Chinaunix首页 | 论坛 | 博客
  • 博客访问: 3396643
  • 博文数量: 631
  • 博客积分: 10716
  • 博客等级: 上将
  • 技术积分: 8397
  • 用 户 组: 普通用户
  • 注册时间: 2008-04-01 22:35
文章分类

全部博文(631)

文章存档

2020年(2)

2019年(22)

2018年(4)

2017年(37)

2016年(22)

2015年(1)

2013年(12)

2012年(20)

2011年(19)

2010年(20)

2009年(282)

2008年(190)

分类: 系统运维

2009-02-25 13:36:25

一、        问题的类型和关键字

安全加固


•二、        问题的描述和解决步骤:

中国移动集团公司给各省公司下发了网络、服务器等系统安全加固的规范文件。其中有针对CISCO、华为路由器的安全加固模版。我们根据新疆移动公司网络的实际情况,选择了模版中适用的部分,对新疆移动网络上的大部分CISCO路由器,做了安全加固。

集团公司相关规范内容见附件。

和用户商议后,针对新疆移动的网络设备,安全加固的具体配置内容包括:

//syslog

//router

logging on

logging trap information

logging 10.238.2.102

logging facility local6

logging source-interface loopback0     //not for layer3 module

//switch

set logging server enable

set logging server 10.238.2.102

set logging server facility LOCAL6

set logging server severity 6


//anti-virus access-list,加在72路由器子接口的in方向(不大于61,避开caiji)

ip access-list extended uni-acl

 deny tcp any any eq 445

 deny tcp any any eq 5800

 deny tcp any any eq 5900

 deny udp any any eq 1434

 deny tcp any any eq 6667

 deny tcp any any eq 135

 deny udp any any eq 135

 deny tcp any any eq 139

 deny udp any any eq 139

 deny tcp any any eq 593

 permit ip any any


//SNMP

access-list 32 permit host 10.238.2.102

access-list 32 permit host 10.238.18.17

snmp-server community xjyd@mdcn RO 32

snmp-server trap-source Loopback0

snmp-s host 10.238.2.102 xjyd@mdcn


//用户名检查

username wuxiaozhong password

......

no username  //删除不用的用户


//允许telnet路由器的地址范围,在所有设备上都一致

access-list 5 permit 10.238.2.186

access-list 5 permit 10.238.2.185

access-list 5 permit 10.238.2.134

access-list 5 permit 10.238.2.133

access-list 5 permit 10.238.2.102

access-list 5 permit 10.238.2.118

access-list 5 permit 10.238.2.117

access-list 5 permit 10.238.18.39


//NTP

ntp server 10.238.15.76

access-list 31 permit 10.238.15.0 0.0.0.255

ntp access-group peer 31

ntp source loopback0

ntp update-calendar

clock timezone GMT 8


//所有设备上的统一配置

service password-encryption

service timestamps log datetime localtime

ip tftp source-interface loopback 0

line vty 0 15

  login local

  access-class 5 in

  exec-timeout 10 0

line aux 0

  transport input none

  login local

  exec-timeout 0 1

  no exec

line con 0

  login local

  exec-timeout 10 0

no service tcp-small-servers

no service udp-small-servers

no ip finger

no service finger

no ip http server

no ip bootp server

no ip domain-lookup


//ONLY FOR PE ROUTER:

router bgp 65535

 address-family vpnv4

 bgp dampening


no ip source-route

interface f     //加在72路由器子接口的in方向(不大于61,避开caiji)

 no ip proxy-arp

 no ip directed-broadcast

 no ip redirects

 no ip mask-reply

 ip access-group uni-acl in


//OSPF MD5加密,基于接口方式

interface:

 ip ospf message-digest-key 1 md5 xjyd@mdcn

 ip ospf authentication message-digest


•三、        执行结果和遗留问题

按照上诉内容,完成北疆部分的网络安全加固。

在加固过程中,发现采集业务使用了proxy-arp功能,会受到影响,解决办法是先打开路由器上连接采集机的子接口上的proxy-arp,然后修改采集机的IP设置。

其它业务未发现受影响。

阅读(2833) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~