思科路由器安全配置规范

思思 科科 路路 由由 器器 安安 全全 配配 置置 规规 范范 S S p p e e c c i i f f i i c c a a t t i i o o n n f f o o r r C C i i s s c c o o R R o o u u t t e e r r C C o o n n f f i i g g u u r r a a t t i i o o n n U U s s e e d d i i n n C C h h i i n n a a M M o o b b i i l l e e 版版 本本 号号 网络与信息安全规范编号网络与信息安全规范编号 网络与信息安全规范网络与信息安全规范 第四层 技术规范第四层 技术规范 思科路由器思科路由器 第第 4502 号号 2007 12 13 发布2008 01 01 实施 中国移动通信集团公司中国移动通信集团公司 发布发布 中国移动思科路由器安全配置规范 目录 1概述概述 1 1 1适用范围 1 1 2内部适用性说明 1 1 3外部引用说明 3 1 4术语和定义 3 1 5符号和缩略语 3 2思科路由器设备安全配置要求思科路由器设备安全配置要求 4 2 1内部适用性安全要求 4 2 2账号管理 认证授权安全要求 11 2 2 1账户 11 2 2 2口令 12 2 2 3授权 13 2 2 4认证 13 2 3日志安全要求 14 2 4IP 协议安全要求 16 2 4 1基本协议安全 16 2 4 2路由协议安全 22 2 4 3SNMP 协议安全 25 2 4 4MPLS 安全 27 2 5其他安全要求 27 中国移动思科路由器安全配置规范 前言 本标准由中国移动通信有限公司网络部提出并归口 本标准由标准提出并归口部门负责解释 本标准起草单位 中国移动通信有限公司网络部 本标准解释单位 同提出单位 本标准主要起草人 中国移动集团上海公司 刘金根 中国移动集团公司 陈敏时 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 1 页 共 33 页 1 概述概述 1 1 适用范围适用范围 本规范适用于中国移动通信网 业务系统和支撑系统的思科路由器 本规 范明确了思科路由器安全配置方面的基本要求 1 2 内部适用性说明内部适用性说明 本规范是在 中国移动设备通用设备安全功能和配置规范 以下简称 通 用规范 各项设备配置要求的基础上 提出的思科路由器安全配置要求 以下 分项列出本规范对 通用规范 设备配置要求的修订情况 设备通用安全配置要求编号采纳意见备注 安全要求安全要求 设备设备 通用通用 配置配置 1 1 可选可选增强要求安全要求 设备 思科路由器 配置 1 安全要求安全要求 设备设备 通用通用 配置配置 2 2 可选可选增强功能安全要求 设备 思科路由器 配置 2 安全要求安全要求 设备设备 通用通用 配置配置 3 3 可选可选完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 4 4完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 5 5不采纳设备不支持 安全要求安全要求 设备设备 通用通用 配置配置 6 6 可选可选不采纳设备不支持 安全要求安全要求 设备设备 通用通用 配置配置 7 7 可选可选不采纳设备不支持 安全要求安全要求 设备设备 通用通用 配置配置 9 9完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 12 12不采纳设备不支持 安全要求安全要求 设备设备 通用通用 配置配置 13 13 可选可选不采纳设备不支持 安全要求安全要求 设备设备 通用通用 配置配置 24 24 可选可选增强要求安全要求 设备 思科路由器 配置 7 可选 安全要求安全要求 设备设备 通用通用 配置配置 14 14 可选可选完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 16 16 可选可选完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 17 17 可选可选完全采纳 安全要求安全要求 设备设备 通用通用 配置配置 19 19 可选可选增强要求安全要求 设备 思科路由器 配 置 22 安全要求安全要求 设备设备 通用通用 配置配置 20 20 可选可选不采纳设备不支持 安全要求安全要求 设备设备 通用通用 配置配置 27 27 可选可选增强要求安全要求 设备 思科路由器 配 置 23 本规范新增的安全配置要求 如下 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 3 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 2 页 共 33 页 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 4 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 5 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 6 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 8 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 9 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 10 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 11 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 12 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 13 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 14 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 15 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 16 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 17 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 18 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 19 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 20 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 21 可选可选 安全要求安全要求 设备设备 思科路由器思科路由器 配置配置 24 本规范还针对直接引用 通用规范 的配置要求 给出了在思科路由器上 的具体配置方法和检测方法 1 3 外部引用说明外部引用说明 中国移动通用安全功能和配置规范 1 4 术语和定义术语和定义 BGP Route flap damping 由 RFC2439 定义 当 BGP 接口翻转后 其他 BGP 系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息 1 5 符号和缩略语符号和缩略语 缩写英文描述中文描述 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 3 页 共 33 页 2 思科路由器设备安全配置思科路由器设备安全配置要求要求 2 1 直接引用直接引用 通用规范通用规范 的配置要求的配置要求 编号 编号 安全要求 设备 通用 配置 3 可选 要求内容要求内容 限制具备管理员权限的用户远程登录 远程执行管理员权限操作 应先 以普通权限用户远程登录后 再切换到管理员权限账号后执行相应操作 操作指南操作指南 1 参考配置操作 参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config service password encryption Router config username normaluser password 3d zirc0nia Router config username normaluser privilege 1 Router config line vty 0 4 Router config line login local Router config line exec timeout 5 0 Router config line end 2 补充操作说明 补充操作说明 设定账号密码加密保存 创建 normaluser 账号并指定权限级别为 1 设定远程登录启用路由器账号验证 设定超时时间为 5 分钟 检测方法检测方法 1 判定条件判定条件 I VTY 使用用户名和密码的方式进行连接验证 II 2 账号权限级别较低 例如 I 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration service password encryption username normaluser password 3d zirc0nia username normaluser privilege 1 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 4 页 共 33 页 line vty 0 4 login local 编号编号 安全要求 设备 通用 配置 4 要求内容要求内容 对于采用静态口令认证技术的设备 口令长度至少 6 位 并包括数字 小写字母 大写字母和特殊符号 4 类中至少 2 类 操作指南操作指南 1 参考配置操作参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa authentication login default group tacacs Router config aaa authentication enable default group tacacs Router config tacacs server host 192 168 6 18 Router config tacacs server key Ir3 1yh8n w9 swD Router config end Router 2 补充操作说明补充操作说明 与外部 TACACS server 192 168 6 18 联动 远程登录使用 TACACS serverya 验证 口令强度由 TACACS server 控制 检测方法检测方法 1 判定条件判定条件 此项无法通过配置实现 建议通过管理实现 2 检测操作检测操作 此项无法通过配置实现 建议通过管理实现 编号 编号 安全要求 设备 通用 配置 9 要求内容要求内容 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小权限 操作指南操作指南 1 参考配置操作 参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config service password encryption Router config username normaluser password 3d zirc0nia Router config username normaluser privilege 1 Router config privilege exec level 15 connect Router config privilege exec level 15 telnet Router config privilege exec level 15 rlogin Router config privilege exec level 15 show ip access lists 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 5 页 共 33 页 Router config privilege exec level 15 show access lists Router config privilege exec level 15 show logging Router config if SSH is supported Router config privilege exec level 15 ssh Router config privilege exec level 1 show ip 2 补充操作说明 补充操作说明 基本思想是创建账号并赋予不同的权限级别 并将各命令绑定在不同的 权限级别上 上例操作过程如下 设定账号密码加密保存 创建 normaluser 账号并指定权限级别为 1 将 connect telnet rlogin show ip access lists show access lists show logging ssh 指定仅当账号权限级别为 15 时才可使用 将 show ip 指定为仅当账号权限级别大于 1 时才可使用 检测方法检测方法 1 判定条件判定条件 I 用户名绑定权限级别 II 操作命令划分权限级别 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration username normaluser password 3d zirc0nia username normaluser privilege 1 privilege exec level 15 connect privilege exec level 15 telnet privilege exec level 15 rlogin privilege exec level 15 show ip access lists privilege exec level 15 show access lists privilege exec level 15 show logging privilege exec level 15 ssh privilege exec level 1 show ip 编号 编号 安全要求 设备 通用 配置 14 可选 要求内容要求内容 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到 日志服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 6 页 共 33 页 操作指南操作指南 1 参考配置操作 参考配置操作 路由器侧配置 Router config t Enter configuration commands one per line End with CNTL Z Router config logging on Router config logging trap information Router config logging 192 168 0 100 Router config logging facility local6 Router config logging source interface loopback0 Router config exit Router show logging Syslog logging enabled 0 messages dropped 11 flushes 0overruns Console logging level notifications 35 messages logged Monitor logging level debugging 35 messages logged Buffer logging level informational 31 messages logged Logging to 192 168 0 100 28 message lines logged Router 2 补充操作说明 补充操作说明 I 假设把 router 日志存储在 192 168 0 100 的 syslog 服务器上 路由器侧配置描述如下 启用日志 记录日志级别设定 information 记录日志类型设定 local6 日志发送到 192 168 0 100 日志发送源是 loopback0 配置完成可以使用 show logging 验证 服务器侧配置参考如下 Syslog 服务器配置参考 在 Syslog conf 上增加一行 Save router messages to routers log local6 debug var log routers log 创建日志文件 touch var log routers log II 如果使用 snmp 存储日志参考配置如下 Router config t Enter configuration commands one per line End with CNTL Z Router config logging trap information Router config snmp server host 192 168 0 100 traps public Router config snmp server trap source loopback0 Router config snmp server enable traps syslog Router config exit Router 检测方法检测方法1 判定条件判定条件 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 7 页 共 33 页 I Syslog logging 和 SNMP logging 至少有一个为 enabled II Logging to 后面的主机名或 IP 指向日志服务器 III 通常记录日志数不为 0 2 检测操作检测操作 使用 show logging 命令 如下例 Router show logging Syslog logging enabled Console logging disabled Monitor logging level debugging 266 messages logged Trap logging level informational 266 messages logged Logging to 192 180 2 238 SNMP logging disabled retransmission after 30 seconds 0 messages logged Router 编号 编号 安全要求 设备 通用 配置 16 可选 要求内容要求内容 对于具备 TCP UDP 协议功能的设备 设备应根据业务需要 配置基于源 IP 地址 通信协议 TCP 或 UDP 目的 IP 地址 源端口 目的端口的流 量过滤 过滤所有和业务不相关的流量 操作指南操作指南 1 参考配置操作 参考配置操作 例如 要配置允许目的为 14 1 1 2 的所有 DNS 访问流量 Router config access list 140 permit udp any host 14 1 1 2 eq 53 Router config access list 140 deny udp any any log 例如 要配置允许目的为 14 1 0 0 16 的所有 DNS 访问流量 Router config access list 140 permit tcp any 14 1 0 0 0 0 255 255 Router config access list 140 deny ip any any log 2 补充操作说明 补充操作说明 访问控制列表命令格式 I 标准访问控制列表 access list list number deny permit source source wildcard log II 扩展访问控制列表 access list list number deny permit protocol source source wildcard source qualifiers destination destination wildcard destination qualifiers log log input 检测方法检测方法 1 判定条件判定条件 I 针对每个业务所需通讯 存在一条 acl II 对于非公共性服务 源 IP 和目标 IP 不能含有 any 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 8 页 共 33 页 III 目标端口明确 2 检测操作检测操作 使用 show ip access list access list number name 命令 如下 例 Router show ip access list Extended IP access list 101 deny udp any any eq ntp permit tcp any any permit udp any any eq tftp permit icmp any any permit udp any any eq domain 编号 编号 安全要求 设备 通用 配置 17 可选 要求内容要求内容 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协 议 操作指南操作指南 1 参考配置操作 参考配置操作 I 配置主机名和域名 router config t Enter configuration commands one per line End with CNTL Z router config hostname Router Router config ip domain name Router domain name II 配置访问控制列表 Router config no access list 12 Router config access list 12 permit host 192 168 0 200 Router config line vty 0 4 Router config line access class 12 in Router config line exit III 配置账号和连接超时 Router config service password encryption Router config username normaluser password 3d zirc0nia Router config username normaluser privilege 1 Router config line vty 0 4 Router config line login local Router config line exec timeout 5 0 IV 生成 rsa 密钥对 Router config crypto key generate rsa The name for the keys will be Router domain name Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys Choosing a key modulus greater than 512 may take a few minutes How many bits in the modulus 512 2048 Generating RSA Keys 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 9 页 共 33 页 OK V 配置仅允许 ssh 远程登录 Router config line vty 0 4 Router config line transport input ssh Router config line exit Router config 2 补充操作说明 补充操作说明 配置描述 I 配置 ssh 要求路由器已经存在主机名和域名 II 配置访问控制列表 仅授权 192 168 0 200 访问 192 168 0 100 ssh III 配置远程访问里连接超时 IV 生成 rsa 密钥对 如果已经存在可以使用以前的 默认存在 rsa 密钥对 sshd 就启用 不存在 rsa 密钥对 sshd 就停用 V 配置远程访问协议为 ssh 检测方法检测方法 1 判定条件判定条件 I 存在 rsa 密钥对 II 远程登录指定 ssh 协议 2 检测操作检测操作 I 使用 show crypto key mypubkey rsa 命令 如下例 Router config show crypto key mypubkey rsa Key pair was generated at 06 07 49 UTC Jan 13 1996 Key name Usage Signature Key Key Data 005C300D 06092A86 4886F70D 00034B00 00C5E23B 55D6AB22 04AEF1BA A54028A6 9ACC01C5 129D99E4 64CAB820 847EDAD9 DF0B4E4C 73A05DD2 BD62A8A9 FA603DD2 E2A8A6F8 98F76E28 D58AD221 B583D7A4 0001 Key pair was generated at 06 07 50 UTC Jan 13 1996 Key name Usage Encryption Key Key Data 4A7D385B 1234EF29 335FC973 2DD50A37 C4F4B0FD 9DADE748 D5 18242BA3 2EDFBDD3 A DDF7D3D8 2F2190A0 0B43F1BD 9A8A26DB 791FCDE9 A98420F0 6A82045B 90288A26 DBC64468 7789F76E EE21 II 使用 show running config 命令 如下例 router show running config Building configuration Current configuration 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 10 页 共 33 页 line vty 0 4 transport input ssh 2 2账号管理 认证授权账号管理 认证授权 2 2 1 账户账户 编号 编号 安全要求 设备 思科路由器 配置 1 要求内容要求内容 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备 间通信使用的账号共享 操作指南操作指南 1 参考配置操作 参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config service password encryption Router config username ruser1 password 3d zirc0nia Router config username ruser1 privilege 1 Router config username ruser2 password 2B or 3B Router config username ruser2 privilege 1 Router config end Router 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I 配置文件中 存在不同的帐号分配 II 网络管理员确认用户与帐号分配关系明确 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration service password encryption username ruser1 password 3d zirc0nia username ruser1 privilege 1 username ruser2 password 2B or 3B 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 11 页 共 33 页 username ruser2 privilege 1 编号 编号 安全要求 设备 思科路由器 配置 2 要求内容要求内容 应删除与设备运行 维护等工作无关的账号 操作指南操作指南 1 参考配置操作 参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config no username ruser3 2 补充操作说明 补充操作说明 检测方法检测方法 1 判定条件判定条件 I 配置文件存在多帐号 II 网络管理员确认所有帐号与设备运行 维护等工作有关 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration username user1 privilege 1 password password1 username nobodyuse privilege 1 password password1 2 2 2 口令口令 编号 编号 安全要求 设备 思科路由器 配置 3 要求内容要求内容 静态口令必须使用不可逆加密算法加密 以密文形式存放 如使用 enable secret 配置 Enable 密码 不使用 enable password 配置 Enable 密码 操作指南操作指南 1 参考配置操作 参考配置操作 Router config t Enter configuration commands one per line End with CNTL Z Router config enable secret 2 mAny rOUtEs Router config no enable password Router config end 2 补充操作说明 补充操作说明 检测方法检测方法1 判定条件判定条件 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 12 页 共 33 页 配置文件无明文密码字段 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration Current configuration service password encryption enable secret 5 1oxphetTb rTsF EdvjtWbi0qA2g username ciscoadmin password 7 Wbi0qA1 rTsF Edvjt2gpvyhetTb 2 2 3授权授权 2 2 4 认证认证 编号 编号 安全要求 设备 思科路由器 配置 7 可选 要求内容要求内容 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强 制要求 操作指南操作指南 1 参考配置操作 参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa authentication login default group tacacs Router config aaa authentication enable default group tacacs Router config tacacs server host 192 168 6 18 Router config tacacs server key Ir3 1yh8n w9 swD Router config end Router 2 补充操作说明 补充操作说明 与外部TACACS server 192 168 6 18 联动 远程登录使用 TACACS serverya 验证 检测方法检测方法 1 判定条件判定条件 帐号 口令配置 指定了认证系统 2 检测操作检测操作 使用 show running config 命令 如下例 router show running config Building configuration 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 13 页 共 33 页 Current configuration aaa new model aaa authentication login default group tacacs aaa authentication enable default group tacacs tacacs server host 192 168 6 18 tacacs server key Ir3 1yh8n w9 swD 2 3 日志日志安全要求安全要求 编号 编号 安全要求 设备 思科路由器 配置 4 可选 要求内容要求内容 与记账服务器 如 RADIUS 服务器或 TACACS 服务器 配合 设备应配 置日志功能 对用户登录进行记录 记录内容包括用户登录使用的账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 操作指南操作指南 1 参考配置操作 参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa accounting connection default start stop group tacacs Router config aaa accounting exec default start stop group tacacs Router config end Router1 2 补充操作说明 补充操作说明 使用TACACS server 检测方法检测方法 1 判定条件判定条件 配置了 AAA 模板的上述具体条目 2 检测操作检测操作 使用 show running config 命令 如下例 router1 show runn include aaa Building configuration Current configuration aaa new model aaa authentication login default group tacacs aaa authorization exec default group tacacs aaa session id common 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 14 页 共 33 页 编号 编号 安全要求 设备 思科路由器 配置 5 可选 要求内容要求内容 与记账服务器 如 TACACS 服务器 配合 设备应配置日志功能 记录用 户对设备的操作 如账号创建 删除和权限修改 口令修改 读取和修 改设备配置 读取和修改业务用户的话费数据 身份数据 涉及通信隐 私数据 记录需要包含用户账号 操作时间 操作内容以及操作结果 操作指南操作指南 1 参考配置操作 参考配置操作 Router configure terminal Enter configuration commands one per line End with CNTL Z Router config aaa new model Router config aaa accounting commands 1 default start stop group tacacs Router config aaa accounting commands 15 default start stop group tacacs Router config end Router1 2 补充操作说明 补充操作说明 使用TACACS server 检测方法检测方法 1 判定条件判定条件 配置了 AAA 模板的上述具体条目 2 检测操作检测操作 使用 show running config 命令 如下例 router1 show runn include aaa Building configuration Current configuration aaa new model aaa accounting commands 1 default start stop group tacacs aaa accounting commands 15 default start stop group tacacs 编号 编号 安全要求 设备 思科路由器 配置 6 可选 要求内容要求内容 开启 NTP 服务 保证日志功能记录的时间的准确性 操作指南操作指南 1 参考配置操作 参考配置操作 配置命令如下 Router config t Enter configuration commands one per line End with CNTL Z Router config interface eth0 0 Router config if no ntp disable Router config if exit Router config ntp server 14 2 9 2 source loopback0 Router config exit 2 补充操作说明 补充操作说明 需要到每个端口开启 NTP 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 15 页 共 33 页 检测方法检测方法 1 判定条件判定条件 I 存在 ntp server 配置条目 II 日志记录时间准确 2 检测操作检测操作 I 使用 show running config 命令 如下例 router show running config Building configuration Current configuration no ntp disable ntp update calendar ntp server 128 237 32 2 ntp server 142 182 31 6 II show logging include NTP Jan 29 10 57 52 633 EST NTP 5 PEERSYNC NTP synced to peer 172 25 1 5 Jan 29 10 57 52 637 EST NTP 6 PEERREACH Peer 172 25 1 5 is reachable 2 42 4 IPIP 协议安全要求协议安全要求 2 4 12 4 1基本协议安全基本协议安全 编号 编号 安全要求 设备 思科路由器 配置 8 可选 要求内容要求内容 配置路由器 防止地址欺骗 操作指南操作指南 1 参考配置操作 参考配置操作 对向内流量配置 Router config no access list 100 Router config access list 100 deny ip 192 168 10 0 0 0 0 255 any log Router config access list 100 deny ip 127 0 0 0 0 255 255 255 any log Router config access list 100 deny ip 10 0 0 0 0 255 255 255 any log Router config access list 100 deny ip 0 0 0 0 0 255 255 255 any log Router config access list 100 deny ip 172 16 0 0 0 15 255 255 any log Router config access list 100 deny ip 192 168 0 0 0 0 255 255 any log Router config access list 100 deny ip 192 0 2 0 0 0 0 255 any log Router config access list 100 deny ip 169 254 0 0 0 0 255 255 any log Router config access list 100 deny ip 224 0 0 0 15 255 255 255 any log 中国移动思科路怄气安全配置规范 中国移动通信集团公司 第 16 页 共 33 页 Router config access list 100 deny ip host 255 255 255 255 any log Router config access list 100 permit ip any 192 168 10 0 0 0 0 255 Router config access list 100 deny ip any any log Router config interface eth0 Router config if description External interface to 192 168 0 16 net Router config if ip address 192 168 10 20 255 255 0 0 Router config if ip access group 100 in Router config if exit Router config interface eth1 Router config if description Internal interface to 192 168 10 0 24 net Router config if ip address 192 168 10 250 255 255 255 0 Router config if end 对向外流量配置 Router config no access list 102 Router config access list 102 permit ip 192 168 10 0 0 0 0 255 any Router config access list 102 deny ip any any log Router config interface eth 0 1 Router co