收藏
下载资源 加入VIP,免费下载

管理制度-中国移动思科路由器安全配置规范V0 精品.doc

上传人:lao****ou 文档编号:27753 上传时间:2022-11-07 格式:DOC 页数:37 大小:517.30KB
下载 相关 举报
管理制度-中国移动思科路由器安全配置规范V0 精品.doc_第1页
第1页 / 共37页
管理制度-中国移动思科路由器安全配置规范V0 精品.doc_第2页
第2页 / 共37页
管理制度-中国移动思科路由器安全配置规范V0 精品.doc_第3页
第3页 / 共37页
管理制度-中国移动思科路由器安全配置规范V0 精品.doc_第4页
第4页 / 共37页
管理制度-中国移动思科路由器安全配置规范V0 精品.doc_第5页
第5页 / 共37页
亲,该文档总共37页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《管理制度-中国移动思科路由器安全配置规范V0 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-中国移动思科路由器安全配置规范V0 精品.doc(37页珍藏版)》请在第一文库网上搜索。

1、XXXX-XX-XX实施XXXX-XX-XX发布中国移动公司-思科路由器安全配置规范Specification for Cisco Router Configuration Used in China Mobile版本号:2.中国移动通信有限公司网络部目录1范围12规范性引用文件12.1内部引用12.2外部引用23术语、定义和缩略语24思科路由器设备安全配置要求34.1直接引用通用规范的配置要求34.2账号管理、认证授权114.2.1账户114.2.2口令124.2.3授权134.2.4认证134.3日志安全要求144.4IP协议安全要求174.4.1基本协议安全174.4.2路由协议安全23

2、4.4.3SNMP协议安全264.4.4MPLS安全284.5其他安全要求295编制历史33前言为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。本标准起草单位:中国移动通信有限公司网络部、中国移动集团上海公司。本标准解释单位:同提出单位。本标准主要起草人:刘金根、程晓鸣、陈

3、敏时、周智、曹一生。1 范围本规范适用于中国移动通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本要求。2 规范性引用文件2.1 内部引用本规范是在中国移动设备通用设备安全功能和配置规范(以下简称通用规范)各项设备配置要求的基础上,提出的思科路由器安全配置要求。以下分项列出本规范对通用规范设备配置要求的修订情况:设备通用安全配置要求编号采纳意见备注安全要求-设备-通用-配置-1增强要求安全要求-设备-思科路由器-配置-1安全要求-设备-通用-配置-2增强功能安全要求-设备-思科路由器-配置-2安全要求-设备-通用-配置-3-可选完全采纳安全要求-设备-通用-配置-

4、4完全采纳安全要求-设备-通用-配置-5不采纳设备不支持安全要求-设备-通用-配置-6-可选不采纳设备不支持安全要求-设备-通用-配置-7-可选不采纳设备不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12不采纳设备不支持安全要求-设备-通用-配置-13-可选不采纳设备不支持安全要求-设备-通用-配置-24-可选增强要求安全要求-设备-思科路由器-配置-7-可选安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19增强要求安全要求-设备-思科路由器-配置-

5、22安全要求-设备-通用-配置-20-可选不采纳设备不支持安全要求-设备-通用-配置-27增强要求安全要求-设备-思科路由器-配置-23安全要求-设备-通用-配置-28不采纳设备不支持安全要求-设备-通用-配置-29-可选不采纳设备不支持本规范新增的安全配置要求,如下:安全要求-设备-思科路由器-配置-3安全要求-设备-思科路由器-配置-4-可选安全要求-设备-思科路由器-配置-5-可选安全要求-设备-思科路由器-配置-6-可选安全要求-设备-思科路由器-配置-8-可选安全要求-设备-思科路由器-配置-9安全要求-设备-思科路由器-配置-10-可选安全要求-设备-思科路由器-配置-11安全要求

6、-设备-思科路由器-配置-12-可选安全要求-设备-思科路由器-配置-13安全要求-设备-思科路由器-配置-14-可选安全要求-设备-思科路由器-配置-15安全要求-设备-思科路由器-配置-16安全要求-设备-思科路由器-配置-17安全要求-设备-思科路由器-配置-18-可选安全要求-设备-思科路由器-配置-19安全要求-设备-思科路由器-配置-20安全要求-设备-思科路由器-配置-21-可选安全要求-设备-思科路由器-配置-24本规范还针对直接引用通用规范的配置要求,给出了在思科路由器上的具体配置方法和检测方法。2.2 外部引用中国移动通用安全功能和配置规范3 术语、定义和缩略语BGP Ro

7、ute flap damping:由RFC2439定义,当BGP接口翻转后,其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。缩写英文描述中文描述4 思科路由器设备安全配置要求4.1 直接引用通用规范的配置要求 要求编号安全要求-设备-通用-配置-3-可选适用版本Cisco IOS Release 12.0以上要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。操作指南1 参考配置操作Router# config tEnter configuration mands, one per li

8、ne. End with TL/Z.Router(config)# service password-encryptionRouter(config)# username normaluser password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# line vty 0 4 Router(config-line)# login localRouter(config-line)# exec-timeout 5 0Router(config-line)# end2 补充操作说明设定账号密码

9、加密保存创建normaluser账号并指定权限级别为1;设定远程登录启用路由器账号验证;设定超时时间为5分钟;检测方法1. 判定条件I. VTY使用用户名和密码的方式进行连接验证II. 2、账号权限级别较低,例如:I2. 检测操作使用show running-config命令,如下例:router#show running-configBuilding configuration.Current configuration:!service password-encryptionusername normaluser password 3d-zirc0niausername normaluse

10、r privilege 1line vty 0 4 login local3 补充说明会导致远程攻击者通过黑客工具猜解账号口令要求编号安全要求-设备-通用-配置-4适用版本要求内容对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1 参考配置操作Router#configure terminal Enter configuration mands, one per line. End with TL/Z.Router(config)#aaa new-modelRouter(config)#aaa authentication lo

11、gin default group tacacs+Router(config)#aaa authentication enable default group tacacs+Router(config)#tacacs-server host 192.168.6.18Router(config)#tacacs-server key Ir31yh8n#w9swDRouter(config)#endRouter#2. 补充操作说明与外部TACACS+ server 192.168.6.18 联动,远程登录使用TACACS+ serverya验证;口令强度由TACACS+ server控制检测方法1.

12、 判定条件此项无法通过配置实现,建议通过管理实现2. 检测操作此项无法通过配置实现,建议通过管理实现3. 补充说明要求编号安全要求-设备-通用-配置-9适用版本Cisco IOS Release 12.0以上要求内容在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。操作指南1. 参考配置操作Router# config tEnter configuration mands, one per line. End with TL/Z.Router(config)# service password-encryptionRouter(config)# username normalus

13、er password 3d-zirc0niaRouter(config)# username normaluser privilege 1Router(config)# privilege exec level 15 connectRouter(config)# privilege exec level 15 telnetRouter(config)# privilege exec level 15 rloginRouter(config)# privilege exec level 15 show ip access-listsRouter(config)# privilege exec

14、level 15 show access-listsRouter(config)# privilege exec level 15 show loggingRouter(config)# ! if SSH is supported.Router(config)# privilege exec level 15 sshRouter(config)# privilege exec level 1 show ip2 补充操作说明基本思想是创建账号并赋予不同的权限级别,并将各命令绑定在不同的权限级别上;上例操作过程如下:设定账号密码加密保存创建normaluser账号并指定权限级别为1;将connect、telnet、rlogin、show ip access-lists、show access-lists、show logging、ssh指定仅当账号权限级别为15时才可使用;将show ip指定为仅当账号权限级别大于1时才可使用;检测方法1. 判定条件I. 用户名绑定权限级别II. 操作命令划分权限级别2. 检测操作使用show running-conf

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 发展战略

copyright@ 2008-2022 001doc.com网站版权所有   

经营许可证编号:宁ICP备2022001085号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有,必要时第一文库网拥有上传用户文档的转载和下载权。第一文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第一文库网,我们立即给予删除!



客服