网络设备安全配置规范

网络设备安全配置规范

CISCO路由器及基于CISCO IOS 的三层交换模块部分

目录

第一部分设备的安全机制 (3)

1访问控制 (3)

2数据加密 (3)

3日志问题 (3)

4防攻击能力 (4)

第二部分设备安全配置建议 (5)

1访问控制列表及其管理 (5)

1.1访问控制列表特性 (5)

1.2访问控制列表应用 (5)

1.3实施原则 (7)

3网管及认证问题 (8)

3.1远程登录 (8)

3.1.1远程登录的原则 (8)

3.1.2启用SSH服务 (8)

3.1.3登录空闲时间 (9)

3.1.4登录尝试次数 (10)

3.1.5并发登录个数 (10)

3.1.6采用访问列表严格控制访问的地址 (11)

3.2帐号和密码管理 (11)

3.3帐号认证和授权 (12)

3.3.1本机认证和授权 (12)

3.3.2AAA认证 (12)

3.3.3RADIUS认证方式 (13)

3.3.4TACACS+认证方式 (13)

第一部分设备的安全机制

该部分内容对Cisco路由器和基于Cisco IOS的交换机及其三层处理模块自身的安全机制进行简单描述，对每种安全机制可以解决什么问题进行阐述。

1访问控制

Cisco设备具有强大的访问控制能力，具体如下：

●可以实现对远程登录并发个数和空闲时长的限制；

●支持使用SSH代替Telnet，并提供ACL对用户登陆进行严格控制；

●支持AAA认证和授权；

●支持snmp管理认证、限制TRAP主机，修改TRAP端口等；

●路由协议的认证支持RIP、OSPF和BGP MD5认证，同时也支持密码

明文认证；

2数据加密

CISCO设备的数据加密能力主要有：

●支持SSH替代Telnet,可以在网络中传递加密的用户名和密码；

●对于enable密码，使用加密的enable secret,并且密码可以通过

service password-encryption命令，进行密码加密；

●提供Cisco加密技术（CET）；

●IPSec技术实现数据传输的加密技术。

3日志问题

Cisco设备将LOG信息分成八个级别，由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给

SERVER长期保存，对SERVER的地址可以进行严格控制。

4防攻击能力

Cisco设备的防攻击能力主要体现如下：

●可以通过对Q0S技术的配置，起到自身的防护的能力，它支持排队

技术、CAR和GTS等；

●结合强大的ACL命令，用于自身以及网络的防攻击，支持标准访问

控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、

基于时间的访问控制列表、基于上下文的访问控制列表，从而保证

了强大的防攻击能力；

●支持黑洞路由；

●支持源路由检查。

对QOS属性的说明如下：Cisco设备通过配置QOS属性具有一定的自动攻击检测和防范机制。如排队技术、CAR、GTS，都通过对网络流量控制，在一定程度上实现对攻击的防护。排队技术允许用户按照报文优先级的顺序，定义报文从接口发送的顺序，从而控制路由器接口的拥塞。这样我们可以对已经明确的安全流量设置高优先级，让这些流量优先通过，而丢弃低优先级流量，在一定程度上丢弃了一些攻击包；CAR是Committed Access Rate的简写，意思是：承诺访问速率，允许某一设备严格地限制流入或流出某一接口流量数量的一种技术。CAR软件确保只有指定数量的流量被发送或接收，而其他的流量会被丢弃。流量整形技术GTS，与CAR技术相似，都是通过定义参数来对流量分类，并按这些分类来管理流量。区别在于整形试图缓冲流量，并尽可能以不丢弃报文的方式传送它们。和CAR一样，可以定义平均位速率、一个正常突发率和一个异常突发率值。与CAR不同，流量整形只用在路由器接口的输出流量上。

第二部分设备安全配置建议

设备安全配置建议是本规范重要的一个部分，该部分将对Cisco路由器和基于Cisco IOS的交换机及其三层处理模块安全配置的细节进行描述，并对配置适用的网络层次、对设备性能的影响和配置实施的注意点进行详细说明。

1访问控制列表及其管理

1.1. 访问控制列表特性

访问列表是网络防御的前沿阵地，Cisco设备支持两种类型的访问控制列表：标准访问列表和扩展访问列表。

标准访问控制列表控制基于网络地址的信息流，其分配的ACL号为1-99和1300-1999；扩展访问列表通过网络地址和传输中的数据类型进行信息流的控制,其分配的ACL号为100-199和2000-2699。在IOS版本12.0及其以上版本，可以使用命名的访问表，它允许用户为访问表定义名称。这类访问表建立之后，用户可以删除访问表的某个表项，而不会导致对整个访问表的删除。但附加的表项仍然是增加到访问表的最后。

对于路由器接口，一个访问表必须在创建之后应用到某个接口上，它才能产生作用。因为通过接口的数据流是双向的，所以访问表要应用到接口的特定方向上，向外的方向或者向内的方向。CISCO设备对于不匹配任何表项的数据包，默认是拒绝其通过的操作。

1.2. 访问控制列表应用

Cisco访问控制列表提供如下应用：

标准的访问表：只允许过滤源地址，且功能十分有限。建立标准IP访问列表有两种方式，编号方式和命名方式。

扩展访问列表,：用于扩展报文过滤能力,一个扩展的I P访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段

网络设备安全策略

网络设备安全策略 一. 网络设备安全概述 设备的安全始终是信息网络安全的一个重要方面，攻击者往往通过控制网络中设备来破坏系统和信息，或扩大已有的破坏。只有网络中所有结点都安全了，才能说整个网络状况是安全的。网络设备包括主机（服务器、工作站、PC）和网络设施（交换机、路由器等）。对网络设备进行安全加固的目的是减少攻击者的攻击机会。如果设备本身存在安全上的脆弱性，往往会成为攻击目标。 二. 设备的安全脆弱性分析如下 （1）提供不必要的网络服务，提高了攻击者的攻击机会 （2）存在不安全的配置，带来不必要的安全隐患 （3）不适当的访问控制 （4）存在系统软件上的安全漏洞 （5）物理上没有安全存放，遭受临近攻击（close-in attack） 三. 针对网络设备存在的安全弱点，采取的方法和策略。（1）禁用不必要的网络服务 （2）修改不安全的配置 （3）利用最小权限原则严格对设备的访问控制 （4）及时对系统进行软件升级 （5）提供符合IPP要求的物理保护环境 四. 网络设备安全服务控制 利用IP 地址欺骗控制其他主机，共同要求Router提供的某种服务，导致Router 利用率升高。就可以实现DDOS攻击。防范措施是关闭某些默认状态下开启的服务，以节省内存并防止安全破坏行为/攻击。 （1）禁止CDP协议 （2）禁止其他的TCP、UDP Small服务 （3）禁止Finger服务

（4）建议禁止http server服务。 （5）禁止bootp server服务 （6）禁止代理ARP服务 （7）过滤进来的ICMP的重定向消息 （8）建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤 （9）如果没必要则禁止WINS和DNS服务 (10) 根据公司的业务需求对适合不同业务的网络协议端口进行相应的开放和封闭策略 五. 网络设备运行监控 对重要的网络设备,如核心交换机,防火墙,路由器等进行时时的监控和报警措施,及时做好预防措施,保证公司网络设备的安全运行.

网络设备使用、管理规定

某某石油管理局企业标准 网络设备使用、管理规定 1总则 为保证某某油田网络的正常运行，根据《中华人民共和国信息安全管理条例》等国家规定，制定某某油田管理局《网络设备使用管理规范》，本规范适用于某某油田管理局网络使用和管理人员。 2适用范围 本规范适用于某某油田管理局及下属单位配置的网络设备的购置、使用、维修、储存等方面。 3规范解释权 某某油田管理局信息安全管理中心对本规范拥有解释权。 4网络设备的管理 4.1设备的购置管理 4.1.1设备的选型 1)严禁使用未经国家质量认证的网络产品。 2)尽量采用我国自主开发研制的网络技术和设备。 3)涉及网络安全的网络产品（如：防火墙，路由器，交换机等等），必须 使用经过国家信息安全质量认证的产品。 4)严禁直接采用境外密码设备。 5)必须采用境外安全产品时，该产品必须经过国家信息安全测评机构的认 可。 6)对一般网络设备的选型须遵守以下注意事项： ?确保网络具有良好的可扩充性，系统易于升级； ?确保网络具有开放性，支持异种网络互联；

?确保所选的网管系统，具有数据流量分析、系统故障及运行状态检测和虚拟网络管理功能； ?确保网络的安全性和保密性 4.1.2设备监测 ?设备符合系统选型并获得批准后，方可购置。 ?凡购回的设备应在测试环境下经过连续72小时以上的单机运行和48小时的应用系统兼容性运行测试。 ?通过测试后，设备才能进入时运行阶段。时间长短根据需要自行确定。 ?通过试运行的设备，才能正式运行。 4.1.3设备登记 对所有设备必须建立项目齐全。管理严格的购置、移交、使用、维护、维修、报废等登记制度，并认真做好登记及检查工作，保证设备管理工作正规化。 4.2设备使用管理 4.2.1机房设备各种连接线较多，电源管理应科学、合理，保持电脑和 各种外设处于最佳状态。 4.2.2主服务器如Web、Mail、WWW、DNS等服务器，其中设置参数不得 随意再修改，如果不是特殊情况，不要随意关闭服务器。 4.2.3防火墙，交换机，HUB，路由器等按规定配置，一旦配置成功， 不得随意修改。 4.2.4机箱柜一定要加锁保护，并且远离电源，不宜加锁保护且对管理 人员造成危险的设备靠里间放置，并且一定要设置警告标志。 4.2.5设备的使用必须指定专人负责并建立详细的运行日志。 4.2.6由设备责任人负责设备的使用登记，登记内容应包括运行起止时 间，累计运行时数以及运行状况等。 4.2.7由责任人负责进行设备的日常清洗及定期保养维护，做好维护记 录，保证设备处于最佳状态。 4.2.8一旦设备出现故障，责任人应立即如实填写故障报告，并通知有 关人员处理。 4.2.9设备责任人应保证设备在安全环境（出厂标称的使用环境）下运 行。 4.2.10骨干网络设备所属权归油田管理局，由下级单位维护。 4.3设备维修管理 4.3.1设备必须有专人负责进行维修，并建立满足正常运行最低要求 的易损备件的备件库。

信息安全管理制度-网络安全设备配置规范v1

网络安全设备配置规范 网络安全设备配置规范

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等， 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信） 防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

网络设备的基本配置

网络设备的基本配置 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

实验: 网络设备基本配置 拓扑图 学习目标 ?配置 Cisco 路由器的全局配置设置。 ?配置 Cisco 路由器的访问口令。 ?配置 Cisco 路由器的接口。 ?保存路由器配置文件。 ?配置 Cisco 交换机。 背景 常见配置任务包括设置主机名、访问口令和 MOTD 标语。 接口配置极其重要。除了分配第 3 层 IP 地址外，还要输入一段描述，说明与目的地的连接可节省故障排除时间。 配置更改会立即生效。 但必须将配置更改保存到 NVRAM 中才能保持到设备重新启动后。 场景 在本实验中，学生将配置 Cisco 路由器和 Cisco 交换机的常用设置。 指定 IP 地址为，为子网预留 4 位，请使用下列信息填写下表： （提示：填入子网编号，然后填入主机地址。如果先填入子网编号，将更容易计算地址信息） 子网的最大数量：_______16______

任务1：配置 Cisco 路由器的全局配置设置。 图 1. 实验的电缆连接。 步骤 1：实际连接设备。 请参阅图 1。将控制台电缆或全反电缆的一端连接至路由器的控制台端口，另一端通过 DB-9 或 DB-25 适配器连接到主机计算机的 COM 1 端口。在主机计算机的网卡 (NIC) 与路由器的接口 Fa0/0 之间连接交叉电缆。在路由器的接口 Fa0/1 与交换机的任意接口 (1-24) 之间连接直通电缆。 确保主机计算机、交换机和路由器均已通电。 步骤 2：通过超级终端将主机计算机连接到路由器。 从 Windows 的任务栏中单击“开始”|“程序”|“附件”|“通讯”|“超级终端”启动超级终端程序。使用正确的设置配置超级终端： 连接描述 名称：Lab 11_2_11 图标：自行选择 连接到 连接时使用：COM1（或适当的 COM 端口） COM1 属性 每秒位数：9600 数据位：8 奇偶校验：无 停止位：1 数据流控制：无 当超级终端会话窗口出现后，按Enter键直到路由器发出响应。 如果路由器终端处于配置模式，请通过键入NO退出。 Would you like to enter the initial configuration dialog[yes/no]:no Press RETURN to get started! Router> 当处于特权执行命令模式时，路由器会尝试将所有拼写错误或未能识别的命令解释为域名。因为未配置域服务器，所以当请求超时就会出现延迟现象。这可能会耗费几秒钟到几分钟时间。要停止等待，请同时按住6 键，然后放开，再按x键： Router>enabel 短暂按住6，然后放开，再按x 键 Name lookup aborted Router> 从用户执行模式进入特权执行模式： Router>enable Router# 使用特权执行命令show running-config验证配置文件是否为全新文件。如果之前保存了配置文件，则需将其删除。附录 1 所示为一种典型的默认路由器配置。根据路由器型号和 IOS 版本的不同，您的配置可能稍有差别，但应该未配置任何口令或 IP 地址。如果您的路由器不是默认配置，请要求教师删除该配置。 步骤 3：配置全局配置主机名设置。 可使用哪两个命令离开特权执行模式

网络设备配置与管理课程标准

附件 2： 《网络设备配置与管理》 课程标准 XXXX职业技术学院二〇一五 年 10 月

《网络设备配置与管理》课程标准 一、课程基本信息 课程名称：网络设备配置与管理 课程类别：专业核心课程 学时学分：108 学时， 6.5 学分 适用专业：适用三学制高职计算机网络技术专业 二、课程概述 《网络设备的配置与管理》是计算机网络技术专业的专业核心课程，让学生能够掌握网络基础知识和常用的网络通信协议，会配置常见的路由器和以太网交换机，并且掌 握如何利用这些技术去构建、维护中、小企业网络。 三、本课程与其他课程关系 来源于专业教学标准，具有针对性 序号前期课程名称为本课程支撑的主要能力 1计算机网络基础计算机网络体系结构的基本认识能力 2综合布线技术结构化布线系统的处理能力3计算机英语查阅英文资料的能力序号后期课程名称为本课程支撑的主要能力 1网络安全网络互联互通、网络协议应用等能力 四、工作任务和课程目标（一）工作任务及职业能力 表 1 工作任务与职业能力分析表工作领域工作任务职业能力学习项目 1、熟悉网络通信线缆 1、制作网线 组建局域网2、会制作水晶头 3、熟悉局域网拓扑结构2、通过交换机组建对等简单组网实训局域网 4、掌握交换机工作原理 1、交换机的基本配置配置与管理交 2、广播域与冲突域的概 念 换机3、 VLAN 的原理 4、 VLAN 的配制方法1、通过 VLAN隔离广播域 2、通过汇聚连接实现不 虚拟局域网实训同交换机间相同VLAN的 通信

配置与管理 路由器 配置与管理路 由 网络安全管理5、 Trunk 汇聚连接 6、 Vlan 间路由设置 1、路由器基本配置 2、掌握 PPP 协议原理 3、 PAP 验证配置 4、 CHAP 验证配置 1、了解 IP 地址分配 2、了解子网掩码 3、静态路由配置方法 4、熟悉路由表 5、掌握默认路由 1、熟悉 IP 地址分配 2、熟悉子网掩码 3、 RIP 路由配置方法 4、熟悉 RIP1 和 RIP2 协 议 5、掌握 RIP 路由协议原理 1、掌握地址分配 2、掌握 OSPF 协议原理 3、 OSPF 的分区域管理 4、熟悉 LSA 的类型 5、了解边缘区域的类型 1、熟悉子网划分 2、掌握包过滤的原理 3、会配置基本访问控制列 表 4、会配置基本访问控制列 表 5、用 ACL 实现对上层协议 的过滤 1、掌握私有地址 2、掌握 NAT 协议原理 3、掌握 EASY IP 配置 4、掌握 NAT SERVER 配 置 3、不同 VLAN件的通 信 1、路由器基本配置。 ConSole 口配置及 Telnet登录配置 2、 PPP协议验证配置 1、 IP 地址分配 2、掩码设置 3、静态路由设置实现网 络互通 1、 IP 地址分配 2、掩码设置 3、 RIP 路由设置 实现网络互通 1、 IP 地址分配 2、OSPF路由设置 实现网络互通 1、 IP 地址分配 2、基本访问控制列表配 置 3、高级访问控制列表配 置 1、 EASY IP 配置 2、 NAT SERVER配 置 广域网配置 静态路由 Rip 路由 OSPF路由 ACL包过滤 NAT防火墙 （二）课程目标 表2《网络设备配置与管理》教学目标知识目标能力目标素质目标

(完整版)信息安全管理制度-网络安全设备配置规范

网络安全设备配置规范 XXX 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭telnet、http、ping、snmp等， 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许HTTP到公网Web服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信） 防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击？ 5.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（RFC1918）地址（10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –

网络设备的基本配置

实验：网络设备基本配置 拓扑图 学习目标 ? 配置Cisco路由器的全局配置设置。 ?配置Cisco路由器的访问口令。 ? 配置Cisco路由器的接口。 ?保存路由器配置文件。 ? 配置Cisco交换机。 背景 1. 常见配置任务包括设置主机名、访问口令和MOTD标语。 接口配置极其重要。除了分配第3层IP地址外，还要输入一段描述，说明与目的地的连接可节省故障排除时间。 配置更改会立即生效。 但必须将配置更改保存到NVRAM中才能保持到设备重新启动后。 场景 在本实验中，学生将配置Cisco路由器和Cisco交换机的常用设置。 指定IP地址为，为子网预留4位，请使用下列信息填写下表： （提示：填入子网编号，然后填入主机地址。如果先填入子网编号，将更容易计算地址信息） 子网的最大数量： _________ 16 _________ 每个子网内可用主机的数量：—14 _______________________

任务1 :配置Cisco路由器的全局配置设置。 图1.实验的电缆连接。

步骤1:实际连接设备 请参阅图1。将控制台电缆或全反电缆的一端连接至路由器的控制台端口，另一端通过DB-9或DB-25适配 器连接到主机计算机的COM 1端口。在主机计算机的网卡(NIC)与路由器的接口FaO/O之间连接交叉电缆。 在路由器的接口FaO/1与交换机的任意接口(1-24)之间连接直通电缆。 确保主机计算机、交换机和路由器均已通电。 步骤2 :通过超级终端将主机计算机连接到路由器。 从Windows的任务栏中单击“开始”| “程序” | “附件” | “通讯” | “超级终端”启动超级终端程序。 使用正确的设置配置超级终端： 连接描述 名称：Lab 11_2_11 图标：自行选择 连接到 连接时使用：COM1 (或适当的COM端口) COM1属性 每秒位数：9600 数据位：8 奇偶校验：无 停止位： 1 数据流控制：无 当超级终端会话窗口岀现后，按Enter键直到路由器发岀响应。 如果路由器终端处于配置模式，请通过键入NO退岀。 Would you like to en ter the in itial con figurati on dialog?[yes/no]: no Press RETURN to get started! Router〉 当处于特权执行命令模式时，路由器会尝试将所有拼写错误或未能识别的命令解释为域名。因为未配置域服务器，所以当请求超时就会出现延迟现象。这可能会耗费几秒钟到几分钟时间。要停止等待，请同时按住vSHIFT>6 键，然后放开，再按x键：Router>e nabel 短暂按住vSHIFT>6 ，然后放开，再按x键 Name lookup aborted Router> 从用户执行模式进入特权执行模式： Router> en able Router# 使用特权执行命令show runnin g-c onfig 验证配置文件是否为全新文件。如果之前保存了配置文件，则 需将其删除。附录1所示为一种典型的默认路由器配置。根据路由器型号和IOS版本的不同，您的配置可 能稍有差别，但应该未配置任何口令或IP地址。如果您的路由器不是默认配置，请要求教师删除该配置。 步骤3 :配置全局配置主机名设置。 可使用哪两个命令离开特权执行模式？ 可使用什么快捷命令进入特权执行模式？ _______________________ 可使用命令con figure 进入哪几种配置模式？写下配置模式及其描述的列表: 从特权执行模式进入全局配置模式： Router# con figurati on termi nal Router(c on fig)# 可使用哪三个命令离开全局配置模式并返回到特权执行模式？ 可使用什么快捷命令进入全局配置模式？将设备的主机名设为Router1 : router(c on fig)# host name Router1 Router1(c on fig)# 如何删除主机名？

H3C网络设备巡检服务工作规范

XX信息中心 网络设备巡检服务工作规范 （H3C设备网络） V1.0 信息中心 2011年8月 目录 1概述 (5)

2巡检工作流程 (5) 2.1巡检前期准备 (6) 2.2数据采集阶段 (7) 2.3数据分析和报告生成阶段 (7) 2.4汇报和满意度调查阶段 (7) 3网络巡检数据采集方法 (7) 3.1手工数据采集方法 (8) 3.2网络管理平台数据收集方法 (8) 3.3巡检工具数据采集方法 (8) 4网络巡检服务基准数据库的建立 (8) 5网络巡检工作内容 (9) 5．1巡检工作的主要内容 (9) 5．2网络巡检工作技术涵盖 (10) 6网络系统巡检基本判断标准 (10) 7设备相关信息收集 (12) 7.1软件版本及硬件信息分析 (12) 7.1.1当前设备硬件信息 (13) 7.1.2当前设备运行软件信息 (14) 7.2设备板卡硬件配置信息分析 (14) 7.3设备运行状况检查 (15) 7.3.1设备CPU工作状态检查 (16) 7.3.2设备CPU利用率分析 (16) 7.3.3设备MEMORY使用状态检查 (17) 7.3.4设备MEMORY利用率分析表 (18) 7.4设备运行状态检查 (18) 7.4.1电源的工作状态 (18) 7.4.2风扇的工作状态 (19) 7.4.3设备工作温度 (19) 8 端口的可用性、准确性检查 (19)

8.1端口状态检查 (19) 8.1.1基本网络接口状态分析 (22) 8.1.2接口半/全双工模式和链路类型 (23) 8.1.3接口稳定性统计信息 (23) 8.2端口状态检查表 (23) 9 设备端口负载及流量检查 (24) 9.1设备缓存信息检查 (24) 10 网络架构、配置信息分析 (24) 10.1网络结构检查 (24) 10.1.1检查内容 (24) 10.1.2检查方式 (24) 10.2网络配置信息检查 (27) 10.2.1检查内容 (27) 10.2.2检查方式 (27) 11 LOG信息检查 (30) 11.1标准的LOG格式 (30) 11.2LOG日志等级 (30) 11.3日志信息分析表 (30)

服务器、网络设备以及安全设备日常维护管理制度

服务器、网络设备以及安全设备日常维护管理制度 第一条 服务器、网络设备及安全设备的安全、性能检查。每台服务器、网络设备及安全设备至少保证每周检查两次，每次检查的结果要求进行登记记录。 第二条 数据备份工作。定期对服务器、网络设备、安全设备的配置文件进行备份，每次更改配置、策略后，都要及时更新备份文件，保证当前为备份最新数据。 第三条 服务器、网络设备及安全设备的监控工作。每天正常工作期间必须保证监视所有服务器、网络设备及安全设备状态，一旦发现服务器、网络设备或安全设备异常，要及时采取相应措施。 第四条 服务器、网络设备及安全设备的相关日志操作。每台服务器、网络设备及安全设备保证每周或依据数据情况对相关日志进行整理，整理前对应的各项日志如应用程序日志、安全日志、系统日志等应进行保存。 第五条 要及时做好服务器的补丁升级和漏洞修复工作。对于新发布的漏洞补丁和应用程序方面的安全更新，要及时分发给每台服务器。 第六条 服务器、网络设备及安全设备的安全检查主要包括CPU利用率、运行状态、性能、网络流量等方面。安全管理员必须保证对服务器、网络设备及安全设备每月进行一次安全检查。每次的检查结果必须做好记录，并生成检查报告。 第七条 不定时的相关工作。每台服务器如有应用软件更改、需要安装新的应用程序或卸载应用程序等操作，应提前告知所有管理员。 第八条 密码定期更改工作。每台服务器、网络设备及安全设备保证至少每一个月更改一次密码，密码长度不少于8位，且要满足复杂度要求。

第九条 系统管理人员要定时对系统服务器进行病毒检查，发现病毒要及时处理。 第十条 未经许可，任何人不得在服务器上安装新软件，若确实需要安装，安装前应得到授权并进行病毒例行检查。 第十一条 经远程通信传送的程序或数据，必须经过检测确认无病毒后方可使用。 第十二条 定时对硬件进行检查、调试和修理，确保其运行完好。 第十三条 关键设备应指定专人保管，未经授权的人员不得进行单独操作。 第十四条 所有设备未经许可一律不得借用，特殊情况须经批准后办理借用手续，借用期间如有损坏应由借用部门或借用人负责赔偿。 第十五条 硬件设备发生损坏、丢失等事故，应及时上报，填写报告单并按有关规定处理。 第十六条 业务系统设备及其附属设备的管理（登记）与维修由系统、网络管理员负责。设备管理人员每半年要核对一次设备登记情况。 第十七条 系统服务器、网络设备及安全设备应由相关管理人员每周进行一次例行检查和维护，并详细记录检查过程及检查结果。 第十八条

常用网络设备设备

物理层设备 1.调制解调器 调制解调器的英文名称为modem，来源于Modulator/Demodulator，即调制器/解调器。 ⑴工作原理 调制解调器是由调制器与解调器组合而成的，故称为调制解调器。调制器的基本职能就是把从终端设备和计算机送出的数字信号转变成适合在电话线、有线电视线等模拟信道上传输的模拟信号；解调器的基本职能是将从模拟信道上接收到的模拟信号恢复成数字信号，交给终端计算机处理。 ⑵调制与解调方式 调制，有模拟调制和数字调制之分。模拟调制是对载波信号的参量进行连续地估值；而数字调制使用载波信号的某些离散状态来表征所传送的信息，在接收端对载波信号的离散参量进行检测。调制是指利用载波信号的一个或几个参数的变化来表示数字信号的一种过程。 调制方式相应的有：调幅、调频和调相三种基本方式。 调幅：振幅调制其载波信号将随着调制信号的振幅而变化。 调频：载波信号的频率随着调制信号而改变。 调相：相位调制有两相调制、四相调制和八相调制几种方式。 ⑶调制解调器的分类 按安装位置：调解解调器可以分为内置式和外置式 按传输速率分类：低速调制解调器，其传输速率在9600bps以下；中速调制解调器，其传输速率在9.6～19.2kbps之间；高速调制解调器，传输速率达到19.2～56kbps。 ⑷调制解调器的功能 ?差错控制功能：差错控制为了克服线路传输中出现的数据差错，实现调制解调器至远端调制解调器的无差错数据传送。 ?数据压缩功能：数据压缩功能是为了提高线路传输中的数据吞吐率，使数据更快地传送至对方。 ⑸调制解调器的安装 调制解调器的安装由两部分组成，线路的连接和驱动程序的安装。 线路连接： ?将电话线引线的一端插头插入调制解调器后面LINE端口。

信息安全管理制度网络安全设备配置规范

网络安全设备配置规范 2011年1月

网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级，包括超级管理员、安全管理员、日志管理员等， 并定义相应的职责，维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制，包括，关闭、、、等，以及使用而不是远程 管理防火墙。 4.账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如 何进行口令变更？ 1.2变化控制 1.防火墙配置文件是否备份？如何进行配置同步？ 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序？ 4.加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁， 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试？（随机和定期测试）

1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控 制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。 2.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则 放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为： ?反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地 址） ?用户允许规则（如，允许到公网服务器） ?管理允许规则 ?拒绝并报警（如，向管理员报警可疑通信） ?拒绝并记录（如，记录用于分析的其它通信） 防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击？ 5.防火墙是否阻断下述欺骗、私有（1918）和非法的地址 ?标准的不可路由地址（255.255.255.255、127.0.0.0） ?私有（1918）地址（10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255）

3《中国石化网络安全设备管理规范》(信系[2007]17号)

3《中国石化网络安全设备管理规范》(信系[2007]17号).txt30生命的美丽，永远展现在她的进取之中；就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中；像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中；像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。本文由CAPFyn贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 中国石化网络安全设备管理规范网络安全设备管理规范管理 V 1.1 2007 年 5 月 16 日 - 1 - 目 1 2 3 4 录 目的…… - 4 目的范围…… - 4 范围术语…… - 4 术语管理员职责…… - 4 4.1 4.2 系统管理员职责……- 4 信息安全管理员职责……- 5 - 5 管理员账号和权限管理…… - 5 5.1 5.2 5.3 5.4 管理员账号……- 5 系统管理员权限……- 5 信息安全管理员权限……- 6 管理员身份鉴别……- 6 - 6 策略和部署管理…… - 6 6.1 6.2 制定安全策略……- 6 安全设备统一部署……- 6 - 6.2.1 6.2.2 6.2.3 7 7.1 7.2 7.3 7.4 7.5 7.6 7.7 8 8.1 8.2 8.3 8.4 8.5 8.6 8.7 9 9.1 9.2 9.3 安全网关类设备部署…… - 6 入侵检测类设备部署…… - 7 漏洞扫描设备部署……- 7 - 配置和变更管理…… - 7 配置和变更授权……- 7 防火墙设备配置……- 7 VPN 设备配置……- 8 代理服务器设备配置……- 8 IP 加密机设备配置……- 9 入侵检测设备配置……- 9 漏洞扫描设备配置……- 9 运行维护管理…… - 10 安全设备的检测和维护…… - 10 安全设备的监视和记录…… - 10 安全设备配置备份和恢复…… - 10 安全设备的审计…… - 10 安全事件处理和报告…… - 11 漏洞扫描设备的专项要求…… - 11 安全设备的维修…… - 11 安全数据管理…… - 12 安全设备的数据…… - 12 检测获得数据的管理…… - 12 审计获得数据的管理…… - 12 - - 2 - 9.4 9.5 10 11 配置数据管理…… - 12 存储空间管理…… - 12 设备选型管理…… - 13 附则…… - 13 - - 3 - 1 目的 中国石化信息系统已覆盖全国范围的下属企业，成为中国石化系统生产、经营和管理提供信息化手段的根本，网络安全设备是保障中国石化信息系统安全运行的基础。为保障中国石化信息系统的安全、稳定运行，特制定本规范。 2 范围 本规范适用于中国石化股份公司统一建设的计算机网络内所有网络安全设备的管理和运行。集团公司及集团公司所属部门和单位参照本规范执行。本规范中所指网络安全设备包括各种安全网关类设备（防火墙、VPN、代理服务器、IP 加密机等）、入侵检测类设备、漏洞扫描类设备等。

网络设备安全规范和指南

网络设备安全规范和指南 1. 目的 本规范旨在确定网络设备最低的安全配置标准；本指南旨在为网络管理员选购和配置网络设备提供帮助。 2. 范围 本规定适用于运营平台所有网络设备的选型和配置。 3. 规范 3.1. 选用其硬件平台，操作系统，服务和应用具备适当安全的网络设备； 3.2. 将每个网络设备在本公司的信息管理系统中进行登记。至少记录如下信息： * 设备所在位置和联系人 * 硬件和操作系统版本 * 主要功能和应用 * 特权口令 3.3. 为每个网络设备配置合适的DNS记录； 3.4. 保证网络设备口令符合<<口令安全规范和指南>>的规定, 以安全的加密形式存放口令, 使用强健的SNMP 通信字符串； 3.5. 禁止在网络设备上创建本地用户帐号，应使用TACACS+, RADIUS 验证用户身份； 3.6. 禁用不必要的服务和应用； 3.7 设备间的信任关系只有在业务必需的情况下建立，必须作相应记录； 3.8. 限定只有网管工作站才能登录网络设备或使用SNMP协议获取设备信息； 3.9. 在支持SSH协议的网络设备配置SSH; 3.10. 使用安全的连接协议（SSH, IPSEC）执行远程设备管理； 3.11. 及时安装网络设备厂家和信息安全人员推荐的补丁和修复； 3.12. 为连接服务器的交换机配置端口安全； 3.13. 将安全相关的事件记录到特定的日志里。安全相关的事件包括（但不限于）如下事件： * 用户登录失败； * 获取特权访问失败；

* 违反访问策略； 3.1 4. 每天查看重要网络设备的日志，所有网络设备的日志至少每两周查看一次。 3.15. 改变现有设备的配置和配置新设备必须遵守变更管理制度； 3.16. 新设备必须在经过严格的安全审计后才允许投入产品环境； 3.17. 在网络设备上粘贴警告：“禁止非法访问本设备。你必须在得到明确的许可后才允许 访问或配置该设备。在该设备上执行的一切活动都会被记录，违反本规定会受到本公司的惩罚，甚至承担相应的法律责任。” 3.18. 定期审计网络设备； 3.19. 尽可能为重要网络设备配备备用设备； 4．指南 4.1. 禁用下列事项或确认设备的默认配置已经禁用了下列事项： * IP 定向广播； * 源地址无效的数据包； * 源路由； * Small 服务，路由器上的WEB 服务； * ARP proxy; * 与ISP网络连接的CISCO路由器/交换机上的CDP协议； * IP 重定向； 4.2. 配置默认ACL规则为DROP ALL ； 4.3. 严格限制DNS-TCP, DNS-UDP, ICMP协议数据包； 4.4. 集中存放网络设备产生的日志； 4.5. 订阅网络设备厂家及著名安全网站的安全邮件列表

机房网络设备布线要求规范

连尚网络机房布线规范

文档修订记录

连尚网络机房布线规范 (1) 1.概述 (4) 2.名词解释和互联说明 (5) 3.机房内布线规范 (7) 3.1 核心设备布线规范 (7) 3.2 内网接入布线规范 (8) 3.3 桥架内布线规范 (8) 3.4 机柜内布线规范 (9) 3.4 线缆标签规范 (11)

1.概述 随着连尚业务的不断发展，IDC规模越来越大。为了提高连尚IDC新到网络设备上线交付时间及效率，，对机房的光纤和网线布放方面提出了更高的要求与标准，文档中总结规划了相对更符合当下IDC网络设备布线规范操作及验收标准方面的具体解决方案。 此文档目的为了指导服务商在网络设备光纤和网线布放、电源捆绑能够更标准、更规范，统一网络建设布线验收标准。

2.名词解释和互联说明 机房网络互联拓扑： TOR：内网接入交换机，1U的盒式网络设备，配备48个10G光口和4个40G光口；10G光口用AOC 线缆下联服务器万兆端口，40G光口用MPO光纤上联到机房内网核心，单台TOR覆盖2个机柜的服务器接入；

●ILO：服务器ILO接入交换机，亦称管理网接入交换机，1U的盒式网络设备，配备48个10/100/1000M 自适应电口和1个1/10G光口，48个电口下联服务器千兆网口和网络设备MGMT端口；光口用10G 多模光纤上联到机房管理网核心，单台ILO覆盖2个机柜的服务器和网络设备接入； ●内网核心：网络核心设备，框式网络设备，配备多个40G光口和10G光口等（具体看情况配置），40G 光口通过MPO光纤下联至机房内TOR，40G光口通过MPO光纤上联至机房数据中心核心设备； ●数据中心核心：网络核心设备，框式网络设备，配备多个40G光口和10G光口等（具体看情况配置）， 40G光口通过MOP光纤下联至内网核心，10G光口通过10G单模光纤连接传输（专线），10G光口通过10G多模光纤连接统一接入接出设备； ●统一接入接出设备：类似于NA T转换设备，用于公网与私网地址之间转换，单台配备多个10G光口， 10G光口通过多模光纤下联数据中心核心，上联外网核心；另外通过10G多模光纤连接会话同步交换机，用于不同设备间会话同步； ●外网核心：外网区域核心网络设备，配备40G和10G光口，10G光口通过多模光纤下联至统一接入 接出、独立外网区域的外网接入以及安全设备，40G光口通过MPO光纤上联外网边界； ●外网边界：与ISP互联的网络设备，配置40G和10G光口，10G光口通过单模光纤上联至ISP设备， 另外10G光口通过多模光纤连接安全设备，40G光口通过MPO光纤下联外网核心； ●10G－AOC线缆：类似于光纤的线材，两端集成了光模块，用于TOR交换机与服务器万兆网口之间 连接； ●管理网线：六类或者超六类铜缆线，RJ45接头，用于ILO接入交换机与服务器千兆网口及网络设备 MGMT口之间连接；

网络设备配置与管理报告

一、实验目的 通过本次实训模拟建立一个高速、功能齐全的校园网，能够实现多媒体的应用、Web 技术的运用和视频点播等技术。使日常的教学和科研工作能方便的进行操作。 此次试训，了解网络设备的各种作用，并在以后的学习与应用中知道网络设备管理应该注意哪些问题，应该怎样选择好每一部件来建立最恰当的网络设备，能使网络得到最好的利用。 二、实验要求通过两周的实训做到分析网络建设需求，能提出设计校园网络建设 总体方案，画出校园网设计拓扑图，并对网络进行选型。包括： 1.对网络布线分析和总体网络设计的详细描述； 2.对网络服务器的选择、部署和配置进行描述。方案做到详细设计。包括：网络中心，各教学、办公楼，机房，图书馆机房位置、布局设计；多媒体教室设计；综合布线系统设计；进行设备选型，并写出详细的网络设备配置清单；写出工程施工与验收方案。 三、实验内容及步骤 （一）需求分析 1、建立一个连接多媒体教室、教育网和图书馆等地的校园网，骨干 速率为1000Mbps。多媒体教室配置160 台机器。 2、联入校园网的电脑都可以实现视频点播。 3、支持教师的移动办公。授权情况下教师通过MODEM 拨号访问校内信息和视频点播信息。 4、建立WWW 服务器，提供学校的主页。 5、提供学校图书馆书目的联机查询。 6、建立电子邮件服务器，提供电子邮件服务。 7、提供文件传输服务。 8、多媒体教室实现网络视频点播教学，录制多媒体教学课件功能。 9、软件实验室和网络实验室要连网，已知软件实验室有35 台计算机，网络实验室有40 台计算机，软件实验室和网络实验室的面积为10 m ×10 m，软件实验室和网络实验室相距300 m 10、学校未建设完备的校园网络，已有的办公室通过拨号或者自行申请的

机房网络设备布线要求规范

连尚网络机房布线规范 文档修订记录 连尚网络机房布线规范 1.概述......................................................................... 2.名词解释和互联说明........................................................... 3.机房内布线规范............................................................... 3.1 核心设备布线规范........................................................ 3.2 内网接入布线规范........................................................ 3.3 桥架内布线规范.......................................................... 3.4 机柜内布线规范.......................................................... 3.4 线缆标签规范............................................................ 1.概述 随着连尚业务的不断发展，IDC规模越来越大。为了提高连尚IDC新到网络设备上线交付时间及效率，，对机房的光纤和网线布放方面提出了更高的要求与标准，文档中总结规划了相对更符合当下IDC网络设备布线规范操作及验收标准方面的具体解决方案。 此文档目的为了指导服务商在网络设备光纤和网线布放、电源捆绑能够更标准、更规范，统一网络建设布线验收标准。 2.名词解释和互联说明 机房网络互联拓扑： TOR：内网接入交换机，1U的盒式网络设备，配备48个10G光口和4个40G光口；10G光口用AOC线缆下联服务器万兆端口，40G光口用MPO光纤上联到机房内网核心，单台TOR覆盖2个机柜的服务器接入；

网络设备的安全配置和管理试题大全

《网络设备的安全配置和管理》模拟试卷 一、判断题：共10分，每题1分（正确的打“?”，错误的打“×”。错答、漏答均不得分） 1、使用E-MAIL可以同时将一封信发给多个收件人。……………(√) 2、集线器就是交换器。…………………………………………… ( × ) 3、100BASE-5其中5代表50M。……………………………………( × ) 4、OSPF动态路由协议是外部网关协议。…………………………………( × ) 5、INTERNET网络地址127.0.0.1是B类地址、并供给用户使用的。…( × ) 6、路由器能隔离广播风暴。…………………… ( √ ) 7、首次配置路由器，就可以使用telnet方式登陆路由器进行管理。…( × ) 8、TCP/IP协议是分为七层的协议。……………………………… (× ) 9、C/S结构中，C 是服务器而S 是客户机。……………………(× ) 10、标准访问列表ACL的编号是1到100内。…………( ) 1、在网络模拟器中设置某台电脑的IP地址为192.168.1.1的命令是ipconfig /ip 192.168.1.1。（×） 2、局域网就是以太网。（×） 3、每台AP都有一个IP地址。（√） 4、用ADSL上网都需要安装专门的拨号软件。（×） 5、在所有路由器上启用RIP动态路由协议后，所有路由器就会立刻自动生成路由表。（×） 二、单项选择题：共50分，每题1分（请从备选项中选取一个正确答案填写在括号中。错选、漏选、多选均不得分） 1． Windows2000中在“开始－运行”中输入什么命令进入MS-DOS界面( b ) A． command B． cmd C． mms D． dos 2． OSI模型分为几层( d ) A． 4 B． 5 C． 6 D． 7 3． TCP/IP是( c ) A．域名服务器 B．邮件服务 C．网络协议 D．以上都不对 4．在OSI 参考模型中能实现路由选择、拥塞控制与互连功能的层是( c ) A．传输层 B．应用层 C．网络层 D．数据链路层 5、RIP规定一条通路上最多可包含的路由器数量是（ c ）。 A．1个 B．16个 C．15个 D.无数个 6． 1213952Bytes约为( b )