1目的22范围23配置标准23.1关闭不必耍的服务23.1.1禁止 CDP（Cisco.doc

1目的 2范围 2配置标准 2关闭不必耍的服务 2禁止CDP(CiscoDiscoveryProtocol) 2禁止TCP、UDPSmall服务. 3禁止Finger服务 3禁-止NTP服务. 4禁止BOOTp服务(路由器适用) 4禁止IPSourceRouting (路由器和三层交换机适用) 5启用servicepassword-encryption 5关闭WINS和DNS服务 6关闭ARP・Pfox$服务 6登录要求和帐号管理 7321 采用enablesecret设置密码 7采用认证. 7exec-timeout(5分钟以内) 8324 采用访问控制措施,限制可登录的源地址 8关闭HTTP服务 9远程登录采用加密传输(SSH) 9采用多用户分权管理. ioSNMP协议设置和H志审计 11设置SNMP读写密码. 11更改snmp协议端n 77限制snmp发起连接源地址. 12开启日志审计功能. 72英它安全耍求 13禁止从网络启动和自动从网络下载初始配置文件。 13禁止未使用或空闲的端口 13符合banner的设置耍求. 14符合设备提示符的设置耍求 14启用源地址路由检查(路由器适用) 75VTP设置密码(交换机适用) 161目的本标准是为了规范网络设备的安全检查,提高网络设备的安全性而提出的。2范围本标准适用于Cisco路由器和基于CiscoIOS的交换机及其三层处理模块,。(CiscoDiscoveryProtocol)◊默认状态:默认打开。◊正确配置:方法一:全局关闭CDP。全局模式配置如下命令:Router(Config)#nocdprun方法二:所有端口关闭CDP。接口模式下配置如下命令:Router(Config)#interfaceinterface_nameRouter(Config-if)#nocdpenable◊检查条件:方法:查看配置文件。◊判定条件:“不符合”条件:默认配置;存在一个或多个激活端口未关闭。“符合”条件:全局关闭CDP;所有接口关闭CDP。◊弱点概述:会造成网络设备信息失密。、UDPSmall服务◊默认状态:默认关闭。◊正确配置:全局模式下启用如下命令:Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers◊检査条件:方法:查看配置文件。◊判定条件:"不符合"条件:已经配置“servicetcp-small-servers”“serviceudp-small-servers^o“符合”条件:默认配置◊弱点概述:会造成为网络服务不安全。◊默认状态:默认关闭。◊正确配置:全局模式下启用如下命令:Router(Config)#noipfinger◊检査条件:方法:查看配置文件。◊判定条件:“不符合”条件:配置文件中存在“ipUnger”“符合”条件:默认配置。◊弱点概述:该服务会造成网络设备信息和数据信息失密。◊默认状态:默认关闭。◊正确配置:Router(Config)#nontp检查条件:方法:查看配置文件。◊判定条件:“不符合”条件:含有如下命令z—。“符合”条件:默认配置;所有端口端口模式下启用“ntpdisabled◊弱点概述:该服务会对网络设备时间造成影响。(路由器适用)◊默认状态:默认打开。◊正确配置:全局模式下启用如下命令:Router(Config)#noipbootpserver◊检查条件:方法:查看配萱文件◊判定条件:“不符合”条件:默认配置。“符合”条件:全局模式下使用“noipbootpserver”“不适用”条件:Cisco4000系列交换机以下不适用。◊弱点概述:该服务会造成网络不稳定。◊默认状态:默认打开。◊正确配置:Router(Config)#noipsource-route◊检査条件:方法:查看配萱文件◊判定条件:“不符合”条件:默认配置。"符合”条件:全局模式下使用“noipsource・route”◊弱点概述:会造成网络不稳定。)◊默认状态:黑犬认关闭。正确配置:接口配置模式下:Router(Config-if)#noipdirected・bi*oadcas{◊检查条件:方法:查看配置文件◊判定条件:"不符合”条件:在