思科cisco3560交换机配置安全检查表(配置基线检查)

第1页共4页Cisco网络设备检查表设备品牌Cisco3560设备型号cisco3560设备名称Cisco3560、3550交换机检查地点宝山区政府设备类型中心交换机检查人员检查日期2012.03.16陪同人员序号检查项目检查步骤/方法方法符合部分符合不符合设备基本情况及账号检查网络设备的系统版本信息收集showver√Console口登陆密码，物理机柜加锁showrun√未使用的端口要shutdownshowipintb√查看是否启用PASSWORD加密功能、查看enablesecret的使用showrun|ienable察看是否使用加密机制√配置的密码符合复杂度要求询问管理人员√Telnet远程访问是否利用ACL做IP限制查看是否有如下类似配置：access-list1permitx.x.x.xy.y.y.yanylinevty04access-class1in√VTY数量限制showrun/linevty04√具有超时退出的功能；showrun在linecon0exec-timeout00√日志管理应对网络设备运行状况、网络流量、用户行为进行日志记录showlogging√syslog应包括时间的日期和时间、用户、事件类型showlogging√开启NTP服务，保证日志功能记录时间的准确性查看是否有如下类似配置：ntpenable如果开启了NTP服务，是否作了如下类似设置：ntpauthenticatentpauthentication-key1md5routerntptrusted-key1ntpserver50key1sourceethernet0/0√（无法同步时间源）路由协议安全启用动态路由协议(RIPV2/OSPF/EIGRP)时，启用路由协议的认证功能，确保与可信方进行路由协议交互showippro/showrun|iospf√备份和恢复关键网络设备和通信线路硬件的冗余，保证系统的可用性√应对重要信息和系统配置做备份和恢复√访问控制应能根据会话状态信息为数据流提供明确的允许、拒绝访问能力showrun|iaccess√其他内容系统是否设置登陆标志信息用于警告showrun√检查是否关闭了CDP服务showcdpnei√交换机端口镜像配置状况showspan√检查HTTP服务是否关闭showrun|ihttp√如果启用了http配置方式，是否进行了认证如果启用了http配置方式，查看是否配置了：iphttpauthentication√是否关闭了tcp-small-server服务/noservicetcp-small-servers查看是否存在如下配置：servicetcp-small-servers/noservicetcp-small-server√查看是否关闭了udp-small-servers服务查看是否存在如下配置：serviceudp-small-servers/noudp-small-server√禁止IPSourceRouting/noipsource-routenoipsoure-route√禁止IPDirectedBroadcast/noipdirected-broadcastnoipdirected-broadc