1、第 1 页 共 28 页 密 级:内部 文档编号: 项目代号: 附件五附件五 中国移动通信集团中国移动通信集团 网络设备安全配置规范网络设备安全配置规范 思科思科 CATALYSTCATALYST 交换机部分交换机部分 VerVer:草稿:草稿 二零零三年十一月 中国移动通信公司 福建移动通信公司 第 2 页 共 28 页 版本控制版本控制 版本号版本号日期日期参与人员参与人员更新说明更新说明 初稿2003-11-25洪顺安、林秀文档建立,初始化 第 3 页 共 28 页 目录目录 第一部分 概述和介绍.5 1概述.5 1.1项目背景.5 1.2项目目标.5 1.3参考资料.5 2适用的软件版
2、本.6 第二部分 设备的安全机制.7 第三部分设备安全配置建议.8 1访问控制列表及其管理.8 2网管及认证问题.8 2.1远程登录.8 2.1.1关闭远程登录.8 2.1.2登录空闲时间.9 2.1.3访问地址限制.9 2.1.4设置远程管理 VLAN .10 2.2帐号和密码管理.10 2.3帐号认证和授权.11 2.3.1RADIUS 认证方式.11 2.3.2TACACS 认证方式.11 2.3.3Kerboros 认证方式.12 2.4snmp 协议.13 2.4.1SNMP 服务器的关闭.13 2.4.2限制发起 SNMP 连接的源地址.13 2.4.3设置 snmp 密码.14
3、2.5HTTP 服务.14 2.5.1关闭 HTTP 服务.15 2.5.2HTTP 安全设置.15 3安全审计.16 4设备 NMP 升级方法.17 4.1前期准备.17 4.1.1软件的获取.17 4.1.2制定升级计划.17 4.1.3配置同步.17 4.1.4数据备份.18 4.1.5其他准备工作.18 4.2升级操作.19 4.2.1记录升级前系统状态.19 4.2.2升级 IOS 或装载补丁.19 4.2.3检查升级后系统的状态.20 第 4 页 共 28 页 4.3应急保障措施.21 4.3.1恢复软件.21 4.3.2恢复配置.21 5特定的安全配置.21 5.1关闭不必要的服
4、务.21 5.1.1禁止 CDP(Cisco Discovery Protocol).22 5.1.2ICMP 服务.22 5.1.3DNS 服务.22 5.2其他特定的安全配置.23 5.2.1VTP 安全的配置.23 5.2.2对 CON 端口的管理要求.23 5.2.3对 sl0 端口的管理要求.24 5.2.4禁止未使用或空闲的端口.24 5.2.5banner 的设置要求.25 第 5 页 共 28 页 第一部分第一部分 概述和介绍概述和介绍 1 概述概述 本文档对中国移动网络思科 Catalyst 交换机安全配置标准进行描述,规范涉 及适用范围、对应网络设备本身安全机制介绍和设备安
5、全配置标准三个部分,在 规范中针对设备的六大安全规范主题进行描述,除了提供详细的安全配置标准 外,同时考虑设备型号和适用网络层次的不同,并对实际配置过程中应注意的问 题进行详细描述。 1.1 项目背景项目背景 该项目是为了规范网络设备的安全配置标准,提高中国移动网络设备的安全 性而提出的。该项目成果将适用于集团公司以及各省公司网络部、计费、信息化 等部门,涵盖业务网络(GPRS、CMNet、各数据业务系统)、支撑系统(网管、 BOSS、OA)等。 1.2 项目目标项目目标 该项目的目标是对中国移动网络中使用的思科 Catalyst 交换机安全配置标准 进行规范,实现规范和指导各省的各应用系统网
6、络设备安全配置的作用。 1.3 参考资料参考资料 中国 IT 认证实验室网站 Cisco 局域网交换配置技术 第 6 页 共 28 页 Cisco Catalyst 交换技术 思科官方网站 参与本项目编写的人员有: 福建移动通信公司:洪顺安、林秀 感谢:泰讯网络给予大力支持。 2 适用的软件版本适用的软件版本 本规范适用的设备版本如下表: 设备名称设备型号 IOS 版本 备注 Catalyst 交换机catalyst1900、3 000、3900、5000 系列交换机; Catalyst 4000 系 列的交换模块; 旧版本的 Catalyst 6000 系 列交换机 Catalyst NMP
7、 5.5 及以上版本 本规范仅讨论交 换机的二层功能 的安全配置,三 层模块都采用 Cisco IOS 操作系 统,以及采用 Cisco IOS 的二层 交换机,其配置 与 Cisco 路由器 一样,不在本规 范讨论之内 考虑到思科设备的小版本号繁多,并且不易分辨。建议最好从集成商那获取 最新版本软件。 第 7 页 共 28 页 第二部分第二部分 设备的安全机制设备的安全机制 在访问控制能力上,思科 Catalyst 交换机可以限制远程登录管理 VLAN 的划 分,控制空闲时长,并提供 ACL 对用户登陆进行严格控制;支持 AAA 认证和授 权;支持 snmp 管理认证、限制 TRAP 主机,
8、修改 TRAP 端口等;支持拨号接入控 制;实现对密码自动加密。 在日志信息记录上,思科 Catalyst 交换机将 LOG 信息分成八个级别,由低到 高分别为 debugging、informational、notifications、warnings、errors、critical、alerts、emergenci es;可以设置将一定级别的 LOG 消息通过 SYSLOG、SNMP TRAP 传递给 SERVER 长期保存;对 SERVER 的地址可以进行严格控制。 思科 Catalyst 交换机可以通过设置 ACL,可以实现端口与 MAC 地址及协议 的绑定,实现对数据包的过滤,达到网
9、络的安全防护。 第 8 页 共 28 页 第三部分设备安全配置建议第三部分设备安全配置建议 设备安全配置建议是本规范重要的一个部分,该部分将对思科 Catalyst 交换 机安全配置的细节进行描述,并对配置适用的网络层次、对设备性能的影响和配 置实施的注意点进行详细说明。 1 访问控制列表及其管理访问控制列表及其管理 Catalyst提供了ACL功能,主要运用于远程管理的安全性控制,如对 telnet、SNMP的IP地址的限制。其功能类似于Cisco路由器的标准访问列表,只能 提供源地址的限制。启用Catalyst访问控制的命令格式如下: FJFZ-SWITCH01 (enable) set ip permit enanble 具体的应用将在以下的telnent和SNMP配置中描述。 2 网管及认证问题网管及认证问题 2.1 远程登录远程登录 网维人员习惯使用 CLI 来进行设备配置和日常管理,常会使用 Telnet 来远程 登录设备。大部分设备都提供标准的 Telnet 接口,虽然 Telnet 在连接建立初期也 需要核查帐号和密码,但是此过程中,以及后续会话中,都是明文方式传送所有 数据,容易造窃听而泄密。Telnet 并不是一个安全的协议。 第 9 页 共 28 页 2.1.1 关闭远
