某公司的网络设备安全防护操作手册
一, Foundry 设备:
帐户、口令安全
1
、帐户权限分配;
2
、长度、复杂度设定;
3
、登陆超时;
4
、口令密文存储;
5
、修改
banner
信息。
1
、
BigIron(config)# enable super-user-password Abtry796
BigIron(config)# enable read-only-password Tch67954
BigIron(config)# enable port-config-password Brly^23
2
、
BigIron(config)# enable password-min-length 8
3
、
BigIron(config)# console timeout 20
4
、
BigIron(config)# service password-encryption
5
、
BigIron(config)# banner motd $
Enter TEXT message, End with the character '$'.
Welcome to TheCompIron 15000! please make sure you have access right$
网络服务
1
、关闭不安全的服务;如:
http
、
cdp
、
finger
、
dhcp
、
IGMP
、
bootp
等;
2
、关闭
SNMP
服务,若必须使用,应采用
SNMPv3
以上版本并启用身份验证、更改默认社区字串。
11
、
BigIron(config)# no web-management
BigIron(config)#no cdp run
2、
BigIron(config)# snmp disable
网络访问控制
1
、对管理
foundry
设备的网段通过访问控制列表进行限制;
2
、采用
SSH
方式登陆,禁用
Telnet
;
1
、
BigIron(config)# a access-list <num> deny |permit <source-ip> | <hostname> <wildcard> [log]
2
、
Telnet
:
BigIron(config)# no enable telnet authentication
SSH
:
BigIron(config)# ip ssh password-authentication yes
BigIron(config)# ip ssh timeout 60
BigIron(config)#ip ssh authentication-retries 5
防止arp欺骗、ddos攻击
1
、防
ARP
攻击(如:
IP
绑定
mac
、关闭
ARP
代理等方式);
2
、防止
ddos
攻击。
3
、开启
Sflow
1、
BigIron(config)# no ip proxy-arp
2
、
3
、
BigIron(config)# Sflow enable
BigIron(config)# Sflow sample 2048
BigIron(config)# Sflow polling-interval 30
日志审计
1、日志审计策略配置。
1
、
BigIron(config)# logging on
BigIron(config)# logging console
二 cisco 设备加固操作
帐户、口令安全
1
、
Console
端口
2
、
Aux
端口
3
、
Vty
端口;
4
、口令密文存储;
5
、修改
banner
信息。
1
、
Router(Config-line)#Transport input none
Router(Config-line)#Login local 只允许本地登录
Router(Config-line)#Exec-timeoute 5 0 设置超时
Router(Config-line)#access-class X in
Router(Config-line)#end
Router(Config-line)#Transport input none
Router(Config-line)#Login local 只允许本地登录
Router(Config-line)#Exec-timeoute 5 0 设置超时
Router(Config-line)#access-class X in
Router(Config-line)#end
2
、
Router(Config-line)#exec-timeout 5 0
Router(Config-line)#login local
Router(Config-line)#transport input none
3
、
Router(Config-line)transport input none
或者是
ssh password ********(
如果未设置时则终端提示该设置是必须的
)
Router(Config-line)exec-timeout 5 0
Router(Config-line)#access-class X in
Router(Config)#end
4
、
Router
(
config
)
#service password-encryption
Router ( config ) #enable secret
Router ( config ) #enable secret
5
、
Router(config)#banner motd
Router(config)#banner exec
Router(config)#banner login
网络服务
1
、关闭不安全的服务;如:
http
、
cdp
、
finger
、
bootp
等;
2
、关闭
SNMP
服务,若必须使用,应采用
SNMPv3
以上版本并启用身份验证、更改默认社区串。
1
、
Router(Config)# no service tcp-small-servers
Router(Config)# no ip finger
Router(Config)# no service finger
Router(Config)# no ip http server
Router(Config)# no ip bootp server
2
、
Router(config)#no snmp-server community public string
Router(config)#access-list 20 permit x.x.x.x. x.x.x.x.
Router(config)#snmp-server group newpassword v3 noauth read sysonly
Router(config)#snmp-server user common user public User v3
Router(config)#snmp-server view sysonly system included
Router(config)#snmp-server group administrator v3 auth read adminview write adminview
Router(config)#snmp-server user Router administrator v3 auth md5 “secret” access 20
Router(config)#snmp-server view adminview internet included
Router(config)#snmp-server view adminview ip.ipAddrTable excl
Router(config)#snmp-server view adminview ip.ipRouteTable excl
网络访问控制
1
、通过访问控制列表进行限制;
2
、采用
SSH
方式登陆,禁用
Telnet
;
具体的ACL略去
Telnet
:访问控制列表限制
Router(config)#
line vty 0 4
Router(config)# transport input ssh
Router(config)# transport input ssh
Router(config)#ip ssh time-out 120
Router(config)#ip ssh authentication-retries 5
防止arp欺骗、ddos攻击
1
、防
ARP
攻击(如:
IP
绑定
mac
、关闭
ARP
代理等方式);
2
、防止
ddos
攻击。
1
、
Router(Config)# no ip proxy-arp
Router(Config -if)
#
no ip proxy-arp
Router(Config)#no ip directed-broadcast
基于端口的
mac
绑定
Switch(config)# Interface fastethernet 0/1
Switch(config-if)#Switchport port-secruity
Switch(config-if )switchport port-security mac-address MAC
基于
mac
地址的扩展访问控制列表
Switch(config)Mac access-list extended MAC1
Switch(config)permit host 0009.6bc4.d4bf any
Switch(config)permit any host 0009.6bc4.d4bf
Switch(config-if )interface Fa0/20
Switch(config-if )mac access-group MAC 10 in
基于
IP
和
mac
绑定
Switch(config)Mac access-list extended MAC10
Switch(config)permit host 00a9.6bc4.d4bf any
Switch(config)permit any host 0009.6bc4.d4bf
Switch(config)Ip access-list extended IP10
Switch(config)Permit 192.168.0.1 0.0.0 .0 any
Switch(config)Permit any 192.168.0.1 0.0.0 .0
Switch(config-if )interface Fa0/20
Switch(config-if )mac access-group MAC 10 in
Switch(config-if )Ip access-group IP 10 in
2
、