思科路由器安全测评指导书

1、思科路由器安全测评指导书序号测评指标测评项检查方法预期结果1访问控制a）检杳防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检杳： 检杳网络拓扑 结构和相关路由器配 置，查看是否在路由器 上启用了访问控制功 能。输入命令show access-lists 检杳配 置文件中是否存在以 下类似配置项：ip access-list 1 deny路由器启用了访问控 制功能，根据需要配置 了访问控制列表。b）检查防火 墙等网

2、络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性检杳：输入命令shou running ， 检杳访问控 制列表的控制粒度是 否为端口级，例如：access-list 101 55 eq 21根据会话状态信息为 数据流提供了明确的 访问控制策略，控制粒 度为端口级。和安全性。c）检杳防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查

3、 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检杳：检杳防火墙或 IPS安全策略是否对重 要数据流启用应用层 协议检测、过滤功能。防火墙或IPS开启了 重要数据流应用层协 议检测、过滤功能，可 以对应用层HTTP FTPTELNET SMTP POP3 等协议进行控制。d）检查防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。访谈：访谈系统管理 员，是否在会话处于非 活跃一疋时间

4、或会话 结束后终止网络连接； 检杳：输入命令show running，查看配置中 是否存在命令设定管 理会话的超时时间：line vty 0 4 exec-timeout x x1）会话处于非活跃一 定时间或会话结束后， 路由器会终止网络连 接；2 ）路由器配置中 存在会话超时相关配 置。e）检查防火检查：1 ）在网络出口1）网络出口和核心网墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。和核心网络处的网络 设备是否配置

5、了网络 最大流量数及网络连 接数；2）是否有专用 的流量控制设备限制 网络最大流量数及网 络连接数。络处的网络设备配置 了合理QOSfi略，优化 了网络最大流量数； 2）通过专用的流量控 制设备限制网络最大 流量数及网络连接数。f）检查防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检查：是否通过IP/MAC绑定手段防止 地址欺骗，输入命令 show running ，检杳 配置文件中是否存在 arp绑定配置：ar

6、p1）通过网络设备配置 命令进行IP/MAC地址 绑定防止地址欺骗；2）通过专用软件或设 备进行IP/MAC地址绑 定防止地址欺骗。g）检查防火 墙等网络访 问控制设 备，测试系检查：1 ）是否针对单 个远程拨号用户或VPN 用户访问受控资源进 行了有效控制；2）以1）对单个远程拨号用 户或VPN用户访问受 控资源进行了有效控 制；2）通过拨号或统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。拨号或VPN等方式接 入网络的，是否采用强 认证方式。VPN等

7、方式接入网络 时，采用了强认证方式（证书、KEY等）。h）检查防火 墙等网络访 问控制设 备，测试系 统对外暴露 安全漏洞情 况等，测评 分析信息系 统对网络区 域边界相关 的网络隔离 与访问控制 能力；检查 拨号接入路 由器，测评 分析信息系 统远程拨号 访问控制规 则的合理性 和安全性。检查：是否限制具有 远程访问权限的用户 数量。限制了具有远程访问 权限的用户数量。2安全审计a）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系检查：1 ）网络系统中 的网络设备是否开启 日志记录功能；输入 show logging 命令， 检杳 Syslog logging

8、 进程是否为enable状 态；2）是否对网络设1）网络设备开启了日 志记录功能，命令showlogging的输出配置中 显示：Syslog loggi ng:e nabled 2）对网络设备的运行状 况、网络流量进行监控统审计配置 和审计记录 保护情况。备的运行状况、网络流 量进行监控和记录。和记录（巡检记录或第 二方监控软件）。b）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系 统审计配置 和审计记录 保护情况。检查：查看日志内容， 是否包括事件的日期 和时间、设备管理员操 作行为、事件类型等信 息。日志内容包括事件的 日期和时间、设备管理 员操作行为、事

9、件类型 等信息。C）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系 统审计配置 和审计记录 保护情况。检杳：查看如何实现 审计记录数据的分析 和报表生成。定期对审计记录数据 进行分析并生成纸质 或电子的审计报表。d）检杳核心 交换机、路 由器等网络 互联设备的 安全审计情 况等，测评 分析信息系 统审计配置 和审计记录 保护情况。检杳：检杳对审计记 录监控和保护的措施。 例如：通过专用日志服 务器或存储设备对审 计记录进行备份，并避 免对审计记录未预期 的修改、删除或覆盖。 检杳：输入命令show running 检杳配置文 件中是否存在类似如 下配置项：lo

10、ggi ng1）输入命令show running 检杳配置文 件中是否存在类似如 下配置项：loggi ng x.x.x.x ，把设备日志 发送到安全的日志服 务器或第二方审计设 备；2）由专人对审计 记录进行管理，避免审 计记录受到未预期的 删除、修改或覆盖。3网络设备 防护a）检查交换 机、路由器 等网络互联 设备以及防 火墙等网络 安全设备， 查看它们的访谈、检杳：1）访谈 设备管理员，询问登录 设备的身份标识和鉴 别机制采用何种措施 实现；2 ）登录网络设 备，查看是否提示输入 用户口令，然后以正确1）网络设备使用口令 鉴别机制对登录用户 进行身份标识和鉴别；2）登录时提示输入用 户名

11、和口令；以错误口 令或空口令登录时提 示登录失败，验证了登安全配置情 况，包括身 份鉴别、登 录失败处 理、限制非 法登录和登 录连接超时 等，考察网 络设备自身 的安全防范 情况。口令登录系统，再以错 误口令或空口令重新 登录，观察是否成功。录控制功能的有效性；3）网络设备中不存在 密码为空的用户。b）检查交换 机、路由器 等网络互联 设备以及防 火墙等网络 安全设备， 查看它们的 安全配置情 况，包括身 份鉴别、登 录失败处 理、限制非 法登录和登 录连接超时 等，考察网 络设备自身 的安全防范 情况。检杳：输入命令show running ， 查看配置文 件里是否存在类似如 下配置项限制管理员 登录地址：access-list 1 permit x.x.x.x line vty 04 access-class 1 in配置了合理的访问控 制列表限制对网络设 备进行登录的管理员 地址。C）检查交换 机、路由器 等网络互联 设