信息安全管理制度-網絡安全設備配置規范7912_第1頁
信息安全管理制度-網絡安全設備配置規范7912_第2頁
信息安全管理制度-網絡安全設備配置規范7912_第3頁
信息安全管理制度-網絡安全設備配置規范7912_第4頁
信息安全管理制度-網絡安全設備配置規范7912_第5頁
已閱讀5頁,還剩29頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

網絡安全設備配置規范XXX2011年1月■ 文檔信息標題文檔全名版本號1.0版本日期2011年1月文件名網絡安全設備配置規范所有者XXX作者XXX修訂記錄日期描述作者版本號2011—1創建XXX1.0文檔審核/審批(此文檔需如下審核)姓名公司/部門職務/職稱文檔分發(此文檔將分發至如下各人)姓名公司/部門職務/職稱網絡安全設備配置規范1防火墻防火墻配置規范要求管理員分級,包括超級管理員、安全管理員、日志管理員等,并定義相應的職責,維護相應的文檔和記錄。防火墻管理人員應定期接受培訓。對防火墻管理的限制,包括,關閉telnet、http、ping、snmp等,以及使用SSH而不是telnet遠程管理防火墻。賬號管理是否安全,設置了哪些口令和帳戶策略,員工辭職,如何--#-(config)#access-list100denyicmpanyanymask—requestlog(config)#access-list100permiticmpany14。2。6.00。0。0。255(config)#access—list100denyudpanyanyrange3340034400log允許PING外網(config)#access-list102permiticmpanyanyecho(config)#access—list102permiticmpanyanyparameter-problem(config)#access-list102permiticmpanyanypacket-too—big(config)#access—list102permiticmpanyanysource-quench(config)#access—list102denyicmpanyanylog(config)#access-list102permitudpanyanyrange3340034400logDistributedDenialofService(DDoS)Attacksaccess-list170denytcpanyanyeq27665logaccess—list170denyudpanyanyeq31335logaccess-list170denyudpanyanyeq27444log!theStacheldrahtDDoSsystemaccess—list170denytcpanyanyeq16660logaccess—list170denytcpanyanyeq65000log!theTrinityV3systemaccess-list170denytcpanyanyeq33270logaccess-list170denytcpanyanyeq39168log!theSubsevenDDoSsystemandsomevariantsaccess—list170denytcpanyanyrange67116712logaccess-list 170 deny tcp any any eq 6776 logTOC\o"1-5"\h\zaccess-list 170 deny tcp any any eq 6669 logaccess-list 170 deny tcp any any eq 2222 logaccess-list 170 deny tcp any any eq 7000 log是否過濾訪問路由器自身的通信?路由協議安全RoutedProtocolsTCP/IP協議、RIP、OSPF、IGRP、EIGRP、BGPRouteTablesandRoutingProtocolsDirectconnection:Staticrouting.Dynamicrouting.Defaultrouting。建議:1。小型網絡應用靜態路由#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.(config)#iproute14。2。6。0255.255。255.00120(config)#end#2。使用動態路由設置帶權限的路由信息更新.RouterNeighborAuthenticationOSPFAuthenticationconfigtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.(config)#routerospf1(config—router)#network14。1。0.00。0。255。255area0(config—router)#area0authenticationmessage—digest(config-router)#exit(config)#inteth0/1(config—if)#ipospfmessage—digest-key1md5r0utes-4—all(config—if)#end#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.(config)#routerospf1(config—router)#area0authenticationmessage-digest(config-router)#network14。1。0。00。0。255。255area0(config-router)#network14.2。6。00.0。0。255area0(config-router)#exit(config)#inteth0(config—if)#ipospfmessage-digest—key1md5r0utes-4-all(config-if)#endRIPAuthenticationRIP2支持此功能#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.(config)#keychain-KC(config—keychain)#key1(config-keychain-key)#key—stringmy-supersecret-key(config—keychain-key)#exit(config—keychain)#key2(config—keychain—key)#key-stringmy-othersecret-key(config-keychain-key)#end##configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z。(config)#keychain—KC(config—keychain)#key1(config—keychain-key)#key-stringmy—supersecret-key(config-keychain—key)#exit(config—keychain)#key2(config—keychain-key)#key—stringmy-othersecret-key(config—keychain—key)#end#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z。(config)#intethernet0/1(config-if)#ipripauthenticationkey—chain-KC(config-if)#ipripauthenticationmodemd5(config—if)#end##configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z。(config)#intethernet0/0(config-if)#ipripauthenticationkey-chain-KC(config—if)#ipripauthenticationmodemd5(config-if)#end#EIGRPAuthenticationconfigtEnterconfigurationcommands,oneperline.EndwithCNTL/Z。(config)#routereigrp100(config—router)#network14.1.0。0255.255。0。0(config-router)#exit(config)#interfaceeth0/1(config-if)#ipauthenticationmodeeigrp100md5(config—if)#ipauthenticationkey-chaineigrp100-KC(config-if)#exit(config)#keychain—KC(config—keychain)#key1(config—keychain-key)#key-stringsecret—key(config-keychain—key)#send-lifetime00:00:00Oct1200200:00:00Jan12003(config-keychain—key)#accept—lifetime00:00:00Oct1200200:00:00Jan72003(config—keychain-key)#end##configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z。(config)#routereigrp100(config-router)#network14.1。0。0255.255。0.0(config-router)#network14。2.6。0255。255。255.0(config—router)#passive—interfaceeth1(config-router)#exit(config)#interfaceeth0(config-if)#ipauthenticationmodeeigrp100md5(config-if)#ipauthenticationkey—chaineigrp100-KC(config-if)#exit(config)#keychain—KC(config—keychain)#key1(config—keychain—key)#key-stringsecret—key(config—keychain—key)#send—lifetime00:00:00Oct1200200:00:00Jan12003(config—keychain—key)#accept—lifetime00:00:00Oct1200200:00:00Jan72003(config-keychain—key)#end#關閉ARPPROXY功能#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z。(config)#interfaceethernet0/0(config—if)#noipproxy—arp(config—if)#exit(config)#interfaceethernet0/1(config-if)#noipproxy-arp(config-if)#endDisablingunneededrouting-relatedservicesPassiveInterfaces(被動態接口)Router1#erfaceethernet0descriptionActiveroutinginterfacefor14。1。0。0netipaddress14。1。15.250255.255。0。0!interfaceethernet1descriptionActiveroutinginterfacefor14。2。0。0netipaddress14。2.13.150255.255。0.0interfaceethernet2descriptionPassiveinterfaceonthe14。3。0.0netipaddress14。3。90.50255。255.0。0!routerospf1network14。0.0。00.0。0。255area0passive-interfaceethernet2說明只在ETHERNET1、ETHERNET2上運行OSPF協議.在ETHERNET2上禁止#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z。(config)#routerrip(config—router)#passive-interfaceethernet0/0(config-router)#end#Usingfilterstoblockroutingupdates#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z。(config)#access—list55deny14。2。10.00。0.0.255(config)#access—list55permitany(config)#end##configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.(config)#routerospf1(config—router)#distribute-list55out(config-router)#endRip協議#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#access-list55deny14.2。10。00。0。0。255(config)#access—list55permitany(config)#routerrip(config-router)#distribute-list55out(config-router)#endBGPandMD5Authentication#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z。(config)#routerbgp26625(config—router)#neighbor50remote-as27701(config-router)#neighbor14。2。0.250passwordr0utes4all(config-router)#end#ISPCust7#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.ISPCust7(config)#routerbgp27701ISPCust7(config—router)#neighbor0remote—as26625ISPCust7(config—router)#neighbor14.2。0。20passwordr0utes4allISPCust7(config-router)#endISPCust7#管理路由器設置管理路由器的登錄機制。在專用的管理子網只允許本地固定IP管理路由器管理路由器的主機與路由器間的信息加密(VTY使用SSH)更新路由器只有在下列情況下更新路由器修復安全脆弱性增加新的功能增加內存設置和測試管理主機和路由器間的文件傳輸能力按計劃停止運行路由器和網絡重啟后關停端口備份配置

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論