信息安全管理制度-網(wǎng)絡(luò)安全設(shè)備配置規(guī)范

網(wǎng)絡(luò)安全設(shè)備配置規(guī)范XXX2011年1月網(wǎng)絡(luò)安全設(shè)備配置規(guī)范網(wǎng)絡(luò)安全設(shè)備配置規(guī)范--#-＃configtEnterconfigurationcommands，oneperline.EndwithCNTL/Z.(config)#routerospf1(config-router)＃area0authenticationmessage-digest(config-router)＃network14.1.0。00。0。255.255area0(config-router)#network14。2.6.00.0.0。255area0(config—router)＃exit(config)＃inteth0(config—if)#ipospfmessage-digest—key1md5r0utes—4—all(config-if)#endRIPAuthenticationRIP2支持此功能#configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.(config)#keychain—KC(config—keychain)#key1(config—keychain-key)#key-stringmy—supersecret—key(config-keychain—key)#exit(config—keychain)#key2(config-keychain-key)＃key—stringmy-othersecret-key(config—keychain—key)#end#＃configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z。(config)＃keychain—KC(config—keychain)＃key1(config—keychain—key)#key-stringmy-supersecret—key(config—keychain-key)＃exit(config—keychain)#key2(config—keychain—key)#key-stringmy—othersecret-key(config-keychain—key)#end＃configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z。(config)＃intethernet0/1(config-if)#ipripauthenticationkey-chain—KC(config—if)＃ipripauthenticationmodemd5(config-if)＃end＃＃configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z.(config)＃intethernet0/0(config-if)＃ipripauthenticationkey-chain—KC(config-if)＃ipripauthenticationmodemd5(config—if)#end＃EIGRPAuthentication＃configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#routereigrp100(config—router)＃network14。1.0.0255。255.0。0(config—router)#exit(config)#interfaceeth0/1(config-if)＃ipauthenticationmodeeigrp100md5(config-if)＃ipauthenticationkey-chaineigrp100—KC(config—if)＃exit(config)#keychain—KC(config-keychain)#key1(config—keychain—key)#key-stringsecret-key(config—keychain—key)＃send—lifetime00：00：00Oct1200200：00:00Jan12003(config-keychain-key)#accept-lifetime00:00:00Oct1200200:00:00Jan72003(config-keychain-key)＃end##configtEnterconfigurationcommands，oneperline。EndwithCNTL/Z.(config)#routereigrp100(config-router)#network14。1。0。0255.255.0。0(config-router)#network14。2.6.0255.255。255。0(config-router)#passive-interfaceeth1(config-router)＃exit(config)＃interfaceeth0(config—if)#ipauthenticationmodeeigrp100md5(config-if)＃ipauthenticationkey—chaineigrp100—KC(config—if)＃exit(config)＃keychain-KC(config-keychain)＃key1(config-keychain—key)＃key—stringsecret-key(config-keychain—key)#send-lifetime00：00:00Oct1200200:00:00Jan12003(config-keychain-key)#accept—lifetime00:00：00Oct1200200：00:00Jan72003(config—keychain-key)#end＃關(guān)閉ARPPROXY功能＃configtEnterconfigurationcommands，oneperline。EndwithCNTL/Z。(config)＃interfaceethernet0/0(config-if)＃noipproxy—arp(config—if)#exit(config)＃interfaceethernet0/1(config—if)#noipproxy—arp(config—if)#endDisablingunneededrouting-relatedservicesPassiveInterfaces(被動(dòng)態(tài)接口)Router1#showconfig.。interfaceethernet0descriptionActiveroutinginterfacefor14。1。0。0netipaddress14.1。15.250！interfaceethernet1descriptionActiveroutinginterfacefor14。2.0。0netipaddress14。2.13.150255。255.0.0！interfaceethernet2descriptionPassiveinterfaceonthe14.3.0。0netipaddress14。3。90。50255.255。0。0routerospf1network14.0.0。00。0。0.255area0passive—interfaceethernet2說明只在ETHERNET1、ETHERNET2上運(yùn)行OSPF協(xié)議。在ETHERNET2上禁止＃configtEnterconfigurationcommands，oneperline.EndwithCNTL/Z。(config)＃routerrip(config-router)#passive-interfaceethernet0/0(config-router)＃end#Usingfilterstoblockroutingupdates#configtEnterconfigurationcommands，oneperline.EndwithCNTL/Z.(config)#access—list55deny14.2。10.00。0。0。255(config)#access-list55permitany(config)#end#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)＃routerospf1(config-router)＃distribute-list55out(config—router)＃endRip協(xié)議＃configtEnterconfigurationcommands,oneperline。EndwithCNTL/Z。(config)＃access-list55deny14。2.10。055(config)#access-list55permitany(config)#routerrip(config-router)#distribute—list55out(config-router)#endBGPandMD5Authentication＃configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)＃routerbgp26625(config—router)＃neighbor14。2。0.250remote-as27701(config—router)#neighbor14.2。0。250passwordr0utes4all(config—router)#end#ISPCust7#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z。ISPCust7(config)＃routerbgp27701ISPCust7(config—router)#neighbor14.2.0。20remote—as26625ISPCust7(config-router)＃neighbor14。2。0.20passwordr0utes4allISPCust7(config-router)#endISPCust7＃管理路由器設(shè)置管理路由器的登錄機(jī)制。在專用的管理子網(wǎng)只允許本地固定IP管理路由器管理路由器的主機(jī)與路由器間的信息加密(VTY使用SSH)更新路由器只有在下列情況下更新路由器修復(fù)安全脆弱性增加新的功能增加內(nèi)存設(shè)置和測(cè)試管理主機(jī)和路由器間的文件傳輸能力按計(jì)劃停止運(yùn)行路由器和網(wǎng)絡(luò)重啟后關(guān)停端口備份配置文件安裝新的配置文件日志審計(jì)日志訪問列表中端口是否正確設(shè)置日志，并標(biāo)識(shí)、配置日志主機(jī)精確設(shè)置并維護(hù)路由器時(shí)間按照策略定期檢查、分析并存檔日志4入侵檢測(cè).配置IDS產(chǎn)品安全策略策略包括需要保護(hù)對(duì)象的優(yōu)先順序、規(guī)定誰可以對(duì)IDS產(chǎn)品進(jìn)行配置管理、以及根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等來制定的IDS檢測(cè)策略。.定期維護(hù)IDS安全策略IDS的安全策略應(yīng)該是活動(dòng)的，當(dāng)環(huán)境發(fā)生變化時(shí)，安全策略應(yīng)該改變，并應(yīng)該通知相關(guān)人員..將IDS產(chǎn)品（傳感器和管理器）放置在一個(gè)環(huán)境安全且可控的區(qū)域，以保證IDS產(chǎn)品的物理安全.安全地配置裝有IDS的主機(jī)系統(tǒng).IDS配置文件離線保存、注釋、有限訪問，并保持與運(yùn)行配置同步。.使用IDS產(chǎn)品的最新穩(wěn)定版本或補(bǔ)丁..保持IDS產(chǎn)品的最新的簽名數(shù)據(jù)庫。.定期檢查IDS產(chǎn)品自身的安全性,特別在改變重要配置之后。.對(duì)管理用戶進(jìn)行權(quán)限分級(jí)，并對(duì)用戶進(jìn)行鑒別。要求不同權(quán)限級(jí)別的用戶應(yīng)該具有相應(yīng)的技術(shù)能力（掌握信息安全知識(shí)）及非技術(shù)能力（責(zé)任心、管理能力、分析能力等）。.口令配置安全例如，使用難以猜測(cè)的口令、限制知曉范圍、重要員工辭職時(shí)更換口令..精確設(shè)置并維護(hù)