发算法带来的Router内存耗尽、CPU利用率升高。 Router(config-t)#ip cef 2.2 防止非法授权访问 通过单向算法对“enable secret”密码进行加密
网络设备配置与管理报告
一、实验目的 通过本次实训模拟建立一个高速、功能齐全的校园网,能够实现多媒体的应用、Web 技术的运用和视频点播等技术。使日常的教学和科研工作能方便的进行操作。 此次试训,了解网络设备的各种作用,并在以后的学习与应用中知道网络设备管理应该注意哪些问题,应该怎样选择好每一部件来建立最恰当的网络设备,能使网络得到最好的利用。 二、实验要求通过两周的实训做到分析网络建设需求,能提出设计校园网络建设 总体方案,画出校园网设计拓扑图,并对网络进行选型。包括: 1.对网络布线分析和总体网络设计的详细描述; 2.对网络服务器的选择、部署和配置进行描述。方案做到详细设计。包括:网络中心,各教学、办公楼,机房,图书馆机房位置、布局设计;多媒体教室设计;综合布线系统设计;进行设备选型,并写出详细的网络设备配置清单;写出工程施工与验收方案。 三、实验内容及步骤 (一)需求分析 1、建立一个连接多媒体教室、教育网和图书馆等地的校园网,骨干 速率为1000Mbps。多媒体教室配置160 台机器。 2、联入校园网的电脑都可以实现视频点播。 3、支持教师的移动办公。授权情况下教师通过MODEM 拨号访问校内信息和视频点播信息。 4、建立WWW 服务器,提供学校的主页。 5、提供学校图书馆书目的联机查询。 6、建立电子邮件服务器,提供电子邮件服务。 7、提供文件传输服务。 8、多媒体教室实现网络视频点播教学,录制多媒体教学课件功能。 9、软件实验室和网络实验室要连网,已知软件实验室有35 台计算机,网络实验室有40 台计算机,软件实验室和网络实验室的面积为10 m ×10 m,软件实验室和网络实验室相距300 m 10、学校未建设完备的校园网络,已有的办公室通过拨号或者自行申请的
Cisco路由器交换机的常规安全配置模版
Cisco路由器和交换机的安全配置模板 一、设备命名规范 为统一网络设备命名,方便今后网络项目实施和运维管理,拟对网络设备进行统一命名,详细命名规则如下: 设备名称组成部分 网络系统中具体一台设备的命名由如下五个部分组成: Hostname: AABBCCDDEE AA:表示各分行的地区名称简写,如:上海:SH BB:表示功能区域名称 CC:表示设备所在的网络层次 DD:表示设备类型 EE:表示设备的序列号,01表示第一台,02为第二台。 设备名称中的英文字母全部采用大写,各部分之间使用下划线连接。 每个字母具体范围如下: 各分行地区名称如下表示(AA): 功能区域或地域名称规则表如下所示(BB):
网络设备所在层命名规则表如下所示(CC): 网络设备类型命名规则表如下所示(DD): 网络设备序列号编号规则表如下所示(EE):
二、路由器配置 一,路由器访问控制的安全配置 1,严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。 2,建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。 3,严格控制CON端口的访问。具体的措施有: A,如果可以开机箱的,则可以切断与CON口互联的物理线路。 B,可以改变默认的连接属性,例如修改波特率(默认是96000,可以改为其他的)。 C,配合使用访问控制列表控制对CON口的访问。 如:Router(Config)#Access-list 1 permit 192.168.0.1 Router(Config)#line con 0 Router(Config-line)#Transport input none Router(Config-line)#Login local Router(Config-line)#Exec-timeoute 5 0 Router(Config-line)#access-class 1 in Router(Config-line)#end D,给CON口设置高强度的密码。 4,如果不使用AUX端口,则禁止这个端口。默认是未被启用。禁止如: Router(Config)#line aux 0 Router(Config-line)#transport input none Router(Config-line)#no exec 5,建议采用权限分级策略。如: Router(Config)#username lanstar privilege 10 lanstar Router(Config)#privilege EXEC level 10 telnet Router(Config)#privilege EXEC level 10 show ip access-list 6,为特权模式的进入设置强壮的密码。不要采用enable password设置密码。而要采用enable secret命令设置。并且要启用Service password-encryption。 7,控制对VTY的访问。如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。由于VTY在网络的传输过程中为加密,所以需要对其进行严格的控制。如:设置强壮的密码;控制连接的并发数目;采用访问列表严格控制访问的地址;可以采用AAA设置用户的访问控制等。 8,IOS的升级和备份,以及配置文件的备份建议使用FTP代替TFTP。如: Router(Config)#ip ftp username lanstar Router(Config)#ip ftp password lanstar Router#copy startup-config ftp: 9,及时的升级和修补IOS软件。 二,路由器网络服务安全配置 1,禁止CDP(Cisco Discovery Protocol)。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable 2,禁止其他的TCP、UDP Small服务。 Router(Config)# no service tcp-small-servers
网络设备的安全配置和管理试题大全
《网络设备的安全配置和管理》模拟试卷 一、判断题:共10分,每题1分(正确的打“?”,错误的打“×”。错答、漏答均不得分) 1、使用E-MAIL可以同时将一封信发给多个收件人。……………(√) 2、集线器就是交换器。…………………………………………… ( × ) 3、100BASE-5其中5代表50M。……………………………………( × ) 4、OSPF动态路由协议是外部网关协议。…………………………………( × ) 5、INTERNET网络地址127.0.0.1是B类地址、并供给用户使用的。…( × ) 6、路由器能隔离广播风暴。…………………… ( √ ) 7、首次配置路由器,就可以使用telnet方式登陆路由器进行管理。…( × ) 8、TCP/IP协议是分为七层的协议。……………………………… (× ) 9、C/S结构中,C 是服务器而S 是客户机。……………………(× ) 10、标准访问列表ACL的编号是1到100内。…………( ) 1、在网络模拟器中设置某台电脑的IP地址为192.168.1.1的命令是ipconfig /ip 192.168.1.1。(×) 2、局域网就是以太网。(×) 3、每台AP都有一个IP地址。(√) 4、用ADSL上网都需要安装专门的拨号软件。(×) 5、在所有路由器上启用RIP动态路由协议后,所有路由器就会立刻自动生成路由表。(×) 二、单项选择题:共50分,每题1分(请从备选项中选取一个正确答案填写在括号中。错选、漏选、多选均不得分) 1. Windows2000中在“开始-运行”中输入什么命令进入MS-DOS界面( b ) A. command B. cmd C. mms D. dos 2. OSI模型分为几层( d ) A. 4 B. 5 C. 6 D. 7 3. TCP/IP是( c ) A.域名服务器 B.邮件服务 C.网络协议 D.以上都不对 4.在OSI 参考模型中能实现路由选择、拥塞控制与互连功能的层是( c ) A.传输层 B.应用层 C.网络层 D.数据链路层 5、RIP规定一条通路上最多可包含的路由器数量是( c )。 A.1个 B.16个 C.15个 D.无数个 6. 1213952Bytes约为( b )
思科交换机基本配置非常详细
cisco交换机基本配置 1.Cisco IOS简介 Cisco Catalyst系列交换机所使用的操作系统是IOS(Internetwork Operating System,互联网际操作系统)或COS (Catalyst Operating System),其中以IOS使用最为广泛,该操作系统和路由器所使用的操作系统都基于相同的内核和shell。 IOS的优点在于命令体系比较易用。利用操作系统所提供的命令,可实现对交换机的配置和管理。Cisco IOS操作系统具有以下特点: (1)支持通过命令行(Command-Line Interface,简称CLI)或Web界面,来对交换机进行配置和管理。 (2)支持通过交换机的控制端口(Console)或Telnet会话来登录连接访问交换机。 (3)提供有用户模式(user level)和特权模式(privileged level)两种命令执行级别,并提供有全局配置、接口配置、子接口配置和vlan数据库配置等多种级别的配置模式,以允许用户对交换机的资源进行配置。 (4)在用户模式,仅能运行少数的命令,允许查看当前配置信息,但不能对交换机进行配置。特权模式允许运行提供的所有命令。 (5)IOS命令不区分大小写。 (6)在不引起混淆的情况下,支持命令简写。比如enable通常可简约表达为en。 (7)可随时使用?来获得命令行帮助,支持命令行编辑功能,并可将执行过的命令保存下来,供进行历史命令查询。 1.搭建交换机配置环境 在对交换机进行配置之前,首先应登录连接到交换机,这可通过交换机的控制端口(Console)连接或通过Telnet登录来实现。 (1)通过Console口连接交换机 对于首次配置交换机,必须采用该方式。对交换机设置管理IP地址后,就可采用Telnet登录方式来配置交换机。 对于可管理的交换机一般都提供有一个名为Console的控制台端口(或称配置口),该端口采用RJ-45接口,是一个符合EIA/TIA-232异步串行规范的配置口,通过该控制端口,可实现对交换机的本地配置。 交换机一般都随机配送了一根控制线,它的一端是RJ-45水晶头,用于连接交换机的控制台端口,另一端提供了DB-9(针)和DB-25(针)串行接口插头,用于连接PC机的COM1或COM2串行接口。Cisco的控制线两端均是RJ-45水晶头接口,但配送有RJ-45到DB-9和RJ-45到DB-25的转接头。 通过该控制线将交换机与PC机相连,并在PC上运行超级终端仿真程序,即可实现将PC机仿真成交换机的一个终端,从而实现对交换机的访问和配置。 Windows系统一般都默认安装了超级终端程序,对于Windows 2000 Server系统,该程序位于【开始】菜单下【程序】中【附件】的【通讯】群组下面,若没有,可利用控制面板中的【添加/删除程序】来安装。单击【通讯】群组下面的【超级终端】,即可启动超级终端。 首次启动超级终端时,会要求输入所在地区的电话区号,输入后将显示下图所示的连接创建对话框,在【名称】输入框中输入该连接的名称,并选择所使用的示意图标,然后单击确定按钮。 图9-2 超级终端连接创建对话框