3.3防止地址欺骗
操作方式:
如过滤非公有地址访问内部网络。过滤自己内部网络地址;回环地址(127.0.0.0/8);RFC1918私有地址;DHCP自定义地址 (169.254.0.0/16);不用的组播地址(224.0.0.0/4);全网络地址(0.0.0.0/8)。 Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any Router(Config)# access-list 100 permit ip any any Router(config)#interface g0/0 Router(Config-if)# ip access-group 100 in 建议采用访问列表控制流出内部网络的地址必须是属于内部网络的。(可选)如: Router(Config)# no access-list 101 Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
04
设备其他安全要求
4.1禁止CDP(Cisco Discovery Protocol)
由于CDP服务可能被攻击者利用获得路由器的版本等信息,从而进行攻击,所以如果没有必要使用CDP服务,则应关闭CDP服务。
操作方式:
全局CDP的关闭 Router(Config)#no cdp run 特定端口CDP的关闭 Router(Config)#interface g0/0 Router(Config-if)# no cdp enable 【影响】:无法发现网络邻居的详细信息,造成维护不便。
4.2禁止TCP、UDP Small服务
Cisco路由器提供一些基于TCP和UDP协议的小服务如:echo、chargen和discard。这些小服务很少被使用,而且容易被攻击者利用来越过包过滤机制。要求关闭这些服务。
操作方式:
Router(Config)# no service tcp-small-serversRouter(Config)# no service udp-samll-servers
4.3禁止Finger、NTP服务
Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是十分危险的,但是如果没有一个很好的认证,则会影响路由器正确时间,导致日志和其他任务出错。要求关闭这些服务。
操作方式:
Router(config)#no ip finger Router(config)#no service finger Router(config)#no ntp
4.4禁止IP Source Routing
禁用源路由,防止路由信息泄露
操作方式:
Router(Config)# no ip source-route
4.5禁止IP Classless
禁止无类路由
操作方式:
Router(Config)# no ip classless
4.6WINS和DNS服务加固
如果没必要通过网络进行名字查询则禁止WINS和DNS服务
操作方式:
Router(Config)# no ip domain-lookup
二、Huawei网络设备安全基线规范
01
账号管理
1.1.无效帐户清理
删除与设备运行、维护等工作无关的账号
操作方式:
[Huawei]aaa [Huawei-aaa]undo local-user test
1.2认证和授权设置
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
操作方式:
#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。 #认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。 # 配置RADIUS服务器模板。 [Router] radius-server template shiva # 配置RADIUS认证服务器IP地址和端口。 Router-radius-shiva]radius-server authentication 129.7.66.66 1812 # 配置RADIUS服务器密钥、重传次数。 [Router-radius-shiva] radius-server shared-key cipher shiran.com [Router-radius-shiva] radius-server retransmit 2 [Router-radius-shiva] quit # 进入AAA视图。 [Router] aaa # 配置认证方案shiran,认证方法为先RADIUS,如果没有响应,则不认证。 [Router–aaa] authentication-scheme shiran [Router-aaa-authen-r-n] authentication-mode radius local [Router-aaa-authen-r-n] quit # 配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。 [Router-aaa] domain default [Router-aaa-domain-default] authentication-scheme shiran [Router-aaa-domain-default]radius-server shiva
02
日志配置
2.1开启日志功能
支持数据日志,可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。
操作方式:
[Huawei]info-center enable ;默认已启动 [Huawei]info-center console channel 0;向控制台输出日志 [Huawei]info-center logbuffer ;向路由器内部缓冲器输出日志 [Huawei]info-center loghost 192.168.0.254;向日志主机输出日志 [Huawei]info-center monitor channel monitor ; 向telnet终端或哑终端输出日志
03
通信协议
3.1限定特定主机访问
路由器以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置路由器,只允许特定主机访问。
操作方式:
acl number 1 rule 1 deny ip 127.0.0.0 0.255.255.255 any log … int f1/1 firewall packet-filter 3001 inbound(outbound)
3.2过滤高危端口
过滤已知攻击:在网络边界,设置安全访问控制,过滤掉已知安全攻击数据包,例如udp 1434端口(防止SQL slammer蠕虫)、tcp445,5800,5900(防止Della蠕虫)。
操作方式:
全局模式下是否启用如下命令: acl number 3001 rule 1 deny tcp destination-port eq 135 rule 2 deny udp destination-port eq 135 rule 5 deny tcp destination-port eq 139 rule 7 deny tcp destination-port eq 445 rule 8 deny udp destination-port eq 445 rule 9 deny tcp destination-port eq 539 rule 10 deny udp destination-port eq 539 rule 11 deny udp destination-port eq 593 rule 12 deny tcp destination-port eq 593 rule 13 deny udp destination-port eq 1434 rule 14 deny tcp destination-port eq 4444 rule 15 deny tcp destination-port eq 9996 rule 16 deny tcp destination-port eq 5554 rule 17 deny udp destination-port eq 9996 [Quidway-接口] firewall packet-filter 3001 inbound(outbound)
04
其他设备安全要求
4.1禁用端口
禁止未使用或空闲的端口
操作方式:
不用端口模式下是否启用如下命令: # shutdown(不用端口)
4.2启用源地址检查
启用源地址路由检查(二层不适用)
操作方式:
不用端口模式下是否启用如下命令: # urpf enable
