中兴网络设备安全配置基线.doc

中兴网络设备安全配置基线 中国移动集团公司第 1 页 共 32 页 中兴网络设备安全配置基线中兴网络设备安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2012 年 04 月 中兴网络设备安全配置基线 中国移动集团公司第 2 页 共 32 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V2 0创建2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 中兴网络设备安全配置基线 中国移动集团公司第 3 页 共 32 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2适用范围 1 1 3适用版本 1 1 4实施 1 1 5例外条款 1 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 2 1帐号管理 2 2 1 1用户帐号分配 2 2 1 2删除无关的帐号 3 2 1 3管理具备管理员权限的用户账户 3 2 2口令 5 2 2 1静态口令以密文形式存放 5 2 2 2帐号 口令和授权 6 2 2 3密码复杂度 7 2 3授权 8 2 3 1用IP协议进行远程维护的设备使用SSH等加密协议 8 第第 3 章章日志安全要求日志安全要求 9 3 1日志安全 9 3 1 1对用户登录进行记录 9 3 1 2记录用户对设备的操作 10 3 1 3开启NTP服务保证记录的时间的准确性 11 3 1 4远程日志功能 11 第第 4 章章IP 协议安全要求协议安全要求 13 4 1IP 协议 13 4 1 1配置路由器防止地址欺骗 13 4 1 2配置路由器只允许特定主机访问 14 4 1 3过滤已知攻击 15 4 2功能配置 16 4 2 1功能禁用 16 4 2 2启用协议的认证加密功能 17 4 2 3启用路由协议认证功能 17 4 2 4防止路由风暴 19 4 2 5防止非法路由注入 19 4 2 6SNMP的Community默认通行字口令强度 20 4 2 7只与特定主机进行SNMP协议交互 21 4 2 8配置SNMPV2或以上版本 22 第第 5 章章其他安全要求其他安全要求 23 中兴网络设备安全配置基线 中国移动集团公司第 4 页 共 32 页 5 1其他安全配置 23 5 1 1关闭未使用的接口 23 5 1 2修改路由缺省器缺省BANNER语 24 5 1 3配置定时账户自动登出 24 5 1 4配置consol口密码保护功能 25 5 1 5关闭不必要的网络服务或功能 26 5 1 6端口与实际应用相符 27 第第 6 章章评审与修订评审与修订 28 中兴网络设备安全配置基线 中国移动集团公司第 1 页 共 32 页 第第 1 章章概述概述 1 1 目的目的 本文档规定了中国移动管理信息系统部所维护管理的中兴网络设备应当遵循的设备安 全性设置标准 本文档旨在指导系统管理人员进行中兴网络设备的安全配置 1 2 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的中兴网 络设备 1 3 适用版本适用版本 中兴网络设备 1 4 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 5 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 中兴网络设备安全配置基线 中国移动集团公司第 2 页 共 32 页 第第 2 章章帐号管理 认证授权安全要求帐号管理 认证授权安全要求 2 1 帐号管理帐号管理 2 1 1 用户帐号分配用户帐号分配 安全基线项安全基线项 目名称目名称 用户帐号分配安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配帐号 避免不同用户间共享帐号 避免用户帐号和设备间通 信使用的帐号共享 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 config t Enter configuration commands one per line End with CNTL Z ZXR10 config username user1 password pass1 privilege 1 ZXR10 config username user2 password pass1 privilege 15 ZXR10 config end ZXR10 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 配置文件中 存在不同的帐号分配 II 网络管理员确认用户与帐号分配关系明确 2 检测操作检测操作 使用 show username 命令 如下例 ZXR10 show username Username Password zte dnXspUMqxfJOgln2Hm7O lw 3 补充说明补充说明 使用共享帐号容易造成职责不清 中兴网络设备安全配置基线 中国移动集团公司第 3 页 共 32 页 备注备注 手工检查 2 1 2 删除无关的删除无关的帐号帐号 安全基线项安全基线项 目名称目名称 无关的帐号安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 02 01 02 安全基线项安全基线项 说明说明 应删除与设备运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 1 参考配置操作 参考配置操作 ZXR10 config t Enter configuration commands one per line End with CNTL Z ZXR10 config no username user1 2 补充操作说明 补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 配置文件存在多帐号 II 网络管理员确认所有帐号与设备运行 维护等工作有关 2 检测操作检测操作 使用 show username 命令 如下例 ZXR10 show username Username Password zte dnXspUMqxfJOgln2Hm7O lw 3 补充说明补充说明 删除不用的帐号 避免被利用 备注备注 手工检查 2 1 3 管理具备管理员权限的用户账户管理具备管理员权限的用户账户 安全基线项安全基线项 目名称目名称 管理员权限的账户安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 02 01 03 中兴网络设备安全配置基线 中国移动集团公司第 4 页 共 32 页 安全基线项安全基线项 说明说明 限制具备管理员权限的用户远程登录 远程执行管理员权限操作 应先以普 通权限用户远程登录后 再通过 enable 命令进入相应级别再后执行相应操 作 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 config t Enter configuration commands one per line End with CNTL Z ZXR10 config username user1 password pass1 privilege 1 ZXR10 config line telnet max link 4 ZXR10 config line telnet idle timeout 5 ZXR10 config line telnet absolute timeout 30 ZXR10 config user authentication type local ZXR10 config user authorization type local 2 补充操作说明补充操作说明 创建 user1 帐号并指定权限级别为 1 设定远程登录最大连接数 设定远程登录操作空闲时间为 5 分钟 设定远程登录操作绝对时间为 30 分钟 设定登陆认证授权方式 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I VTY 使用用户名和密码的方式进行连接验证 II 2 帐号权限级别较低 例如 I 2 检测操作检测操作 使用 show running config 命令 如下例 ZXR10 show running config Building configuration Current configuration username zxr10 password encrypted ee65daea1c1dbc488cf3cc6b2d3c8af24a73a1adf2e9e68a98582b984b608d9f privilege 15 user authentication type local user authorization type local line console idle timeout 5 line console absolute timeout 30 line telnet idle timeout 120 中兴网络设备安全配置基线 中国移动集团公司第 5 页 共 32 页 line telnet absolute timeout 1440 line telnet max link 16 3 补充说明补充说明 会导致远程攻击者通过黑客工具猜解帐号口令 备注备注 手工检查 2 2 口令口令 2 2 1 静态口令以密文形式存放静态口令以密文形式存放 安全基线项安全基线项 目名称目名称 静态口令安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 02 02 01 安全基线项安全基线项 说明说明 静态口令必须使用不可逆加密算法加密 以密文形式存放 如使用 enable secret 配置 Enable 密码 不使用 enable password 配置 Enable 密码 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 config t Enter configuration commands one per line End with CNTL Z ZXR10 config enable secret level 15 0 zxr10 ZXR10 config service password encryption ZXR10 config no enable password ZXR10 config end 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置文件无明文密码字段 2 检测操作检测操作 使用 show running config 命令 如下例 ZXR10 show running config Building configuration Current configuration enable secret level 15 5 RcMLuUKvnFZX9kNAV6A UA service password encryption 中兴网络设备安全配置基线 中国移动集团公司第 6 页 共 32 页 3 补充说明补充说明 如果不加密 使用 show running config 命令 可以看到未加密的密码 备注备注 2 2 2 帐号 口令和授权帐号 口令和授权 安全基线项安全基线项 目名称目名称 帐号 口令和授权安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 02 02 02 安全基线项安全基线项 说明说明 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强制要 求 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 configure terminal Enter configuration commands one per line End with CNTL Z ZXR10 config tacacs enable ZXR10 config tacacs server host 1 1 1 1 ZXR10 config aaa group server tacacs zte ZXR10 config sg server 1 1 1 1 po rt xx key xx ZXR10 config tacacs client 1 1 1 2 ZXR10 config aaa authentication login default group zte ZXR10 config aaa authentication enable default local group zte ZXR10 config aaa authorization exec default group zte ZXR10 config user authentication type tacacs ZXR10 config user authorization type tacacs ZXR10 config end ZXR10 2 补充操作说明补充操作说明 tacacs 使能 配置 TACACS 服务器地址 创建 TACACS 服务器组 配置 TACACS 客户端 IP 地址 作为设备和 TACACS 服务器通信的 IP 设定登陆时 TACACS 服务器组认证优先 设定 enable 密码优先使用本地认证再 TACACS 认证 设定认证方式为 TACACS 认证 设定授权方式为 TACACS 授权 中兴网络设备安全配置基线 中国移动集团公司第 7 页 共 32 页 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 帐号 口令配置 指定了认证系统 2 检测操作检测操作 使用 show running config 命令 如下例 ZXR10 show running config Building configuration Current configuration tacacs enable tacacs server timeout 5 tacacs server packet 1024 aaa authentication login default group tacacs aaa authentication enable default local group tacacs tacacs server host 1 1 1 1 补充说明补充说明 备注备注 2 2 3 密码复杂度密码复杂度 安全基线项安全基线项 目名称目名称 密码复杂度安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 02 02 03 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 帐号口令长度至少 8 位 并包括数字 小写字母 大写字母和特殊符号四类中至少两类 且 5 次次以内不得设置相同 的口令 密码应至少每 90 天天进行更换 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 configure terminal Enter configuration commands one per line End with CNTL Z ZXR10 config tacacs enable ZXR10 config tacacs server host 1 1 1 1 ZXR10 config aaa group server tacacs zte ZXR10 config sg server 1 1 1 1 po rt xx key QAZ2wsx ZXR10 config tacacs client 1 1 1 2 ZXR10 config aaa authentication login default group zte 中兴网络设备安全配置基线 中国移动集团公司第 8 页 共 32 页 ZXR10 config aaa authentication enable default local group zte ZXR10 config user authentication type tacacs ZXR10 config user authorization type tacacs ZXR10 config end ZXR10 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 备注备注 2 3 授权授权 2 3 1 用用 IP 协议进行远程维护的设备使用协议进行远程维护的设备使用 SSH 等加密协议等加密协议 安全基线项安全基线项 目名称目名称 IP 协议进行远程维护的设备安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 02 03 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 I 配置主机名和域名 ZXR10 config t Enter configuration commands one per line End with CNTL Z ZXR10 config hostname ZXR10 ZXR10 config ssh server enable ZXR10 config ssh server authentication mode tacacs 2 补充操作说明补充操作说明 配置远程访问协议为 ssh ssh 协议版本默认为 v2 0 基线符合性基线符合性 判定依据判定依据 检测操作检测操作 1 补充说明补充说明 使用非加密协议在传输过程中容易被截获口令 备注备注 中兴网络设备安全配置基线 中国移动集团公司第 9 页 共 32 页 第第 3 章章日志安全要求日志安全要求 3 1 日志安全日志安全 3 1 1 对用户登录进行记录对用户登录进行记录 安全基线项安全基线项 目名称目名称 用户登录进行记录安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 03 01 01 安全基线项安全基线项 说明说明 与记账服务器 如 RADIUS 服务器或 TACACS 服务器 配合 设备应配置日 志功能 对用户登录进行记录 记录内容包括用户登录使用的帐号 登录是 否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 configure terminal Enter configuration commands one per line End with CNTL Z ZXR10 config tacacs enable ZXR10 config tacacs server host 1 1 1 1 ZXR10 config aaa group server tacacs zte ZXR10 config sg server 1 1 1 1 po rt xx key xx ZXR10 config tacacs client 1 1 1 2 ZXR10 config aaa authentication login default group zte ZXR10 config aaa authentication enable default local group zte ZXR10 config aaa authorization exec default group zte ZXR10 config user authentication type tacacs ZXR10 config user authorization type tacacs ZXR10 config end ZXR10 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置了 AAA 模板的上述具体条目 2 检测操作检测操作 使用 show running config 命令 如下例 ZXR101 show runn include aaa Building configuration Current configuration 中兴网络设备安全配置基线 中国移动集团公司第 10 页 共 32 页 aaa new model aaa authentication login default group tacacs aaa authorization exec default group tacacs aaa session id common 补充说明补充说明 备注备注 3 1 2 记录用户对设备的操作记录用户对设备的操作 安全基线项安全基线项 目名称目名称 用户对设备记录安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 03 01 02 安全基线项安全基线项 说明说明 与记账服务器 如 TACACS 服务器 配合 设备应配置日志功能 记录用户 对设备的操作 如帐号创建 删除和权限修改 口令修改 读取和修改设备 配置 读取和修改业务用户的话费数据 身份数据 涉及通信隐私数据 记 录需要包含用户帐号 操作时间 操作内容以及操作结果 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 configure terminal Enter configuration commands one per line End with CNTL Z ZXR10 config aaa accounting commands 0 default stop only group zte ZXR10 config end ZXR101 2 补充操作说明补充操作说明 使用TACACS server 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 配置了 AAA 模板的上述具体条目 2 检测操作检测操作 使用 show running config 命令 如下例 ZXR101 show runn include aaa Building configuration Current configuration aaa accounting commands 0 default stop only group zte 中兴网络设备安全配置基线 中国移动集团公司第 11 页 共 32 页 补充说明补充说明 备注备注 3 1 3 开启开启 NTP 服务保证记录的时间的准确性服务保证记录的时间的准确性 安全基线项安全基线项 目名称目名称 记录的时间的准确性安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 03 01 03 安全基线项安全基线项 说明说明 开启 NTP 服务 保证日志功能记录的时间的准确性 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 配置命令如下 ZXR10 config t Enter configuration commands one per line End with CNTL Z ZXR10 config ntp enable ZXR10 config ntp server 192 168 2 1 version 2 ZXR10 config exit 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 I 存在 ntp server 配置条目 II 日志记录时间准确 2 检测操作检测操作 使用 show ntp status 命令 如下例 ZXR10 config show ntp status NTP is disabled there s no NTP status information 3 补充说明补充说明 日志时间不准确导致安全事件定位的不准确 备注备注 3 1 4 远程日志功能远程日志功能 安全基线项安全基线项 目名称目名称 远程日志功能安全基线要求项 中兴网络设备安全配置基线 中国移动集团公司第 12 页 共 32 页 安全基线编安全基线编 号号 SBL 中兴 ZXR10 03 01 04 安全基线项安全基线项 说明说明 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到日志 服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 config logging on ZXR10 config logging buffer 100 ZXR10 config logging mode FULL CLEAR ZXR10 config logging console warnings ZXR10 config logging level errors ZXR10 config logging ftp notifications 168 1 70 100 target target zxralarm log ZXR10 config syslog serverhost192 168 0 100 ZXR10 config exit 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 使用 show logging 命令 如下例 ZXR10 show logging configuration logging on logging buffer 200 logging mode fullcycle logging console notifications logging level notifications logging timestamps datetime localtime 3 补充说明补充说明 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 建议核 心设备必选 其它根据实际情况启用 中兴网络设备安全配置基线 中国移动集团公司第 13 页 共 32 页 第第 4 章章IP 协议安全要求协议安全要求 4 1 IP 协议协议 4 1 1 配置路由器防止地址欺骗配置路由器防止地址欺骗 安全基线项安全基线项 目名称目名称 配置路由器防止地址欺骗安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 01 01 安全基线项安全基线项 说明说明 配置路由器 防止地址欺骗 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 config acl standard number 10 ZXAN config std acl rule 5 permit 210 21 5 0 0 0 0 63 ZXAN config std acl rule 10 permit 58 248 33 38 0 0 0 0 ZXAN config std acl rule 15 permit 58 248 33 6 0 0 0 0 ZXAN config std acl rule 20 permit 192 168 1 0 0 0 0 255 ZXAN config std acl rule 25 permit 210 21 83 2 0 0 0 0 ZXAN config std acl rule 30 permit 210 21 51 2 0 0 0 0 ZXAN config std acl rule 35 permit 172 22 254 0 0 0 0 255 ZXAN config std acl rule 45 permit 120 80 172 0 0 0 3 255 ZXAN config std acl rule 100 deny any ZXR10 config interface fei 2 1 ZXR10 config if description xxxx ZXR10 config if ip address 192 168 10 20 255 255 0 0 ZXR10 config if ip access group 10 in out ZXR10 config if exit 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 中兴网络设备安全配置基线 中国移动集团公司第 14 页 共 32 页 3 补充说明补充说明 地址欺骗可以造成内部网络的混乱 让某些被欺骗的计算机无法正常访问内 外网 让网关无法和客户端正常通信 备注备注 4 1 2 配置路由器只允许特定主机访问配置路由器只允许特定主机访问 安全基线项安全基线项 目名称目名称 配置路由器只允许特定主机访问安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 01 02 安全基线项安全基线项 说明说明 路由器以 UDP TCP 协议对外提供服务 供外部主机进行访问 如作为 NTP 服务器 TELNET 服务器 TFTP 服务器 FTP 服务器 SSH 服务器等 应 配置路由器 只允许特定主机访问 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 config acl standard number 10 ZXAN config std acl rule 5 permit 210 21 5 0 0 0 0 63 ZXAN config std acl rule 10 permit 58 248 33 38 0 0 0 0 ZXAN config std acl rule 15 permit 58 248 33 6 0 0 0 0 ZXAN config std acl rule 20 permit 192 168 1 0 0 0 0 255 ZXAN config std acl rule 25 permit 210 21 83 2 0 0 0 0 ZXAN config std acl rule 30 permit 210 21 51 2 0 0 0 0 ZXAN config std acl rule 35 permit 172 22 254 0 0 0 0 255 ZXAN config std acl rule 45 permit 120 80 172 0 0 0 3 255 ZXAN config std acl rule 100 deny any ZXR10 config interface fei 2 1 ZXR10 config if description xxxx ZXR10 config if ip address 192 168 10 20 255 255 0 0 ZXR10 config if ip access group 10 in out ZXR10 config if exit 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 中兴网络设备安全配置基线 中国移动集团公司第 15 页 共 32 页 3 补充说明补充说明 对不信任的主机开启 NTP FTP 等服务 会加大设备的危险 备注备注 4 1 3 过滤已知攻击过滤已知攻击 安全基线项安全基线项 目名称目名称 过滤已知攻击安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 01 03 安全基线项安全基线项 说明说明 过滤已知攻击 在网络边界 设置安全访问控制 过滤掉已知安全攻击数据包 例如 udp 1434 端口 防止 SQL slammer 蠕虫 tcp445 5800 5900 防止 Della 蠕虫 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 config acl extended number 101 ZXR10 config rule 1 deny tcp any any eq 445 ZXR10 config rule 2 deny tcp any any eq 5800 ZXR10 config rule 3 deny tcp any any eq 5900 ZXR10 config rule 4 deny udp any any eq 1434 ZXR10 config rule 5 deny udp destination port eq tftp ZXR10 config rule 6 deny tcp destination port eq 135 ZXR10 config rule 7 deny udp destination port eq 137 ZXR10 config rule 8 deny udp destination port eq 138 ZXR10 config rule 9 deny tcp destination port eq 139 ZXR10 config rule 10 deny udp destination port eq netbios ssn ZXR10 config rule 11 deny tcp destination port eq 539 ZXR10 config rule 12 deny udp destination port eq 539 ZXR10 config rule 13 deny tcp destination port eq 593 ZXR10 config rule 14 permit tcp any any ZXR10 config rule 15 permit udp any any 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 中兴网络设备安全配置基线 中国移动集团公司第 16 页 共 32 页 2 检测操作检测操作 3 补充说明补充说明 如果不进行上述设置将导致远程攻击者对部分常见应用发功攻击 或病毒感 染 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 4 2 功能配置功能配置 4 2 1 功能禁用功能禁用 安全基线项安全基线项 目名称目名称 功能禁用安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 02 01 安全基线项安全基线项 说明说明 功能禁用 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 请将要求禁用的功能列出 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 3 补充说明补充说明 备注备注 可能影响正常使用 根据应用场景的不同 如部署场景需开启此功能 则强 制要求此项 中兴网络设备安全配置基线 中国移动集团公司第 17 页 共 32 页 4 2 2 启用协议的认证加密功能启用协议的认证加密功能 安全基线项安全基线项 目名称目名称 启用协议的认证加密功能安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 02 02 安全基线项安全基线项 说明说明 启用协议的认证 加密功能 设备与 RADIUS 服务器 TACACS 服务器 NTP 服务器 SNMP V2 或 V3 主机等支持认证加密功能的主机进行通信时 尽可能启用协议的认证加密功 能 保证通信安全 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR10 configure terminal Enter configuration commands one per line End with CNTL Z ZXR10 config aaa group server tacacs zte ZXR10 config sg server 1 1 1 1 po rt xx key QAZ2wsx ZXR10 config end ZXR10 2 补充操作说明补充操作说明 启用 TACACS 服务器 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 3 补充说明补充说明 备注备注 根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 可能影 响业务 4 2 3 启用路由协议认证功能启用路由协议认证功能 安全基线项安全基线项 目名称目名称 启用路由协议认证功能安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 02 03 中兴网络设备安全配置基线 中国移动集团公司第 18 页 共 32 页 安全基线项安全基线项 说明说明 启用动态 IGP RIPV2 OSPF ISIS 等 或 EGP BGP 协议时 启用路 由协议认证功能 如 MD5 加密 确保与可信方进行路由协议交互 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 ZXR101 和 ZXR102 间 OSPF 启用 MD5 验证 ZXR101 配置 ZXR101 config t Enter configuration commands one per line End with CNTL Z ZXR101 config router ospf 1 ZXR101 config router network 14 1 0 0 0 0 255 255 area 0 ZXR101 config router exit ZXR101 config int fei 1 1 ZXR101 config if ip ospf authentication message digest ZXR101 config if ip ospf message digest key 1 md5 zxr10 ZXR101 config if end ZXR101 ZXR102 配置 ZXR102 config t Enter configuration commands one per line End with CNTL Z ZXR102 config router ospf 1 ZXR102 config router network 14 1 0 0 0 0 255 255 area 0 ZXR102 config router network 14 2 6 0 0 0 0 255 area 0 ZXR102 config router exit ZXR101 config int fei 1 1 ZXR101 config if ip ospf authentication message digest ZXR101 config if ip ospf message digest key 1 md5 zxr10 ZXR102 config if end ZXR102 2 补充操作说明补充操作说明 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 使用 show running config 命令 如下例 ZXR10 show running config interface gei 1 5 ip ospf authentication message digest ip ospf message digest key 1 md5 YOJUWmLEOKdQjEuN h5wvA encrypt 中兴网络设备安全配置基线 中国移动集团公司第 19 页 共 32 页 3 补充说明补充说明 备注备注 可能影响业务 根据应用场景的不同 如部署场景需开启此功能 则强制要 求此项 4 2 4 防止路由风暴防止路由风暴 安全基线项安全基线项 目名称目名称 防止路由风暴安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 02 04 安全基线项安全基线项 说明说明 采用 BGP 协议作为 EGP 协议时 使用 Route flap damping 功能防止路由风 暴 检测操作步检测操作步 骤骤 默认启用 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 3 补充说明补充说明 bgp dampening 使用来抑制一些频繁浮动路由的 当超过抑制阀值时就被抑 制 从而防止 bgp 表的抖动 备注备注 4 2 5 防止非法路由注入防止非法路由注入 安全基线项安全基线项 目名称目名称 防止非法路由注入安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 02 05 安全基线项安全基线项 说明说明 在网络边界运行 IGP 或 EGP 动态路由协议时 配置路由更新策略 只接受 合法的路由更新 防止非法路由注入 只发布所需的路由更新 防止路由信 息泄漏 检测操作步检测操作步 ZXR10 config router bgp 100 中兴网络设备安全配置基线 中国移动集团公司第 20 页 共 32 页 骤骤 ZXR10 config router neighbor 182 17 20 1 remote as 200 ZXR10 config router neighbor 182 17 20 1 route map MAP1 out ZXR10 config router neighbor 182 17 20 1 send med ZXR10 config router exit ZXR10 config route map MAP1 permit 10 ZXR10 config route map match ip address 1 ZXR10 config route map set metric 5 ZXR10 config route map exit ZXR10 config acl standard number 1 ZXR10 config std acl rule1 permit 172 3 0 00 0 255 255 ZXR10 config router end 基线符合性基线符合性 判定依据判定依据 1 判定条件判定条件 2 检测操作检测操作 3 补充说明补充说明 不进行访问控制容易引起非法路由注入和路由信息泄漏 备注备注 4 2 6 SNMP 的的 Community 默认通行字口令强度默认通行字口令强度 安全基线项安全基线项 目名称目名称 SNMP 的 Community 默认通行字口令强度安全基线要求项 安全基线编安全基线编 号号 SBL 中兴 ZXR10 04 02 06 安全基线项安全基线项 说明说明 修改 SNMP 的 Community 默认通行字 通行字符串应符合口令强度要求 检测操作步检测操作步 骤骤 1 参考配置操作参考配置操作 修改 SNMP 的 Community 默认通行字命令如下 ZXR10 config t Enter configuration commands one per line End with CNTL Z ZXR10 config snmp server community myCommunity view myViewName rw 中兴网络设备安全配置基线 中国移动集团公司第 21 页 共 32 页 2