Cisco路由器安全配置基线.doc

1 44 CiscoCisco 路由器安全配置基线路由器安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 2 44 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 V2 0更新2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 3 44 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 2 1帐号管理 2 2 1 1用户帐号分配 2 2 1 2删除无关的帐号 3 2 1 3限制具备管理员权限的用户远程登录 4 2 2口令 5 2 2 1静态口令以密文形式存放 5 2 2 2帐号 口令和授权 6 2 2 3密码复杂度 7 2 3授权 8 2 3 1用IP协议进行远程维护的设备使用SSH等加密协议 8 第第 3 章章日志安全要求日志安全要求 11 3 1日志安全 11 3 1 1对用户登录进行记录 11 3 1 2记录用户对设备的操作 12 3 1 3开启NTP服务保证记录的时间的准确性 13 3 1 4远程日志功能 14 第第 4 章章IP 协议安全要求协议安全要求 17 4 1IP 协议 17 4 1 1配置路由器防止地址欺骗 17 4 1 2系统远程服务只允许特定地址访问 18 4 1 3过滤已知攻击 20 4 2功能配置 21 4 2 1功能禁用 21 4 2 2启用协议的认证加密功能 23 4 2 3启用路由协议认证功能 24 4 2 4防止路由风暴 26 4 2 5防止非法路由注入 27 4 2 6SNMP的Community默认通行字口令强度 28 4 2 7只与特定主机进行SNMP协议交互 29 4 2 8配置SNMPV2或以上版本 30 4 2 9关闭未使用的SNMP协议及未使用RW权限 31 4 44 4 2 10LDP协议认证功能 31 第第 5 章章其他安全要求其他安全要求 33 5 1其他安全配置 33 5 1 1关闭未使用的接口 33 5 1 2修改路由缺省器缺省BANNER语 34 5 1 3配置定时账户自动登出 34 5 1 4配置consol口密码保护功能 36 5 1 5关闭不必要的网络服务或功能 37 5 1 6端口与实际应用相符 38 第第 6 章章评审与修订评审与修订 40 1 44 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 Cisco 路由器应当遵循的设备安 全性设置标准 本文档旨在指导系统管理人员进行 Cisco 路由器的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 Cisco 路由器 1 3 适用版本适用版本 Cisco 路由器 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 2 44 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 1 帐号管理帐号管理 2 1 1 用户帐号分配用户帐号分配 安全基线项安全基线项 目名称目名称 用户帐号分配安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配帐号 避免不同用户间共享帐号 避免用户帐号和设备间通 信使用的帐号共享 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config service password encryption Router config username ruser1 password 3d zirc0nia Router config username ruser1 privilege 1 Router config username ruser2 password 2B or 3B Router config username ruser2 privilege 1 Router config end Router 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 配置文件中 存在不同的帐号分配 II 网络管理员确认用户与帐号分配关系明确 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration 3 44 service password encryption username ruser1 password 3d zirc0nia username ruser1 privilege 1 username ruser2 password 2B or 3B username ruser2 privilege 1 3 补充说明补充说明 使用共享帐号容易造成职责不清 备注备注 需要手工检查 由管理员确认帐号分配关系 2 1 2 删除无关的删除无关的帐号帐号 安全基线项安全基线项 目名称目名称 无关的帐号安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 01 02 安全基线项安全基线项 说明说明 应删除与设备运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config no username ruser3 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 配置文件存在多帐号 II 网络管理员确认所有帐号与设备运行 维护等工作有关 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration username user1 privilege 1 password password1 username nobodyuse privilege 1 password password1 3 补充说明补充说明 删除不用的帐号 避免被利用 4 44 备注备注 需要手工检查 由管理员判断是否存在无关帐号 2 1 3 限制具备管理员权限的用户远程登录限制具备管理员权限的用户远程登录 安全基线项安全基线项 目名称目名称 限制具备管理员权限的用户远程登录安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 01 03 安全基线项安全基线项 说明说明 限制具备管理员权限的用户远程登录 远程执行管理员权限操作 应先以普 通权限用户远程登录后 再通过 enable 命令进入相应级别再后执行相应操 作 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config service password encryption Router config username normaluser password 3d zirc0nia Router config username normaluser privilege 1 Router config line vty 0 4 Router config line login local Router config line exec timeout 5 0 Router config line end 2 补充操作说明补充操作说明 设定帐号密码加密保存 创建 normaluser 帐号并指定权限级别为 1 设定远程登录启用路由器帐号验证 设定超时时间为 5 分钟 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I VTY 使用用户名和密码的方式进行连接验证 II 2 帐号权限级别较低 例如 I 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration service password encryption username normaluser password 3d zirc0nia 5 44 username normaluser privilege 1 line vty 0 4 login local 3 补充说明补充说明 会导致远程攻击者通过黑客工具猜解帐号口令 备注备注 根据业务场景 自动化系统如果无法实现可不选此项 人工登录操作需要遵 守此项规范 2 2 口令口令 2 2 1 静态口令以密文形式存放静态口令以密文形式存放 安全基线项安全基线项 目名称目名称 静态口令安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 02 01 安全基线项安全基线项 说明说明 静态口令必须使用不可逆加密算法加密 以密文形式存放 如使用 enable secret 配置 Enable 密码 不使用 enable password 配置 Enable 密码 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config service password encryption Router config enable secret 2 mAny rOUtEs Router config no enable password Router config end 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置文件无明文密码字段 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration 6 44 service password encryption enable secret 5 1oxphetTb rTsF EdvjtWbi0qA2g username ciscoadmin password 7 Wbi0qA1 rTsF Edvjt2gpvyhetTb 3 补充说明补充说明 如果不加密 使用 show running config 命令 可以看到未加密的密码 备注备注 2 2 2 帐号 口令和授权帐号 口令和授权 安全基线项安全基线项 目名称目名称 帐号 口令和授权安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 02 02 安全基线项安全基线项 说明说明 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强制要 求 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa authentication login default group tacacs Router config aaa authentication enable default group tacacs Router config tacacs server host 192 168 6 18 Router config tacacs server key Ir3 1yh8n w9 swD Router config end Router 2 补充操作说明补充操作说明 与外部TACACS server 192 168 6 18 联动 远程登录使用 TACACS serverya 验证 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 帐号 口令配置 指定了认证系统 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration 7 44 aaa new model aaa authentication login default group tacacs aaa authentication enable default group tacacs tacacs server host 192 168 6 18 tacacs server key Ir3 1yh8n w9 swD 补充说明补充说明 备注备注 2 2 3 密码复杂度密码复杂度 安全基线项安全基线项 目名称目名称 密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 02 03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 8 位 并包括数字 小写 字母 大写字母和特殊符号四类中至少两类 且 5 次以内不得设置相同的口 令 密码应至少每 90 天进行更换 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa authentication login default group tacacs Router config aaa authentication enable default group tacacs Router config tacacs server host 192 168 6 18 Router config tacacs server key Ir3 1yh8n w9 swD Router config end Router 2 补充操作说明补充操作说明 与外部 TACACS server 192 168 6 18 联动 远程登录使用 TACACS serverya 验证 口令强度由 TACACS server 控制 基线符合性基线符合性 判定依据判定依据 备注备注 8 44 2 3 授权授权 2 3 1 用用 IP 协议进行远程维护的设备使用协议进行远程维护的设备使用 SSH 等加密协议等加密协议 安全基线项安全基线项 目名称目名称 IP 协议进行远程维护的设备安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 02 03 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 I 配置主机名和域名 router config t Enter configuration commands one per line End with CNTL Z router config hostname Router Router config ip domain name Router domain name II 配置访问控制列表 Router config no access list 12 Router config access list 12 permit host 192 168 0 200 Router config line vty 0 4 Router config line access class 12 in Router config line exit III 配置帐号和连接超时 Router config service password encryption Router config username normaluser password 3d zirc0nia Router config username normaluser privilege 1 Router config line vty 0 4 Router config line login local Router config line exec timeout 5 0 IV 生成 rsa 密钥对 Router config crypto key generate rsa The name for the keys will be Router domain name Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys Choosing a key modulus greater than 512 may take a few minutes How many bits in the modulus 512 2048 Generating RSA Keys OK V 配置仅允许 ssh 远程登录 Router config line vty 0 4 9 44 Router config line transport input ssh Router config line exit Router config 2 补充操作说明补充操作说明 配置描述 I 配置 ssh 要求路由器已经存在主机名和域名 II 配置访问控制列表 仅授权 192 168 0 200 访问 192 168 0 100 ssh III 配置远程访问里连接超时 IV 生成 rsa 密钥对 如果已经存在可以使用以前的 默认存在 rsa 密 钥对 sshd 就启用 不存在 rsa 密钥对 sshd 就停用 V 配置远程访问协议为 ssh 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 存在 rsa 密钥对 II 远程登录指定 ssh 协议 2 检测操作检测操作 I 使用 show crypto key mypubkey rsa 命令 如下例 Router config show crypto key mypubkey rsa Key pair was generated at 06 07 49 UTC Jan 13 1996 Key name Usage Signature Key Key Data 005C300D 06092A86 4886F70D 01010105 00034B00 30480241 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 71020301 0001 Key pair was generated at 06 07 50 UTC Jan 13 1996 Key name Usage Encryption Key Key Data 00302017 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 429618D5 18242BA3 2EDFBDD3 4296142A DDF7D3D8 08407685 2F2190A0 0B43F1BD 9A8A26DB 07953829 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21 II 使用 show running config 命令 如下例 router show running config Building configuration Current configuration 10 44 line vty 0 4 transport input ssh 3 补充说明补充说明 使用非加密协议在传输过程中容易被截获口令 备注备注 11 44 第第 3 章章日志安全要求日志安全要求 3 1 日志安全日志安全 3 1 1 对用户登录进行记录对用户登录进行记录 安全基线项安全基线项 目名称目名称 用户登录进行记录安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 01 安全基线项安全基线项 说明说明 与记账服务器 如 RADIUS 服务器或 TACACS 服务器 配合 设备应配置日 志功能 对用户登录进行记录 记录内容包括用户登录使用的帐号 登录是 否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa accounting connection default start stop group tacacs Router config aaa accounting exec default start stop group tacacs Router config end Router1 2 补充操作说明补充操作说明 使用TACACS server 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置了 AAA 模板的上述具体条目 2 检测操作检测操作 使用 show running config 命令 如下例 router1 show runn include aaa Building configuration Current configuration aaa new model aaa authentication login default group tacacs aaa authorization exec default group tacacs 12 44 aaa session id common 补充说明补充说明 备注备注 3 1 2 记录用户对设备的操作记录用户对设备的操作 安全基线项安全基线项 目名称目名称 用户对设备记录安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 02 安全基线项安全基线项 说明说明 与记账服务器 如 TACACS 服务器 配合 设备应配置日志功能 记录用户 对设备的操作 如帐号创建 删除和权限修改 口令修改 读取和修改设备 配置 读取和修改业务用户的话费数据 身份数据 涉及通信隐私数据 记 录需要包含用户帐号 操作时间 操作内容以及操作结果 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa accounting commands 1 default start stop group tacacs Router config aaa accounting commands 15 default start stop group tacacs Router config end Router1 2 补充操作说明补充操作说明 使用TACACS server 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置了 AAA 模板的上述具体条目 2 检测操作检测操作 使用 show running config 命令 如下例 router1 show runn include aaa Building configuration Current configuration aaa new model aaa accounting commands 1 default start stop group tacacs aaa accounting commands 15 default start stop group tacacs 13 44 补充说明补充说明 备注备注 3 1 3 开启开启 NTP 服务保证记录的时间的准确性服务保证记录的时间的准确性 安全基线项安全基线项 目名称目名称 记录的时间的准确性安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 03 安全基线项安全基线项 说明说明 开启 NTP 服务 保证日志功能记录的时间的准确性 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 配置命令如下 Router config t Enter configuration commands one per line End with CNTL Z Router config interface eth0 0 Router config if no ntp disable Router config if exit Router config ntp server 14 2 9 2 source loopback0 Router config exit 2 补充操作说明补充操作说明 需要到每个端口开启 NTP 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 存在 ntp server 配置条目 II 日志记录时间准确 2 检测操作检测操作 I 使用 show running config 命令 如下例 router show running config Building configuration Current configuration no ntp disable ntp update calendar ntp server 128 237 32 2 ntp server 142 182 31 6 14 44 II show logging include NTP 000019 Jan 29 10 57 52 633 EST NTP 5 PEERSYNC NTP synced to peer 172 25 1 5 000020 Jan 29 10 57 52 637 EST NTP 6 PEERREACH Peer 172 25 1 5 is reachable 3 补充说明补充说明 日志时间不准确导致安全事件定位的不准确 备注备注 3 1 4 远程日志功能远程日志功能 安全基线项安全基线项 目名称目名称 远程日志功能安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 03 01 04 安全基线项安全基线项 说明说明 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到日志 服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 路由器侧配置 Router config t Enter configuration commands one per line End with CNTL Z Router config logging on Router config logging trap information Router config logging 192 168 0 100 Router config logging facility local6 Router config logging source interface loopback0 Router config exit Router show logging Syslog logging enabled 0 messages dropped 11 flushes 0overruns Console logging level notifications 35 messages logged Monitor logging level debugging 35 messages logged Buffer logging level informational 31 messages logged Logging to 192 168 0 100 28 message lines logged Router 2 补充操作说明补充操作说明 I 假设把 router 日志存储在 192 168 0 100 的 syslog 服务器上 路由器侧配置描述如下 15 44 启用日志 记录日志级别设定 information 记录日志类型设定 local6 日志发送到 192 168 0 100 日志发送源是 loopback0 配置完成可以使用 show logging 验证 服务器侧配置参考如下 Syslog 服务器配置参考 在 Syslog conf 上增加一行 Save router messages to routers log local6 debug var log routers log 创建日志文件 touch var log routers log II 如果使用 snmp 存储日志参考配置如下 Router config t Enter configuration commands one per line End with CNTL Z Router config logging trap information Router config snmp server host 192 168 0 100 traps public Router config snmp server trap source loopback0 Router config snmp server enable traps syslog Router config exit 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I Syslog logging 和 SNMP logging 至少有一个为 enabled II Logging to 后面的主机名或 IP 指向日志服务器 III 通常记录日志数不为 0 2 检测操作检测操作 使用 show logging 命令 如下例 Router show logging Syslog logging enabled Console logging disabled Monitor logging level debugging 266 messages logged Trap logging level informational 266 messages logged Logging to 192 180 2 238 SNMP logging disabled retransmission after 30 seconds 0 messages logged Router 16 44 3 补充说明补充说明 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 建议核 心设备必选 其它根据实际情况启用 17 44 第第 4 章章IP 协议安全要求协议安全要求 4 1 IP 协议协议 4 1 1 配置路由器防止地址欺骗配置路由器防止地址欺骗 安全基线项安全基线项 目名称目名称 配置路由器防止地址欺骗安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 01 01 安全基线项安全基线项 说明说明 配置路由器 防止地址欺骗 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 对向内流量配置 Router config no access list 100 Router config access list 100 deny ip 192 168 10 0 0 0 0 255 any log Router config access list 100 deny ip 127 0 0 0 0 255 255 255 any log Router config access list 100 deny ip 10 0 0 0 0 255 255 255 any log Router config access list 100 deny ip 0 0 0 0 0 255 255 255 any log Router config access list 100 deny ip 172 16 0 0 0 15 255 255 any log Router config access list 100 deny ip 192 168 0 0 0 0 255 255 any log Router config access list 100 deny ip 192 0 2 0 0 0 0 255 any log Router config access list 100 deny ip 169 254 0 0 0 0 255 255 any log Router config access list 100 deny ip 224 0 0 0 15 255 255 255 any log Router config access list 100 deny ip host 255 255 255 255 any log Router config access list 100 permit ip any 192 168 10 0 0 0 0 255 Router config access list 100 deny ip any any log Router config interface eth0 Router config if description External interface to 192 168 0 16 net Router config if ip address 192 168 10 20 255 255 0 0 Router config if ip access group 100 in Router config if exit Router config interface eth1 Router config if description Internal interface to 192 168 10 0 24 net Router config if ip address 192 168 10 250 255 255 255 0 Router config if end 对向外流量配置 18 44 Router config no access list 102 Router config access list 102 permit ip 192 168 10 0 0 0 0 255 any Router config access list 102 deny ip any any log Router config interface eth 0 1 Router config if description internal interface Router config if ip address 192 168 10 250 255 255 255 0 Router config if ip access group 102 in 2 补充操作说明补充操作说明 假设内部网络是 192 168 10 0 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 各接口只转发属于自己 ip 范围内的源地址数据包流出 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config access list 10 deny ip 192 168 0 0 0 0 0 255 any log access list 10 deny ip 127 0 0 0 0 255 255 255 any log int f1 1 description the outside interface of permeter router ip access group 10 in access list 11 permit ip 192 168 0 0 0 0 0 255 any access list 11 deny ip any any log interface s1 1 description inside interface of perimeter router ip address 192 168 0 254 255 255 255 0 ip access group 11 in 3 补充说明补充说明 地址欺骗可以造成内部网络的混乱 让某些被欺骗的计算机无法正常访问内 外网 让网关无法和客户端正常通信 备注备注 4 1 2 系统远程服务只允许特定地址访问系统远程服务只允许特定地址访问 安全基线项安全基线项 目名称目名称 系统远程服务只允许特定地址访问安全基线要求项 19 44 安全基线编安全基线编 号号 SBL CiscoRouter 04 01 02 安全基线项安全基线项 说明说明 路由器以 UDP TCP 协议对外提供服务 供外部主机进行访问 如作为 NTP 服务器 TELNET 服务器 TFTP 服务器 FTP 服务器 SSH 服务器等 应 配置路由器 只允许特定主机访问 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 例如 要配置允许目的为 14 1 1 2 的所有 DNS 访问流量 Router config no access list 140 Router config access list 140 permit udp any host 14 1 1 2 eq 53 Router config access list 140 deny udp any any log 例如 要配置仅允许 192 168 0 200 访问路由器 Router config no access list 12 Router config access list 12 permit host 192 168 0 200 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 相关服务存在 access 绑定 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config telnet ssh 服务器 line vty 0 4 login local access class 2 in exec timeout 10 0 exit NTP 服务器 access list 1 permit 10 1 1 1 0 0 0 255 ntp access group query only 1 ftp tftp 服务器 ip ftp source interface fastEthernet 0 0 ip tftp source interface fastEthernet 0 0 3 补充说明补充说明 对不信任的主机开启 NTP FTP 等服务 会加大设备的危险 备注备注 20 44 4 1 3 过滤已知攻击过滤已知攻击 安全基线项安全基线项 目名称目名称 过滤已知攻击安全基线要求项 安全基线编安全基线编 号号 SBL CiscoRouter 04 01 03 安全基线项安全基线项 说明说明 过滤已知攻击 在网络边界 设置安全访问控制 过滤掉已知安全攻击数据包 例如 udp 1434 端口 防止 SQL slammer 蠕虫 tcp445 5800 5900 防止 Della 蠕虫 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 屏蔽常见的漏洞端口 1433 4444 tftp UDP69 135 137 138 139 445 593 1434 5000 5554 5800 5900 6667 9996 等 Router config no access list 102 Router config access list 102 deny tcp any any eq 445 log Router config access list 102 deny tcp any any eq 5800 log Router config access list 102 deny tcp any any eq 5900 log Router config access list 102 deny udp any any eq 1434 log Router config access list 102 deny udp destination port eq tftp log Router config access list 102 deny tcp destination port eq 135 log Router config access list 102 deny udp destination port eq 137 log Router config access list 102 deny udp destination port eq 138 log Router config access list 102 deny tcp destinat