午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、科技公司網絡安全設備配置規范編 制： 審 核： 批 準： 版 本 號: ESZAQDGF001 編 制： 審 核： 批 準： 版 本 號: 網絡安全設備配置規范1 防火墻1.1 防火墻配置規范1. 要求管理員分級，包括超級管理員、安全管理員、日志管理員等，并定義相應的職責，維護相應的文檔和記錄。2. 防火墻管理人員應定期接受培訓。3. 對防火墻管理的限制，包括，關閉telnet、http、ping、snmp等，以及使用SSH而不是telnet遠程管理防火墻。4. 賬號管理是否安全，設置了哪些口令和帳戶策略，員工辭職，如何進行口令變更？ 1.2 變化控制1. 防火墻配置文件是否備份？如何進行配置2、同步？2. 改變防火墻缺省配置。3. 是否有適當的防火墻維護控制程序？4. 加固防火墻操作系統，并使用防火墻軟件的最新穩定版本或補丁，確保補丁的來源可靠。5. 是否對防火墻進行脆弱性評估/測試？（隨機和定期測試）1.3 規則檢查1. 防火墻訪問控制規則集是否和防火墻策略一致？應該確保訪問控制規則集依從防火墻策略，如嚴格禁止某些服務、嚴格開放某些服務、缺省時禁止所有服務等，以滿足用戶安全需求，實現安全目標。2. 防火墻訪問控制規則是否有次序性？是否將常用的訪問控制規則放在前面以增加防火墻的性能？評估防火墻規則次序的有效性。防火墻訪問控制規則集的一般次序為： 反電子欺騙的過濾（如，阻斷私有地址、從3、外口出現的內部地址） 用戶允許規則（如，允許HTTP到公網Web服務器） 管理允許規則 拒絕并報警（如，向管理員報警可疑通信） 拒絕并記錄（如，記錄用于分析的其它通信）防火墻是在第一次匹配的基礎上運行，因此，按照上述的次序配置防火墻，對于確保排除可疑通信是很重要的。3. 防火墻訪問控制規則中是否有保護防火墻自身安全的規則4. 防火墻是否配置成能抵抗DoS/DDoS攻擊？5. 防火墻是否阻斷下述欺騙、私有（RFC1918）和非法的地址 標準的不可路由地址（255.255.255.255、127.0.0.0） 私有（RFC1918）地址（.0 10.255.255.255、172.16.0.0 14、72.31.255.255、192.168.0.0 192.168.255.255） 保留地址（224.0.0.0） 非法地址（.0）6. 是否確保外出的過濾？確保有僅允許源IP是內部網的通信通過而源IP不是內部網的通信被丟棄的規則，并確保任何源IP不是內部網的通信被記錄。7. 是否執行NAT，配置是否適當？任何和外網有信息交流的機器都必須經過地址轉換（NAT）才允許訪問外網，同樣外網的機器要訪問內部機器，也只能是其經過NAT后的IP，以保證系統的內部地址、配置和有關的設計信息如拓撲結構等不能泄露到不可信的外網中去。8. 在適當的地方，防火墻是否有下面的控制？如，URL過濾、端口阻斷、防IP欺5、騙、過濾進入的Java或ActiveX、防病毒等。9. 防火墻是否支持“拒絕所有服務，除非明確允許”的策略？1.4 審計監控1. 具有特權訪問防火墻的人員的活動是否鑒別、監控和檢查？對防火墻的管理人員的活動，防火墻應該有記錄，并要求記錄不能修改，以明確責任，同時能檢查對防火墻的變化。2. 通過防火墻的通信活動是否日志？在適當的地方，是否有監控和響應任何不適當的活動的程序？確保防火墻能夠日志，并標識、配置日志主機，確保日志安全傳輸。管理員通過檢查日志來識別可能顯示攻擊的任何潛在模式，使用審計日志可以監控破壞安全策略的進入服務、外出服務和嘗試訪問。3. 是否精確設置并維護防火墻時間？ 配置防火墻使6、得在日志記錄中包括時間信息。精確設置防火墻的時間，使得管理員追蹤網絡攻擊更準確。4. 是否按照策略檢查、回顧及定期存檔日志，并存儲在安全介質上？確保對防火墻日志進行定期存儲并檢查，產生防火墻報告，為管理人員提供必需的信息以幫助分析防火墻的活動，并為管理部門提供防火墻效率情況。1.5 應急響應1. 重大事件或活動是否設置報警？是否有對可以攻擊的響應程序？如適當設置入侵檢測功能，或者配合使用IDS（入侵檢測系統），以防止某些類型的攻擊或預防未知的攻擊。2. 是否有災難恢復計劃？恢復是否測試過？評估備份和恢復程序（包括持續性）的適當性，考慮：對重要防火墻的熱備份、備份多長時間做一次、執行備份是否加密7、最近成功備份測試的結果等。2 交換機2.1 交換機配置文件是否離線保存、注釋、保密、有限訪問，并保持與運行配置同步2.2 是否在交換機上運行最新的穩定的IOS版本2.3 是否定期檢查交換機的安全性？特別在改變重要配置之后。2.4 是否限制交換機的物理訪問？僅允許授權人員才可以訪問交換機。2.5 VLAN 1中不允許引入用戶數據，只能用于交換機內部通訊。2.6 考慮使用PVLANs，隔離一個VLAN中的主機。2.7 考慮設置交換機的Security Banner，陳述“未授權的訪問是被禁止的”。2.8 是否關閉交換機上不必要的服務？包括：TCP和UDP小服務、CDP、finger等。2.9 必8、需的服務打開，是否安全地配置這些服務？。2.10 保護管理接口的安全2.11 shutdown所有不用的端口。并將所有未用端口設置為第3層連接的vlan。2.12 加強con、aux、vty等端口的安全。2.13 將密碼加密，并使用用戶的方式登陸。2.14 使用SSH代替Telnet，并設置強壯口令。無法避免Telnet時，是否為Telnet的使用設置了一些限制？2.15 采用帶外方式管理交換機。如果帶外管理不可行，那么應該為帶內管理指定一個獨立的VLAN號。2.16 設置會話超時，并配置特權等級。2.17 使HTTP server失效，即，不使用Web瀏覽器配置和管理交換機。2.18 如果使9、用SNMP，建議使用SNMPv2，并使用強壯的SNMP community strings。或者不使用時，使SNMP失效。2.19 實現端口安全以限定基于MAC地址的訪問。使端口的auto-trunking失效。2.20 使用交換機的端口映像功能用于IDS的接入。2.21 使不用的交換機端口失效，并在不使用時為它們分配一個VLAN號。2.22 為TRUNK端口分配一個沒有被任何其他端口使用的native VLAN號。2.23 限制VLAN能夠通過TRUNK傳輸，除了那些確實是必需的。2.24 使用靜態VLAN配置。2.25 如果可能，使VTP失效。否則，為VTP設置：管理域、口令和prunin10、g。然后設置VTP為透明模式。2.26 在適當的地方使用訪問控制列表。2.27 打開logging功能，并發送日志到專用的安全的日志主機。2.28 配置logging使得包括準確的時間信息，使用NTP和時間戳。2.29 依照安全策略的要求對日志進行檢查以發現可能的事件并進行存檔。2.30 為本地的和遠程的訪問交換機使用AAA特性。3 路由器1. 是否有路由器的安全策略？ 明確各區域的安全策略l 物理安全設計誰有權安裝、拆除、移動路由器。設計誰有權維護和更改物理配置。設計誰有權物理連接路由器設計誰有權物理在Console端口連接路由器設計誰有權恢復物理損壞并保留證據l 靜態配置安全設計誰有權在C11、onsole端口登錄路由器。設計誰有權管理路由器。設計誰有權更改路由器配置設計口令權限并管理口令更新設計允許進出網絡的協議、IP地址設計日志系統限制SNMP的管理權限定義管理協議（NTP, TACACS+, RADIUS, and SNMP）與更新時限定義加密密鑰使用時限l 動態配置安全識別動態服務，并對使用動態服務作一定的限制識別路由器協議，并設置安全功能設計自動更新系統時間的機制（NTP）如有VPN，設計使用的密鑰協商和加密算法l 網絡安全列出允許和過濾的協議、服務、端口、對每個端口或連接的權限。l 危害響應列出危害響應中個人或組織的注意事項定義系統被入侵后的響應過程收集可捕獲的和其遺留的12、信息l 沒有明確允許的服務和協議就拒絕2. 路由器的安全策略的修改l 內網和外網之間增加新的連接。l 管理、程序、和職員的重大變動。l 網絡安全策略的重大變動。l 增強了新的功能和組件。（VPN or firewall)l 察覺受到入侵或特殊的危害。3. 定期維護安全策略訪問安全1. 保證路由器的物理安全2. 嚴格控制可以訪問路由器的管理員3. 口令配置是否安全 Example :Enable secret 5 3424er2w4. 使路由器的接口更安全5. 使路由器的控制臺、輔助線路和虛擬終端更安全控制臺 # config tEnter configuration commands, one13、 per line. End with CNTL/Z. (config)# line con 0 (config-line)# transport input none (config-line)# login local (config-line)# exec-timeout 5 0 (config-line)# exit (config)#設置一個用戶 (config)# username brian privilege 1 password g00d+pa55w0rd (config)# end #關閉輔助線路 # config tEnter configuration commands14、, one per line. End with CNTL/Z. (config)# line aux 0 (config-line)# transport input none (config-line)# login local (config-line)# exec-timeout 0 1 (config-line)# no exec (config-line)# exit關閉虛擬終端 # config tEnter configuration commands, one per line. End with CNTL/Z. (config)# no access-list 90 (co15、nfig)# access-list 90 deny any log (config)# line vty 0 4 (config-line)# access-class 90 in (config-line)# transport input none (config-line)# login local (config-line)# exec-timeout 0 1 (config-line)# no exec (config-line)# end #訪問列表1. 實現訪問列表及過濾l 拒絕從內網發出的源地址不是內部網絡合法地址的信息流。 (config)# no access-list 16、102 (config)# access-list 102 permit ip 14.2.6.0 0.0.0.255 any (config)# access-list 102 deny ip any any log (config)# interface eth 0/1 (config-if)# description internal interface (config-if)# ip address (config-if)# ip access-group 102 inl 拒絕從外網發出的源地址是內部網絡地址的信息流l 拒絕所有從外網發出的源地址是保留地址、非法地址、廣播地址的信息流 I17、nbound Traffic (config)# no access-list 100 (config)# access-list 100 deny i.0 0.0.0.255 any log (config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any log (config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any log (config)# access-list 100 deny i.0 0.255.255.255 any log (config)# acces18、s-list 100 deny ip 172.16.0.0 0.15.255.255 any log (config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any log (config)# access-list 100 deny ip 192.0.2.0 .255 any log (config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any log (config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 a19、ny log (config)# access-list 100 deny ip host 255.255.255.255 any log (config)# access-list 100 permit ip any (config)# interface eth0/0 (config-if)# description external interface (config-if)# ip address (config-if)# ip access-group 100 in (config-if)# exit (config)# interface eth0/1 (config-if)# d20、escription internal interface (config-if)# ip address (config-if)# end 入路由器外部接口阻塞下列請求進入內網的端口。1 (TCP & UDP) tcpmux7 (TCP & UDP) echo9 (TCP & UDP) discard11 (TCP) systat13 (TCP & UDP) daytime15 (TCP) netstat19 (TCP & UDP) chargen37 (TCP & UDP) time43 (TCP) whois67 (UDP) bootp69 (UDP) tftp93 (TCP) supd21、up111 (TCP & UDP) sunrpc135 (TCP & UDP) loc-srv137 (TCP & UDP) netbios-ns138 (TCP & UDP) netbios-dgm139 (TCP & UDP) netbios-ssn177 (UDP) xdmcp445 (TCP) netbios (ds)512 (TCP) rexec515 (TCP) lpr517 (UDP) talk518 (UDP) ntalk540 (TCP) uucp1900, 5000 (TCP & UDP) Microsoft UPnP SSDP2049 (UDP) nfs6000 - 6022、63 (TCP) X Window System6667 (TCP) irc12345 (TCP) NetBus12346 (TCP) NetBus31337 (TCP & UDP) Back Orifice161 (TCP & UDP) snmp162 (TCP & UDP) snmp trap513 (TCP) rlogin513 (UDP) who514 (TCP) rsh, rcp, rdist, rdump514 (UDP) syslog2. 關閉路由器上不必要的服務（可運行show proc 命令顯示） Cisco Discovery Protocol Tcp small serv23、ers UDP small servers Finger http server bootp server configuration auto loading ip source routing proxy ARP IP directed broadcast IP unreachable notification IP remark reply IP redirects NTP service Simple Network mgmt protocol Domain Name service3. 是否過濾通過路由器的通信？1) 是否設置IP 地址欺騙保護？2) 是否設置漏洞保護（Exploit24、s Protection）？TCP SYN 功擊設置在ROUTER的外網口，只允許從內部建立TCP連接 (config)# access-list 106 permit tcp any .0 0.0.0.255 established (config)# access-list 106 deny ip any any log (config)# interface eth 0/0 (config-if)# description external interface (config-if)# ip access-group 106 in只允許到達可達用戶 (config)# access-li25、st 100 deny ip host .20 host 14.1.1.20 log (config)# access-list 100 permit ip any any (config)# interface eth0/0 (config-if)# description External interface to .0/16 (config-if)# ip address (config-if)# ip access-group 100 in (config-if)# exit Smurf Attack 不允許向內部網絡發送IP廣播包 (config)# access-list 110 26、deny ip any host .255 log (config)# access-list 110 deny ip any host .0 log (config)# interface interface eth0/0 (config-if)# ip access-group 110 in (config-if)# exit ICMP和TRACEROUTE功能的設置禁止PING內網(config)# access-list 100 deny icmp any any echo log(config)# access-list 100 deny icmp any any redirect 27、log(config)# access-list 100 deny icmp any any mask-request log(config)# access-list 100 permit icmp any (config)# access-list 100 deny udp any any range 33400 34400 log允許PING外網(config)# access-list 102 permit icmp any any echo(config)# access-list 102 permit icmp any any parameter-problem(config)# 28、access-list 102 permit icmp any any packet-too-big(config)# access-list 102 permit icmp any any source-quench(config)# access-list 102 deny icmp any any log(config)# access-list 102 permit udp any any range 33400 34400 log Distributed Denial of Service (DDoS) Attacksaccess-list 170 deny tcp any any 29、eq 27665 logaccess-list 170 deny udp any any eq 31335 logaccess-list 170 deny udp any any eq 27444 log! the Stacheldraht DDoS systemaccess-list 170 deny tcp any any eq 16660 logaccess-list 170 deny tcp any any eq 65000 log! the TrinityV3 systemaccess-list 170 deny tcp any any eq 33270 logaccess-list30、 170 deny tcp any any eq 39168 log! the Subseven DDoS system and some variantsaccess-list 170 deny tcp any any range 6711 6712 logaccess-list 170 deny tcp any any eq 6776 logaccess-list 170 deny tcp any any eq 6669 logaccess-list 170 deny tcp any any eq 2222 logaccess-list 170 deny tcp any any eq 7031、00 log4. 是否過濾訪問路由器自身的通信？路由協議安全Routed Protocols TCP/IP協議 、RIP、OSPF、IGRP、EIGRP、BGPRoute Tables and Routing Protocols 1. Direct connection: 2. Static routing. 3. Dynamic routing. 4. Default routing. 建議：1.小型網絡應用靜態路由# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# ip route 32、.0 255.255.255.0 14.1.1.20 120(config)# end#2.使用動態路由設置帶權限的路由信息更新。Router Neighbor Authentication OSPF Authentication# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# router ospf 1(config-router)# network .0 0.0.255.255 area 0(config-router)# area 0 authentication message33、-digest(config-router)# exit(config)# int eth0/1(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all(config-if)# end# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# router ospf 1(config-router)# area 0 authentication message-digest(config-router)# network .0 0.0.34、255.255 area 0(config-router)# network .0 0.0.0.255 area 0(config-router)# exit(config)# int eth0(config-if)# ip ospf message-digest-key 1 md5 r0utes-4-all(config-if)# end RIP Authentication RIP 2 支持此功能# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# key chain -KC(conf35、ig-keychain)# key 1(config-keychain-key)# key-string my-supersecret-key(config-keychain-key)# exit(config-keychain)# key 2(config-keychain-key)# key-string my-othersecret-key(config-keychain-key)# end# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# key chain -KC(config36、-keychain)# key 1(config-keychain-key)# key-string my-supersecret-key(config-keychain-key)# exit(config-keychain)# key 2(config-keychain-key)# key-string my-othersecret-key(config-keychain-key)# end# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# int ethernet0/1(config37、-if)# ip rip authentication key-chain -KC(config-if)# ip rip authentication mode md5(config-if)# end# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# int ethernet0/0(config-if)# ip rip authentication key-chain -KC(config-if)# ip rip authentication mode md5(config-if)# e38、nd#EIGRP Authentication# config tEnter configuration commands, one per line.End with CNTL/Z.(config)# router eigrp 100(config-router)# network (config-router)# exit(config)# interface eth 0/1(config-if)# ip authentication mode eigrp 100 md5(config-if)# ip authentication key-chain eigrp 100 -KC(confi39、g-if)# exit(config)# key chain -KC(config-keychain)# key 1(config-keychain-key)# key-string secret-key(config-keychain-key)# send-lifetime 00:00:00 Oct 1 200200:00:00 Jan 1 2003(config-keychain-key)# accept-lifetime 00:00:00 Oct 1 200200:00:00 Jan 7 2003(config-keychain-key)# end# config tEnter conf40、iguration commands, one per line. End with CNTL/Z.(config)# router eigrp 100(config-router)# network (config-router)# network (config-router)# passive-interface eth1(config-router)# exit(config)# interface eth 0(config-if)# ip authentication mode eigrp 100 md5(config-if)# ip authentication key-chain41、 eigrp 100 -KC(config-if)# exit(config)# key chain -KC(config-keychain)# key 1(config-keychain-key)# key-string secret-key(config-keychain-key)# send-lifetime 00:00:00 Oct 1 200200:00:00 Jan 1 2003(config-keychain-key)# accept-lifetime 00:00:00 Oct 1 200200:00:00 Jan 7 2003(config-keychain-key)# end42、#關閉ARP PROXY功能 # config tEnter configuration commands, one per line. End with CNTL/Z.(config)# interface ethernet0/0(config-if)# no ip proxy-arp(config-if)# exit(config)# interface ethernet0/1(config-if)# no ip proxy-arp(config-if)# endDisabling unneeded routing-related servicesPassive Interfaces(被動43、態接口) Router1# show configinterface ethernet0description Active routing interface for .0 netip address !interface ethernet1description Active routing interface for .0 netip address !interface ethernet2description Passive interface on the .0 net!router ospf 1network .0 0.0.0.255 area 0passive-interfac44、e ethernet2說明只在ETHERNET1、ETHERNET2上運行OSPF協議。在ETHERNET2上禁止# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# router rip(config-router)# passive-interface ethernet0/0(config-router)# end# Using filters to block routing updates# config tEnter configuration commands, one per45、 line. End with CNTL/Z.(config)# access-list 55 deny (config)# access-list 55 permit any(config)# end# config tEnter configuration commands, one per line. End with CNTL/Z.(config)# router ospf 1(config-router)# distribute-list 55 out(config-router)# end#Rip協議# config tEnter configuration commands, o46、ne per line. End with CNTL/Z.(config)# access-list 55 deny (config)# access-list 55 permit any(config)# router rip(config-router)# distribute-list 55 out(config-router)# end#BGP and MD5 Authentication# config tEnter configuration commands, one per line. End with CNTL/Z. (config)# router bgp 26625(co47、nfig-router)# neighbor .250 remote-as 27701(config-router)# neighbor .250 password r0utes4all(config-router)# end#ISPCust7# config tEnter configuration commands, one per line. End with CNTL/Z.ISPCust7(config)# router bgp 27701ISPCust7(config-router)# neighbor .20 remote-as 26625ISPCust7(config-route48、r)# neighbor .20 password r0utes4allISPCust7(config-router)# endISPCust7#管理路由器 1. 設置管理路由器的登錄機制。l 在專用的管理子網l 只允許本地固定IP管理路由器l 管理路由器的主機與路由器間的信息加密(VTY 使用SSH)2. 更新路由器 只有在下列情況下更新路由器l 修復安全脆弱性l 增加新的功能l 增加內存l 設置和測試管理主機和路由器間的文件傳輸能力l 按計劃停止運行路由器和網絡 重啟后l 關停端口l 備份配置文件l 安裝新的配置文件日志審計1. 日志訪問列表中端口是否正確2. 設置日志，并標識、配置日志主49、機3. 精確設置并維護路由器時間4. 按照策略定期檢查、分析并存檔日志4 入侵檢測1. 配置IDS產品安全策略策略包括需要保護對象的優先順序、規定誰可以對IDS產品進行配置管理、以及根據操作系統、應用服務或部署位置等來制定的IDS檢測策略。2. 定期維護IDS安全策略IDS的安全策略應該是活動的，當環境發生變化時，安全策略應該改變，并應該通知相關人員。3. 將IDS產品（傳感器和管理器）放置在一個環境安全且可控的區域，以保證IDS產品的物理安全4. 安全地配置裝有IDS的主機系統5. IDS配置文件離線保存、注釋、有限訪問，并保持與運行配置同步。6. 使用IDS產品的最新穩定版本或補丁。7. 50、保持IDS產品的最新的簽名數據庫。8. 定期檢查IDS產品自身的安全性，特別在改變重要配置之后。9. 對管理用戶進行權限分級，并對用戶進行鑒別。要求不同權限級別的用戶應該具有相應的技術能力（掌握信息安全知識）及非技術能力（責任心、管理能力、分析能力等）。10. 口令配置安全例如，使用難以猜測的口令、限制知曉范圍、重要員工辭職時更換口令。11. 精確設置并維護IDS時間（生產系統變更窗口）。12. 在發生報警時，能進行快速響應對于報警事件，應該首先進行分析，判斷事件是攻擊事件還是正常事件，然后對攻擊事件進行處理。13. 當非法入侵行為時，有相應的處理措施14. 管理員的日常工作1) 定時檢查傳感器和管理器連接狀態。（每天至少兩次）2) 定時查看管理器的日志，并檢查近期日志同步是否成功。（每天一次）3) 定期對數據庫進行維護，檢查記錄數和文件大小？。每周兩次）4) 經常檢查事件報警，查看是否有入侵事件的發生。（不定時的）5) 定時導出最近的事件報表，進行事后的詳細分析，以確定是否存在可疑的網絡攻擊行為。（每天一次）定期檢查傳感器是否正常運行。（一周兩次）