网络安全优化标操作手册.doc

网络安全策略操作手册 网络安全策略操作手册文档记录：摘要记录：关键字网络安全 密码 ACL编 号版本控制：变更者版本变更日期批准人审批日期变更内容钟登102015.5.2661、密码安全1.1密码复杂度1）使用大写字母和小写字母、标点和数字的集合。2）有规律地更换密码，长度大于或等于8位左右较为合适。3）不要使用和你有关的姓名和数字，如出生日期或是绰号。1.2登录方式和明密文加密 常用的网络设备远程登录方式有Telnet和SSH，telent属于明文传输密码，密码容易遭到网络抓包或监听工具窃取，而SSH采用密文方式传输密码，相对安全。同样，网络交换机特权模式密码有明文和密文两种存在方式，建议采用密文方式加密，这样即使配置文件泄露也不会泄露交换机特权登录密码。Telnet方式：Switch(config)#line vty 04Switch(config-line)#password xxxx 设置telnet时的登陆密码Switch(config-line)#loginSSH方式：Switch(config)#ip domain-name ciscoSwitch(config)#crypto key generate rsa general-keysSwitch(config)#line vty 0 4Switch(config-line)#transport input ssh 设置SSH登录方式（建议）Switch(config-line)#username cisco password xxxSwitch（config-line)#login全局模式口令R1#configure terminalR1(config)#enable password XXXX 明文加密R1(config)#enable secret XXXX 密文加密（建议）1.3 访问控制列表安全策略访问控制列表（ACL）用来允许特定的源数据去往特定的目标和禁止特定的源数据去往特定的目标来达到一种安全防护的作用。示例：1） 财务部，由于财务部的数据库服务器是比较机密的，需禁止人事、软件开发、网站设计部访问财务。Access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255Access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255Access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255Access-list 101 permit ip any any2） 人事部，需要经常和各部门沟通了解各部门人员流通情况ACL来允许人事部访问其他各部门Access-list 101 permit 192.168.1.0 0.0.0.255 any1.4 Syslog、NTP服务器配置 核心交换机在网络中起到至关重要的作用，需要经常查看实时日志信息，同时需要随时查看以前的一些日志信息，来对设备的一些故障、运行情况、性能做一些分析。同时网络设备的时间同步也能保障业务的一致性。Syslog配置Router（config）#log onRouter（config）#log server x.x.x.x(服务器地址)Router（config）#log facility local 1Router（config）#log trap errorsNtp配置（设备作为客户端）Router（config）#clock timezone CST-8Router（config）#ntp server x.x.x.xRouter（config）#ntp source interface GE/0/1Ntp配置（设备作为源）Router（config）#clock timezone BeiJing 8Router（config）#ntp source interface GE/0/1Router（config）#ntp authenticat