[安全生产管理]路由器安全配置基线.pdf

{安全生产管理}路由器安

全配置基线

版本版本控制信息更新日期更新人审批人

V1.0创建2009年1月

V2.0更新2012年4月

备注：

1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录

第1章概述1

1.1目的1

1.2适用范围1

1.3适用版本1

1.4实施1

1.5例外条款1

第2章帐号管理、认证授权安全要求2

2.1帐号管理2

2.1.1用户帐号分配*2

2.1.2删除无关的帐号*3

2.1.3限制具备管理员权限的用户远程登录*4

2.2口令5

2.2.1静态口令以密文形式存放5

2.2.2帐号、口令和授权6

2.2.3密码复杂度7

2.3授权8

2.3.1用IP协议进行远程维护的设备使用SSH等加密协议8

第3章日志安全要求11

3.1日志安全11

3.1.1对用户登录进行记录11

3.1.2记录用户对设备的操作12

3.1.3开启NTP服务保证记录的时间的准确性13

3.1.4远程日志功能*14

第4章IP协议安全要求17

4.1IP协议17

4.1.1配置路由器防止地址欺骗17

4.1.2系统远程服务只允许特定地址访问18

4.1.3过滤已知攻击20

4.2功能配置21

4.2.1功能禁用*21

4.2.2启用协议的认证加密功能*23

4.2.3启用路由协议认证功能*24

4.2.4防止路由风暴26

4.2.5防止非法路由注入27

4.2.6SNMP的Community默认通行字口令强度28

4.2.7只与特定主机进行SNMP协议交互29

4.2.8配置SNMPV2或以上版本30

4.2.9关闭未使用的SNMP协议及未使用RW权限31

4.2.10LDP协议认证功能31

第5章其他安全要求33

5.1其他安全配置33

5.1.1关闭未使用的接口33

5.1.2修改路由缺省器缺省BANNER语34

5.1.3配置定时账户自动登出34

5.1.4配置consol口密码保护功能36

5.1.5关闭不必要的网络服务或功能37

5.1.6端口与实际应用相符38

第6章评审与修订40

第1章概述

1.1目的

本文档规定了中国移动管理信息系统部所维护管理的Cisco路由器应当遵循的设备安全

性设置标准，本文档旨在指导系统管理人员进行Cisco路由器的安全配置。

1.2适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Cisco路

由器。

1.3适用版本

Cisco路由器。

1.4实施

本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若

有任何疑问或建议，应及时反馈。

本标准发布之日起生效。

1.5例外条款

欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交

中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权安全要求

2.1帐号管理

2.1.1用户帐号分配*

安全基线项用户帐号分配安全基线要求项

目名称

安全基线编SBL-CiscoRouter-02-01-01

号

安全基线项应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通

说明信使用的帐号共享。

检测操作步

骤1.参考配置操作

Router#configt

Enterconfigurationmands,oneperline.EndwithCNTL/Z.

Rou