安全檢查表網(wǎng)絡設備

1、網(wǎng)絡設備安全檢查表(評估人員內部使用)說明：1. 結果：是：有此問題。否：沒有此問題。不適用：此問題對檢查對象不適用。沒檢查：沒有針對此問題進行檢查。2. 等級：高：迫切需要近期內解決，如：1年以內。中：需要解決，但時間可以寬限，如：2-3年內。低：看情況解決，沒有時間限制或時間可以較長，如：4年以上。對象名稱管理員聯(lián)系方式檢查者檢查日期結果統(tǒng)計高中低小計對象描述系統(tǒng)使命（含物理、邏輯位置描述）對象ip硬件平臺操作系統(tǒng)及版本編號檢查對象問題核查活動等級結果1 通用檢查1.1設備的改變（配置、位置、更新等）是否有變更程序？設備是否安裝最新的修補程序和更新程序？是否具有針對設備的物理訪問控制？是否

2、更改設備廠商（或集成商）設置的默認管理賬號或口令？是否設置嚴格的設備管理賬號及密碼？是否刪除不必要的管理賬號？是否設置登陸失敗保護（失敗閥值）?當前設備管理賬號及密碼是否與其它設備相同？管理密碼是否顯示為明文？設備管理賬號及密碼是否被記錄下來并被妥善保管？是否關閉設備上不需要的端口及服務？設備管理是否采用帶外或直連方式？對于設備帶內管理是否具有增強安全手段？（雙因素認證、限制管理ip或通訊加密等）管理登錄是否顯示警告消息？（banner）管理控制臺是否設置超時？是否禁止不需要的配置端口？（如：aux、vty）配置是否文檔化？是否有完備的設備訪問和維護日志記錄？是否將日志放到一臺專門的日志主機？

3、是否定期審查日志？2 路由器2.1是否采用靜態(tài)路由？動態(tài)路由更新是否開啟鑒別？（rip2、ospf等有效）用于動態(tài)路由更新鑒別的密鑰是否定期更新？是否利用ssh代替telnet進行遠程管理？是否在邊界禁止cdp協(xié)議？（僅對cisco有效）是否禁用未使用的服務（如 tftp、finger、http、tcp/udp small、bootp）？是否加載本地配置？是否禁止ip源路由？是否禁止arp代理？是否禁止ipdirectedbroadcast及ipclassless？是否屏蔽所有不需要的icmp？是否使用ntp同步時間？在使用主機名稱與其它設備（路由器/交換機）進行通訊時是否配置dns服務器？s

4、nmp服務是否限制訪問ip為內部授權地址？是否在外部接口上禁止snmp通訊？snmp是否設置為只讀模式？（或對snmp的寫操作是否有控制？）在出入口上是否設置包過濾（訪問控制列表acl）？是否記錄違反包過濾策略的事件？在邊界路由器入口上是否設置過濾私有地址包（防止地址欺騙）？在邊界路由器出口上是否設置單播逆向路徑轉發(fā)（urpf）過濾非法源地址包（防止進行ddos攻擊，需要開啟cef或fpc）？是否開啟針對網(wǎng)絡的syn-flood防護？（僅限于有此功能的路由器，采用代理、三次握手監(jiān)控或syn包統(tǒng)計技術，需要設置鏈接建立時間閥值默認30s-10s、非活動鏈接保持時間閥值默認24h-60s、syn包

5、流量速率等）是否開啟針對路由器的syn-flood防護？（僅限于有此功能的路由器，采用代理、三次握手監(jiān)控或syn包統(tǒng)計技術，需要設置鏈接建立時間閥值默認30s-10s、非活動鏈接保持時間閥值默認24h-60s、syn包流量速率等）是否配置阻止常見的ddos（或其它網(wǎng)絡）攻擊？是否限制對日志的訪問？3 交換機3.1是否利用單獨的vlan號進行帶內管理？是否利用ssh代替telnet進行遠程管理？是否設置mac地址與端口綁定？是否關閉沒有使用的交換機端口？vlan劃分是否合理？是否使用ntp同步時間？是否采用802.1x認證?4 防火墻4.1防火墻是否獲得相關部門證書？是否在組織局域網(wǎng)邊界采用雙層異構防火墻？防火墻是否設置dmz？是否采用默認禁止訪問策略？防火墻規(guī)則設置是否合理？是否正確設置應用過濾規(guī)則？（僅對應用層防火墻有效）是否開啟各種防攻擊功能（ddos、dos等）？是否禁用未使用的服務（如 tftp、finger、http）？是否屏蔽所有不需要的icmp？snmp服務是否限制訪問ip為內部授權地址？是否在外部接口上禁止snmp通訊？snmp是否設