中国电信华为路由器安全配置规范v0.1分析.docVIP

三目 录 目 录 I 前 言 II 1 范围 1 2 规范性引用文件 1 3 缩略语 1 4 安全配置要求 2 4.1 管理平面安全配置 2 4.1.1 管理口防护 2 4.1.2 账号与口令 2 4.1.3 认证 4 4.1.4 授权 5 4.1.5 记账 7 4.1.6 远程管理 9 4.1.7 SNMP安全 11 4.1.8 系统日志 13 4.1.9 NTP 15 4.1.10 Banner信息 16 4.1.11 未使用的管理平面服务 16 4.2 数据转发平面安全配置 17 4.2.1 典型垃圾流量过滤 17 4.3 控制平面安全配置 21 4.3.1 ACL控制 21 4.3.2 路由安全防护 21 4.3.3 协议报文防护 23 4.3.4 引擎防护策略 25 前 言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信在2011年编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求，在实际的运用中发挥了积极的作用。 本次针对2011版安全配置中发现的问题和不足，进行修订，提增加部分数据库、应用中间件、网络设备方面的安全配置要求。 本规范是中国电信安全配置系列规范之一。该系列的结构及名称预计如下：Sybase数据库安全配置规范 （10）Apache安全配置规范 （11）IIS安全配置规范 （12）Tomcat安全配置规范 （13）WebLogic安全配置规范 （14）Nginx安全配置规范 （15）Resin安全配置规范 （16）Cisco路由器安全配置规范 （17）Juniper路由器安全配置规范 （18）华为路由器安全配置规范 （19）华为交换机安全配置规范 （20）H3C交换机安全配置规范 （21）中兴交换机安全配置规范 （22）XXX防火墙安全配置规范 （）…… 本标准由中国电信集团公司提出并归口。 范围 适用于中国电信使用的华为路由器设备。本规范明确了华为路由器设备在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 规范性引用文件 本设备配置规范符合下列规范性文件： GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》 YD/T 1732-2008《固定通信网安全防护要求》 YD/T 1734-2008《移动通信网安全防护要求》 YD/T 1736-2008《互联网安全防护要求》 YD/T 1738-2008《增值业务网—消息网安全防护要求》 YD/T 1740-2008《增值业务网—智能网安全防护要求》 YD/T 1758-2008《非核心生产单元安全防护要求》 YD/T 1742-2008《接入网安全防护要求》 YD/T 1744-2008《传送网安全防护要求》 YD/T 1746-2008《IP承载网安全防护要求》 YD/T 1748-2008《信令网安全防护要求》 YD/T 1750-2008《同步网安全防护要求》 YD/T 1752-2008《支撑网安全防护要求》 YD/T 1756-2008《电信网和互联网管理安全等级保护要求》 缩略语 下列缩略语适用于本标准： 安全配置要求 根据国内外运营商网络及结合中国电信的实际情况，可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面，每个平面的具体安全策略不同。具体如下： 管理平面：管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性，降低设备受到网络攻击或被入侵的可能性。 转发平面：数据转发平面的主要安全策略是对异常流量进行控制，防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥，造成网络的拥塞或不可用。 控制平面：控制平面的主要安全策略是保证设备系统资源的可用性，使得设备可以正常的实现数据转发、协议更新。 管理平面安全配置 管理口防护 配置console口密码保护 项目编号 配置说明 设备应配置console口密码保护 安全要求 等级 配置指南 执行命令system-view，进入系统视图。 执行命令user-interface console 0，进入Console用户界面视图。 执行命令authentication-mode password，设置用户验证方式为密码验证。 执行命令set authentication password cipher xxxxx，设置password验证的口令 检测方法 及 判定依据 执行命令display user-interface console 0查看输出：Auth为P Idx Type Tx/Rx Modem Privi ActualPri