XX自有重要系统遭入侵应急预案.doc

. 自有重要系统遭入侵应急预案目 录1目的12适用范围13应急保障组织和职责14网络与信息安全事件分级35预防预警36入侵事件应急响应46.1应急响应流程46.2入侵事件的分类处置66.2.1攻击试探事件66.2.2正在进行的入侵事件76.2.3攻击行为已经完成96.3应急处理动作参考96.3.1Unix应急处理参考96.3.2Windows应急处理参考146.3.3网络设备应急处理参考197后期处置218附录218.1网络与信息安全事件报告表218.2网络与信息安全事件处理结果报告表22.1 目的提高自有重要系统遭入侵应急处置能力，建立健全应急工作机制，进一步加强网络与信息安全事件与威胁的监测能力、预防能力、保障能力与应对能力，确保重要保障期间突发网络与信息安全事件得到快速、高效处置，预防和减少各类事件造成的损失和危害，特制定本预案。2 适用范围本预案适用依托XXXX公司网络运行的自有的关系国计民生、社会稳定的省内重要计算机信息系统。本预案适用于公司自有重要系统因网络攻击、信息破坏等导致的网络与信息安全事件的应急处置工作，或公司应急指挥领导机构认为必要时启动本预案。3 应急保障组织和职责成立应急保障组，提供详细准确的领导组、工作组联系方式。应急工作领导小组成员名单姓名部门及职务电话手机邮件备注应急工作组成员名单姓名专项组名称电话手机邮件备注业务应用系统应急小组网络通讯应急工作小组主机及存储应急工作小组安全服务厂商安全服务厂商相关机构和联系方式机构名称联系人联系电话邮件XX省通信管理局XX省公安厅公共信息网络安全监察总队XX互联网应急中心YNCERT集团应急办4 网络与信息安全事件分级根据网络与信息安全事件的分级考虑要素，将XXXX公司网络与信息安全事件划分为四个级别：I 级（特别严重）、II 级（严重）、III 级 （较重）和 IV（一般）四级。特别严重网络与信息安全事件（级）是指造成直接经济损失大于XXX万元，扩散性很强，造成全局的重要信息系统瘫痪，衍生其他重大安全事件。严重网络与信息安全事件（级）。指造成直接经济损失XX万至XXX万元，扩散性强，或发生在涉及大量客户端的造成重要信息系统无法使用，或发生在涉及全局的造成非重要应用系统瘫痪。较重网络与信息安全事件（级）。指造成直接经济损失XX万至XX万元，基本无扩散性，或发生在涉及部分客户端的造成重要信息系统无法使用，或发生在涉及大量客户端的造成非重要信息系统瘫痪的。一般网络与信息安全事件（级）。指造成直接经济损失XX万元以内，无扩散性，发生在涉及少量客户端的造成重要信息系统无法使用，或发生在涉及部分客户端的造成非重要信息系统瘫痪的。5 预防预警预防预警是应急响应迅速启动的关键。各单位利用自身的安全监控设备和工具，并结合社会其它信息源（如安全厂商的公告、各类应急响应机构的公告等），及时发现网络与信息安全威胁或事件发生的迹象和趋势，分析导致网络与信息安全事件的根源，为网络与信息安全应急响应工作提供支持。预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息，或者对事件信息分析后得出的预防性信息。XXXX公司网络与信息安全事件预警等级分为四级：I 级（特别严重）、II 级（严重）、III 级 （较重）和 IV（一般），I 级为最高级，依次用红色、橙色、黄色和蓝色表示，分别对应发生或可能发生特别重大、重大、较大、一般网络与信息安全事件。XXXX公司应建立并完善网络安全监测机制，提高监测能力，自主监测、自主定级管理范围内的预警信息。预警信息由应急办按照如下要求报送。涉及XXXX公司的 I 级、II 级预警信息，应于 2小时内向集团公司和省通信管理局报告，抄送 YNCERT。III级预警信息，应于 4 小时内向集团公司和省通信管理局报告，抄送 YNCERT。IV 级预警信息，应于 5 个工作日内报送 YNCERT，抄送省通信管理局。预警信息报送的内容应包括：（一）信息基本情况描述；（二）可能产生的危害及程度；（三）可能影响的用户及范围；（四）截止信息报送时，已知晓该信息的单位/人员范围；（五）建议应采取的应对措施及建议。未经集团公司和省通信管理局的审核和授权，不得发布网络与信息安全事件预警信息。6 入侵事件应急响应6.1 应急响应流程在发生网络与信息安全事件时，启动下列应急响应流程，应急响应流程如图1所示。IT服务平台是否具备处理能力是是否预案启动确定是否发生信息安全事件对事件定级上报启动IT服务平台处理否安全事件处理恢复系统运行评估损失编写事件处理报告结束响应结束响应是是是否否图1 应急响应流程事件处理基本流程主要包括以下内容：1) 确认阶段：确定应急处理方式。（1）应急工作组接受异常事件报告后，分析是否存在网络与信息安全事件。（2）如存在网络与信息安全事件，对事件进行定级，同时上报给应急领导小组。2) 遏制阶段：及时采取行动遏制事件发展。抑制事件的影响进一步扩大，限制潜在的损失与破坏，同时要确保封锁方法对涉及相关业务影响最小。可能的抑制策略一般包括：关闭服务或关闭所有的系统，从网络上断开相关系统，修改防火墙和路由器的过滤规则，封锁或删除被攻破的登录账号，阻断可疑用户得以进入网络的通路，提高系统或网络行为的监控级别，设置陷阱，启用紧急事件下的接管系统，实行特殊“防卫状态”安全警戒，反击攻击者的系统等。3) 根除阶段：彻底解决问题隐患。在事件被抑制之后，通过对有关事件或行为的分析结果，找出事件根源，明确相应的补救措施并彻底清除。与此同时，执法部门和其他相关机构将对攻击源进行定位并采取合适的措施将其中断。4) 恢复和跟踪阶段。在确保安全问题解决后，要及时清理系统、恢复数据、程序、服务。恢复工作应避免出现误操作导致数据的丢失。另外，恢复工作中如果涉及到机密数据，需遵照机密系统的恢复要求。6.2 入侵事件的分类处置按照入侵事件进行的过程和所处的阶段，可以分成三种类型：l 攻击者正在试图取得访问系统的权限；l 已经建立连接，攻击正在进行时；l 攻击已经完成。在这三种类型的事件中，攻击正在进行时的情形最严峻，必须尽快处理。处理正在进行的入侵事件有两种方法，一种是立即切断入侵者和系统的连接，将系统恢复到安全的状态；第二种方法是不惊动攻击者，尽量收集信息以确定攻击源或作为法律证据。这两种方法的选择取决于对本次入侵者行为可能造成的风险的估计。6.2.1 攻击试探事件这种类型的事件的特征为：多次登录尝试，多次ftp、telnet或rsh尝试、反复拨号尝试等。第一步：确定问题通过系统日志文件和活动的网络连接来识别入侵者的来处，备份所有审计信息，如：系统日志文件，root 的history文件，utmp 和wtmp文件，并妥善保存这些文件。列出进程状态信息，并将其存在文件中妥善保存。同时记录所有工作活动。第二步：通知公司的安全管理员在30分钟内通知安全管理员，如果不能及时找到安全管理员，就通知安全主管或安全管理员的备份人员。安全管理员或其备份人员负责通知其它层次的管理人员。第三步：识别攻击源如果能够找到攻击的来源，安全管理员或其指定的专人应该负责和对方的系统管理员或安全分析员联系，尽量找出攻击的发起者。如果找到了攻击者，应该把相关信息通知安全主管或者省公司分管安全领导，由他们来决定怎样处理。同时记录所有工作活动。第四步：通知 CERT如果不能找到攻击者，安全管理员应该与CERT和本地通管局取得联系，向他们提供与攻击相关的信息。同时记录所有工作活动。注意，信息的发布必须得到省公司分管安全领导或他指定的负责人的许可。第五步：事后处理在调查之后，安全管理员或安全主管应该指定相关人员对此次事件写一份报告，针对事件和采取的行为进行描述，并执行事后分析。6.2.2 正在进行的入侵事件这种类型的事件包括系统上任何非授权人员建立的活动会话和执行命令的行为，如：活动的rlogin 或telnet会话，活动的ftp 会话。由于入侵者可能在很短的时间内破坏系统，事件响应的时间非常重要，所以在处理这类事件时，应该首先由省公司分管安全领导或其指定的人员在综合考虑监控人员的能力和可能造成的风险的前提下决定是立即将入侵者驱逐出系统还是在不惊动入侵者的情况下收集证据。第一步：通知相关人员尽快通知安全管理员，如果在5分钟内无法和他取得联系则立即通知备份人员。安全管理员负责通知其他相关人员，并且在系统分析员的帮助下估计入侵者下一步行为，并针对入侵者继续活动的风险进行评估。安全管理员应该尽快通知安全主管，如果在10分钟之内不能办到，立即通知备份人员。安全主管决定是立即将入侵者驱逐出系统还是在不惊动入侵者的情况下收集证据。不同的决定有不同的处理过程。安全管理员或安全主管应该在30分钟内通知省公司分管安全领导，必要时，省公司分管安全领导将情况向上级管理者汇报。第二步：系统快照对所有审计信息（如：系统日志文件，root 的history文件，utmp 和wtmp文件等）进行备份，并妥善保管；获取所有进程的状态信息并将其存在一个文件里，安全存放文件；所有可疑的文件都应该先转移到安全的地方或在磁带里存档，然后将其删除；列出所有活动的网络连接，在分析员的帮助下获得系统的快照，记录所有的行为。第三步：驱逐入侵者杀掉所有活动的入侵进程，并删除入侵者在系统中留下的文件和程序；改变所有入侵者访问过的帐户的口令，删除入侵者自己开的帐号。同时记录所有工作活动。第四步：恢复系统将系统恢复到日常运行状态，恢复被入侵者修改的数据和文件；安装系统patch，修补系统漏洞，通知相应的人员；此次事件所有恢复系统的行为都应该记录在案。第五步：事后分析在进行调查之后，由安全管理员或安全主管 和相关人员提交一份对事件全过程的总结报告。第六步：监控入侵者行为对入侵者行为的监控没有固定的过程，每个事件都有不同的情况。省公司分管安全领导或者其授权的人应该指导整个监控过程。当驱逐入侵者的时机成熟时，按照第三步执行。6.2.3 攻击行为已经完成如果在事件发生以后才觉察，通常很难找到足够的信息来分析入侵者怎样获得访问系统的权限。如果发现曾经有人闯入过系统，应该在第一时间通知安全管理员，安全管理员负责通知相关人员进行事件调查和处理。6.3 应急处理动作参考6.3.1 Unix应急处理参考Unix系统应急处理主要事项Unix系统的入侵检测方法主要包括：检查系统运行的进程，检查系统开放的端口，鉴定未授权的用户账号或组，检查相关程序（命令）、文件的权限，检查所有相关的日志，寻找异常或隐藏文件等。可以采用手工和工具检查相结合的方式进行。一、手工检查与审计下面就各种检查项目做一下详细说明。1、检查端口与网络连接 Netstat可以显示 TCP 和 UDP 所有打开的端口。Lsof列举所有运行进程及其所打开的文件描述符，其中包括常规文件， 库文件，目录，UNIX流，套接字等。Arp可以显示系统当前IP-MAC对应表，而且能手动设置静态IP-MAC对应表。如果发现的已打开的端口无法识别，则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务，则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接，也许恶意的连接就在这里。以太网中的arp欺骗能改变数据流向，可用来窃听用户数据，其症状表现为异常的IP-MAC对应表。方法：Netstat an列出所有打开的端口及连接状态Lsof i只显示网络套接字的进程Arp a列出当前系统arp表，重点检查网关MAC地址木马端口列表：/main.htm /threat/threat-ports.htm http:/www.chebucto.ns.ca/rakerman/port-table.html2、检查账户安全服务器被入侵之后，通常会表现在系统的用户账户上，我们可以在系统日志上察看相关的信息。除了察看事件日志外，也应该检查所有账户的信息，包括他们所属的组和默认SHELL。有些入侵者入侵后常常将添加他们自己的账号，或者将那些系统内置的用户修改了权限，从而方便他们以后再次入侵。方法：查看/etc/passwd中是否有新增加的帐户名查看/etc/passwd中除root外是否还有uid、gid为0的帐户检查/etc/passwd中如nobody、lp等系统内置帐户是否设置了可登录的默认SHELL如设置过限制帐户登录的策略应检查这些策略是否已经被修改或删除。如/etc/default/login文件中CONSOLE=/dev/console是否被注释掉。3、查找恶意进程可以通过以下工具和方法检查系统运行的进程，找出异常的进程。方法：Ps ef会列出系统正在运行的所有进程 Solaris常见进程说明：sched 系统进程调度init init进程pageout 内存换页进程fsflush 文件系统同步进程sac sac监控进程，和ttymon一起提供终端登陆功能dtlogin CDE登陆进程cron crontab任务调度守护进程sysevent 将内核级和用户级系统事件通知给适当的应用程序.事件可以包括硬件 和软件状态更改,错误和故障picld 负责维护及控制客户及内插模块对PICL(Platform Information and Control Library)信息的访问rpcbind rpc监控总进程，相当于portmatsyslogd syslog系统日志守护进程inetd internet服务超级守护进程nscd 名字服务缓存进程statd rpc.statd，NFS文件服务状态同步子进程htt htt输入法进程lockd rpc.lockd，NFS文件服务锁状态子进程powerd 电源管理服务，类似PC的APMsmcboot Solaris WBEM SMC serverutmpd utmp登陆用户监控进程snmpXdmi snmp服务子进程htt_serv 输入法服务器dmispd DMI Service Provider daemonauditd BSM审计守护进程dtgreet CDE服务子进程sshd ssh服务器fbconsol framebuffer显示输出驱动ttymon tty监控服务，和sac一起提供终端登陆功能，类似于其他Unix中的gettymibiisa snmp服务子进程Xsun Solaris X服务器devfsadm /dev (devfs)同步进程dtlogin CDE登录守护进程4、检查自启动项攻击者在获得系统控制权后通常会将其后门、木马等程序设置为自动运行，以达到长期控制的目的。常见的自启动项有/etc/inittab、/etc下的RC脚本、/etc/inetd.conf、/var/spool/cron/crontabs 或 /var/spool/cron 目录中的 crontab 文件 方法：检查/etc/inittab中有无新增的项，重点查看id:rstate:action:process中的process字段仔细检查这些 rc?.d 目录，如果发现某个脚本文件不是到 /etc/rc.d/init.d 或 /etc/init.d 目录中某个脚本文件的符号连接，或者出现与上面文件名规则不相符的脚本文件，或者增加了某个脚本文件，它很可能是用来启动后门进程的，必须仔细检查这些脚本启动的程序。确信 rc?.d 目录中脚本文件都是到 /etc/rc.d/init.d 或 /etc/init.d 目录中某个脚本文件的符号连接后，再 cd 到 /etc/rc.d/init.d 或 /etc/init.d 目录下。检查 init.d 目录下的脚本文件，如果某个脚本启动的服务进程与名称不符，或者脚本文件的内容被修改，加有别的什么东西启动了别的进程，必须仔细检查，极可能是被用来启动后门进程了。检查 /etc/inetd.conf，特别是最后两个字段，查看是否除通常的服务外新加有一行启动了别的服务。如果有的话，仔细检查这项服务，很可能是在启动后门程序检查 /var/spool/cron/crontabs 或 /var/spool/cron 目录中的 crontab 文件，可以使用crontab l命令查看计划任务5、检查系统日志Unix日志对于系统安全的作用是很重要的，进行入侵检查时有着非常重要的作用。方法：使用w命令查看utmp日志，获得当前系统正在登录帐户的信息及来源使用last命令查看wtmp日志，获得系统前N次登录记录Su命令日志，记录了每一次执行su命令的动作：时间日期，成功与否，终端设备，用户ID.有些UNIX具有单独的su日志，有些则保存在syslog中Cron日志记录了定时作业的内容，通常在/var/log/cron或默认日志目录中一个称为cron的文件里如果.bash_history被链接到/dev/null文件，或者环境变量中的$HISTFILE,$HISTFILESIZE两个变量值为0，那么很有可能是恶意修改了。 6、检查suid程序设置了root suid的程序，任意用户运行时都以root权限执行。（Passwd命令需要suid）方法：查找设置了suid的程序：find / -type f ( -perm -4000 -o -perm -2000 ) print7、环境变量运行env命令查看当前系统环境变量设置检查内容：是否有.或.在其中是否有指向tmp等位置8、检查应用检查相关应用的日志信息：方法：检查/etc/syslog.conf以及其他守护进程的配置文件以确定应用日志的位置Apache默认日志在/usr/local/apache/logs,最有用的日志是access_log,还有ssl_request_log,ssl_engine_log也能提供有价值的信息。其中可能包含攻击前的扫描记录。syslogd守护进程提供非常强大的日志功能，比如装载一个内核模块的登记，其配置文件为/etc/syslog.conf，通常它提供的最有用的日志是：messages,secure,syslog.在syslog.conf中每一行含有三个字段：facility字段表示产生该日志文件的子系统；priority字段表明事件的严重级别；action字段表明如何记录日志，它提供了远程网络记录的能力二、工具检查1、Tripwire对系统中文件的完整性进行检查，以确保他们没有被恶意的改变2、chkrootkit检查rootkit的开源工具6.3.2 Windows应急处理参考Windows应急处理主要事项Windows系统的入侵检测方法主要包括：检查所有相关的日志，检查相关文件，鉴定未授权的用户账号或组，寻找异常或隐藏文件，检查系统的运行的进程，检查系统开放的端口等。可以采用手工和工具检查相结合的方式进行。一、手工检查与审计下面就各种检查项目做一下详细说明。1、检查端口与网络连接 Netstat.exe 是一种命令行实用工具，可以显示 TCP 和 UDP 的所有打开的端口。 如果发现的已打开的端口无法识别，则应对它们进行调查以确定在该计算机上是否需要对应的服务。如果不需要该服务，则应禁用或删除相关的服务以防止计算机在该端口上监听。 也可以通过该命令检查有哪些相关的连接，也许恶意的连接就在这里。方法：Netstat an（系统命令）（windows2003使用命令Netstat ano可检测出端口对应的进程）Netstat a（系统命令）（windows2003使用命令Netstat ao可检测出端口对应的进程）Fport（第三方工具）木马端口列表：/main.htm /threat/threat-ports.htm http:/www.chebucto.ns.ca/rakerman/port-table.html2、检查账户安全服务器被入侵之后，通常会表现在系统的用户账户上，我们可以在系统日志上察看相关的信息。除了察看事件日志外，也应该检查所有账户的信息，包括他们所属的组。有些入侵者入侵后常常将添加他们自己的账号，或者将那些偏僻的用户修改了权限，从而方便他们以后再次入侵。方法：可以在“计算机管理”“用户管理”中查看系统帐号。可以使用命令查看：net user ；net localgroup administrators；可以cca.exe（第三方工具）检查是否有克隆帐号的存在。3、查找恶意进程可以通过以下工具和方法检查系统运行的进程，找出异常的进程。方法：任务管理器（系统工具）Psinfo.exe（第三方工具） Windows2000基本的系统进程如下：smss.exe Session Manager 会话管理csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) svchost.exe 包含很多系统服务 spoolsv.exe 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 输入法 4、监视已安装的服务和驱动程序许多针对计算机的攻击都是这样实现的：攻击安装在目标计算机上的服务，或者将有效的驱动程序替换为包含特洛伊木马的驱动程序版本，以给予攻击者访问目标计算机的权限。 1、通过服务控制台查看服务。服务 MMC 控制台用于监视本地计算机或远程计算机的服务，并允许管理员配置、暂停、停止、启动和重新启动所有已安装的服务。可使用此控制台确定是否存在已配置为自动启动的服务当前未启动的情况。2、通过注册表项查看服务和驱动程序：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices5、检查注册表的关键项：一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。使用REGEDIT注册表编辑器可以查看注册表。在注册表里，我们着重要查看HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion、HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion、HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion下面的子树。特别是要查看 Run, RunOnce, RunOnceEx, RunServices, 和 RunServicesOnce 文件夹，查找是否存在异常的条目。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon也是需要检查的地方。主要检查内容：Shell项内容正常情况应该为Explorer.exe；Userinit项内容应该为C:WINNTsystem32userinit.exe；检查是否有增加的项目其内容包括.exe .sys .dll 等各种可执行文件。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify是否有异常的项。正常的项目主要有：crypt32chain, cryptnet, cscdll, sclgntfy, SensLogn, wzcnotif.可能还会包括显卡、防病毒等项。检查类似txt等文本或其它后缀映射是否正常。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options，映像劫持主要是用来调试程序。通常此项下不应设置任何子项、值。6、检查所有相关的日志windows日志对于系统安全的作用是很重要的，网络管理员应该非常重视日志。Windows的系统日志文件有应用程序日志，安全日志、系统日志等等。可以通过“事件管理器”查看。建议日志的文件大小不小于100M。安全日志文件：%systemroot%system32configSecEvent.EVT 系统日志文件：%systemroot%system32configSysEvent.EVT 应用程序日志文件：%systemroot%system32configAppEvent.EVT7、检查用户目录：检查C:Documents and Settings目录各用户的目录。主要检查内容：用户最近一次的登陆时间；检查用户目录下的文件内容；检查Local Settings目录下的历史文件（History）、临时文件（Temp）、访问网页的临时文件（Temporary Internet Files）、应用数据文件（Application Data）等内容。8、检查文件系统检查C: 、C: winnt、C: winntSystem 、C: winntSystem32、C: winntSystem32dllcache、C: winntSystem32drivers、各个Program Files目录下的内容，检查他们目录及文件的属性，若无版本说明，多为可疑文件；若某文件的建立时间异常，也可能是可疑的文件。维护一份文件和目录的完整列表，定期地进行更新和对比，这可能会加重过度操劳的管理员的负担，但是，如果系统的状态不是经常变动的话，这是发现很多恶意行为踪迹最有效的方法。9、环境变量右键点击“我的电脑”-属性-选择“高级”-“环境变量”检查内容：temp变量的所在位置的内容；后缀映射PATHEXT是否包含有非windows的后缀；有没有增加其他的路径到PATH变量中；（对用户变量和系统变量都要进行检查）10、检查防病毒检查防病毒系统是否正常工作、病毒库是否正常更新、是否有异常的报警。11、检查应用检查相关应用的日志信息：Internet信息服务FTP日志默认位置：%sys temroot%sys tem32logfilesmsftpsvc1Internet信息服务WWW日志默认位置：%sys temroot%sys tem32logfilesw3svc1DNS日志文件：%systemroot%system32configScheduler服务日志默认位置：%sys temroot%schedlgu.txtSqlserver的日志。通过sqlserver控制台来查看。有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表，里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中的位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent 12、文件签名以上工作完成后，运行sigverif对%systemroot%system32下的*.exe、*.dll、*.sys等文件进行校验。二、工具检查1、IceSword：综合的入侵检测工具。可检测进程、端口、网络连接、服务等项。2、procexp.exe 检查进程以及所调用的相关文件。3、rkdetect进行后门（rootkit）检查.4、Autoruns列出所有随系统自动运行的程序、文件和映像劫持项目。6.3.3 网络设备应急处理参考1、sh ver检查路由器版本信息，确定是否使用最新的稳定版本，确定软件特性和功能。2、Show interface f0/1检查接口状态3、show memory查看设备资源占用情况。3、ACL访问控制实例access-list 101 permit ip 55 anyaccess-list 101 deny ip any any loginterface eth 0/1description inside interface of the perimeter routerip address 54 ip access-group 101 in4、syn flood攻击防御实例！established访问列表access-list 106 permit tcp any 55 establishedaccess-list 106 deny ip any any loginterface eth 0/2description “external Ethernet”ip addres