CISCO考點(diǎn)：路由器與交換機(jī)安全策略示例

《Cisco 網(wǎng)絡(luò)技術(shù)》課程實(shí)驗(yàn)指導(dǎo)書(shū)-交換機(jī)與路由器配置PDF+Word版

• 類型：網(wǎng)絡(luò)認(rèn)證大�。�722KB語(yǔ)言：中文 評(píng)分：8.7
• 標(biāo)簽：

立即下載

作為管理員需要為單位所有的網(wǎng)絡(luò)設(shè)備機(jī)制定一套基本的安全配置策略是極為重要的。為此，將某單位內(nèi)部路由器和交換機(jī)的安全策略拿來(lái)與大家共享：

　　路由器安全策略示例：

　　1. 路由器上不得配置用戶賬戶。

　　2. 路由器上的enable password命令必須以一種安全的加密形式保存。

　　3. 禁止IP的直接廣播。

　　4. 路由器應(yīng)當(dāng)阻止源地址為非法地址的數(shù)據(jù)包。

　　5. 在本單位的業(yè)務(wù)需要增長(zhǎng)時(shí)，添加相應(yīng)的訪問(wèn)規(guī)則。

　　6. 路由器應(yīng)當(dāng)放置在安全的位置，對(duì)其物理訪問(wèn)僅限于所授權(quán)的個(gè)人。

　　7. 每一臺(tái)路由器都必須清楚地標(biāo)識(shí)下面的聲明：

　　“注意：禁止對(duì)該網(wǎng)絡(luò)設(shè)備的非授權(quán)訪問(wèn)。您必須在獲得明確許可的情況下才能訪問(wèn)或配置該設(shè)備。在此設(shè)備上執(zhí)行的所有活動(dòng)必須加以記錄，對(duì)該策略的違反將受到紀(jì)律處分，并有可能被訴諸于法律。”

　　每一臺(tái)網(wǎng)絡(luò)交換機(jī)必須滿足以下的配置標(biāo)準(zhǔn)：

　　1. 交換機(jī)上不得配置用戶賬戶。

　　2. 交換機(jī)上的enable password命令必須以一種安全的加密形式保存。

　　3. 如果交換機(jī)的MAC水平的地址能夠鎖定，就應(yīng)當(dāng)啟用此功能。

　　4. 如果在一個(gè)端口上出現(xiàn)新的或未注冊(cè)的MAC地址，就應(yīng)當(dāng)禁用此端口。

　　5. 如果斷開(kāi)鏈接后又重新建立鏈接，就應(yīng)當(dāng)生成一個(gè)SNMP trap.

　　6. 交換機(jī)應(yīng)當(dāng)放置在安全的位置，對(duì)其物理訪問(wèn)僅限于所授權(quán)的個(gè)人。

　　7. 交換機(jī)應(yīng)當(dāng)禁用任何Web 服務(wù)器軟件，如果需要這種軟件來(lái)維護(hù)交換機(jī)的話，應(yīng)當(dāng)啟動(dòng)服務(wù)器來(lái)配置交換機(jī)，然后再禁用它。對(duì)管理員功能的所有訪問(wèn)控制都應(yīng)當(dāng)啟用。

　　8. 每一臺(tái)交換機(jī)都必須清楚地標(biāo)識(shí)下面的聲明：

　　“注意：禁止對(duì)該網(wǎng)絡(luò)設(shè)備的非授權(quán)訪問(wèn)。您必須在獲得明確許可的情況下才能訪問(wèn)或配置該設(shè)備。在此設(shè)備上執(zhí)行的所有活動(dòng)必須加以記錄，對(duì)該策略的違反將受到紀(jì)律處分，并有可能被訴諸于法律。”這些安全要求未必適合你單位的情況，僅供參考。