运维安全配置流程.doc

运维设备安全配置流程目录一、简述2二、升级说明2三、安全内容21.网络设备22.windows2008服务器安全配置：5四、标准配置流程51.基本配置作用52.特殊配置作用63.优化配置流程6一、 简述本安排配置配置标准为网络设备和服务器通用版本，所有网络设备和服务器在上架或接入公网之前必须按照本标准进行配置，否则一律视为不安全设备并不予安全验收。所有设备在没有通过安全验收不得直连公网，否则将追述相关责任人与其直属领导。二、 升级说明当网络环境出现新的风险，应第一时间对所有设备进行风险排查并完成配置更新。新的配置方案及时与运维部门全体成员召开讨论会，并对安全标准进行更新升级。完成升级后的标准提交总监级和公司CTO进行审批。完成审批后公布新版安全标准。三、 安全内容安全标准内容对设备安全等级划分为3个等级，分别为安全级别一、安全级别二和安全级别三。其中安全级别三为最高安全级别，并包含以上所有安全级别配置要求。1. 网络设备1) 设备命名（安全级别一）：所有设备命名必须遵循命名规则：设备层级-设备位置-设备型号简写-设备编号。M-GD3#3F-S55-1M代表核心层设备，H代表汇聚层设备，J代表接入层设备；GD是国定的缩写，3#表示3号楼，3F表示3楼；S表示交换机Switch首字母，55表示交换机型号为5500简写；1表示当前楼层第一台设备。2) 设备配置原则（安全级别一）新设备配置：配置前必须查看设备是否为出厂配置，如不是出厂配置，必须恢复成出厂配置后方能进行全新配置，配置完成后对设备配置进行保存并备份。旧设备配置更新：配置前必须备份当前设备配置脚本，对设备配置过程中严禁对设备配置进行保存，以免更新配置中出现新故障无法进行数据回滚。完成所有配置更新后对设备进行保存操作，并对更新后对配置文件进行备份操作。旧设备新用途：配置前必须对设备进行恢复出厂配置，恢复完成后对设备配置新数据，配置完成后对配置文件进行保存并备份。3) 设备权限配置（安全级别一）设备权限划分为三个级别，分别为level1、level2和level3。不同权限的用户名不得相同，用户名长度不得低于5个字符。level1：仅查看权限，level2：可修改权限，level3：管理员权限，4) 口令配置标准（安全级别一）不同权限用户口令必须不一致，口令长度最低不得低于10位，口令必须包含字母大小写+数字+特殊符号，并且口令必须无序随机生成。所有口令必须密文配置。配置命令：M-GD3#3F-S55-1local-user zhadminM-GD3#3F-S55-1password cipher XkGX!Pwe#M-GD3#3F-S55-1local-user zhrootM-GD3#3F-S55-1password cipher )RcJS3M-GD3#3F-S55-1local-user zhuserM-GD3#3F-S55-1password cipher ;,Tx*jhl32）、创建登录账户与口令（创建zhadmin、zhroot、zhuser三个账户分别给予不同的级别，zhadmin账户level 2有所有配置命令除管理级命令外、zhroot账户level 3是管理账户具有所有命令权限、zhuser账户level 1只有监控与查看的权限）；每个账户有个对应密码（密码设置严格按照安全密码规则配置，应用10位复杂加密，配置密码必须用密文并且是MD5加密方法来加密口令）提高密码安全；配置标准：M-GD3#3F-S55-1local-user zhadminM-GD3#3F-S55-1password cipher XkGX!Pwe#M-GD3#3F-S55-1local-user zhrootM-GD3#3F-S55-1password cipher )RcJS3M-GD3#3F-S55-1local-user zhuserM-GD3#3F-S55-1password cipher ;,Tx*jhl33）、方便配置和维护交换机，在交换机上配置远程登录telnet，配置telnet时注意网络安全问题（1、用户名和密码认证；2、超级密码认证；3、基于源地址ACL控制；4、vty接入禁止ssh报文进入，防止ssh攻击网络设备）；M-GD3#3F-S55-1interface Vlan-interface7M-GD3#3F-S55-1-interface ip address x.x.x.x x.x.x.0M-GD3#3F-S55-1telnet server enableM-GD3#3F-S55-1user-interface aux 0M-GD3#3F-S55-1authentication-mode schemeM-GD3#3F-S55-1user-interface aux 1M-GD3#3F-S55-1user-interface vty 0 4M-GD3#3F-S55-ui-vty0-4acl 2000 inboundM-GD3#3F-S55-1authentication-mode schemeM-GD3#3F-S55-1user privilege level 3M-GD3#3F-S55-1user-interface vty 5 7M-GD3#3F-S55-1acl 2000 inboundM-GD3#3F-S55-1authentication-mode schemeM-GD3#3F-S55-1user privilege level 2M-GD3#3F-S55-1user-interface vty 8 15M-GD3#3F-S55-1acl 2000 inboundM-GD3#3F-S55-1authentication-mode scheme4）、ACL访问控制列表在网络中是不可缺少的安全工具，acl可以管理基本的通信流量，控制制定的数据流量通过，在设备上配置ACL根据访问需求配置访问规则（访问控制列表）控制internet的通信流量；M-GD3#3F-S55-1acl number 2000M-GD3#3F-S55-1rule 0 permit source x.x.x.x 05）、端口聚合增加所连链路带宽，为后续相关配置只需在其中一个光口或链路聚合组中操作即可，数据会自动复制到其他成员端口上，在链路上起到负载均衡;M-GD3#3F-S55-1interface Bridge-Aggregation1M-GD3#3F-S55-1port link-type trunkM-GD3#3F-S55-1undo port trunk permit vlan 1M-GD3#3F-S55-1port trunk permit vlan 2 5 6）、日志监控与snmp(网络管理协议)，配置syslog server,将日志信息发送到监控服务器上log纪录交换机的平时运行产生的一些事件；snmp用以监测连接到网络上的设备是否有任何引起管理上关注的情况，在设备上必须开启；M-GD3#3F-S55-1 info-center loghostM-GD3#3F-S55-1 snmp-agentM-GD3#3F-S55-1 snmp-agent community read yovole.c0m7）、根据网络环境配置最优路由（默认路由或静态路由）；M-GD3#3F-S55-1 ip route-static 0 .0.0.0 0.0.0.0下一调地址M-GD3#3F-S55-1ip router-static x.x.x.0 x.x.x.0 下一调地址8）、创建vlan（虚拟局域网）阻隔广播域，设备默认的端口都属于vlan 1 为了安全期间建议创建指定vlan后将vlan 1关闭，切记vlan 1是不可删除；M-GD3#3F-S55-1vlan 2 9）、配置trunk（中继模式）、access（普通模式）实现设备间vlan互通；M-GD3#3F-S55-1 interfaceGigabitEthernet1/1M-GD3#3F-S55-1-GigabitEthernet1/1portlink-typetrunkM-GD3#3F-S55-1-GigabitEthernet1/1porttrunkpermitvlan1020M-GD3#3F-S55-1 interfaceGigabitEthernet1/1M-GD3#3F-S55-1-GigabitEthernet1/1 port access vlan 7910）、为了节约内存防止安全破坏行为与攻击，关闭命令如：ndp 发现邻居关系，以及指定端口链路配置完成后将其闲置端口showdown，并且针对多设备的互连开启STP(生成树)；（ps:对于核心设备切勿配置，STP计算值会损耗资源）M-GD3#3F-S55-1undo ndp enable M-GD3#3F-S55-1stp enable2. windows2008服务器安全配置：1）、账户与密码：创建server 2008 管理账户密码并且将administrator账户更改其他账户或者创建其他用户为管理员，设置密码符合复杂性要求；2）、数据备份：定期备份服务器数据，如:server 2008上虚拟机服务器cacti监控数据，客户邮箱服务器数据等定期备份；3）、远程访问服务：服务器开启远程服务方便远程管理以及配置，设置用户密码远程认证，根据访问需求设置远程连接数、对指定的用户开放远程权限，也可将默认的远程桌面3389端口更改其他端口，防止黑客攻击；4）、服务监控：将服务器日志加入监控范围内，并且设置阈值报警；5）、服务器安全：由于服务器用于公网地址，对服务器运行攻击风险很高，为了防止ping攻击在组策略上设置禁止来自外网的非法ping攻击；为了阻止非法攻击者随意修改Windows Server