返回
思科交换机安全配置基线

思科交换机安全配置基线

ID:9801673

大小:192.00 KB

页数:19页

时间:2018-05-10

思科交换机安全配置基线_第1页
思科交换机安全配置基线_第2页
思科交换机安全配置基线_第3页
思科交换机安全配置基线_第4页
思科交换机安全配置基线_第5页
资源描述:

《思科交换机安全配置基线》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、《思科交换机安全配置基线》页号:1of19目录1概述11.1适用范围11.2术语和定义11.3符号和缩略语12思科交换机设备安全配置要求22.1账号管理、认证授权22.1.1账户22.1.2口令32.1.3认证42.2日志安全要求52.3IP协议安全要求72.3.1基本协议安全72.3.2SNMP协议安全92.4访问控制安全要求102.5Vlan安全要求142.6其他安全要求16页号:1of191概述1.1适用范围本规范适用于思科交换机。本规范明确了思科交换机安全配置方面的基本要求。基线配置项中的“可选”项,可以根据具

2、体系统和应用环境,选择是否遵守。1.2术语和定义BGPRouteflapdamping:由RFC2439定义,当BGP接口翻转后,其他BGP系统就会在一段可配置的时间内不接受从这个问题网络发出的路由信息。1.3符号和缩略语缩写英文描述中文描述第17页共19页1思科交换机设备安全配置要求1.1账号管理、认证授权1.1.1账户编号:安全要求-设备-思科交换机-配置-1-可选要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。操作指南1.参考配

3、置操作privilegeexeclevel15connectprivilegeexeclevel15telnetprivilegeexeclevel15rloginprivilegeexeclevel7showipaccess-listsprivilegeexeclevel15showaccess-listsprivilegeexeclevel15showloggingprivilegeexeclevel1showipusernameuser1privilege7passwordpassword1usernameswi

4、tchadminprivilege15passwordpassword22.补充操作说明检测方法1.判定条件所有账号权限分配合理,不存在权限过大账号。2.检测操作无现状说明IT也可以通过VPN远程登录交换机,符合要求,网络管理员和基础架构主管知道账号编号:安全要求-设备-思科交换机-配置-2要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。删除与设备运行、维护等工作无关的账号。第17页共19页操作指南1.参考配置操作usernamersmithpassword3d-zirc0n

5、iausernamersmithprivilege1usernamebjonespassword2B-or-3Busernamebjonesprivilege1nousernamebrian2.补充操作说明检测方法1.判定条件I.配置文件中,存在不同的帐号分配II.网络管理员确认用户与帐号分配关系明确2.检测操作无现状说明都是公用账号,没有根据每个人设置一个账号1.1.1口令编号:安全要求-设备-思科交换机-配置-3要求内容对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中

6、至少2类。操作指南1.参考配置操作此项无法通过配置实现,建议通过管理实现2.补充操作说明检测方法1.判定条件无2.检测操作无现状说明口令8位以上,数字字母,与路由器密码内容一致第17页共19页编号:安全要求-设备-思科交换机-配置-4要求内容静态口令必须使用不可逆加密算法加密,以密文形式存放。操作指南1.参考配置操作servicepassword-encryption2.补充操作说明检测方法1.判定条件配置文件无明文密码字段2.检测操作使用showrunning-config命令,如下例:Switch#showrunn

7、ing-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionenablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2gusernameciscoadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb现状说明是加密的1.1.1认证编号:安全要求-设备-思科交换机-配置-5-可选要求内容设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。操作指南1

8、.参考配置操作settacacsserver192.168.6.18settacacskeyxxxxxx!telnet认证setauthenticationlogintacacsenabletelnet2.补充操作说明与外部TACACS+server192.168.6.18联动,远程登录使用TACACS+serverya验证检测方

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。