Cisco路由器安全配置基线

Cisco路由器安全配置基线中国移动通信有限公司管理信息系统部2012年04月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月V2.0更新2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 1目的 1适用范围 1\o"CurrentDocument"适用版本 1实施 1\o"CurrentDocument"例外条款 1\o"CurrentDocument"第2章帐号管理、认证授权安全要求 2帐号管理 2用户帐号分配* 2删除无关的帐号* 3\o"CurrentDocument"限制具备管理员权限的用户远程登录* 4\o"CurrentDocument"口令 5\o"CurrentDocument"静态口令以密文形式存放 5\o"CurrentDocument"帐号、口令和授权 6密码复杂度 7\o"CurrentDocument"授权 8\o"CurrentDocument"用IP协议进行远程维护的设备使用阳等加密协议 8\o"CurrentDocument"第3章 日志安全要求 11\o"CurrentDocument"日志安全 11\o"CurrentDocument"对用户登录进行记录 11\o"CurrentDocument"记录用户对设备的操作 12\o"CurrentDocument"开启NTP服务保证记录的时间的准确性 13\o"CurrentDocument"远程日志功能* 14\o"CurrentDocument"第4章 IP协议安全要求 17\o"CurrentDocument"IP协议 17\o"CurrentDocument"配置路由器防止地址欺骗 17\o"CurrentDocument"系统远程服务只允许特定地址访问 18\o"CurrentDocument"过滤已知攻击 20功能配置 21功能禁用* 21\o"CurrentDocument"启用协议的认证加密功能* 23\o"CurrentDocument"启用路由协议认证功能* 24\o"CurrentDocument"防止路由风暴 26\o"CurrentDocument"防止非法路由注入 27\o"CurrentDocument"SNMP的Community默认通行字口令强度 28\o"CurrentDocument"只与特定主机进行SNMP协议交互 29\o"CurrentDocument"配置SNMPV2或以上版本 30\o"CurrentDocument"关闭未使用的SNMP协议及未使用RW权限 31\o"CurrentDocument"LDP协议认证功能 31\o"CurrentDocument"第5章其他安全要求 33\o"CurrentDocument"其他安全配置 33\o"CurrentDocument"关闭未使用的接口 33\o"CurrentDocument"修改路由缺省器缺省ANNM语 34\o"CurrentDocument"配置定时账户自动登出 34\o"CurrentDocument"配置consol口密码保护功能 36\o"CurrentDocument"关闭不必要的网络服务或功能 37\o"CurrentDocument"端口与实际应用相符 3840第6章评审与修订40第1章概述1.1目的本文档规定了中国移动管理信息系统部所维护管理的Cisco路由器应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Cisco路由器的安全配置。1.2适用范本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的Cisco路由器。1.3适用版本Cisco路由器。1.4实施本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。本标准发布之日起生效。1.5例外条款欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*安全基线项目名称用户帐号分配安全基线要求项安全基线编号SBL-CiscoRouter-02-01-01安全基线项说明应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernameruser1password3d-zirc0niaRouter(config)#usernameruser1privilege1Router(config)#usernameruser2password2B-or-3BRouter(config)#usernameruser2privilege1Router(config)#endRouter#.补充操作说明基线符合性判定依据.判定条件.配置文件中，存在不同的帐号分配.网络管理员确认用户与帐号分配关系明确.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration...Currentconfiguration:!

servicepassword-encryptionusernameruseripassword3d-zirc0niausernameruseriprivilege1usernameruser2password2B-or-3Busernameruser2privilege13.补充说明使用共享帐号容易造成职责不清备注需要手工检查，由管理员确认帐号分配关系。2.1.2删除无关的帐号*安全基线项目名称无关的帐号安全基线要求项安全基线编号SBL-CiscoRouter-02-01-02安全基线项说明应删除与设备运行、维护等工作无关的帐号。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#nousernameruser3.补充操作说明基线符合性判定依据1.判定条件.配置文件存在多帐号.网络管理员确认所有帐号与设备运行、维护等工作有关.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration...Currentconfiguration:!usernameuser1privilege1passwordpassword]usernamenobodyuseprivilege1passwordpassword].补充说明删除不用的帐号，避免被利用

备注需要手工检查，由管理员判断是否存在无关帐号2.1.3限制具备管理员权限的用户远程登录*安全基线项目名称限制具备管理员权限的用户远程登录安全基线要求项安全基线编号SBL-CiscoRouter-02-01-03安全基线项说明限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再通过enable命令进入相应级别再后执行相应操作。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50Router(config-line)#end.补充操作说明设定帐号密码加密保存创建normaluser帐号并指定权限级别为1；设定远程登录启用路由器帐号验证；设定超时时间为5分钟；基线符合性判定依据.判定条件VTY使用用户名和密码的方式进行连接验证2、帐号权限级别较低，例如：I.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryptionusernamenormaluserpassword3d-zirc0niausernamenormaluserprivilege1

linevty04loginlocal3.补充说明会导致远程攻击者通过黑客工具猜解帐号口令备注根据业务场景，自动化系统如果无法实现可不选此项，人工登录操作需要遵守此项规范。2.2口令2.2.1静态口令以密文形式存放安全基线项目名称静态口令安全基线要求项安全基线编号SBL-CiscoRouter-02-02-01安全基线项说明静态口令必须使用不可逆加密算法加密，以密文形式存放。如使用 enablesecret配置Enable密码，不使用enablepassword配置Enable密码。检测操作步骤.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#enablesecret2-mAny-rOUtEsRouter(config)#noenablepasswordRouter(config)#end.补充操作说明基线符合性判定依据.判定条件配置文件无明文密码字段.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration...Currentconfiguration:!servicepassword-encryption

enablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2gusernameciscoadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb3.补充说明如果不加密，使用showrunning-config命令，可以看到未加密的密码备注2.2.2帐号、口令和授权安全基线项目名称帐号、口令和授权安全基线要求项安全基线编号SBL-CiscoRouter-02-02-02安全基线项说明设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。检测操作步骤.参考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#.补充操作说明与外部TACACS+server8联动，远程登录使用TACACS+serverya验证基线符合性判定依据.判定条件帐号、口令配置，指定了认证系统.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration...Currentconfiguration:!

aaanew-modelaaaauthenticationlogindefaultgrouptacacs+aaaauthenticationenabledefaultgrouptacacs+tacacs-serverhost8tacacs-serverkeyIr3@1yh8n#w9@swD补充说明备注2.2.3密码复杂度安全基线项目名称密码复杂度安全基线要求项安全基线编号SBL-CiscoRouter-02-02-03安全基线项说明对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤.参考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaauthenticationlogindefaultgrouptacacs+Router(config)#aaaauthenticationenabledefaultgrouptacacs+Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#.补充操作说明与外部TACACS+server8联动，远程登录使用TACACS+serverya验证；口令强度由TACACS+server控制基线符合性判定依据备注

2.3授权2.3.1用IP协议进行远程维护的设备使用SSH等加密协议安全基线项目名称安全基线编号安全基线项说明IP协议进行远程维护的设备安全基线要求项SBL-CiscoRouter-02-03-01对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。检测操作步骤.参考配置操作. 配置主机名和域名router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.router(config)#hostnameRouterRouter(config)#ipdomain-nameRouter.domain-name.配置访问控制列表Router(config)#noaccess-list12Router(config)#access-list12permithost00Router(config)#linevty04Router(config-line)#access-class12inRouter(config-line)#exit.配置帐号和连接超时Router(config)#servicepassword-encryptionRouter(config)#usernamenormaluserpassword3d-zirc0niaRouter(config)#usernamenormaluserprivilege1Router(config)#linevty04Router(config-line)#loginlocalRouter(config-line)#exec-timeout50.生成rsa密钥对Router(config)#cryptokeygeneratersaThenameforthekeyswillbe:Router.domain-nameChoosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:2048GeneratingRSAKeys...[OK].配置仅允许ssh远程登录Router(config)#linevty04

Router(config-line)#transportinputsshRouter(config-line)#exitRouter(config)#2.补充操作说明配置描述：.配置ssh要求路由器已经存在主机名和域名.配置访问控制列表，仅授权00访问00ssh.配置远程访问里连接超时.生成rsa密钥对，如果已经存在可以使用以前的。默认存在rsa密钥对sshd就启用，不存在rsa密钥对sshd就停用。.配置远程访问协议为ssh基线符合性判定依据.判定条件.存在rsa密钥对.远程登录指定ssh协议.检测操作.使用showcryptokeymypubkeyrsa命令，如下例：Router(config)#showcryptokeymypubkeyrsa%Keypairwasgeneratedat:06:07:49UTCJan131996Keyname:Usage:SignatureKeyKeyData:005C300D06092A864886F70D0101010500034B003048024100C5E23B55D6AB2204AEF1BAA54028A69ACC01C5129D99E464CAB820847EDAD9DF0B4E4c73A05DD2BD62A8A9FA603DD2E2A8A6F898F76E28D58AD221B583D7A4710203010001%Keypairwasgeneratedat:06:07:50UTCJan131996Keyname:Usage:EncryptionKeyKeyData:003020174A7D385B1234EF29335FC9732DD50A37C4F4B0FD9DADE748429618D518242BA32EDFBDD34296142ADDF7D3D8084076852F2190A00B43F1BD9A8A26DB07953829791FCDE9A98420F06A82045B90288A26DBC644687789F76EEE21.使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration...Currentconfiguration:!linevty04

transportinputssh3.补充说明使用非加密协议在传输过程中容易被截获口令备注第3章日志安全要求3.1日志安全3.1.1对用户登录进行记录安全基线项目名称用户登录进行记录安全基线要求项安全基线编号SBL-CiscoRouter-03-01-01安全基线项说明与记账服务器（如RADIUS服务器或TACACS服务器）配合，设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的帐号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。检测操作步骤.参考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingconnectiondefaultstart-stopgrouptacacs+Router(config)#aaaaccountingexecdefaultstart-stopgrouptacacs+Router(config)#endRouter1#.补充操作说明使用TACACS+server基线符合性判定依据.判定条件配置了AAA模板的上述具体条目.检测操作使用showrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration...Currentconfiguration:!aaanew-modelaaaauthenticationlogindefaultgrouptacacs+aaaauthorizationexecdefaultgrouptacacs+

aaasession-idcommon补充说明备注3.1.2记录用户对设备的操作安全基线项目名称用户对设备记录安全基线要求项安全基线编号SBL-CiscoRouter-03-01-02安全基线项说明与记账服务器（如TACACS服务器）配合，设备应配置日志功能，记录用户对设备的操作，如帐号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户帐号，操作时间，操作内容以及操作结果。检测操作步骤.参考配置操作Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#aaanew-modelRouter(config)#aaaaccountingcommands1defaultstart-stopgrouptacacs+Router(config)#aaaaccountingcommands15defaultstart-stopgrouptacacs+Router(config)#endRouter1#.补充操作说明使用TACACS+server基线符合性判定依据L判定条件配置了AAA模板的上述具体条目2.检测操作使用showrunning-config命令，如下例：router1#showrunn|includeaaaBuildingconfiguration...Currentconfiguration:!aaanew-modelaaaaccountingcommands1defaultstart-stopgrouptacacs+aaaaccountingcommands15defaultstart-stopgrouptacacs+

补充说明备注3.1.3开启NTP服务保证记录的时间的准确性安全基线项目名称记录的时间的准确性安全基线要求项安全基线编号SBL-CiscoRouter-03-01-03安全基线项说明开启NTP服务，保证日志功能记录的时间的准确性。检测操作步骤.参考配置操作配置命令如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#nontpdisableRouter(config-if)#exitRouter(config)#ntpserversourceloopback。Router(config)#exit.补充操作说明需要到每个端口开启NTP基线符合性判定依据.判定条件.存在ntpserver配置条目.日志记录时间准确.检测操作使用showrunning-config命令，如下例：router#showrunning-configBuildingconfiguration...Currentconfiguration:!…nontpdisablentpupdate-calendarntpserverntpserver

II.showlogging|includeNTP000019:Jan2910:57:52.633EST:%NTP-5-PEERSYNC:NTPsyncedtopee000020:Jan2910:57:52.637EST:%NTP-6-PEERREACH:Peerisreachable3.补充说明日志时间不准确导致安全事件定位的不准确备注3.1.4远程日志功能*安全基线项目名称远程日志功能安全基线要求项安全基线编号SBL-CiscoRouter-03-01-04安全基线项说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤.参考配置操作路由器侧配置：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/ZRouter(config)#loggingonRouter(config)#loggingtrapinformationRouter(config)#logging00Router(config)#loggingfacilitylocal6Router(config)#loggingsource-interfaceloopback。Router(config)#exitRouter#showloggingSysloglogging:enabled(0messagesdropped,11flushes,Ooverruns)Consolelogging:levelnotifications,35messagesloggedMonitorlogging:leveldebugging,35messagesloggedBufferlogging:levelinformational,31messagesloggedLoggingto00,28messagelineslogged♦♦Router#.补充操作说明假设把router日志存储在00的syslog服务器上路由器侧配置描述如下：

启用日志记录日志级别设定“information”记录日志类型设定“local6”日志发送到00日志发送源是loopback。配置完成可以使用“showlogging”验证服务器侧配置参考如下：Syslog服务器配置参考：在Syslog.conf上增加一行#Saveroutermessagestorouters.loglocal6.debug/var/log/routers.log创建日志文件#touch/var/log/routers.logII.如果使用snmp存储日志参考配置如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#loggingtrapinformationRouter(config)#snmp-serverhost00trapspublicRouter(config)#snmp-servertrap-sourceloopback0Router(config)#snmp-serverenabletrapssyslogRouter(config)#exit基线符合性判定依据.判定条件Sysloglogging和SNMPlogging至少有一个为“enabled”Loggingto后面的主机名或IP指向日志服务器通常记录日志数不为0.检测操作使用showlogging命令，如下例：Router#showloggingSysloglogging:enabledConsolelogging:disabledMonitorlogging:leveldebugging,266messageslogged.Traplogging:levelinformational,266messageslogged.Loggingto38SNMPlogging:disabled,retransmissionafter30seconds0messagesloggedRouter#

3.补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。建议核心设备必选，其它根据实际情况启用第4章IP协议安全要求IP协议.1.1配置路由器防止地址欺骗安全基线项目名称配置路由器防止地址欺骗安全基线要求项安全基线编号SBL-CiscoRouter-04-01-01安全基线项说明配置路由器，防止地址欺骗。检测操作步骤1.参考配置操作对向内流量配置：Router(config)#noaccess-list100Router(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyip55anylogRouter(config)#access-list100denyiphost55anylogRouter(config)#access-list100permitipany55Router(config)#access-list100denyipanyanylogRouter(config)#interfaceeth0Router(config-if)#descriptionExternalinterfaceto192.168.0./16netRouter(config-if)#ipaddress0Router(config-if)#ipaccess-group100inRouter(config-if)#exitRouter(config)#interfaceeth1Router(config-if)#descriptionInternalinterfaceto/24netRouter(config-if)#ipaddress50Router(config-if)#end对向外流量配置：

Router(config)#noaccess-list102Router(config)#access-list102permitip55anyRouter(config)#access-list102denyipanyanylogRouter(config)#interfaceeth0/1Router(config-if)#description"internalinterface"Router(config-if)#ipaddress50Router(config-if)#ipaccess-group102in2.补充操作说明假设内部网络是基线符合性判定依据.判定条件各接口只转发属于自己ip范围内的源地址数据包流出.检测操作使用showrunning-config命令，如下例：router#showrunning-config…access-list10denyip55anylogaccess-list10denyip55anylog…intf1/1descriptiontheoutsideinterfaceofpermeterrouteripaccess-group10in…access-list11permitip55anyaccess-list11denyipanyanyloginterfaces1/1descriptioninsideinterfaceofperimeterrouteripaddress54ipaccess-group11in.补充说明地址欺骗可以造成内部网络的混乱，让某些被欺骗的计算机无法正常访问内外网，让网关无法和客户端正常通信。备注4.1.2系统远程服务只允许特定地址访问安全基线项目名称系统远程服务只允许特定地址访问安全基线要求项

安全基线编号SBL-CiscoRouter-04-01-02安全基线项说明路由器以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置路由器，只允许特定主机访问。检测操作步骤.参考配置操作例如：要配置允许目的为的所有DNS访问流量Router(config)#noaccess-list140Router(config)#access-list140permitudpanyhosteq53Router(config)#access-list140denyudpanyanylog例如：要配置仅允许00访问路由器Router(config)#noaccess-list12Router(config)#access-list12permithost00.补充操作说明基线符合性判定依据.判定条件相关服务存在access绑定.检测操作使用showrunning-config命令，如下例：router#showrunning-config…!telnet、ssh服务器linevty04loginlocalaccess-class2inexec-timeout100exit…!NTP服务器access-list1permit55ntpaccess-groupquery-only1…!ftp、tftp服务器ipftpsource-interfacefastEthernet0/0iptftpsource-interfacefastEthernet0/03.补充说明对不信任的主机开启NTP、FTP等服务，会加大设备的危险备注

4.1.3过滤已知攻击安全基线项目名称过滤已知攻击安全基线要求项安全基线编号SBL-CiscoRouter-04-01-03安全基线项说明过滤已知攻击：在网络边界，设置安全访问控制，过滤掉已知安全攻击数据包，例如udp1434端口（防止SQLslammer蠕虫）、tcp445,5800,5900（防止Della蠕虫）。检测操作步骤.参考配置操作屏蔽常见的漏洞端口1433、4444,tftpUDP69,135,137,138,139,445,593,1434,5000,5554,5800,5900,6667,9996等：Router(config)#noaccess-list102Router(config)#access-list102denytcpanyanyeq445logRouter(config)#access-list102denytcpanyanyeq5800logRouter(config)#access-list102denytcpanyanyeq5900logRouter(config)#access-list102denyudpanyanyeq1434logRouter(config)#access-list102denyudpdestination-porteqtftplogRouter(config)#access-list102denytcpdestination-porteq135logRouter(config)#access-list102denyudpdestination-porteq137logRouter(config)#access-list102denyudpdestination-porteq138logRouter(config)#access-list102denytcpdestination-porteq139logRouter(config)#access-list102denyudpdestination-porteqnetbios-ssnlogRouter(config)#access-list102denytcpdestination-porteq539logRouter(config)#access-list102denyudpdestination-porteq539logRouter(config)#access-list102denytcpdestination-porteq593log.补充操作说明基线符合性判定依据.判定条件存在类似acl,拒绝上述端口.检测操作使用showrunning-config命令，如下例：router#showrunning-config…access-list102access-list102denytcpanyanyeq445log

access-list 102 deny tcp any any eq 5800 logaccess-list 102 deny tcp any any eq 5900 logaccess-list 102 deny udp any any eq 1434 log…3.补充说明如果不进行上述设置将导致远程攻击者对部分常见应用发功攻击.或病毒感染备注4.2功能配置4.2.1功能禁用*安全基线项目名称功能禁用安全基线要求项安全基线编号SBL-CiscoRouter-04-02-01安全基线项说明功能禁用检测操作步骤.参考配置操作禁用IP源路由Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#noipsource-route禁用PROXYARPRouter#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/1Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/2Router(config-if)#noipproxy-arpRouter(config-if)#exitRouter(config)#interfaceeth0/3Router(config-if)#noipproxy-arp

Router(config-if)#end.禁用直播功能Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipdirected-broadcastRouter(config-if)#end.禁用IP重定向Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipredirectsRouter(config-if)#end.禁用IP掩码响应Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#interfaceeth0/0Router(config-if)#noipmask-replyRouter(config-if)#end2补充操作说明基线符合性判定依据.判定条件上述条目，在相应版本IOS中是“no”掉的.检测操作禁用IP源路由noipsource-route…禁用PROXYARPints0/0noipproxy-arp…禁用直播功能，12.0之后默认ints0noipdirected-broadcast…禁用IP重定向ints0noipunreachablenoipredirects

V.禁用IP掩码响应noipmask-repy3.补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.2.2启用协议的认证加密功能*安全基线项目名称启用协议的认证加密功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-02安全基线项说明启用协议的认证，加密功能设备与RADIUS服务器、TACACS服务器、NTP服务器、SNMPV2或V3主机等支持认证加密功能的主机进行通信时，尽可能启用协议的认证加密功能，保证通信安全。检测操作步骤.参考配置操作TACACS服务器：Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#tacacs-serverhost8Router(config)#tacacs-serverkeyIr3@1yh8n#w9@swDRouter(config)#endRouter#RADIUS服务器：Router#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#radius-serverhost8Router(config)#radius-serverkeyi*Ma5in@u9p#s5wD.补充操作说明启用TACACS服务器、RADIUS服务器认证基线符合性判定依据1.判定条件I.指定了服务器II.设定了认证key2.检测操作使用showrunning-config命令，如下例：

router#showrunning-config…!TACACS服务器：tacacs-serverhost8acacs-serverkeyIr3@1yh8n#w9@swD…!RADIUS服务器：radius-serverhost8radius-serverkeyi*Ma5in@u9p#s5wD3.补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.2.3启用路由协议认证功能*安全基线项目名称启用路由协议认证功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-03安全基线项说明启用动态IGP(RIPV2、OSPF、ISIS等)或EGP(BGP)协议时，启用路由协议认证功能，如MD5加密，确保与可信方进行路由协议交互。检测操作步骤.参考配置操作配置Routeri和Router2间Ospf启用MD5验证Routeri酉己置：Routeri#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Routerl(config)#routerospf1Routerl(config-router)#network55area0Routerl(config-router)#area0authenticationmessage-digestRouterl(config-router)#exitRouterl(config)#inteth0/1Routerl(config-if)#ipospfmessage-digest-key1md5r0utes-4-allRouter1(config-if)#endRouter1#Router2酉己置：Router2#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router2(config)#routerospf1Router2(config-router)#area0authenticationmessage-digestRouter2(config-router)#network55area0Router2(config-router)#network55area0

Router2(config-router)#exitRouter2(config)#inteth0Router2(config-if)#ipospfmessage-digest-key1md5r0utes-4-allRouter2(config-if)#endRouter2#.配置Router1和Router2间EIGRP启用MD5验证Router1配置：Router1#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router1(config)#routereigrp100Router1(config-router)#networkRouter1(config-router)#exitRouter1(config)#interfaceeth0/1Router1(config-if)#ipauthenticationmodeeigrp100md5Router1(config-if)#ipauthenticationkey-chaineigrp100Router1-KCRouter1(config-if)#exitRouter1(config)#keychainRouter1-KCRouter1(config-keychain)#key1Router1(config-keychain-key)#key-stringmy-secret-keyRouter1(config-keychain-key)#send-lifetime00:00:00Oct1200300:00:00Jan12004Router1(config-keychain-key)#accept-lifetime00:00:00Oct1200300:00:00Jan72004Router1(config-keychain-key)#endRouter1#Router2酉己置：Router2#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router2(config)#routereigrp100Router2(config-router)#networkRouter2(config-router)#networkRouter2(config-router)#passive-interfaceeth1Router2(config-router)#exitRouter2(config)#interfaceeth0Router2(config-if)#ipauthenticationmodeeigrp100md5Router2(config-if)#ipauthenticationkey-chaineigrp100Router2-KCRouter2(config-if)#exitRouter2(config)#keychainRouter2-KCRouter2(config-keychain)#key1Router2(config-keychain-key)#key-stringmy-secret-keyRouter2(config-keychain-key)#send-lifetime00:00:00Oct1200300:00:00Jan12004Router2(config-keychain-key)#accept-lifetime00:00:00Oct1200300:00:00Jan72004

Router2(config-keychain-key)#endRouter2#2.补充操作说明基线符合性判定依据.判定条件有iprip(ospf、eigrp等)md5的字段2.检测操作使用showrunning-config命令，如下例：router#showrunning-config…!1、RIPV2routerripversion2networkintethernet0/1ipripauthenticationkey-chainxxxxipripauthenticationmodemd5…!2、OSPFipospfmessage-digest-key1md5xxxxx…!3、EIGRPipauthenticationmodeeigrp1md53.补充说明备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。4.2.4防止路由风暴安全基线项目名称防止路由风暴安全基线要求项安全基线编号SBL-CiscoRouter-04-02-04安全基线项说明采用BGP协议作为EGP协议时，使用Routeflapdamping功能防止路由风暴。检测操作步骤Router(config)#routerbgp27701Router(config-router)#neighbor0remote-as26625Router(config-router)#bgpdampeningRouter(config-router)#end

基线符合性判定依据.判定条件做了bgpdampening酉己置.检测操作使用showrunning-config命令，如下例：router#showrunning-config…routerbgp27701neighbor0remote-as26625bgpdampening.补充说明bgpdampening使用来抑制一些频繁浮动路由的，当超过抑制阀值时就被抑制，从而防止bgp表的抖动。备注4.2.5防止非法路由注入安全基线项目名称防止非法路由注入安全基线要求项安全基线编号SBL-CiscoRouter-04-02-05安全基线项说明在网络边界运行IGP或EGP动态路由协议时，配置路由更新策略，只接受合法的路由更新，防止非法路由注入。只发布所需的路由更新，防止路由信息泄漏。检测操作步骤使用ACL限制EIGRP不能向/24传递Router(config)#access-list10deny55Router(config)#access-list10permitanyRouter(config)#routereigrp100Router(config-router)#distribute-list10outRouter(config-router)#end基线符合性判定依据1.判定条件做了distribute-list的acl控制

.检测操作使用showrunning-config命令，如下例：router#showrunning-config…access-list10deny55access-list10permitanyroutereigrp100distribute-list10out.补充说明不进行访问控制容易引起非法路由注入和路由信息泄漏备注SNMP的Community默认通行字口令强度安全基线项目名称SNMP的Community默认通行字口令强度安全基线要求项安全基线编号SBL-CiscoRouter-04-02-06安全基线项说明修改SNMP的Community默认通行字，通行字符串应符合口令强度要求。检测操作步骤1.参考配置操作修改SNMP的Community默认通行字命令如下：Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#snmp-servercommunitymy_readonlyRORouter(config)#snmp-servercommunitymy_readwriteRW2.补充操作说明基线符合性判定依据.判定条件Fullhardpassword非默认，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。.检测操作Router#showrun|includesnmp-servercommunitysnmp-servercommunityFullHardPassword3.补充说明

SNMP协议可以进行自动化网络管理，如果不设置强口令容易给网络带来巨大的波动备注只与特定主机进行SNMP协议交互安全基线项目名称只与特定主机进行SNMP协议交互安全基线要求项安全基线编号SBL-CiscoRouter-04-02-07安全基线项说明只与特定主机进行SNMP协议交互检测操作步骤.参考配置操作使用ACL限制只与特定主机进行SNMP协议交互Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#access-list75permithost0Router(config)#access-list75denyanylog2..补充操作说明仅允许0收集路由器SNMP信息基线符合性判定依据.判定条件snmp绑定了acl.检测操作Router#showrunning….access-list3permithostaccess-list3denyanylogsnmp-servercommunitytestc3.补充说明有效设置对snmp服务的访问控制，可以减少信息泄露的机会备注

配置SNMPV2或以上版本安全基线项目名称配置SNMPV2或以上版本安全基线要求项安全基线编号SBL-CiscoRouter-04-02-08安全基线项说明系统应配置为SNMPV2或以上版本。检测操作步骤1、参考配置操作Snmp-serverenginelD[localengineid-string][remoteip-address[udp-portudp-port—number][vrfvrf-name]engineid-string]Snmp-serverviewview-nameoid-tree{included|excluded}Snmp-servergroupgroup-name{v1|v2c|v3{auth|noauth|priv}[read read-view-name] [write write-view-name] [notifynotify-view-name][accesaccess-list]Snmp-serverhosthost-address[traps|informs][version{1|2c|3[auth|noauth|priv]}]community-string[udp-portport-number][notification-type][vrfvrf-name]Snmp-serveruserusernamegroup-name[remotehost[udp-portudp-port-number]]{v1|v2c|v3[encrypted][auth{md5|sha}auth-password]}[accessaccess-list]2、补充说明无。基线符合性判定依据.判定条件成功使能snmpv2c、和v3版本。.参考检测操作showrun.补充说明无。备注

关闭未使用的SNMP协议及未使用RW权限安全基线项目名称关闭未使用的SNMP协议及未使用RW权限安全基线要求项安全基线编号SBL-CiscoRouter-04-02-09安全基线项说明系统应关闭未使用的SNMP协议及未使用的RW权限检测操作步骤禁用SNMP的写(WRITE)功能。1.参考配置操作Router#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#nosnmp-servercommunityadminRW2.补充操作说明基线符合性判定依据snmp权限为RO.判定条件snmp权限为RO.检测操作Router#showrunning|includesnmp-server….snmp-servercommunitytestro.补充说明备注4.2.10LDP协议认证功能安全基线项目名称LDP协议认证功能安全基线要求项安全基线编号SBL-CiscoRouter-04-02-10安全基线项说明启用LDP标签分发协议时，打开LDP协议认证功能，如MD5加密，确保与可信方进行LDP协议交互。检测操作步骤Router#mplsldpvrfvpn1passwordrequiredRouter#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.

Router(config)#mplsldpneighbor