文档介绍：该【中国移动思科路由器安全配置规范 】是由【知识徜徉土豆】上传分享，文档一共【39】页，该文档可以免费在线阅读，需要了解更多关于【中国移动思科路由器安全配置规范 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。XXXX-XX-XX实行
XXXX-XX-XX发布
中国移动公司--思科路由器
安全配置规范
Specification for Cisco Router Configuration Used in China Mobile
版本号：
中国移动通信有限公司网络部
目录
1 范围 1
2 规范性引用文献 1
内部引用 1
外部引用 2
3 术语、定义和缩略语 2
4 思科路由器设备安全配置规定 3
直接引用《通用规范》的配置规定 3
账号管理、认证授权 11
账户 11
口令 12
授权 13
认证 13
日记安全规定 14
IP协议安全规定 17
基本协议安全 17
路由协议安全 23
SNMP协议安全 26
MPLS安全 28
其他安全规定 29
5 编制历史 33
前言
为了贯彻安全三同步的规定，在设备选型、入网测试、工程验收以及运营维护等环节，明确并贯彻安全功能和配置规定。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验罢手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置规定，并作为本系列其他规范的编制基础。
本标准起草单位：中国移动通信有限公司网络部、中国移动集团上海公司。
本标准解释单位：同提出单位。
本标准重要起草人：刘金根、程晓鸣、陈敏时、周智、曹一生。

范围
本规范合用于中国移动通信网、业务系统和支撑系统的思科路由器。本规范明确了思科路由器安全配置方面的基本规定。
规范性引用文献
内部引用
本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置规定的基础上，提出的思科路由器安全配置规定。以下分项列出本规范对《通用规范》设备配置规定的修订情况：
设备通用安全配置规定编号
采纳意见
备注
安全规定-设备-通用-配置-1
增强规定
安全规定-设备-思科路由器-配置-1
安全规定-设备-通用-配置-2
增强功能
安全规定-设备-思科路由器-配置-2
安全规定-设备-通用-配置-3-可选
完全采纳
安全规定-设备-通用-配置-4
完全采纳
安全规定-设备-通用-配置-5
不采纳
设备不支持
安全规定-设备-通用-配置-6-可选
不采纳
设备不支持
安全规定-设备-通用-配置-7-可选
不采纳
设备不支持
安全规定-设备-通用-配置-9
完全采纳
安全规定-设备-通用-配置-12
不采纳
设备不支持
安全规定-设备-通用-配置-13-可选
不采纳
设备不支持
安全规定-设备-通用-配置-24-可选
增强规定
安全规定-设备-思科路由器-配置-7-可选
安全规定-设备-通用-配置-14-可选
完全采纳
安全规定-设备-通用-配置-16-可选
完全采纳
安全规定-设备-通用-配置-17-可选
完全采纳
安全规定-设备-通用-配置-19
增强规定
安全规定-设备-思科路由器-配置-22
安全规定-设备-通用-配置-20-可选
不采纳
设备不支持
安全规定-设备-通用-配置-27
增强规定
安全规定-设备-思科路由器-配置-23
安全规定-设备-通用-配置-28
不采纳
设备不支持
安全规定-设备-通用-配置-29-可选
不采纳
设备不支持
本规范新增的安全配置规定，如下：
安全规定-设备-思科路由器-配置-3
安全规定-设备-思科路由器-配置-4-可选
安全规定-设备-思科路由器-配置-5-可选
安全规定-设备-思科路由器-配置-6-可选
安全规定-设备-思科路由器-配置-8-可选
安全规定-设备-思科路由器-配置-9
安全规定-设备-思科路由器-配置-10-可选
安全规定-设备-思科路由器-配置-11
安全规定-设备-思科路由器-配置-12-可选
安全规定-设备-思科路由器-配置-13
安全规定-设备-思科路由器-配置-14-可选
安全规定-设备-思科路由器-配置-15
安全规定-设备-思科路由器-配置-16
安全规定-设备-思科路由器-配置-17
安全规定-设备-思科路由器-配置-18-可选
安全规定-设备-思科路由器-配置-19
安全规定-设备-思科路由器-配置-20
安全规定-设备-思科路由器-配置-21-可选
安全规定-设备-思科路由器-配置-24
本规范还针对直接引用《通用规范》的配置规定，给出了在思科路由器上的具体配置方法和检测方法。
外部引用
《中国移动通用安全功能和配置规范》
术语、定义和缩略语
BGP Route flap damping：由RFC2439定义，当BGP接口翻转后，其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。
缩写
英文描述
中文描述
思科路由器设备安全配置规定
直接引用《通用规范》的配置规定
规定编号
安全规定-设备-通用-配置-3-可选
合用版本
Cisco IOS Release
规定内容
限制具有管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。
操作指南
参考配置操作
Router# config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# service password-encryption
Router(config)# username normaluser password 3d-zirc0nia
Router(config)# username normaluser privilege 1
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# exec-timeout 5 0
Router(config-line)# end
补充操作说明
设定账号密码加密保存
创建normaluser账号并指定权限级别为1；
设定远程登录启用路由器账号验证；
设定超时时间为5分钟；
检测方法
鉴定条件
VTY使用用户名和密码的方式进行连接验证
2、账号权限级别较低，例如：I
检测操作
使用show running-config命令，如下例：
router#show running-config
Building configuration...
Current configuration:
!
service password-encryption
username normaluser password 3d-zirc0nia
username normaluser privilege 1
line vty 0 4
login local
补充说明
会导致远程袭击者通过黑客工具猜解账号口令
规定编号
安全规定-设备-通用-配置-4
合用版本
规定内容
对于采用静态口令认证技术的设备，口令长度至少6位，并涉及数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
参考配置操作
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#aaa new-model
Router(config)#aaa authentication login default group tacacs+
Router(config)#aaa authentication enable default group tacacs+
Router(config)#tacacs-server host
Router(config)#tacacs-server key ******@1yh8n#******@swD
Router(config)#end
Router#
补充操作说明
与外部TACACS+ server 联动，远程登录使用TACACS+ serverya验证；口令强度由TACACS+ server控制
检测方法
鉴定条件
此项无法通过配置实现，建议通过管理实现
检测操作
此项无法通过配置实现，建议通过管理实现
补充说明
规定编号
安全规定-设备-通用-配置-9
合用版本
Cisco IOS Release
规定内容
在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。
操作指南
参考配置操作
Router# config t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# service password-encryption
Router(config)# username normaluser password 3d-zirc0nia
Router(config)# username normaluser privilege 1
Router(config)# privilege exec level 15 connect
Router(config)# privilege exec level 15 telnet
Router(config)# privilege exec level 15 rlogin
Router(config)# privilege exec level 15 show ip access-lists
Router(config)# privilege exec level 15 show access-lists
Router(config)# privilege exec level 15 show logging
Router(config)# ! if SSH is supported..
Router(config)# privilege exec level 15 ssh
Router(config)# privilege exec level 1 show ip
补充操作说明
基本思想是创建账号并赋予不同的权限级别，并将各命令绑定在不同的权限级别上；上例操作过程如下：
设定账号密码加密保存
创建normaluser账号并指定权限级别为1；
将connect、telnet、rlogin、show ip access-lists、show access-lists、show logging、ssh指定仅当账号权限级别为15时才可使用；
将show ip指定为仅当账号权限级别大于1时才可使用；
检测方法
鉴定条件
用户名绑定权限级别
操作命令划分权限级别
检测操作
使用show running-config命令，如下例：
router#show running-config
Building configuration...
Current configuration:
!
username normaluser password 3d-zirc0nia
username normaluser privilege 1
privilege exec level 15 connect
privilege exec level 15 telnet
privilege exec level 15 rlogin
privilege exec level 15 show ip access-lists
privilege exec level 15 show access-lists
privilege exec level 15 show logging
privilege exec level 15 ssh
privilege exec level 1 show ip
补充说明
“权限最小”原则
规定编号
安全规定-设备-通用-配置-14-可选
合用版本
Cisco IOS Release
规定内容
设备应支持远程日记功能。所有设备日记均能通过远程日记功能传输到日记服务器。设备应支持至少一种通用的远程标准日记接口，如SYSLOG、FTP等。