網(wǎng)絡(luò)設(shè)備安全配置規(guī)范

網(wǎng)絡(luò)設(shè)備安全配置規(guī)范網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第1頁。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第1頁。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范CISCO路由器及基于CISCOIOS的三層交換模塊部分網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第2頁。目錄網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第2頁。TOC\o"1-3"\h\z第一部分設(shè)備的安全機(jī)制 81 訪問控制 82 數(shù)據(jù)加密 83 日志問題 84 防攻擊能力 9第二部分設(shè)備安全配置建議 101 訪問控制列表及其管理 101.1 訪問控制列表特性 101.2 訪問控制列表應(yīng)用 101.3 實(shí)施原則 123 網(wǎng)管及認(rèn)證問題 223.1 遠(yuǎn)程登錄 223.1.1 遠(yuǎn)程登錄的原則 223.1.2 啟用SSH服務(wù) 223.1.3 登錄空閑時(shí)間 233.1.4 登錄嘗試次數(shù) 243.1.5 并發(fā)登錄個(gè)數(shù) 243.1.6 采用訪問列表嚴(yán)格控制訪問的地址 243.2 帳號和密碼管理 253.3 帳號認(rèn)證和授權(quán) 263.3.1 本機(jī)認(rèn)證和授權(quán) 263.3.2 AAA認(rèn)證 263.3.3 RADIUS認(rèn)證方式 263.3.4 TACACS+認(rèn)證方式 27網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第3頁。第一部分設(shè)備的安全機(jī)制網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第3頁。該部分內(nèi)容對Cisco路由器和基于CiscoIOS的交換機(jī)及其三層處理模塊自身的安全機(jī)制進(jìn)行簡單描述，對每種安全機(jī)制可以解決什么問題進(jìn)行闡述。訪問控制Cisco設(shè)備具有強(qiáng)大的訪問控制能力，具體如下：可以實(shí)現(xiàn)對遠(yuǎn)程登錄并發(fā)個(gè)數(shù)和空閑時(shí)長的限制；支持使用SSH代替Telnet，并提供ACL對用戶登陸進(jìn)行嚴(yán)格控制；支持AAA認(rèn)證和授權(quán)；支持snmp管理認(rèn)證、限制TRAP主機(jī)，修改TRAP端口等；路由協(xié)議的認(rèn)證支持RIP、OSPF和BGPMD5認(rèn)證，同時(shí)也支持密碼明文認(rèn)證；數(shù)據(jù)加密 CISCO設(shè)備的數(shù)據(jù)加密能力主要有：支持SSH替代Telnet,可以在網(wǎng)絡(luò)中傳遞加密的用戶名和密碼；對于enable密碼，使用加密的enablesecret,并且密碼可以通過servicepassword-encryption命令，進(jìn)行密碼加密；提供Cisco加密技術(shù)（CET）；IPSec技術(shù)實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)募用芗夹g(shù)。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第4頁。日志問題網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第4頁。Cisco設(shè)備將LOG信息分成八個(gè)級別，由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies?？梢栽O(shè)置將一定級別的LOG消息通過SYSLOG、SNMPTRAP傳遞給SERVER長期保存，對SERVER的地址可以進(jìn)行嚴(yán)格控制。防攻擊能力Cisco設(shè)備的防攻擊能力主要體現(xiàn)如下：可以通過對Q0S技術(shù)的配置，起到自身的防護(hù)的能力，它支持排隊(duì)技術(shù)、CAR和GTS等；結(jié)合強(qiáng)大的ACL命令，用于自身以及網(wǎng)絡(luò)的防攻擊，支持標(biāo)準(zhǔn)訪問控制列表、擴(kuò)展的訪問控制列表、動(dòng)態(tài)訪問列表、自反訪問列表、基于時(shí)間的訪問控制列表、基于上下文的訪問控制列表，從而保證了強(qiáng)大的防攻擊能力；支持黑洞路由；支持源路由檢查。對QOS屬性的說明如下：Cisco設(shè)備通過配置QOS屬性具有一定的自動(dòng)攻擊檢測和防范機(jī)制。如排隊(duì)技術(shù)、CAR、GTS，都通過對網(wǎng)絡(luò)流量控制，在一定程度上實(shí)現(xiàn)對攻擊的防護(hù)。排隊(duì)技術(shù)允許用戶按照報(bào)文優(yōu)先級的順序，定義報(bào)文從接口發(fā)送的順序，從而控制路由器接口的擁塞。這樣我們可以對已經(jīng)明確的安網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第5頁。全流量設(shè)置高優(yōu)先級，讓這些流量優(yōu)先通過，而丟棄低優(yōu)先級流量，在一定程度上丟棄了一些攻擊包；CAR是CommittedAccessRate的簡寫，意思是：承諾訪問速率，允許某一設(shè)備嚴(yán)格地限制流入或流出某一接口流量數(shù)量的一種技術(shù)。CAR軟件確保只有指定數(shù)量的流量被發(fā)送或接收，而其他的流量會被丟棄。流量整形技術(shù)GTS，與CAR技術(shù)相似，都是通過定義參數(shù)來對流量分類，并按這些分類來管理流量。區(qū)別在于整形試圖緩沖流量，并盡可能以不丟棄報(bào)文的方式傳送它們。和CAR一樣，可以定義平均位速率、一個(gè)正常突發(fā)率和一個(gè)異常突發(fā)率值。與CAR不同，流量整形只用在路由器接口的輸出流量上。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第5頁。

網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第6頁。第二部分設(shè)備安全配置建議網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第6頁。設(shè)備安全配置建議是本規(guī)范重要的一個(gè)部分，該部分將對Cisco路由器和基于CiscoIOS的交換機(jī)及其三層處理模塊安全配置的細(xì)節(jié)進(jìn)行描述，并對配置適用的網(wǎng)絡(luò)層次、對設(shè)備性能的影響和配置實(shí)施的注意點(diǎn)進(jìn)行詳細(xì)說明。訪問控制列表及其管理訪問控制列表特性訪問列表是網(wǎng)絡(luò)防御的前沿陣地，Cisco設(shè)備支持兩種類型的訪問控制列表：標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表。標(biāo)準(zhǔn)訪問控制列表控制基于網(wǎng)絡(luò)地址的信息流，其分配的ACL號為1-99和1300-1999；擴(kuò)展訪問列表通過網(wǎng)絡(luò)地址和傳輸中的數(shù)據(jù)類型進(jìn)行信息流的控制,其分配的ACL號為100-199和2000-2699。在IOS版本12.0及其以上版本，可以使用命名的訪問表，它允許用戶為訪問表定義名稱。這類訪問表建立之后，用戶可以刪除訪問表的某個(gè)表項(xiàng)，而不會導(dǎo)致對整個(gè)訪問表的刪除。但附加的表項(xiàng)仍然是增加到訪問表的最后。對于路由器接口，一個(gè)訪問表必須在創(chuàng)建之后應(yīng)用到某個(gè)接口上，它才能產(chǎn)生作用。因?yàn)橥ㄟ^接口的數(shù)據(jù)流是雙向的，所以訪問表要應(yīng)用到接口的特定方向上，向外的方向或者向內(nèi)的方向。CISCO設(shè)備對于不匹配任何表項(xiàng)的數(shù)據(jù)包，默認(rèn)是拒絕其通過的操作。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第7頁。訪問控制列表應(yīng)用網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第7頁。Cisco訪問控制列表提供如下應(yīng)用：標(biāo)準(zhǔn)的訪問表：只允許過濾源地址，且功能十分有限。建立標(biāo)準(zhǔn)IP訪問列表有兩種方式，編號方式和命名方式。擴(kuò)展訪問列表,：用于擴(kuò)展報(bào)文過濾能力,一個(gè)擴(kuò)展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報(bào)文：源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行特殊位比較的各種選項(xiàng)。它的建立也支持編號方式和命名方式。動(dòng)態(tài)訪問表（lock-and-key）：能夠創(chuàng)建動(dòng)態(tài)訪問表項(xiàng)的訪問表。傳統(tǒng)的標(biāo)準(zhǔn)訪問表和擴(kuò)展的訪問表不能創(chuàng)建動(dòng)態(tài)訪問表項(xiàng)。一旦在傳統(tǒng)訪問表中加入了一個(gè)表項(xiàng)，除非手工刪除，該表項(xiàng)將一直產(chǎn)生作用。而在動(dòng)態(tài)訪問表中，可以根據(jù)用戶認(rèn)證過程來創(chuàng)建特定的、臨時(shí)的訪問表。其工作方式是，用戶開啟一個(gè)到路由器的telnet會話，在用戶被認(rèn)證之后，路由器關(guān)閉telnet會話，并將一個(gè)動(dòng)態(tài)訪問表項(xiàng)置于某個(gè)訪問表中，以允許源地址為認(rèn)證用戶工作站地址的報(bào)文通過。在訪問超過空閑超時(shí)或最大超時(shí)設(shè)定時(shí)，臨時(shí)的訪問入口會被動(dòng)態(tài)地刪除。使用動(dòng)態(tài)訪問列表必須是擴(kuò)展訪問列表?；跁r(shí)間的訪問表：傳統(tǒng)的訪問表存在一個(gè)缺陷，一旦訪問表應(yīng)用到某個(gè)接口，如果不刪除，它們就一直保持有效。這樣，如果希望根據(jù)某一天的不同時(shí)間、某一星期的不同天來實(shí)現(xiàn)不同的規(guī)則和策略，用戶就必須刪除當(dāng)前的訪問表，然后創(chuàng)建新的訪問表。使用基于時(shí)間的訪問表可以實(shí)現(xiàn)根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同天，或者二者的結(jié)合，來控制對網(wǎng)絡(luò)資源的訪問。值得注意的是，Cisco7500系列路由器不支持該功能。自反訪問表：是擴(kuò)展的IP命名訪問表的一個(gè)重要的功能特性，自反訪問表創(chuàng)網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第8頁。建開啟表項(xiàng)并用于從路由器的不可信方（某個(gè)接口），在正常的操作模式下，這些開啟表項(xiàng)并沒有啟用，即從路由器不可信方的數(shù)據(jù)包不能通過路由器，只有當(dāng)路由器的可信方向的數(shù)據(jù)包通過路由器與外部不可信設(shè)備創(chuàng)建一個(gè)會話后，這些開啟表項(xiàng)被觸發(fā)，路由器允許不可信方對應(yīng)于該會話的返回包通過路由器，會話結(jié)束或者超時(shí)后，臨時(shí)的開啟表項(xiàng)入口被關(guān)閉。注意的是，自訪問列表只支持單通道的會話，對于那些在會話過程中改變所使用端口號的應(yīng)用程序來說，自反訪問列表不能與之工作。如FTP是使用過程中改變端口號的TCP應(yīng)用程序，如果使用自反訪問列表，則從可信方向不可信方發(fā)起的FTP請求將無法完成，必須使用被動(dòng)FTP來取代它。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第8頁?；谏舷挛牡脑L問控制（Context-BasedAccessControl,CBAC）：工作方式類似于自反訪問表，它會檢查向外的會話，并且創(chuàng)建臨時(shí)開啟表項(xiàng)來允許返回的通信報(bào)文；其不同之處在于，自反訪問表表與傳統(tǒng)的訪問表一樣，不能檢測高于第4層的信息，并且只支持單通道的會話，CBAC克服了自反訪問列表的缺點(diǎn)，可以基于上層信息進(jìn)行檢測，以及可以安全地處理多通道的應(yīng)用，其支持的審查協(xié)議有FTP、H.323、Java、RealAudio、RPC、SMTP、SQL*Net、StreamWorks、TFTP、VDOLive。CBAC只檢查TCP或UDP報(bào)文。路由器只有安裝了CiscoSecureIntegratedSoftware（CSIS）才能使用CBAC功能，可以使用showversion命令中查看軟件，必須含有字母“O”，如IOS(tm)2500Software(C2500-JOS56I-L)，在版本12.0T中，CBAC可運(yùn)用于2500、2600、3600、7100和7200系列的路由器平臺上。此外，Cisco的訪問控制列表還大量的應(yīng)用于TCP攔截，Cisco加密技術(shù)（CET），IPSec技術(shù)以及各種QOS技術(shù)（如排隊(duì)技術(shù)、CAR、GTS），從而達(dá)網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第9頁。到攻擊防護(hù)的目的，保護(hù)設(shè)備的安全。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第9頁。實(shí)施原則訪問控制列表的實(shí)施原則是：只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護(hù)主機(jī)地址作為源地址發(fā)起對設(shè)備的遠(yuǎn)程連接，如Telnet、SSH、Http、SNMP、Syslog等；只允許需要的協(xié)議端口能進(jìn)入（如OSPF、BGP、RSVP等）；指定設(shè)備自身發(fā)包的源地址，如loopbackIP；同時(shí)只允許在設(shè)備間使用這些地址來互相遠(yuǎn)程登錄；對ICMP數(shù)據(jù)包的限制對非法IP的限制除此之外所有以設(shè)備端口IP地址為目的地址數(shù)據(jù)包都被拒收。上述要求，部分在配置實(shí)例中說明，部分在后面的各主題中體現(xiàn)。但ACL的設(shè)置會可能對路由器設(shè)備性能造成影響，CISCO的ACL設(shè)置過多，設(shè)備性能會嚴(yán)重下降。對于不同設(shè)備，建議在實(shí)施ACL時(shí)，要獲取相關(guān)設(shè)備提供商的建議。需要強(qiáng)調(diào)的是，對網(wǎng)絡(luò)病毒和攻擊的防范，并不能單靠路由器或交換機(jī)來完成，應(yīng)盡量保證受管理主機(jī)及時(shí)得到系統(tǒng)加固，從源頭上減少網(wǎng)絡(luò)病毒和攻擊發(fā)生的可能性。匯聚網(wǎng)絡(luò)或核心網(wǎng)絡(luò)中，每一條鏈路上都承載大量各種各樣的流量。在此對流量進(jìn)行區(qū)分和過濾具有較大難度，也容易引發(fā)意外。而且也加大了匯聚設(shè)備或核心設(shè)備的處理壓力。建議ACL的設(shè)置應(yīng)盡量往網(wǎng)絡(luò)邊緣靠，如在接入層設(shè)備和全網(wǎng)出口處。這樣能起到更好的防范效果，也包證了網(wǎng)絡(luò)的整體轉(zhuǎn)發(fā)效能不受網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第10頁。影響。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第10頁。網(wǎng)管及認(rèn)證問題遠(yuǎn)程登錄一般而言網(wǎng)維人員都習(xí)慣使用CLI來進(jìn)行設(shè)備配置和日常管理，常會使用Telnet來遠(yuǎn)程登錄設(shè)備。大部分設(shè)備都提供標(biāo)準(zhǔn)的Telnet接口，開放TCP23端口。雖然Telnet在連接建立初期也需要核查帳號和密碼，但是此過程中，以及后續(xù)會話中，都是明文方式傳送所有數(shù)據(jù)，容易造竊聽而泄密。Telnet并不是一個(gè)安全的協(xié)議。建議采用SSH協(xié)議來取代Telnet進(jìn)行設(shè)備的遠(yuǎn)程登錄。SSH與Telnet一樣準(zhǔn)門提供遠(yuǎn)程連接手段。但是SSH傳送的數(shù)據(jù)（包括帳號和密碼）都會被加密，且密鑰會自動(dòng)更新，極大提高了連接的安全性。SSH可以非常有效地防止竊聽、防止使用地址欺騙手段實(shí)施的連接嘗試。遠(yuǎn)程登錄的原則如果不需要遠(yuǎn)程登陸telnet服務(wù)，則禁止它。如支持SSH功能，則禁止telnet，開啟SSH。【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：無法telnet網(wǎng)元設(shè)備【具體配置】：Router(Config)#nolinevty04網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第11頁。啟用SSH服務(wù)網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第11頁?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【注意事項(xiàng)】：只有支持并帶有IPSec特征集的IOS才支持SSH。并且IOS12.0-IOS12.2僅支持SSH-V1【影響】：無【具體配置】：！生成RSA密鑰對Router(Config)#cryptokeygeneratersa

Thenameforthekeyswillbe:

Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneral

Purposekeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.

Howmanybitsinthemodulus[512]:2048

GeneratingRSAKeys...

[OK]！配置本地?cái)?shù)據(jù)庫，用于SSH認(rèn)證

Router(Config)#usernameBluShinprivilege10passwordG00dPa55w0rd!配置VTY登陸協(xié)議使用SSH，并使用本地?cái)?shù)據(jù)庫認(rèn)證，也可以使用其他認(rèn)證方式，如AAARouter(Config)#linevty04

網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第12頁。Router(Config-line)#transportinputssh

Router(Config-line)#loginlocal網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第12頁。登錄空閑時(shí)間由于意外掉線或不良習(xí)慣，部分登錄連接長時(shí)間懸掛在設(shè)備上，造成安全隱患。如果懸空的登錄連接過多，會導(dǎo)致后續(xù)的登陸無法實(shí)施，影響對系統(tǒng)管理。要求設(shè)定登錄連接空閑時(shí)間限制，讓系統(tǒng)自動(dòng)檢查當(dāng)前連接是否長時(shí)間處于空閑狀態(tài)，若是則自動(dòng)將其拆除。Timeout具體取值應(yīng)視實(shí)際需要而定。建議設(shè)置為3分鐘左右。如果出于排障目的，需要長時(shí)間登錄設(shè)備檢查系統(tǒng)狀態(tài)，則需臨時(shí)延長或取消這項(xiàng)設(shè)置?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：超時(shí)沒有操作，自動(dòng)退出設(shè)備【具體配置】：！telnet配置Router(config)linevty04Router(config-line)#exec-time30！SSH配置Router(Config)#ipsshtimeout180登錄嘗試次數(shù)為了防止窮舉式密碼試探，要求設(shè)置登錄嘗試次數(shù)限制，建議次數(shù)為3次。當(dāng)系統(tǒng)收到一個(gè)連接請求，若提供的帳號或密碼連續(xù)不能通過驗(yàn)證的的次數(shù)超過網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第13頁。設(shè)定值，就自動(dòng)中斷該連接。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第13頁。【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：無【具體配置】：！配置SSH登陸嘗試次數(shù)為3次Router(Config)#ipsshanthentication-retries3并發(fā)登錄個(gè)數(shù)為了防止窮舉式密碼試探，要求設(shè)置并發(fā)登錄個(gè)數(shù)限制，建議次數(shù)為5次。該限制必須與上述的空閑時(shí)間限制一并使用，否則當(dāng)收到此類攻擊時(shí)，將導(dǎo)致無法遠(yuǎn)程登錄設(shè)備。【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：將不能同時(shí)有超過限制數(shù)量的用戶登陸維護(hù)【具體配置】：！12.1版本以上支持Router(Config-line)#session-limit5采用訪問列表嚴(yán)格控制訪問的地址只允許合法的網(wǎng)管網(wǎng)段或網(wǎng)管和維護(hù)主機(jī)地址作為源地址發(fā)起對設(shè)備的遠(yuǎn)程連接【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施該建議【影響】：只有網(wǎng)管網(wǎng)段才能登陸網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第14頁?！揪唧w配置】：網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第14頁。Router(Config)#access-list22permitXX.XX.XX.XX

Router(Config)#access-list22denyanyRouter(Config)#linevty04

Router(Config-line)#access-class22in帳號和密碼管理建議應(yīng)在日常維護(hù)過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳號。當(dāng)外方人員需要登錄設(shè)備時(shí)，應(yīng)創(chuàng)建臨時(shí)帳號，并指定合適的權(quán)限。臨時(shí)帳號使用完后應(yīng)及時(shí)刪除。登錄帳號及密碼的保管和更新應(yīng)由專人負(fù)責(zé)，并注意保密。帳號名字應(yīng)該與使用者存在對應(yīng)關(guān)系，如能反應(yīng)使用者的級別、從屬關(guān)系。為了提高安全性，在方便記憶的前提下，帳號名字應(yīng)盡量混用字符的大小寫、數(shù)字和符號，提高猜度的難度。同樣的，密碼必須至少使用四種可用字符類型中的三種：小寫字母、大寫字母、數(shù)字和符號，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包含8個(gè)字符。我們建議用密碼生成器軟件（如/download/skpp26.zip）來制造隨機(jī)密碼。Cisco設(shè)備支持AAA認(rèn)證，最好的口令處理方法是將這些口令保存在TACACS+或RADIUS認(rèn)證服務(wù)器上。為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。要求不要采用enablepassword設(shè)置密碼，而采用enablesecret命令設(shè)置，enablesecret命令用于設(shè)定具有管理員權(quán)限的口令，而enablepassword采用的加密算法比較弱。而要采用enablesecret命令設(shè)置。并且要啟用Servicepassword-encryption，這條命令用于對存儲在配置文件中的所有口令和類似網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第15頁。數(shù)據(jù)（如CHAP）進(jìn)行加密。避免當(dāng)配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文。網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第15頁?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施【影響】：無【具體配置】：Router(Config)#enablesecretxxxxxxxxRouter(Config)#Servicepassword-encryption帳號認(rèn)證和授權(quán)帳號的認(rèn)證和授權(quán)分為設(shè)備本身的認(rèn)證和授權(quán)和AAA服務(wù)器的認(rèn)證和授權(quán)兩個(gè)部分。本機(jī)認(rèn)證和授權(quán)初始模式下，設(shè)備內(nèi)一般建有沒有密碼的管理員帳號，該帳號只能用于Console連接，不能用于遠(yuǎn)程登錄。強(qiáng)烈建議用戶應(yīng)在初始化配置時(shí)為它們加添密碼。一般而言，設(shè)備允許用戶自行創(chuàng)建本機(jī)登錄帳號，并為其設(shè)定密碼和權(quán)限。同時(shí)，為了AAA服務(wù)器出現(xiàn)問題時(shí)，對設(shè)備的維護(hù)工作仍可正常進(jìn)行，建議保留必要的維護(hù)用戶。【適用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施【影響】：無【具體配置】：！配置本地用戶BluShin，密碼GoodPa55w0rd,權(quán)限為10Router(Config)#usernameBluShinprivilege10password網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第16頁。G00dPa55w0rd網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第16頁。Router(Config)#privilegeEXEClevel10telnetRouter(Config)#privilegeEXEClevel10showipaccess-listAAA認(rèn)證Cisco設(shè)備支持RADIUS或TACACS＋的AAA（認(rèn)證、授權(quán)、計(jì)費(fèi)）客戶端功能，通過AAA認(rèn)證可以方便實(shí)現(xiàn)對大量設(shè)備的登錄帳號和密碼的管理。建議采用集中認(rèn)證和授權(quán)模式。通過AAA服務(wù)器還可以彌補(bǔ)設(shè)備本身對執(zhí)行權(quán)限管理的不足。RADIUS認(rèn)證方式RADIUS的全稱為(RemoteAccessDail-InUserService),它是對遠(yuǎn)程撥號用戶訪問進(jìn)行認(rèn)證的一種協(xié)議。主要進(jìn)行AuthenticationAuthorizationAccounting(AAA)三方面的工作?！具m用網(wǎng)絡(luò)層次】：在所有層面設(shè)備實(shí)施【影響】：無【具體配置】：！enableAAA認(rèn)證Router(Config)#aaanew-mode！指明radiusserver在網(wǎng)上的地址Router(Config)#radius-serverhost！建立一個(gè)網(wǎng)上傳輸密碼網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第17頁。Router(Config)#radius-serverkey網(wǎng)絡(luò)設(shè)備安全配置規(guī)范全文共19頁，當(dāng)前為第17頁。！進(jìn)行l(wèi)ogin認(rèn)證，若radiusserver未響應(yīng)，則進(jìn)行本地?cái)?shù)據(jù)庫認(rèn)證Router(Config)#aaaauthenticationlogindefaultradiuslocal！對用戶的訪問進(jìn)行授權(quán)，本例允許用戶EXEC權(quán)限Router(Config)#aaaauthorexecdefaultradiuslocal！將RADIUS認(rèn)證應(yīng)用于VTYRout