四川联通数据网维护交流-网络安全.pptVIP

日常维护安全管理-SNMP安全 Page * 简单网络管理协议(SNMP) 　SNMP 是一种应用程序协议，封装在 UDP 中，在体系结构分为被管理的设备(Managed Device)、 SNMP管理器(SNMP Manager)和SNMP代理(SNMP Agent)三个部分。 管理信息数据库(MIB)是由SNMP代理维护的一个信息存储库，是一个具有分层特性的信息的集合，它可以被网络管理系统控制。MIB定义了各种数据对象，网络管理员可以通过直接控制这些数据对象去控制、配置或监控网络设备。 MIB安全管理： 设备MIB库的读／写字串必须设定为非缺省值，避免攻击者窃取其中的信息，威胁网络的安全；非必要情况下，不设置写权限。 必须通过设备的访问控制列表严格限制可读/写设备MIB 库的主机, 原则上禁止从网管网段外访问MIB库。 对于不同的网管系统，应设置独立的SNMP字串和访问控制列表。 snmp-agent snmp-agent community read sd@*Hfr98 acl 2002 日常维护安全管理-登录安全 Page * 远程登录访问控制要求 确保在所有登录服务的位置设置口令防护，其中设备登录和认证的通信过程应加密，确保AUX和Console接口设置EXEC口令。 user-interface con 0 authentication-mode password set authentication password cipher \8;H\-_0%……NC8KF76KT!6\!!! idle-timeout 10 50 user-interface aux 0 authentication-mode password set authentication password cipher \8;H\-_..（*……NC8KF76KT!6\!!! idle-timeout 10 50 日常维护安全管理-登录安全 Page * 严格限定特定的IP地址远程登录网络设备或主机设备。 对设备的远程登录会话最大无响应连接断开时间应设置为不大于10分钟。 user-interface vty 0 4 acl 2000 inbound authentication-mode aaa user privilege level 15 set authentication password cipher .]@USE=B,53Q=^Q`MAF41!! idle-timeout 10 50 日常维护安全管理-认证安全 Page * 应针对路由器、交换机配置AAA功能，对于核心设备，应采用集中认证系统进行认证并记录设备访问和操作日志。 hwtacacs-server template hssc hwtacacs-server authentication *.*.*.* hwtacacs-server authentication *.*.*.* secondary hwtacacs-server authorization *.*.*.* hwtacacs-server authorization *.*.*.* secondary hwtacacs-server accounting *.*.*.* hwtacacs-server accounting *.*.*.* secondary hwtacacs-server source-ip *.*.*.* hwtacacs-server shared-key sdif(Sud undo hwtacacs-server user-name domain-included 关闭路由器、以太网交换机、服务器上不必需的服务。发现安全漏洞时，应采取必要的防护措施，并及时升级软件版本或安装补丁。 日常维护安全管理-口令安全 Page * 应针对路由器、交换机配置AAA功能，对于核心设备，应采用集中认证系统进行认证并记录设备访问和操作日志。 定期修改网络设备和主机系统的口令，采用强口令策略，按最小化权限授权原则，为每个操作人员设置独立账号，及时删除不需要的账号。 4.严格管理工程或紧急故障处理期间外部人员的临时账号。 5.启动网络设备和主机系统的日志功能，保证日志能准确记录设备故障、系统用户的登录和操作等内容。 定期检查网络设备和主机系统的故障记录、登录记录和操作记录，尤其密切关注登陆失败、授权失败的记录。 目录 2 网络安全组织规范 1 网络安全管理要求 3 日常维护安全管理 日常维护安全管理-垃圾流量过滤 Page * 流量监控要求 进行网络流量监控，按月定期采集、分析网络流量数据，了解网