企业网络建设过程中,随着业务项目的增加,网络的拓展组网网络的设备会
随着规模不断增加。今天分享给大家的就是在增加的设备中,一个好的运维习惯可以提高企业内部安全网络属性,
从大多网络设备及安全设备受***被***漫游都是因为操作人员的配置部当导致。所以对于一个合格的网络安全
运维者应当有一套针对自己网络环境的安全基线。这样有效的控制内网安全其中的部分工作,以下我就分享一下
我在安全运维工作中制定安全基线的方法:
1、Cisco路由器检查配置表
NO |
检查类别 |
检查项目 |
检查要点 |
检查对象 |
检查方法 |
判断条件 |
1 |
设备访问控制 |
用户认证方式 |
启用本地或AAA认证,查看登录认证方式,如本地帐户口令、认证服务器等。 |
核心域 |
使用show running-config 查看相关信息 |
符合:检查配置文件中 [hostname]#show running-config … aaa authentication login $(AAA_LIST_NAME) local aaa authentication enable default enable 或 username $(LOCAL_USERNAME) privilege (ID)password或同等配置信息 不符合:无相关信息 |
2 |
定义会话超时时间 |
配置定时帐户自动登出,会话空闲一定时间后自动登出。(建议超时设置为5分钟) |
核心域 |
参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 |
符合:参考配置操作 user-interface vty 0 4 idle-timeout 5 0 user-interface con 0 idle-timeout 5 0 或同等配置信息 不符合:未配置帐号自动登出 |
|
3 |
远程安全管理方式访问设备 |
启用了SSH,建议禁用TELNET(根据实际情况酌情考虑),且远程管理(VTY)的登录源地址必须采取ACL进行限制或指定固定管理IP。针对不支持的设备请说明品牌、型号、软件版本。 |
核心域 |
使用show running-configuration命令或相关命令查看相关信息 |
符合:查看配置中VTY访问是否有 |
