logo资料库

华为路由器测评指导书.pdf

发布时间:2022-06-06 发布人:admin 分类:说明书 资料大小:0.15M 资料格式:pdf 举报 版权申诉
第1页 / 共12页
第2页 / 共12页
第3页 / 共12页
第4页 / 共12页
第5页 / 共12页
第6页 / 共12页
第7页 / 共12页
第8页 / 共12页
资料共12页,剩余部分请下载后查看
    测评指导书 测评 指标 访 问 控制 测评项 测评实施过程 预期结果 结果记录 华为路由器测评指导书 a) 应 在 网 络 边 界 部 署 访 问 控 制设备,启 用 访 问 控 制功能; b) 应 能 根 据 会 话 状 态 信 息 为 数 据 流 提 供 明 确 的 允 许 / 拒绝 访 问 的 能 力,控制粒 度 为 端 口 级; 访谈网络管理员、安全管理员、检 查网络拓扑结构,查看是否在网络 边界处部署访问控制设备并配置启 用了访问控制策略。 1)网络边界处有访问控制设备 2)访问控制设备上配置启用了访问 控制策略 1)在网络边界部署了访问控制设 备,并且启用了访问控制功能; 2)在网络边界没有部署访问控制 设备; 3)在网络边界部署了访问控制设 备,但没有启用访问控制功能; 1)在特权模式下,输入命令 display acl config all 会输出该路由器相 关配置信息。 2)检查配置信息中应当存在类似如 下配置信息: acl number 2000 rule destination any rule permit tcp source 10.1.2.0 destination 20.3.5.40 destination-port eq 443 rule permit tcp source 10.1.2.0 icmp source deny any 执行步骤 1)有路由器相关配置信息 输出 执行步骤 2)配置文件中有类似的配 置信息输出 1)访问控制表中有相应的配置信 息 2)访问控制表中有部分的配置信 息 3)访问控制表中没有相应的配置 信息 1 / 12
    测评指导书 c) 应 对 进 出 网 络 的 信 息 内 容 进行过滤, 实 现 对 应 用层 HTTP、 FTP 、 TELNET 、 SMTP、POP3 等 协 议 命 令 级 的 控 制。 d) 应 在 会 话 处 于 非 活 跃 一 定 destination destination-port eq 80 20.3.4.55 interface GigabitEthernet1/1/1 description TO_XX speed 1000 duplex full port access vlan 100 packet-filter inbound ip-group 2000 如果在网络边界处部署了防火墙, 该项要求一般通过防火墙来实现 在防火墙上配置对网络信息进行过 滤 1)防火墙有网络信息过滤配置 2)防火墙没有网络信息过滤配置 此项不合适,该项要求一般在防火 墙上实现 防火墙上配置对非活跃会话终止连 接 1)防火墙上有相关配置 2)防火墙上没有相关配置 2 / 12
    测评指导书 时 间 或 会 话 结 束 后 终 止 网 络 连接。 e) 应 限 制 网 络 最 大 流 量 数 及 网 络 连 接 数。 访谈系统管理员,依据实际网络状 况是否需要限制网络最大流量数及 网络连接数,并检查路由器配置。 如果在网络中部署了防火墙,该项 要求一般通过防火墙来实现。 1)在特权模式下输入命令 display acl config all 会输出该路由器相关配置信息。 2)检查配置信息中应当存在类似 如下配置信息: 如限制某端口下的 10000Kbps访问, 则检查配置信息中应当存在类似如 下配置项: acl number 3000 rule 1 permit ip interface Ethernet2/1/9 port access vlan 2109 traffic-shape 10000 256 traffic-limit inbound ip-group 3000 rule 28 tc-index 6 10000 1000000 1000000 1 system-index 执行步骤 1)显示路由器配置信息 执行步骤 2)配置文件中有类似的配 置信息输出 1)路由器中有相应配置信息 2)路由器中没有相应配置信息 3 / 12
    测评指导书 f) 重 要 网 段 应 采 取 技 术 手 段 防 止 地 址 欺骗。 g) 应 按 用 户 和 系 统 之 间 的 允 许 访 问 规 则,决定允 许 或 拒 绝 用 户 对 受 控 系 统 进 行 资 源 访 问,控制粒 度 为 单 个 用户。 conform exceed 10000 remark-policed-service drop 1)在特权模式下输入命令 display arp 会输出该路由器相关配置信息 2)检查配置信息中应当存在类似如 下配置信息: arp static 0014-7855-c7bb 192.168.1.100 1)在特权模式下输入命令 display ipsec 会输出该路由器相关配置信 息。 2)检查配置信息中应当存在类似如 下配置信息: ike peer center exchange-mode aggressive pre-shared-key abc id-type name remote-name center remote-address 10.0.0.1 ipsec policy branch1 10 isakmp security acl 3001 ike-peer center 执行步骤 1)显示路由器配置信息 执行步骤 2)配置文件中有类似的配 置信息输出 1)路由器中有相应配置信息 2)路由器中没有相应配置信息 执行步骤 1)~2)配置文件中有类似 的配置信息输出 1)路由器中有类似配置信息 2)路由器中没有类似配置信息 4 / 12
    测评指导书 h) 应 限 制 具 有 拨 号 访 问 权 限 的 用 户 数 量。 0 proposal 1 acl number 3001 rule 192.168.2.0 destination 0.0.0.255 permit ip source 0.0.0.255 192.168.1.0 执行步骤 1)~2)配置文件中有类似 的配置信息输出 1)路由器中有类似配置信息 2)路由器中没有类似配置信息 1)在特权模式下输入命令 display dialer 会输出该路由器相关配置信 息。 2)检查配置信息中应当存在类似如 下配置信息: link-protocol ppp ppp authentication-mode pap ip 255.255.255.0 dialer enable-circular dialer-group 1 address 10.12.12.20 安 全 a) 应 对 网 1)在特权模式下输入命令 display 执行步骤 1)~2)配置文件中有类似 1)路由器中有类似配置信息 5 / 12
    测评指导书 审计 络 系 统 中 的 网 络 设 备 运 行 状 况、网络流 量、用户行 为 等 进 行 日志记录; b) 审 计 记 录应包括: 事 件 的 日 期和时间、 会输出该 current-configuration 路由器相关配置信息。 2)检查配置信息中应当存在类似如 下配置信息: info-center enable info-center facility chinese info-center channel informational loghost loghost source local4 log 1.1.1.1 language default level trap 161 read port target-host community snmp-agent snmp-agent isPubilic snmp-agent address 10.1.20.10 parameters v2 securityname aaa snmp-agent trap enable standard authentication linkdown linkup warmstart snmp-agent trap enable system 对于华为路由器来说,可以对系统 错误、网络和接口的变化,登录失 败、ACL匹配等进行审计, 审计内容 包括了时间、类型、用户等相关信 coldstart 的配置信息输出 2)路由器中没有类似配置信息 启用了审计功能 1)审计功能启用 2)审计功能没有启用 6 / 12
    测评指导书 用户、事件 类型、事件 是 否 成 功 及 其 他 与 审 计 相 关 的信息; c) 应 能 够 根 据 记 录 数 据 进 行 分析,并生 成 审 计 报 表; d) 应 对 审 计 记 录 进 行保护,避 免 受 到 未 预 期 的 删 除、修改或 覆盖等。 息。因此,对于华为路由器来说, 只要审计功能启用就能符合该项要 求。 访谈并查看网络管理员采用了什么 手段实现了审计记录数据的分析和 报表生成。 实现审计记录数据的分析和报表生 成的手段 1)有审计记录数据的分析和报表 生成的手段 2)没有审计记录数据的分析和报 表生成的手段 执行步骤 1)~2)配置文件中有类似 的配置信息输出 1)路由器中有类似配置信息 2)路由器中没有类似配置信息 访谈网络设备管理员采用了何种手 段避免了审计日志的未授权修改、 删除和破坏。例如可以设置专门的 日志服务器来接收路由器等网络设 备发送出的报警信息。 1)在 特 权 模 式 下 输 入 命 令 display current-configuration 该路由器相关配置信息。 会输出 2)检查配置信息中应当存在类似 如下配置信息: 7 / 12
    测评指导书 a) 应对登 录 网 络 设 备 的 用 户 进 行 身 份 鉴别 网 络 设 备 防护 loghost local4 1.1.1.1 language source loghost log default level info-center enable info-center facility chinese info-center channel informational 路由器的口令安全包括两类:设置 登录口令和设置使能口令(特权密 码),测评人员应通过查看设备的 当前运行配置文件对相关设置依次 进行检查。 1)在特权模式下输入命令 display 会输出 current-configuration 该路由器相关配置信息。 执行步骤 1)~2)配置文件中有类似 的配置信息输出 1)路由器中有类似配置信息 2)路由器中没有类似配置信息 2)检查配置信息中应当存在类似 如下配置信息: super password level 3 cipher N’C55QK<’=/Q=^Q’MAF4<1!! local-user backbone service-type ssh level 3 acl number 2010 rule 1 permit source 10.1.2.3 0 user-interface vty 0 4 8 / 12
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料