2020(技术规范标准)网络设备安全基线技术规范

安全基线技术要求/r/n网络设备/r/n网络通用安全基线技术要求/r/n网络设备防护/r/n基线名称/r/n基线名称/r/n安全设备的用户进行身份鉴别。/r/n基线编号/r/nIB-WLSB-01-01/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）/r/n联动的方式实现对用户的认证，满足账号、口令和授权的要求，对登录设备/r/n的用户进行身份鉴别。/r/n备注/r/n基线名称/r/n基线名称/r/n网络设备用户的标识唯一。/r/n基线编号/r/nIB-WLSB-01-02/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n网络设备用户的标识应唯一；禁止多个人员共用一个账号。/r/n备注/r/n基线名称/r/n基线名称/r/n身份鉴别信息应具有复杂度要求并定期更换。/r/n基线编号/r/nIB-WLSB-01-03/r/n基线类型/r/n强制要求/r/n适用范围/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应修改控制中心登录的默认账户和密码，密码长度应不小于8，密码应由字/r/n母、数字、特殊符号中的至少2种组成。/r/n备注/r/n基线名称/r/n基线名称/r/n登录失败处理。/r/n基线编号/r/nIB-WLSB-01-04/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上/r/n限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重/r/n新认证。/r/n备注/r/n基线名称/r/n基线名称/r/n清除无关的账号。/r/n基线编号/r/nIB-WLSB-01-05/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应删除与设备运行、维护等工作无关的账号。/r/n备注/r/n基线名称/r/n基线名称/r/n配置console口密码保护/r/n基线编号/r/nIB-WLSB-01-06/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n基线要求/r/n对于具备console口的设备，应配置console口密码保护功能。/r/n备注/r/n基线名称/r/n基线名称/r/n按照用户分配账号/r/n基线编号/r/nIB-WLSB-01-07/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应按照用户分配账号。/r/n避免不同用户间共享账号。/r/n避免用户账号和设备间通信使用的账号共享。/r/n备注/r/n基线名称/r/n基线名称/r/n配置使用SSH/r/n基线编号/r/nIB-WLSB-01-08/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。/r/n备注/r/n基线名称/r/n基线名称/r/n对用户进行分级权限控制/r/n基线编号/r/nIB-WLSB-01-09/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。/r/n备注/r/n基线名称/r/n基线名称/r/n配置访问IP地址限制/r/n基线编号/r/nIB-WLSB-01-10/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。/r/n备注/r/n基线名称/r/n基线名称/r/n授权粒度控制/r/n基线编号/r/nIB-WLSB-01-11/r/n基线类型/r/n强制要求/r/n适用范围/r/n□等保一、二级 □等保三级/r/n涉普通商秘（工作秘密）□涉核心商秘/r/n基线要求/r/n原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控/r/n制的能力。/r/n备注/r/n基线名称/r/n基线名称/r/n按最小权限方法分配帐号权限/r/n基线编号/r/nIB-WLSB-01-12/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。/r/n备注/r/n基线名称/r/n基线名称/r/n配置定时账户自动登出/r/n基线编号/r/nIB-WLSB-01-13/r/n基线类型/r/n强制要求/r/n适用范围/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对于具备字符交互界面的设备，应配置定时账户自动登出。/r/n备注/r/n基线名称/r/n基线名称/r/n限制NTP通信地址范围/r/n基线编号/r/nIB-WLSB-01-14/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n通过ACL对NTP服务器与设备间的通信进行控制。/r/n备注/r/n基线名称/r/n基线名称/r/n启用NTP服务/r/n基线编号/r/nIB-WLSB-01-15/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应开启NTP，保证设备日志记录时间的准确性。/r/n备注/r/n基线名称/r/n基线名称/r/n配置会话超时/r/n基线编号/r/nIB-WLSB-01-16/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对于具备字符交互界面的设备，应配置定时账户自动登出。/r/n备注/r/n基线名称/r/n基线名称/r/n配置屏幕自动锁定/r/n基线编号/r/nIB-WLSB-01-17/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级/r/n/r/n□等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。/r/n备注/r/n基线名称/r/n基线名称/r/n修改缺省BANNER/r/n基线编号/r/nIB-WLSB-01-18/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n隐藏设备字符管理界面的bannner信息。/r/n备注/r/n基线名称/r/n基线名称/r/nCommunity字符串加密存放/r/n基线编号/r/nIB-WLSB-01-19/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n支持对SNMP协议RO、RW的Community字符串的加密存放。/r/n备注/r/n基线名称/r/n基线名称/r/n配置路由信息发布和接受策略/r/n基线编号/r/nIB-WLSB-01-20/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/nip/r/n/r/nprefix-list/r/n由条目限制、严格限制BGPPEER的源地址等方法避免设备发布或接收不安/r/n由条目限制、严格限制BGPPEER的源地址等方法避免设备发布或接收不安/r/n全的路由信息。/r/n备注/r/n基线名称/r/n基线名称/r/n配置路由协议的认证和口令加密/r/n基线编号/r/nIB-WLSB-01-21/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n启用动态IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）协议时，启用路由/r/n协议认证功能，如MD5加密，确保与可信方进行路由协议交互。/r/n备注/r/n基线名称/r/n基线名称/r/nSNMP配置-修改SNMP的默认Community/r/n基线编号/r/nIB-WLSB-01-22/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的/r/n字符串作为SNMP的Community。/r/n备注/r/n基线名称/r/n基线名称/r/nSNMP配置-禁用有写权限的SNMPCommunity/r/n基线编号/r/nIB-WLSB-01-23/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。/r/n备注/r/n备注/r/n基线名称/r/n基线名称/r/nSNMP配置-配置选用较高SNMP版本/r/n基线编号/r/nIB-WLSB-01-24/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n使用SNMPV3以上的版本对设备做远程管理。/r/n备注/r/n访问控制/r/n基线名称/r/n基线名称/r/n避免从内网主机直接访问外网/r/n基线编号/r/nIB-WLSB-02-01/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应用代理服务器，将从内网到外网的访问流量通过代理服务器。设备只开启/r/n代理服务器到外部网络的访问规则，避免在设备上配置从内网的主机直接到/r/n外网的访问规则。/r/n备注/r/n基线名称/r/n基线名称/r/n配置流量控制/r/n基线编号/r/nIB-WLSB-02-02/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n基线要求/r/n使用合理的ACL或其它分组过滤技术，对设备控制流量、管理流量及其它由/r/n路由器引擎直接处理的流量（如traceroute、ICMP流量）进行控制，实现/r/n对路由器引擎的保护。/r/n备注/r/n基线名称/r/n基线名称/r/n配置安全域的访问控制规则/r/n基线编号/r/nIB-WLSB-02-03/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n所有的安全域都具有相应的规则进行防护，对进出流量进行控制。/r/n备注/r/n基线名称/r/n基线名称/r/nVPN用户按照访问权限进行分组/r/n基线编号/r/nIB-WLSB-02-04/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则/r/n中对该组的访问权限进行严格限制。/r/n备注/r/n基线名称/r/n基线名称/r/n过滤不相关流量-ACL/r/n基线编号/r/nIB-WLSB-02-05/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对于具备TCP/UDP协议功能的设备，设备应根据业务需要，/r/n配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端/r/n配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端/r/n口的流量过滤，过滤所有和业务不相关的流量。/r/n备注/r/n基线名称/r/n基线名称/r/n最小化服务/r/n基线编号/r/nIB-WLSB-02-06/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n禁用非必要的服务。/r/n备注/r/n安全审计/r/n基线名称/r/n基线名称/r/n开启日志功能/r/n基线编号/r/nIB-WLSB-03-01/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n开启记录日志，记录访问登录、退出等信息。/r/n备注/r/n基线名称/r/n基线名称/r/n配置日志存储位置/r/n基线编号/r/nIB-WLSB-03-02/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n基线要求/r/n将重要或指定级别的日志发送到日志服务器或其它位置，进行安全存放，要/r/n求能追溯至少60天内的日志记录。/r/n备注/r/n基线名称/r/n基线名称/r/n配置安全事件日志记录/r/n基线编号/r/nIB-WLSB-03-03/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备应配置日志功能，记录对与设备自身相关的安全事件。/r/n备注/r/n基线名称/r/n基线名称/r/n配置操作日志/r/n基线编号/r/nIB-WLSB-03-04/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备应配置日志功能，记录用户对设备的操作，/r/n包括但不限于以下内容：账号创建、删除和权限修改，口令修改，/r/n读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通/r/n信隐私数据。/r/n记录需要包含用户账号，操作时间，操作内容以及操作结果。/r/n备注/r/n入侵防范/r/n基线名称/r/n基线名称/r/n开启告警功能/r/n基线编号/r/nIB-WLSB-04-01/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备应具备向管理员告警的功能，配置告警功能，报告对设备本身的攻击或/r/n者设备的系统严重错误。/r/n备注/r/n基线名称/r/n基线名称/r/n配置拒绝常见漏洞所对应端口或者服务的访问/r/n基线编号/r/nIB-WLSB-04-02/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n配置访问控制规则，拒绝对常见漏洞所对应端口或者服务的访问。/r/n备注/r/n基线名称/r/n基线名称/r/n防止仿冒ARP网关攻击/r/n基线编号/r/nIB-WLSB-04-03/r/n基线类型/r/n可选要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应对仿冒ARP网关攻击进行防护。/r/n备注/r/n基线名称/r/n基线名称/r/n配置网络层异常报文攻击告警/r/n基线编号/r/nIB-WLSB-04-04/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n基线要求/r/n配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关/r/n告警。/r/n备注/r/n基线名称/r/n基线名称/r/n关闭不必要的服务/r/n基线编号/r/nIB-WLSB-04-05/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应关闭设备上不必要的服务 /r/n(/r/n如/r/n/r/nCDP/r/n、/r/nDNS/r/n/r/nlookup/r/n、/r/nDHCP/r/n、/r/nfinger/r/n、/r/nudp-small-server/r/ntcp-small-server/r/nIP/r/nPAD/r/n等)。/r/n备注/r/n基线名称/r/n基线名称/r/n关闭不必要的服务-禁用FTP服务/r/n基线编号/r/nIB-WLSB-04-06/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备设备必须关闭非必要服务。禁用FTP服务。/r/n备注/r/nCisco/r/n/交换机安全基线技术要求/r/n网络设备防护/r/n基线名称/r/n基线名称/r/n使用认证服务器认证/r/n基线编号/r/nIB-CISCO（SW）-01-01/r/n基线类型/r/n强制要求/r/n适用范围基线要求/r/n

/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求。/r/n配置方法 /r/n参考配置操作/r/n1、Cisco(config)#aaanew-model/r/n2/r/nCisco(config)#aaaauthenticationlogindefaultgroup<server>local/r/n/r/n#<server/r/n（/r/n）/r/n3、Cisco(config)#aaaauthenticationenabledefaultgroup<server>enable/r/n4、Cisco(config)#end5、Cisco#write/r/n基线名称/r/n基线名称/r/n禁止无关账号/r/n基线编号/r/nIB-CISCO（SW）-01-02/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应删除与设备运行、维护等工作无关的账号。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#no/r/n/r/nusername/r/n/r/n<username> #其中<username>表示/r/n用户名。/r/n基线名称基线编号适用范围基线要求/r/n

/r/n口令加密/r/nIB-CISCO（SW）-01-03 /r/n基线类型 /r/n强制要求/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘静态口令应采用安全可靠的单向散列加密算法（如/r/n/r/nmd5/r/nsha1/r/n/r/n等）进行加密，并以密文形式存放。如使用/r/n/r/nenable/r/n/r/nsecret/r/n/r/n配置/r/n/r/nEnable/r/n/r/n密码，不使用enable/r/n/r/npassword/r/n配置/r/nEnable/r/n密码。/r/n配置方法 /r/n参考配置操作/r/n1/r/nCisco(config)#no/r/n/r/nenable/r/n/r/npassword /r/n#/r/n配置/r/nenable/r/n密码/r/n2/r/nCisco(config)#enable/r/n/r/nsecret/r/n/r/n<password> /r/n为口令/r/n3/r/nCisco(config)#username/r/n/r/n<username>/r/n/r/nsecret/r/n/r/n<password> 注/r/n若/r/n已/r/n用/r/n/r/npassword/r/n设置/r/n用/r/n户/r/n密/r/n码/r/n，/r/n则/r/n需/r/n要/r/n先删/r/n除/r/n用/r/n户/r/n(no/r/n/r/nusername/r/n<username>)，再使用secret设置用户密码。/r/n4/r/nCisco(config)#service/r/n/r/npassword-encryption #启用密码加密服/r/n5/r/nCisco(config)#end/r/n6、Cisco#write/r/n基线名称/r/n基线名称/r/n对用户设置授权等级/r/n基线编号/r/nIB-CISCO（SW）-01-04/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。/r/n配置方法/r/n参考配置操作/r/n1/r/n1/r/n/r/n、/r/n/r/nSwitch(config)#username <username> privilege/r/n<level>/r/n#<username>用户名，<level>权限级别。/r/n2、Switch(config)#end/r/n3、Switch#write/r/n基线名称/r/n基线名称/r/n避免共享账号/r/n基线编号/r/nIB-CISCO（SW）-01-05/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通/r/n信使用的账号共享。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#username<username>privilege<level>password/r/n<password>/r/n#<username>用户名、<level>权限级别、/r/n<password>用户口令。/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n配置console口密码保护/r/n基线编号/r/nIB-CISCO（SW）-01-06/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n配置console口密码保护功能。/r/n配置方法/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#lineconsole0/r/n2/r/nCisco(config-line)#login/r/n/r/nlocal/r/n3、Cisco(config-line)#password/r/n<password>/r/n#<password>为/r/nconsole口密码/r/n4、Cisco(config-line)#end/r/n5、Cisco#write/r/n基线名称/r/n基线名称/r/n管理默认账号与口令/r/n基线编号/r/nIB-CISCO（SW）-01-07/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应删除或锁定默认或缺省账号与口令。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#nousernamecisco/r/n#删除cisco账号/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭未使用的管理口/r/n基线编号/r/nIB-CISCO（SW）-01-08/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备应关闭未使用的管理口（AUX、或者没开启业务的端口）/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#interface<接口>/r/n1、Cisco(config)#interface<接口>/r/n2、Cisco(config-if)#shutdown/r/n#关闭未使用的接口。/r/n3、Cisco(config-if)#end/r/n4、Cisco#write/r/n基线名称基线编号适用范围基线要求配置方法/r/n

/r/n远程管理通信安全-SSH/r/nIB-CISCO（SW）-01-09 /r/n基线类型 /r/n强制要求/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）□涉核心商秘对于使用/r/n/r/nIP/r/n/r/n协议进行远程维护的设备，设备应配置使/r/n用/r/nSSH/r/n/r/n等加密协议/r/n参考配置操作/r/n1/r/n、/r/nCisco(config)#ip/r/n/r/ndomain-name/r/n/r/n<domain_name> #/r/n配置域名/r/n<domain_name>域名名称可自定义2、Cisco(config)#aaanew-model/r/n3、Cisco(config)#cryptokeygeneratersa4、Cisco(config)#linevty04/r/n5/r/nCisco(config-line)#transport/r/n/r/ninput/r/n/r/nssh #配置仅允许/r/n/r/nssh/r/n/r/n远程登/r/n6/r/nCisco(config-line)#end/r/n7、Cisco#write/r/n基线名称/r/n基线名称/r/n使用SNMPV3版本/r/n基线编号/r/n基线编号/r/nIB-CISCO（SW）-01-10/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对于支持SNMPV3版本的设备，必须使用V3版本SNMP协议。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#snmp-serverhost<ip>version3auth<username>/r/n#其中<ip>表示IP，<username>表示用户名。/r/n2、Cisco(config-line)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/nSNMP配置-修改SNMP的默认Community/r/n基线编号/r/nIB-CISCO（SW）-01-11/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n修改SNMP的Community默认团体字符串，字符串应符合口令强度要求。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#snmp-servercommunity[name]/r/n#删除名称为/r/npublic，并修改SNMPcomm团体名/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n限制可发起SNMP的源IP/r/n基线编号/r/nIB-CISCO（SW）-01-12/r/n基线类型/r/n强制要求/r/n适用范围/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#access-list<tag><access-list>/r/n#<tag>表示/r/naccess-list标号，<access-list>表示acl规则内容。/r/n2、Cisco(config)#snmp-servercommunity<name><ro/rw><tag>/r/n#<name>表示community名称，<ro/rw>表示分配的权限。/r/n3、Cisco(config)#end/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/nSNMP服务读写权限管理/r/n基线编号/r/nIB-CISCO（SW）-01-13/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n未使用SNMP的WRITE功能时，禁用SNMP的写（WRITE）功能。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#snmp-servercommunity<name><RO>[<tag>]/r/n#<name>表示community名称，<RO/RW>表示分配的权限，<tag>表/r/n示access-list标号。/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n限制NTP通信地址范围/r/n基线编号/r/nIB-CISCO（SW）-01-14/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n通过ACL对NTP服务器与设备间的通信进行控制。/r/n配置方法/r/n参考配置操作/r/n1/r/n/r/n、/r/n/r/nCisco(config)#ntp access-group peer <tag>/r/n#<tag>表示/r/naccess-list标号。/r/n2、Ciscoh(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/nVTY端口防护策略/r/n基线编号/r/nIB-CISCO（SW）-01-15/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应限制VTY口的数量，通常情况下VTY口数量不超过16个。应设定VTY/r/n口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的/r/n（/r/n如：网管系统尽量采用/r/nsnmp方式对设备进行操作，避免使用对设/r/n备/r/nCPU负载较大的telnet/r/n）/r/n配置方法/r/n参考配置操作/r/n1、vty不能删除，仅提供检查作用，不提供配置方法。/r/n基线名称基线编号适用范围基线要求配置方法/r/n

/r/n远程主机IP地址段限制/r/nIB-CISCO（SW）-01-16 /r/n基线类型 /r/n强制要求/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘应通过/r/nACL/r/n限制可远程管理设备的/r/nIP/r/n地址段。/r/n参考配置操作/r/n1/r/n、/r/nCisco(config)#access-list <tag>/r/n/r/n<access-list> #<tag>/r/n/r/n表/r/naccess-list/r/n标号/r/n表示/r/nACL/r/n规则内容。/r/n2/r/nCisco(config)#line/r/n/r/nvty/r/n/r/n<num1>/r/n/r/n[<num2>] #<num1>、<num2>/r/n（可选）表示要配置的vty起止序号。/r/n3/r/nCisco(config-line)#access-class/r/n/r/n<tag>/r/n/r/n<in/out> /r/n要过滤的连接的类型。/r/n4、Cisco(config-line)#end5、Cisco#write/r/n基线名称/r/n基线名称/r/n报文速率限制/r/n基线编号/r/nIB-CISCO（SW）-01-17/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n对广播/组播/未知单播报文速率限制和阻断。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#配置指定接口/r/n2、Cisco(config-if)#storm-controlbroadcastlevel<threshold>#配置/r/n广播报文限制/r/n广播报文限制/r/n3/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#配置指定接口/r/n4/r/nCiscoh(config-if)#storm-control/r/n/r/nmulticast/r/n/r/nlevel/r/n/r/n<threshold> #配/r/n置组播报文限制/r/n5/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#配置指定接口/r/n6、Cisco(config-if)#storm-controlunicastlevel<threshold>/r/n#配/r/n置单播报文限制/r/n7、Cisco(config-if)#end/r/n8、Cisco#write/r/n基线名称/r/n基线名称/r/n已对命令设置授权等级/r/n基线编号/r/nIB-CISCO（SW）-01-18/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。/r/n配置方法/r/n参考配置操作/r/n1/r/n、/r/nCisco(config)#privilegeconfigurelevel7/r/n/r/nsnmp-server/r/nsnmp-server命令设置授权等级/r/n2、Cisco(config)#privilegeexeclevel7ping/r/n#对ping命令设置授/r/n权等级/r/n3、Cisco(config)#privilegeexeclevel7configure/r/n#对configure命/r/n令设置授权等级/r/n4、Cisco(config)#end/r/n4、Cisco(config)#end/r/n5、Cisco#writee/r/n基线名称/r/n基线名称/r/n修改缺省BANNER/r/n基线编号/r/nIB-CISCO（SW）-01-19/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n要修改缺省器缺省BANNER语，BANNER最好不要有系统平台或地址等有/r/n碍安全的信息。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#banner/r/n/r/n<options> #<options>表示/r/n/r/nbanner/r/n/r/n命令的/r/n参数/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n会话超时配置/r/n基线编号/r/nIB-CISCO（SW）-01-20/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/nTELNET/r/nSSH/r/nHTTP/r/n等管理连接和/r/nCONSOLE/r/n口登录连接等。/r/n配置方法/r/n参考配置操作/r/n1、console口会话超时配置/r/n1/r/n、/r/ne/r/n/r/ne/r/n/r/n0/r/n（2/r/n、/r/n/r/nCisco(config-line)#exec-timeout <mins> [<seconds>]/r/n#<mins>单位为分，<seconds>单位为秒。/r/n2、vty口会话超时配置/r/n1/r/n、/r/ne/r/n/r/ny/r/n/r/n>/r/n/r/n#<num1>，/r/n<num2>(可选)表示要配置的vty起止序号。/r/n（ 2 ）/r/n/r/n、 Cisco(config-line)#exec-timeout/r/n<mins>/r/n[<seconds>]/r/n3/r/n、/r/n4/r/n、/r/n访问控制/r/n基线名称/r/n基线名称/r/n限制非法数据流/r/n基线编号/r/nIB-CISCO（SW）-02-01/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n通过ACL实现对地址为未注册或私有的非法数据流的控制。/r/n配置方法/r/n参考配置操作/r/n1/r/n、/r/nCisco(config)#access-list <tag>/r/n/r/n<access-list>/r/n#<tag>表示/r/naccess-list标号，其中，<access-list>表示ACL规则内容。/r/n2/r/nCisco(config)#interface/r/n/r/n<InterfaceName> #接口名称/r/n3、Cisco(config-if)#ipaccess-group<tag><in|out>/r/n3、Cisco(config-if)#ipaccess-group<tag><in|out>/r/n#对进或出的/r/n流量进行限制。/r/n4、Cisco(config-if)#end/r/n5、Cisco#write/r/n基线名称基线编号适用范围基线要求/r/n

/r/n对设备引擎直接处理的流量进行控制/r/nIB-CISCO（SW）-02-02 /r/n基线类型 /r/n强制要求/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘使用合理的/r/n/r/nACL/r/n/r/n或其它分组过滤技术/r/n对设备控制流量/r/n管理流量及其它由设备引擎直接处理的流量（如/r/n/r/n、ICMP/r/n/r/n流量）进行控制，实现对设备引擎的保护。/r/n配置方法 /r/n参考配置操作/r/n1/r/n/r/n、/r/n/r/nCisco(config)#access-list <tag> <access-list> #<tag>表/r/n/r/naccess-list/r/n标号 <access-list>表示/r/nACL/r/n规则具体内容/r/n2/r/nCisco(config)#class-map/r/n/r/nmatch-all/r/n/r/n<cmaptag> /r/n示/r/nclass-map/r/n标号/r/n3/r/nCisco(config-cmap)#match/r/n/r/naccess-group/r/n/r/n<tag>4/r/nCisco(config-cmap)#exit/r/n5/r/n/r/n、/r/n/r/nCisco(config)#policy-map <pmaptag> #<pmaptag>表/r/n/r/n示policy-map/r/n标号/r/n6、Cisco(config-pmap)#class<cmaptag>/r/n7/r/n7/r/nCisco(config-pmap-c)#police/r/n/r/n<policy> /r/n表示策略具体类/r/n容/r/n8、Cisco(config-pmap-c)#exit/r/n9、Cisco(config-pmap)#exit/r/n10/r/nCisco(config)#control-planeslot<slotid>/r/n#将policy-map应用/r/n到slot/r/n11、Cisco(config-cp)#service-policy/r/n/r/ninput/r/n/r/n<pmaptag>/r/n12、Cisco(config-cp)#end/r/n13、Cisco#write/r/n安全审计/r/n基线名称/r/n基线名称/r/n日志存储位置/r/n基线编号/r/nIB-CISCO（SW）-03-01/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备应支持远程日志功能，所有设备日志均能通过远程日志功能传输到日志/r/n服务器，设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP/r/n等。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#logginghost<ip地址>/r/n#<ip地址>为远程日志服务/r/n器地址。/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n配置发送系统日志的源地址/r/n基线编号/r/nIB-CISCO（SW）-03-03/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应设置发送systemlog的源地址为loopback地址。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#logging/r/n/r/nsource-interface/r/n/r/nloopback0/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n禁止系统日志向控制台输出/r/n基线编号/r/nIB-CISCO（SW）-03-04/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n设备的Systemlogmessages不记录到控制台。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#nologgingconsole/r/n2、Cisco(config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/nVTY端口访问的认证/r/n基线编号适用范围基线要求/r/n

/r/nIB-CISCO（SW）-03-05 /r/n基线类型 /r/n强制要求/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘对于/r/n/r/nVTY/r/n/r/n口访问的认证/r/n应采用认证服务器认证或者本地认证的方式/r/n避/r/n使用/r/nVTY/r/n/r/n口下设置密码的方式认证。/r/n配置方法 /r/n参考配置操作/r/n1 、 Cisco(config)#aaa authentication login <name> group/r/n<authentication_server/r/n>/r/nlocal /r/n器认证失败则使用本地认证。/r/n2、Cisco(config)#linevty04/r/n3、Cisco(config-line)#loginauthentication<name>#<name>引用步骤1创建的认证方案/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/n使用认证服务器审计系统行为/r/n基线编号/r/nIB-CISCO（SW）-03-06/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n采用本地或采用与认证服务器（RADIUS或TACACS服务器）联动（优选/r/n方式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括/r/n但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以/r/n及远程登录时用户使用的IP地址。/r/n主要审计以下行为：/r/n1、系统行为/r/n2、设备操作/r/n2、设备操作/r/n3、设备命令执行/r/n4、网络行为/r/n配置方法/r/n参考配置操作/r/n1、使用认证服务器审计系统行为/r/nCisco(config)#aaa accounting system default start-stop group/r/n<server>/r/n#<server>为认证服务器名称。/r/n2、使用认证服务器审计设备操作/r/nCisco(config)#aaaaccountingexecdefaultstart-stopgroup<server>/r/n3、使用认证服务器审计设备命令执行/r/nCisco(config)#aaaaccountingcommands<level>defaultstart-stop/r/ngroup/r/n4、使用认证服务器审计网络行为/r/nCisco(config)#aaa accounting network default start-stop group/r/n<server>/r/n入侵防范/r/n基线名称/r/n基线名称/r/n配置端口安全防护/r/n基线编号/r/nIB-CISCO（SW）-04-01/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n基线要求/r/n配置交换机端口安全策略，保证网络安全。如配置portsecurity特性，指/r/n定Access、trunk接口类型等。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#配置指定物理接口的/r/nswitchport模式/r/n2/r/nCisco(config-if)#switchport/r/n/r/nmode/r/n/r/n<mode> #<mode>接口类型为/r/nAccess或者trunk/r/n3、Cisco(config-if)#end/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/n已知典型攻击防护/r/n基线编号/r/nIB-CISCO（SW）-04-02/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n过滤已知攻击：在网络边界，设置安全访问控制，过滤掉已知安全攻击数据/r/n包，例如/r/nudp1434/r/n端口/r/n（/r/n防止/r/nSQLslammer/r/n蠕虫/r/ntcp5800/r/n5900、/r/n445（/r/n防止/r/nDella/r/n蠕虫/r/ntcp/r/n/r/n5554、9996/r/n4444（应该配置对震荡波端口/r/n及/r/nBlaster端口的防护/r/n。/r/n配置方法/r/n参考配置操作/r/n1、配置对SQLslammer蠕虫的防护/r/n1/r/n、/r/nt/r/n/r/n>/r/n/r/ny/r/n/r/np/r/n/r/ny/r/n/r/ny/r/n/r/nq/r/n/r/n#<tag>表示access-list标号/r/n2、应配置对Della蠕虫的防护/r/n、Cisco(config)#access-list<tag>denytcpanyanyeq445/r/n/r/n#<tag/r/naccess-list/r/n、Cisco(config)#access-list<tag>denytcpanyanyeq/r/n/r/n5800/r/n、Cisco(config)#access-list<tag>denytcpanyanyeq5900/r/n/r/n3/r/nBlaster/r/n、Cisco(config)#access-list<tag>denytcpanyanyeq5554/r/n/r/n#<tag/r/naccess-list/r/n、Cisco(config)#access-list<tag>denytcpanyanyeq/r/n/r/n9996/r/n、Cisco(config)#access-list<tag>denytcpanyanyeq4444/r/n/r/n4/r/nACL/r/n、Cisco(config)#interface/r/n/r/n<InterfaceName> #接口名称/r/n、Cisco(config-if)#ip/r/n/r/naccess-group/r/n/r/n<tag/r/n>/r/nin/r/n、Cisco(config-if)#end/r/n、Cisco#write/r/n基线名称/r/n基线名称/r/n配置MAC攻击防护/r/n基线编号/r/nIB-CISCO（SW）-04-03/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n通过相应的策略配置，对各种MAC地址表攻击、ARP攻击、Vlan攻击、/r/nSTP攻击、DHCP攻击进行防护。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#interface<InterfaceName>/r/n#配置指定接口允许/r/n的最大地址数。/r/n2/r/n/r/n、/r/n/r/nCisco(config-if)#switchport port-security/r/nmaximum <num>/r/n#<num>表示最大地址数。/r/n3、Cisco(config-if)#end/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/n配置VLAN攻击防护/r/n基线编号/r/nIB-CISCO（SW）-04-04/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n通过相应的策略配置，对各种MAC地址表攻击、ARP攻击、Vlan攻击、/r/nSTP攻击、DHCP攻击进行防护。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#进入指定接口/r/n2、Cisco(config-if)#switchporttrunkallowedvlan<vlanid>/r/n#配置/r/ntrunk模式的接口允许的VLAN。/r/n3、Cisco(config-if)#end/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/n典型协议报文防护/r/n基线编号/r/nIB-CISCO（SW）-04-05/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应对典型协议报文的攻击进行防护。/r/n配置方法/r/n参考配置操作/r/n1、配置HSRP报文防护/r/n1/r/n、/r/ne/r/n/r/n2/r/n、/r/ny/r/n1/r/n/r/nn/r/n/r/nmd5/r/n/r/n<key>/r/n2、配置VRRP报文防护/r/n1/r/n、/r/ne/r/n/r/n（2/r/n、/r/nCisco(config-if)#vrrp 1authenticationmd5/r/n/r/nkey-string/r/n<key>/r/n3/r/n、/r/n4/r/n、/r/n基线名称/r/n基线名称/r/n配置预防源地址伪造攻击/r/n基线编号/r/nIB-CISCO（SW）-04-06/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应采用uRPF技术预防伪造源地址的攻击。/r/n配置方法/r/n参考配置操作/r/nCisco(config)#interface/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#<InterfaceName>表/r/n示接口名称。/r/nCisco(config-if)#ipverifyunicastsourcereachable-viaany/r/nCisco(config-if)#end/r/nCisco#write/r/n基线名称/r/n基线名称/r/n配置ARP攻击防护/r/n基线编号/r/nIB-CISCO（SW）-04-07/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n应对仿冒ARP网关攻击进行防护。/r/n配置方法/r/n参考配置操作/r/n1/r/n、/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#<InterfaceName>/r/n表示接口名称/r/n2、Cisco(config-if)#switchportport-securityviolationrestrict/r/n3、Cisco(Config-if)#end/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭不必要的功能-禁用TCPSmall/r/n基线编号/r/nIB-CISCO（SW）-04-08/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n禁用TCPsmall服务。/r/n配置方法/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#noservicetcp-small-servers/r/n2、Cisco(Config-if)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭不必要的功能禁用-PROXYARP/r/n基线编号/r/nIB-CISCO（SW）-04-09/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n禁用PROXYARP功能。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#interface/r/n/r/n<InterfaceName>/r/n#<InterfaceName>/r/n表示接口名称/r/n2、Cisco(config-if)#noipproxy-arp/r/n3、Ciscoh(Config-if)#end/r/n基线名称/r/n基线名称/r/nIP/r/n/r/nmask-reply/r/n基线编号/r/nIB-CISCO（SW）-04-10/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n在非可信网段内禁用IP掩码响应功能。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#interface<InterfaceName>/r/n#<InterfaceName>/r/n表示接口名称。/r/n2、Ciscoconfig-if)#noipmask-reply/r/n2、Ciscoconfig-if)#noipmask-reply/r/n3、Cisco(config-if)#end/r/n基线名称/r/n基线名称/r/n应关闭所有接口的CDP协议/r/n基线编号/r/nIB-CISCO（SW）-04-11/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n禁用CDP服务。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(Config)#nocdprun/r/nCisco(Config)#interface/r/n<interface>/r/n#<interface>表示接口名称。/r/n3、Cisco(Config-if)#nocdpenable/r/n4、Cisco(Config-if)#end/r/n5、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭不必要的服务-禁用UDPSmall服务/r/n基线编号/r/nIB-CISCO（SW）-04-12/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n禁用UDPSmall服务。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#noserviceudp-small-servers/r/n2、Cisco(Config-if)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭不必要的服务-禁用Finger服务/r/n基线编号/r/nIB-CISCO（SW）-04-13/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n禁用Finger服务。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(config)#noipfinger/r/n2、Cisco(Config)#end/r/n3、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭不必要的协议-PAgP/r/n基线编号/r/nIB-CISCO（SW）-04-14/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#interface<interface>/r/n#<interface>表示接口名/r/n称。/r/n2、Cisco(config-if)#nopagplearn-method/r/n3、Cisco(config-if)#end/r/n4、Cisco#write/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭不必要的协议-LACP/r/n基线编号/r/nIB-CISCO（SW）-04-15/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。/r/n配置方法/r/n参考配置操作/r/n1/r/nCisco(config)#interface/r/n/r/n<interface> 接口名称/r/n2、Cisco(config-if)#nolacpport-priority/r/n3、Cisco(config-if)#end/r/n4、Cisco#write/r/n基线名称/r/n基线名称/r/n关闭不必要的协议-flowcontrol/r/n基线编号/r/nIB-CISCO（SW）-04-16/r/n基线类型/r/n强制要求/r/n适用范围/r/n等保一、二级 □等保三级 □涉普通商秘（工作秘密）/r/n/r/n□涉核心商秘/r/n基线要求/r/n在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。/r/n配置方法/r/n参考配置操作/r/n1、Cisco(Config)#interface<interface>/r/n#<interface>表示接口名/r/n称。/r/n2、Cisco(Config-if)#flowcontro