分类: 系统运维
2009-02-25 13:36:25
安全加固
•二、 问题的描述和解决步骤:
中国移动集团公司给各省公司下发了网络、服务器等系统安全加固的规范文件。其中有针对CISCO、华为路由器的安全加固模版。我们根据新疆移动公司网络的实际情况,选择了模版中适用的部分,对新疆移动网络上的大部分CISCO路由器,做了安全加固。
集团公司相关规范内容见附件。
和用户商议后,针对新疆移动的网络设备,安全加固的具体配置内容包括:
//syslog
//router
logging on
logging trap information
logging 10.238.2.102
logging facility local6
logging source-interface loopback0 //not for layer3 module
//switch
set logging server enable
set logging server 10.238.2.102
set logging server facility LOCAL6
set logging server severity 6
//anti-virus access-list,加在72路由器子接口的in方向(不大于61,避开caiji)
ip access-list extended uni-acl
deny tcp any any eq 445
deny tcp any any eq 5800
deny tcp any any eq 5900
deny udp any any eq 1434
deny tcp any any eq 6667
deny tcp any any eq 135
deny udp any any eq 135
deny tcp any any eq 139
deny udp any any eq 139
deny tcp any any eq 593
permit ip any any
//SNMP
access-list 32 permit host 10.238.2.102
access-list 32 permit host 10.238.18.17
snmp-server community xjyd@mdcn RO 32
snmp-server trap-source Loopback0
snmp-s host 10.238.2.102 xjyd@mdcn
//用户名检查
username wuxiaozhong password
......
no username //删除不用的用户
//允许telnet路由器的地址范围,在所有设备上都一致
access-list 5 permit 10.238.2.186
access-list 5 permit 10.238.2.185
access-list 5 permit 10.238.2.134
access-list 5 permit 10.238.2.133
access-list 5 permit 10.238.2.102
access-list 5 permit 10.238.2.118
access-list 5 permit 10.238.2.117
access-list 5 permit 10.238.18.39
//NTP
ntp server 10.238.15.76
access-list 31 permit 10.238.15.0 0.0.0.255
ntp access-group peer 31
ntp source loopback0
ntp update-calendar
clock timezone GMT 8
//所有设备上的统一配置
service password-encryption
service timestamps log datetime localtime
ip tftp source-interface loopback 0
line vty 0 15
login local
access-class 5 in
exec-timeout 10 0
line aux 0
transport input none
login local
exec-timeout 0 1
no exec
line con 0
login local
exec-timeout 10 0
no service tcp-small-servers
no service udp-small-servers
no ip finger
no service finger
no ip http server
no ip bootp server
no ip domain-lookup
//ONLY FOR PE ROUTER:
router bgp 65535
address-family vpnv4
bgp dampening
no ip source-route
interface f //加在72路由器子接口的in方向(不大于61,避开caiji)
no ip proxy-arp
no ip directed-broadcast
no ip redirects
no ip mask-reply
ip access-group uni-acl in
//OSPF MD5加密,基于接口方式
interface:
ip ospf message-digest-key 1 md5 xjyd@mdcn
ip ospf authentication message-digest
•三、 执行结果和遗留问题
按照上诉内容,完成北疆部分的网络安全加固。
在加固过程中,发现采集业务使用了proxy-arp功能,会受到影响,解决办法是先打开路由器上连接采集机的子接口上的proxy-arp,然后修改采集机的IP设置。
其它业务未发现受影响。