思科路由器安全測評指導(dǎo)書

1、思科路由器安全測評指導(dǎo)書序號測評指標(biāo)測評項檢查方法預(yù)期結(jié)果1訪問控制a）檢杳防火 墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系 統(tǒng)對外暴露 安全漏洞情 況等，測評 分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號 訪問控制規(guī) 則的合理性 和安全性。檢杳： 檢杳網(wǎng)絡(luò)拓?fù)?結(jié)構(gòu)和相關(guān)路由器配 置，查看是否在路由器 上啟用了訪問控制功 能。輸入命令show access-lists 檢杳配 置文件中是否存在以 下類似配置項：ip access-list 1 denyx.x.x.x路由器啟用了訪問控 制功能，根據(jù)需要配置 了訪問控制列表。b）檢

2、查防火 墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系 統(tǒng)對外暴露 安全漏洞情 況等，測評 分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號 訪問控制規(guī) 則的合理性檢杳：輸入命令shou running ， 檢杳訪問控 制列表的控制粒度是 否為端口級，例如：access-list 101 permit udp any 55 eq 21根據(jù)會話狀態(tài)信息為 數(shù)據(jù)流提供了明確的 訪問控制策略，控制粒 度為端口級。和安全性。c）檢杳防火 墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系 統(tǒng)對外暴露 安全漏洞情 況等，測評 分

3、析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號 訪問控制規(guī) 則的合理性 和安全性。檢杳：檢杳防火墻或 IPS安全策略是否對重 要數(shù)據(jù)流啟用應(yīng)用層 協(xié)議檢測、過濾功能。防火墻或IPS開啟了 重要數(shù)據(jù)流應(yīng)用層協(xié) 議檢測、過濾功能，可 以對應(yīng)用層HTTP FTPTELNET SMTP POP3 等協(xié)議進(jìn)行控制。d）檢查防火 墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系 統(tǒng)對外暴露 安全漏洞情 況等，測評 分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號 訪問控制規(guī) 則的合理

4、性 和安全性。訪談：訪談系統(tǒng)管理 員，是否在會話處于非 活躍一疋時間或會話 結(jié)束后終止網(wǎng)絡(luò)連接； 檢杳：輸入命令show running，查看配置中 是否存在命令設(shè)定管 理會話的超時時間：line vty 0 4 exec-timeout x x1）會話處于非活躍一 定時間或會話結(jié)束后， 路由器會終止網(wǎng)絡(luò)連 接；2 ）路由器配置中 存在會話超時相關(guān)配 置。e）檢查防火檢查：1 ）在網(wǎng)絡(luò)出口1）網(wǎng)絡(luò)出口和核心網(wǎng)墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系 統(tǒng)對外暴露 安全漏洞情 況等，測評 分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號

5、 訪問控制規(guī) 則的合理性 和安全性。和核心網(wǎng)絡(luò)處的網(wǎng)絡(luò) 設(shè)備是否配置了網(wǎng)絡(luò) 最大流量數(shù)及網(wǎng)絡(luò)連 接數(shù)；2）是否有專用 的流量控制設(shè)備限制 網(wǎng)絡(luò)最大流量數(shù)及網(wǎng) 絡(luò)連接數(shù)。絡(luò)處的網(wǎng)絡(luò)設(shè)備配置 了合理QOSfi略，優(yōu)化 了網(wǎng)絡(luò)最大流量數(shù)； 2）通過專用的流量控 制設(shè)備限制網(wǎng)絡(luò)最大 流量數(shù)及網(wǎng)絡(luò)連接數(shù)。f）檢查防火 墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系 統(tǒng)對外暴露 安全漏洞情 況等，測評 分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號 訪問控制規(guī) 則的合理性 和安全性。檢查：是否通過IP/MAC綁定手段防止 地址欺騙，輸入命令 sho

6、w running ，檢杳 配置文件中是否存在 arp綁定配置：arpx.x.x.x X.X.X.X1）通過網(wǎng)絡(luò)設(shè)備配置 命令進(jìn)行IP/MAC地址 綁定防止地址欺騙；2）通過專用軟件或設(shè) 備進(jìn)行IP/MAC地址綁 定防止地址欺騙。g）檢查防火 墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系檢查：1 ）是否針對單 個遠(yuǎn)程撥號用戶或VPN 用戶訪問受控資源進(jìn) 行了有效控制；2）以1）對單個遠(yuǎn)程撥號用 戶或VPN用戶訪問受 控資源進(jìn)行了有效控 制；2）通過撥號或統(tǒng)對外暴露 安全漏洞情 況等，測評 分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號

7、 訪問控制規(guī) 則的合理性 和安全性。撥號或VPN等方式接 入網(wǎng)絡(luò)的，是否采用強(qiáng) 認(rèn)證方式。VPN等方式接入網(wǎng)絡(luò) 時，采用了強(qiáng)認(rèn)證方式（證書、KEY等）。h）檢查防火 墻等網(wǎng)絡(luò)訪 問控制設(shè) 備，測試系 統(tǒng)對外暴露 安全漏洞情 況等，測評 分析信息系 統(tǒng)對網(wǎng)絡(luò)區(qū) 域邊界相關(guān) 的網(wǎng)絡(luò)隔離 與訪問控制 能力；檢查 撥號接入路 由器，測評 分析信息系 統(tǒng)遠(yuǎn)程撥號 訪問控制規(guī) 則的合理性 和安全性。檢查：是否限制具有 遠(yuǎn)程訪問權(quán)限的用戶 數(shù)量。限制了具有遠(yuǎn)程訪問 權(quán)限的用戶數(shù)量。2安全審計a）檢杳核心 交換機(jī)、路 由器等網(wǎng)絡(luò) 互聯(lián)設(shè)備的 安全審計情 況等，測評 分析信息系檢查：1 ）網(wǎng)絡(luò)系統(tǒng)中 的網(wǎng)絡(luò)設(shè)備

8、是否開啟 日志記錄功能；輸入 show logging 命令， 檢杳 Syslog logging 進(jìn)程是否為enable狀 態(tài)；2）是否對網(wǎng)絡(luò)設(shè)1）網(wǎng)絡(luò)設(shè)備開啟了日 志記錄功能，命令showlogging的輸出配置中 顯示：Syslog loggi ng:e nabled 2）對網(wǎng)絡(luò)設(shè)備的運行狀 況、網(wǎng)絡(luò)流量進(jìn)行監(jiān)控統(tǒng)審計配置 和審計記錄 保護(hù)情況。備的運行狀況、網(wǎng)絡(luò)流 量進(jìn)行監(jiān)控和記錄。和記錄（巡檢記錄或第 二方監(jiān)控軟件）。b）檢杳核心 交換機(jī)、路 由器等網(wǎng)絡(luò) 互聯(lián)設(shè)備的 安全審計情 況等，測評 分析信息系 統(tǒng)審計配置 和審計記錄 保護(hù)情況。檢查：查看日志內(nèi)容， 是否包括事件的日期 和時間

9、、設(shè)備管理員操 作行為、事件類型等信 息。日志內(nèi)容包括事件的 日期和時間、設(shè)備管理 員操作行為、事件類型 等信息。C）檢杳核心 交換機(jī)、路 由器等網(wǎng)絡(luò) 互聯(lián)設(shè)備的 安全審計情 況等，測評 分析信息系 統(tǒng)審計配置 和審計記錄 保護(hù)情況。檢杳：查看如何實現(xiàn) 審計記錄數(shù)據(jù)的分析 和報表生成。定期對審計記錄數(shù)據(jù) 進(jìn)行分析并生成紙質(zhì) 或電子的審計報表。d）檢杳核心 交換機(jī)、路 由器等網(wǎng)絡(luò) 互聯(lián)設(shè)備的 安全審計情 況等，測評 分析信息系 統(tǒng)審計配置 和審計記錄 保護(hù)情況。檢杳：檢杳對審計記 錄監(jiān)控和保護(hù)的措施。 例如：通過專用日志服 務(wù)器或存儲設(shè)備對審 計記錄進(jìn)行備份，并避 免對審計記錄未預(yù)期 的修改、刪

10、除或覆蓋。 檢杳：輸入命令show running 檢杳配置文 件中是否存在類似如 下配置項：loggi ngx.x.x.x1）輸入命令show running 檢杳配置文 件中是否存在類似如 下配置項：loggi ng x.x.x.x ，把設(shè)備日志 發(fā)送到安全的日志服 務(wù)器或第二方審計設(shè) 備；2）由專人對審計 記錄進(jìn)行管理，避免審 計記錄受到未預(yù)期的 刪除、修改或覆蓋。3網(wǎng)絡(luò)設(shè)備 防護(hù)a）檢查交換 機(jī)、路由器 等網(wǎng)絡(luò)互聯(lián) 設(shè)備以及防 火墻等網(wǎng)絡(luò) 安全設(shè)備， 查看它們的訪談、檢杳：1）訪談 設(shè)備管理員，詢問登錄 設(shè)備的身份標(biāo)識和鑒 別機(jī)制采用何種措施 實現(xiàn)；2 ）登錄網(wǎng)絡(luò)設(shè) 備，查看是否提示輸

11、入 用戶口令，然后以正確1）網(wǎng)絡(luò)設(shè)備使用口令 鑒別機(jī)制對登錄用戶 進(jìn)行身份標(biāo)識和鑒別；2）登錄時提示輸入用 戶名和口令；以錯誤口 令或空口令登錄時提 示登錄失敗，驗證了登安全配置情 況，包括身 份鑒別、登 錄失敗處 理、限制非 法登錄和登 錄連接超時 等，考察網(wǎng) 絡(luò)設(shè)備自身 的安全防范 情況?？诹畹卿浵到y(tǒng)，再以錯 誤口令或空口令重新 登錄，觀察是否成功。錄控制功能的有效性；3）網(wǎng)絡(luò)設(shè)備中不存在 密碼為空的用戶。b）檢查交換 機(jī)、路由器 等網(wǎng)絡(luò)互聯(lián) 設(shè)備以及防 火墻等網(wǎng)絡(luò) 安全設(shè)備， 查看它們的 安全配置情 況，包括身 份鑒別、登 錄失敗處 理、限制非 法登錄和登 錄連接超時 等，考察網(wǎng) 絡(luò)設(shè)備自身 的安全防范 情況。檢杳：輸入命令show running ， 查看配置文 件里是否存在類似如 下配置項限制管理員 登錄地址：access-list 1 permit x.x.x.x line vty 04 access-class 1 in配置了合理的訪問控 制列表限制對網(wǎng)絡(luò)設(shè) 備進(jìn)行登錄的管理員 地址。C）檢查交換 機(jī)、路由器 等網(wǎng)絡(luò)互聯(lián)