第1章 概述
1.1 基线目标结合等级保护三级、ISO27001、PCI-DSS标准中关于主机系统安全的内容,提取出最通用,最核心,最适用的Cisco设备的安全控制项,解释说明这些加固项的用途、风险、操作步骤、回退方案以及检查方式,进而为整个Cisco设备提供一整套具有科学性,可操作性,可信任的安全规范。
根据此基线要求对新上线Cisco设备进行整改,减少了大部分主机系统安全弱点,具备一定程度的安全能力,为满足等级保护三级、ISO27001、PCI-DSS等安全标准对于主机系统安全的要求提供参考。
1.2 参考标准包括但不限于:
《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》
《GB/T 22080-2008/ISO/IEC27001:2005信息安全管理体系要求》
第2章 设备访问控制第1章 [url=]1.1.1启用本地认证
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)# line vty |
1.1.2 VTY登录限制访问IP
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)#line vty [hostname] (config-line)#ip access-class [name] in |
第2章 远程登录管理2.1.1安全远程管理方式访问设备
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)# ssh key rsa <1024-2048> [hostname] (config)# feature ssh [hostname] (config)# show ssh key [hostname] (config)# username User1 sshkey ssh-rsa [key] |
2.1.2配置超时
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname]#line vty [hostname] (config-line)#exec-timeout 5 |
第3章 账户管理3.1.1 检查无用账号和分配权限
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)# username admin password cisco role network-admin [hostname] (config)#username cisco password cisco role priv-15 |
第4章 密码管理4.1.1开启密码加密服务
| 名称 | |
| |
| 查看默认加密 [hostname]#show running-config |
第5章 日志服务5.1.1 log服务
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)# logging server 172.28.254.254 5 use-vrf default facility local3 |
5.1.2 设置日志的时间戳
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)#logging timestamp milliseconds |
第6章 时钟管理6.1.1 NTP服务
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)#feature ntp [hostname] (config)# ntp authentication-key 42 md5 aNiceKey [hostname] (config)# ntp server 10.1.1.1 key 42 [hostname] (config)# ntp trusted-key 42 [hostname] (config)# ntp authenticate |
第7章 网络服务管理7.1.1http服务
| 名称 | |
| |
| 查看 [hostname]#show running-config |
7.1.2CDP服务
| 名称 | |
| 根据实际情况,在安全域边界禁用CDP、在内部启用CDP(默认开启) |
| 查看 [hostname]#show running-config 示例 [hostname] #no cdp enable |
7.1.3DNS服务
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] #no ip domain-lookup |
7.1.4small tcp和udp服务
| 名称 | |
| 禁用small tcp and udp service(无) |
| 查看 [hostname]#show running-config |
7.1.5finger服务
| 名称 | |
| |
| 查看 [hostname]#show running-config |
7.1.6bootp服务
| 名称 | |
| |
| 查看 [hostname]#show running-config |
7.1.7关闭IP源路由协议
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] #no ip source-route |
7.1.8禁止arp-proxy
| 名称 | |
| ARP代理禁用(根据实际情况酌情考虑)在开启NAT转换设备上可开启ARP代理功能(无) |
| 查看 [hostname]#show running-config |
7.1.9关闭IP Directed Broadcast
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例接口下配置 [hostname] (config-if) #no ip directed-broadcast |
7.1.10 修改SNMP只读字串或可写字串
| 名称 | |
| |
| 查看 [hostname]#show running-config 示例 [hostname] (config)#snmp-server protocol enable [hostname] (config) #snmp-server community **** ro |
[/url]
