服務(wù)器安全方案

1.安全策略總體安全目標(biāo)網(wǎng)絡(luò)安全策略的總體目標(biāo)是保護(hù)網(wǎng)絡(luò)不受攻擊，控制異常行為影響網(wǎng)絡(luò)高效數(shù)據(jù)轉(zhuǎn)發(fā)，以及保護(hù)服務(wù)器區(qū)的計(jì)算資源。安全分析在本次項(xiàng)目中，上海中心局域網(wǎng)內(nèi)的安全威脅分析基于：網(wǎng)絡(luò)基礎(chǔ)拓?fù)浼軜?gòu)在邏輯上分成了5個(gè)功能區(qū)服務(wù)器區(qū)各應(yīng)用系統(tǒng)服務(wù)器按功能分為三層結(jié)構(gòu)應(yīng)用系統(tǒng)訪問(wèn)關(guān)系應(yīng)用系統(tǒng)服務(wù)器內(nèi)部安全分析應(yīng)用系統(tǒng)服務(wù)器按應(yīng)用類(lèi)型被分為業(yè)務(wù)展現(xiàn)層（Web層），應(yīng)用/業(yè)務(wù)邏輯層（AP層）和數(shù)據(jù)庫(kù)層（DB層）。安全風(fēng)險(xiǎn)存在于：低安全級(jí)別服務(wù)器對(duì)高安全級(jí)別服務(wù)器上不適當(dāng)?shù)脑L問(wèn)；授權(quán)客戶端對(duì)服務(wù)器的不適當(dāng)訪問(wèn)；非授權(quán)客戶端對(duì)服務(wù)器的不適當(dāng)訪問(wèn)；不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當(dāng)訪問(wèn)；惡意代碼對(duì)服務(wù)器的不良影響。應(yīng)用系統(tǒng)之間安全分析應(yīng)用系統(tǒng)之間的互訪，安全風(fēng)險(xiǎn)主要存在于：?不同應(yīng)用系統(tǒng)服務(wù)器之間非授權(quán)的不適當(dāng)訪問(wèn)；?應(yīng)用系統(tǒng)不同安全等級(jí)服務(wù)器之間不適當(dāng)?shù)幕ピL;客戶端與服務(wù)器之間安全分析客戶端訪問(wèn)服務(wù)器，主要的安全風(fēng)險(xiǎn)存在于：?非授權(quán)客戶端不適當(dāng)?shù)脑L問(wèn)服務(wù)器；?授權(quán)客戶端不適當(dāng)?shù)脑L問(wèn)高安全級(jí)別的服務(wù)器；客戶端之間安全分析在業(yè)務(wù)類(lèi)客戶端和管理類(lèi)客戶端之間，安全風(fēng)險(xiǎn)存在于：?客戶端訪問(wèn)另一類(lèi)客戶端上的非授權(quán)數(shù)據(jù)；?客戶端利用另一類(lèi)客戶端達(dá)到對(duì)非授權(quán)服務(wù)器的非法訪問(wèn)；惡意代碼安全分析惡意代碼在網(wǎng)絡(luò)中的傳播，可能對(duì)所有的應(yīng)用系統(tǒng)產(chǎn)生嚴(yán)重的影響。網(wǎng)絡(luò)設(shè)備自身安全分析網(wǎng)絡(luò)設(shè)備自身的安全風(fēng)險(xiǎn)主要有：網(wǎng)絡(luò)設(shè)備的物理安全；網(wǎng)路設(shè)備操作系統(tǒng)Bug和對(duì)外提供的網(wǎng)絡(luò)服務(wù)風(fēng)險(xiǎn)；網(wǎng)絡(luò)管理協(xié)議SNMP非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)；設(shè)備訪問(wèn)密碼安全；設(shè)備用戶安全風(fēng)險(xiǎn)；安全技術(shù)網(wǎng)絡(luò)分區(qū)上海數(shù)據(jù)中心局域網(wǎng)安全設(shè)計(jì)基于分行基礎(chǔ)設(shè)施總體架構(gòu)設(shè)計(jì)中使用的模塊化設(shè)計(jì)方案，是基于業(yè)界企業(yè)級(jí)網(wǎng)絡(luò)參考架構(gòu)和安全架構(gòu)進(jìn) 行的，包括CiscoSAFE和IBMeBusinessreferencemodel模型，在設(shè)計(jì)中考慮了網(wǎng)絡(luò)的擴(kuò)展性、可用性、管理性、高性能等因素，也重點(diǎn)覆蓋了安全性設(shè)計(jì)。通過(guò)網(wǎng)絡(luò)分區(qū)，明確不同網(wǎng)絡(luò)區(qū)域之間的安全關(guān)系，也可以對(duì)每一個(gè)區(qū)域進(jìn)行安全的評(píng)估和實(shí)施，不必考慮對(duì)其他區(qū)域的影響，保障了網(wǎng)絡(luò)的高擴(kuò)展性、可管理性和彈性。達(dá)到了一定程度的物理安全性。VLAN在局域網(wǎng)內(nèi)采用VLAN技術(shù)，出了在網(wǎng)絡(luò)性能、管理方面的有點(diǎn)外，在網(wǎng)絡(luò)安全上，也具有明顯的優(yōu)點(diǎn)：限制局域網(wǎng)中的廣播包；隔離不同的網(wǎng)段，使不同VLAN之間的設(shè)備互通必須經(jīng)過(guò)路由，為安全控制提供了基礎(chǔ)；提供了基礎(chǔ)的安全性，VLAN之間的數(shù)據(jù)包在鏈路層上隔離，防止數(shù)據(jù)不適當(dāng)?shù)霓D(zhuǎn)發(fā)或竊聽(tīng)。ACLACL通過(guò)對(duì)網(wǎng)絡(luò)數(shù)據(jù)源地址、源端口、目的地址、目的端口全部或部分組合的控制，能夠限制數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸。在網(wǎng)絡(luò)中應(yīng)用ACL，能夠達(dá)到這樣一些目的：阻斷網(wǎng)絡(luò)中的異常流量應(yīng)用系統(tǒng)間訪問(wèn)控制SNMP網(wǎng)管工作站控制設(shè)備本身防護(hù)防火墻專(zhuān)用的硬件防火墻，是網(wǎng)絡(luò)中重要的安全設(shè)備，為網(wǎng)絡(luò)提供快速、安全的保護(hù)。專(zhuān)用的軟硬件，設(shè)備自身安全性很高；提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT或PAT）功能，把內(nèi)部地址轉(zhuǎn)換為外部地址，以保護(hù)內(nèi)部地址的私密性；提供嚴(yán)格的安全管理策略，除了明確定義允許通過(guò)的數(shù)據(jù)，其他數(shù)據(jù)都是被拒絕的；多層次的安全級(jí)別，為不同的安全區(qū)域提供差異化的安全級(jí)別，如DMZ區(qū)域；提供多樣的系統(tǒng)安全策略和日志功能。安全策略設(shè)計(jì)網(wǎng)絡(luò)分區(qū)根據(jù)人民銀行網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的設(shè)計(jì)結(jié)構(gòu)，上海中心局域網(wǎng)被劃分為5個(gè)功能區(qū)域。通過(guò)網(wǎng)絡(luò)結(jié)構(gòu)的功能分區(qū)，在網(wǎng)絡(luò)安全上實(shí)現(xiàn)了以下目標(biāo)：實(shí)現(xiàn)不同功能的設(shè)備處在不同的分區(qū)內(nèi)，實(shí)現(xiàn)了數(shù)據(jù)鏈路層上物理隔離;各分區(qū)有單一的出入口；分區(qū)之間互訪必須經(jīng)過(guò)網(wǎng)絡(luò)層路由；為其他安全控制策略的部署奠定了基礎(chǔ)。應(yīng)用系統(tǒng)內(nèi)部安全策略在服務(wù)器區(qū)內(nèi)，根據(jù)確定的應(yīng)用系統(tǒng)內(nèi)部三層架構(gòu)，服務(wù)器的應(yīng)用類(lèi)型被分為業(yè)務(wù)展現(xiàn)層（Web層），應(yīng)用/業(yè)務(wù)邏輯層（AP層）和數(shù)據(jù)庫(kù)層（DB層），對(duì)應(yīng)的安全控制策略如下：通過(guò)應(yīng)用類(lèi)型分層保護(hù)不同級(jí)別服務(wù)器的安全；劃分VLAN，各分層分別位于不同的VLAN中；在三個(gè)應(yīng)用類(lèi)型分層中，安全級(jí)別的定義是接入層（川?6層）安全級(jí)別最低，應(yīng)用/業(yè)務(wù)邏輯層（AP層）安全級(jí)別較高，數(shù)據(jù)庫(kù)層（DB層）安全級(jí)別最高；應(yīng)用類(lèi)型分層之間，通過(guò)單向的ACL允許較低級(jí)別的服務(wù)器訪問(wèn)較高級(jí)別的服務(wù)器。應(yīng)用系統(tǒng)之間的安全策略根據(jù)應(yīng)用系統(tǒng)內(nèi)部三層架構(gòu)和應(yīng)用系統(tǒng)之間關(guān)系，制定了應(yīng)用系統(tǒng)之間的安全訪問(wèn)規(guī)則。對(duì)應(yīng)的安全控制策略如下：?劃分VLAN，隔離各應(yīng)用系統(tǒng)和各應(yīng)用系統(tǒng)內(nèi)部處在不同安全層次上的服務(wù)器；?根據(jù)確定的類(lèi)規(guī)則在VLAN上部署ACL。客戶端與服務(wù)器之間的安全策略客戶端與服務(wù)器之間的安全控制，主要采用了部署專(zhuān)用硬件防火墻和設(shè)置客戶端和服務(wù)器之間的嚴(yán)格的訪問(wèn)規(guī)則來(lái)實(shí)現(xiàn)。安全控制設(shè)計(jì)如下：在服務(wù)器區(qū)邊界部署專(zhuān)用硬件防火墻，防火墻采用雙機(jī)主備工作模式，保障系統(tǒng)可靠性；在防火墻上部署嚴(yán)格的安全控制策略，對(duì)數(shù)據(jù)流執(zhí)行雙向控制；確定客戶端和服務(wù)器之間的訪問(wèn)規(guī)則，部署在服務(wù)器區(qū)邊界防火墻上?？蛻舳酥g的安全策略在上海支付中心局域網(wǎng)內(nèi)客戶端區(qū)，存在著管理類(lèi)客戶端和業(yè)務(wù)類(lèi)客戶端，兩者之間的安全策略設(shè)計(jì)如下：在客戶端區(qū)劃分VLAN，管理類(lèi)客戶端和業(yè)務(wù)類(lèi)客戶端分屬不同的VLAN；在管理類(lèi)客戶端和業(yè)務(wù)類(lèi)客戶端的VLAN上部署ACL，限制兩類(lèi)客戶端之間的互訪。預(yù)防惡意代碼的安全策略網(wǎng)絡(luò)中的惡意代碼包括病毒、蠕蟲(chóng)、木馬等，這類(lèi)惡意代碼發(fā)作時(shí)，對(duì)網(wǎng)絡(luò)安全有嚴(yán)重的影響。預(yù)防惡意代碼的安全控制策略如下：?根據(jù)已知的各類(lèi)惡意代碼，識(shí)別其傳輸特征，編寫(xiě)相應(yīng)的ACL；?把ACL部署在關(guān)鍵的控制點(diǎn)上，這些控制點(diǎn)包括：>各功能區(qū)的出口交換機(jī)上（防火墻默認(rèn)情況下已經(jīng)可以拒絕這些惡意代碼）；在必要時(shí)，也可以部署在功能區(qū)內(nèi)各VLAN上，達(dá)到更進(jìn)一步控制惡意代碼傳播的目的。ACL單向部署，控制從區(qū)內(nèi)出（out）的流量。＞在內(nèi)聯(lián)接入?yún)^(qū)的互聯(lián)路由器廣域網(wǎng)端口上，ACL單向部署，控制這些端口出（?？谕粒┖腿耄ㄒ玻┑牧髁?。1.4.6網(wǎng)絡(luò)設(shè)備自身安全策略網(wǎng)絡(luò)設(shè)備自身安全防護(hù)，安全策略設(shè)計(jì)如下：物理安全：＞安裝環(huán)境溫度、濕度、空氣潔凈度需要滿足設(shè)備正常運(yùn)行條件；＞禁止非授權(quán)人員物理接觸設(shè)備。網(wǎng)絡(luò)服務(wù)安全：關(guān)閉設(shè)備上確認(rèn)有軟件Bug的網(wǎng)絡(luò)服務(wù)和可能對(duì)自身產(chǎn)生安全威脅的服務(wù)；加密設(shè)備密碼；用戶安全，只允許經(jīng)授權(quán)的用戶在設(shè)備上執(zhí)行權(quán)限范圍內(nèi)的操作，（且對(duì)操作有相應(yīng)的授權(quán)、認(rèn)證和審計(jì)）網(wǎng)管SNMP安全，對(duì)SNMP訪問(wèn)設(shè)置ACL控制，只允許許可范圍內(nèi)的IP地址通過(guò)SNMP管理設(shè)備。分區(qū)安全策略的部署核心區(qū)安全策略的部署核心區(qū)作為中心局域網(wǎng)高速交換區(qū)，不做過(guò)多的安全策略，只要求部署交換機(jī)自我保護(hù)策略。服務(wù)器區(qū)安全策略的部署控制客戶端對(duì)服務(wù)器的訪問(wèn)各區(qū)域?qū)Ψ?wù)器區(qū)訪問(wèn)要受到嚴(yán)格控制，控制策略在防火墻上雙向?qū)嵤?，控制策略參照下面的表格。業(yè)務(wù)1類(lèi)WEB業(yè)務(wù)2類(lèi)WEBOAWEB基礎(chǔ)設(shè)施類(lèi)網(wǎng)管安管類(lèi)Internet業(yè)務(wù)客戶端允許訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)禁止訪問(wèn)允許訪問(wèn)禁止訪問(wèn)OA客戶端禁止訪問(wèn)允許訪問(wèn)允許訪問(wèn)禁止訪問(wèn)允許訪問(wèn)允許訪問(wèn)安全控制策略具體描述如下：業(yè)務(wù)1類(lèi)客戶端能訪問(wèn)業(yè)務(wù)1類(lèi)WEB服務(wù)器。限定客戶ip地址段、應(yīng)用系統(tǒng)ip地址集、端口號(hào)集。業(yè)務(wù)1類(lèi)客戶端能訪問(wèn)網(wǎng)管安管類(lèi)服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。管理類(lèi)客戶端能訪問(wèn)業(yè)務(wù)2類(lèi)WEB、管理類(lèi)WEB服務(wù)器和網(wǎng)管安管類(lèi)服務(wù)器。不限制源IP地址，限制目標(biāo)的ip地址集、端口。管理類(lèi)客戶端能訪問(wèn)Internet。不限制目標(biāo)的IP地址、端口，限制源IP地址應(yīng)用系統(tǒng)服務(wù)器之間的訪問(wèn)控制根據(jù)人行安全規(guī)范和應(yīng)用系統(tǒng)訪問(wèn)需求，應(yīng)用系統(tǒng)間必須增加訪問(wèn)控制，控制策略在服務(wù)器交換機(jī)上使用訪問(wèn)控制列表實(shí)施，控制策略參照下。業(yè)務(wù)1和業(yè)務(wù)2互訪，業(yè)務(wù)1和基礎(chǔ)設(shè)施互訪。限定訪問(wèn)源應(yīng)用系統(tǒng)主機(jī)IP地址集，目的應(yīng)用系統(tǒng)主機(jī)IP地址集，目的端口集。業(yè)務(wù)2、管理類(lèi)和基礎(chǔ)設(shè)施能相互訪問(wèn)。僅對(duì)應(yīng)用系統(tǒng)類(lèi)別IP地址段進(jìn)行限制。網(wǎng)管安管和業(yè)務(wù)1互訪，網(wǎng)管安管和業(yè)務(wù)2互訪，網(wǎng)管安管和管理類(lèi)互訪，網(wǎng)管安管和基礎(chǔ)設(shè)施互訪。不限制源IP地址，限制目標(biāo)的ip地址集、端口集。預(yù)防惡意代碼服務(wù)器區(qū)不做惡意代碼防范，防惡意代碼工作實(shí)施在其他邊緣區(qū)域，保證惡意代碼不會(huì)侵犯到服務(wù)器區(qū)。網(wǎng)絡(luò)設(shè)備自身安全保護(hù)為了防止對(duì)網(wǎng)絡(luò)設(shè)備的非法入侵，服務(wù)器區(qū)交換機(jī)和服務(wù)器區(qū)防火墻應(yīng)做好自我保護(hù)。安全策略特例當(dāng)應(yīng)用系統(tǒng)安全策略在部署中與上述原則有沖突時(shí)，須提出申請(qǐng)需求，總行將根據(jù)應(yīng)用需求修改安全策略方案。生產(chǎn)區(qū)安全策略的部署生產(chǎn)區(qū)劃分VLAN，隔離業(yè)務(wù)類(lèi)客戶端和管理類(lèi)客戶端，在兩類(lèi)客戶端的VLAN上部署ACL，限制兩類(lèi)客戶端之間的互訪。在生產(chǎn)區(qū)的出口交換機(jī)（匯聚交換機(jī)）連接核心區(qū)核心交換機(jī)端口上，部署防惡意代碼ACL，方向?yàn)閛ut，單向部署。在生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備上，根據(jù)網(wǎng)絡(luò)設(shè)備自身安全策略設(shè)計(jì)，配置相應(yīng)的安全管理命令。運(yùn)行管理區(qū)安全策略的部署運(yùn)行管理區(qū)安全策略在上聯(lián)防火墻上實(shí)現(xiàn)。外聯(lián)接入?yún)^(qū)安全策略的部署外聯(lián)接入?yún)^(qū)安全策略在外聯(lián)防火墻上實(shí)現(xiàn)。內(nèi)聯(lián)接入?yún)^(qū)安全策略在防火墻上實(shí)現(xiàn)內(nèi)聯(lián)接入?yún)^(qū)安全策略在互聯(lián)路由器上實(shí)現(xiàn)。AAA部署AAA需求AAA(認(rèn)證Authentication，授權(quán)Authorization，審計(jì)Accounting)認(rèn)證(Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)；授權(quán)(Authorization):依據(jù)認(rèn)證結(jié)果開(kāi)放網(wǎng)絡(luò)服務(wù)給用戶；審計(jì)(Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給審計(jì)系統(tǒng)。為了保障網(wǎng)絡(luò)、應(yīng)用系統(tǒng)的安全性，除了在網(wǎng)絡(luò)邊界進(jìn)行防護(hù)之外，還需要采用其他的安全服務(wù)的輔助手段，以實(shí)現(xiàn)全方位的安全防護(hù)。本次建設(shè)將通過(guò)架設(shè)AAAServer達(dá)到更高的安全性。中國(guó)人行銀行清算上海備份中心針對(duì)網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備和遠(yuǎn)程接入服務(wù)器設(shè)備的AAA建設(shè)思路是：所有的設(shè)備的正常登錄都需要通過(guò)ACS進(jìn)行；從安全性及可擴(kuò)展性來(lái)考慮，本次建設(shè)采用tacacs+/hwtacas協(xié)議，實(shí)現(xiàn)于ACS平臺(tái)，充分保障各個(gè)節(jié)點(diǎn)設(shè)備的用戶訪問(wèn)合法性。對(duì)于支持TACACS+的設(shè)備，則由ACS再對(duì)其進(jìn)行命令集和訪問(wèn)設(shè)備的指定，保證特定的用戶獲得訪問(wèn)特定設(shè)備和具有特定權(quán)限的目的；開(kāi)啟ACS的account信息，對(duì)相關(guān)的操作進(jìn)行審計(jì)。實(shí)施方案AAAclient端在本系統(tǒng)中，客戶端發(fā)送AAA認(rèn)證數(shù)據(jù)包給服務(wù)器，數(shù)據(jù)包包含用戶ID和password,服務(wù)器對(duì)數(shù)據(jù)包進(jìn)行驗(yàn)證給出結(jié)果。驗(yàn)證過(guò)程加密傳輸。AAA服務(wù)器在通過(guò)用戶的認(rèn)證請(qǐng)求后，按照該用戶的權(quán)限來(lái)決定用戶是否可以享受申請(qǐng)的服務(wù)內(nèi)容，并對(duì)其行為進(jìn)行審計(jì)。默認(rèn)情況下，aaa服務(wù)為關(guān)閉狀態(tài)，需手工輸入命令開(kāi)啟；authentication、authorization及accounting必須指定所使用協(xié)議為tacacs+；aaaserver地址指向ACSserver。為防止ACSserver異常后緊急登陸設(shè)備進(jìn)行操作，需將console訪問(wèn)方式改為local，即本地認(rèn)證。AAAServer端AAAserver端通過(guò)部署CiscoAcs來(lái)實(shí)現(xiàn)。Acs將進(jìn)行用戶等級(jí)分類(lèi)、設(shè)備等級(jí)分類(lèi)、權(quán)限分配等設(shè)置，構(gòu)建一個(gè)十分嚴(yán)格、安全的訪問(wèn)體系。用戶組客戶端訪問(wèn)設(shè)備，主要的安全級(jí)別：超級(jí)用戶-superuser：具有對(duì)所有網(wǎng)絡(luò)設(shè)備登錄和配置任何命令的權(quán)限；用戶組1-usergroup1：資深維護(hù)人員，能夠訪問(wèn)納入本平臺(tái)管理的所有網(wǎng)絡(luò)設(shè)備，對(duì)于普通網(wǎng)絡(luò)設(shè)備，具有較高的配置權(quán)限，對(duì)于關(guān)鍵網(wǎng)絡(luò)設(shè)備，具有查看狀態(tài)和極少的配置權(quán)限；用戶組2-usergroup2：一般維護(hù)人員，對(duì)于和其工作職責(zé)所關(guān)聯(lián)的網(wǎng)絡(luò)設(shè)備，具有查看狀態(tài)和極少的配置權(quán)限；設(shè)備組所有需要管理的網(wǎng)絡(luò)設(shè)備分為二個(gè)組:?關(guān)鍵設(shè)備組一一coredevice?關(guān)鍵設(shè)備組二一accessdevice具體設(shè)備組分類(lèi)表：設(shè)備組設(shè)備名用途設(shè)備位置關(guān)鍵設(shè)備組一SHDC_C0RE_SW_01核心區(qū)交換機(jī)1CORE區(qū)域關(guān)鍵設(shè)備組一SHDC_C0RE_SW_02核心區(qū)交換機(jī)2CORE區(qū)域關(guān)鍵設(shè)備組二SHDC_APP1_SW_01應(yīng)用一區(qū)匯聚交換機(jī)1APP1區(qū)域關(guān)鍵設(shè)備組二SHDC_APP1_SW_02應(yīng)用一區(qū)匯聚交換機(jī)2APP1區(qū)域關(guān)鍵設(shè)備組二SHDC_APP1_FW_01應(yīng)用一區(qū)域防火墻1APP1區(qū)域關(guān)鍵設(shè)備組二SHDC_APP1_FW_02應(yīng)用一區(qū)域防火墻2APP1區(qū)域關(guān)鍵設(shè)備組二SHDC_APP2_SW_01應(yīng)用二區(qū)域匯聚交換機(jī)1APP2區(qū)域關(guān)鍵設(shè)備組二SHDC_APP2_SW_02應(yīng)用二區(qū)域匯聚交換機(jī)2APP2區(qū)域關(guān)鍵設(shè)備組二SHDC_APP2_FW_01應(yīng)用二區(qū)域防火墻1APP2區(qū)域關(guān)鍵設(shè)備組二SHDC_APP2_FW_02應(yīng)用二區(qū)域防火墻2APP2區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT1_SW_01前置一區(qū)域匯聚交換機(jī)1FRT1區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT1_SW_02前置一區(qū)域匯聚交換機(jī)2FRT1區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT1_LB_01前置一區(qū)域負(fù)載均衡1FRT1區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT1_LB_02前置一區(qū)域負(fù)載均衡2FRT1區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT1_FW_01前置一區(qū)域防火墻1FRT1區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT1_FW_02前置一區(qū)域防火墻2FRT1區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT2_SW_01前置二區(qū)域匯聚交換機(jī)1FRT2區(qū)域關(guān)鍵設(shè)備組二FRT2區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT2_LB_01前置二區(qū)域負(fù)載均衡1FRT2區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT2_LB_02前置二區(qū)域負(fù)載均衡2FRT2區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT2_FW_01前置二區(qū)域防火墻1FRT2區(qū)域關(guān)鍵設(shè)備組二SHDC_FRT2_FW_02前置二區(qū)域防火墻1FRT2區(qū)域關(guān)鍵設(shè)備組二SHDC_DB_SW_01數(shù)據(jù)庫(kù)區(qū)域匯聚交換機(jī)1DB區(qū)域關(guān)鍵設(shè)備組二SHDC_DB_SW_02數(shù)據(jù)庫(kù)區(qū)域匯聚交換機(jī)2DB區(qū)域關(guān)鍵設(shè)備組二SHDC_DB_FW_01數(shù)據(jù)庫(kù)區(qū)域防火墻1DB區(qū)域關(guān)鍵設(shè)備組二SHDC_DB_FW_02數(shù)據(jù)庫(kù)區(qū)域防火墻2DB區(qū)域關(guān)鍵設(shè)備組二SHDC_0M_SW_01運(yùn)行管理區(qū)域匯聚交換機(jī)10M區(qū)域關(guān)鍵設(shè)備組二SHDC_0M_FW_01運(yùn)行管理區(qū)域防火墻10M區(qū)域關(guān)鍵設(shè)備組二SHDC_ECN_SW_01外聯(lián)接入?yún)^(qū)域匯聚交換機(jī)1ECN區(qū)域關(guān)鍵設(shè)備組二SHDC_ECN_SW_02外聯(lián)接入?yún)^(qū)域匯聚交換機(jī)2ECN區(qū)域關(guān)鍵設(shè)備組二SHDC_ECN_FW_01外聯(lián)接入?yún)^(qū)域防火墻1ECN區(qū)域關(guān)鍵設(shè)備組二SHDC_ECN_FW_02外聯(lián)接入?yún)^(qū)域防火墻2ECN區(qū)域關(guān)鍵設(shè)備組二SHDC_ICN_SW_01內(nèi)聯(lián)接入?yún)^(qū)域匯聚交換機(jī)1ICN區(qū)域

關(guān)鍵設(shè)備組二SHDC_ICN_SW_02內(nèi)聯(lián)接入?yún)^(qū)域匯聚交換機(jī)2ICN區(qū)域關(guān)鍵設(shè)備組二SHDC_ICN_RT_01遠(yuǎn)程數(shù)據(jù)中心接入?yún)^(qū)域ASR路由器1ICN區(qū)域關(guān)鍵設(shè)備組二SHDC_ICN_RT_02遠(yuǎn)程數(shù)據(jù)中心接入?yún)^(qū)域ASR路由器2ICN區(qū)域關(guān)鍵設(shè)備組二SHDC_ICN_RT_03系統(tǒng)遠(yuǎn)程管理通道區(qū)域路由器1ICN區(qū)域關(guān)鍵設(shè)備組二SHDC_ICN_RT_04CCPC子區(qū)域路由器1ICN區(qū)域關(guān)鍵設(shè)備組二SHDC_ICN_RT_05CCPC子區(qū)域路由器2ICN區(qū)域圖表40ACS設(shè)備組分類(lèi)表命令組對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的命令級(jí)別分為三個(gè)組，分別為：level15、level10、level5。level15的命令集只分配給超級(jí)用戶，具有對(duì)所有網(wǎng)絡(luò)設(shè)備登錄和配置任何命令的權(quán)限。level10級(jí)別對(duì)應(yīng)的管理權(quán)限需要能使用大部分配置命令、查看系統(tǒng)配置參數(shù)、網(wǎng)絡(luò)運(yùn)行狀態(tài)、進(jìn)行網(wǎng)絡(luò)故障診斷，但不能使用涉及AAA安全置模式權(quán)限：aaaenablelineradius-serverroutertacacs-server參數(shù)的命令，對(duì)單臺(tái)網(wǎng)絡(luò)設(shè)備的參數(shù)配置應(yīng)不能影響網(wǎng)絡(luò)的全局?jǐn)?shù)據(jù)路由通訊。該權(quán)限分配的設(shè)想是在置模式權(quán)限：aaaenablelineradius-serverroutertacacs-serverAuthentication,AuthorizationandAccountingModifyenablepasswordparametersConfigureaterminallineModifyRADIUSqueryparametersEnablearoutingprocessModifyTACACSqueryparameters在網(wǎng)絡(luò)核心設(shè)備組上，另外設(shè)置level5的用戶，其管理權(quán)限的分配是在level1用戶權(quán)限的基礎(chǔ)上，增加進(jìn)行日常網(wǎng)絡(luò)運(yùn)行維護(hù)所需要的基本權(quán)限：configureterminal進(jìn)入全局配置模式，才能進(jìn)入需要的子配置模式；需要在全局配置模式下的一些常用配置命令，如“iproute”等controllerControllerconfigurationmodeexecExecmode（能查看系統(tǒng)配置參數(shù)、進(jìn)行網(wǎng)絡(luò)故障診斷等，對(duì)應(yīng)于level15的exec命令集，但除去所有的debug命令）interfaceInterfaceconfigurationmodeinterfaceinterface-dlciFrameRelaydlciconfigurationmodeinterface-dlci相關(guān)的網(wǎng)管用戶，命令級(jí)別和設(shè)備組的排列見(jiàn)下表:用戶類(lèi)型關(guān)鍵設(shè)備組一關(guān)鍵設(shè)備組二超級(jí)用戶Level15Level15用戶組1Level5Level10用戶組2denyLevel5圖表41ACS用戶等級(jí)分配表應(yīng)急步驟在console口通過(guò)靜態(tài)口令和密碼來(lái)進(jìn)行登錄，如果無(wú)法使用ACS方式登錄到網(wǎng)絡(luò)設(shè)備，則在緊急情況下，可以通過(guò)進(jìn)入機(jī)房，登錄Console口，使用靜態(tài)口令和密碼進(jìn)行配置,在路由器界面下需要做額外的配置。測(cè)試使用動(dòng)態(tài)口令測(cè)試登陸網(wǎng)絡(luò)設(shè)備是否成功使用不同權(quán)限用戶登陸網(wǎng)絡(luò)查看命令權(quán)限ACS服務(wù)器故障時(shí)，使用本地口令登陸網(wǎng)絡(luò)設(shè)備ACS數(shù)據(jù)庫(kù)備份與恢復(fù)數(shù)據(jù)庫(kù)備份對(duì)于ACS的數(shù)據(jù)庫(kù)(serverdatabase)和日志數(shù)據(jù)庫(kù)(logdatabase)的備份，可以設(shè)置認(rèn)證服務(wù)器定時(shí)按照所選方式將日志數(shù)據(jù)庫(kù)保存到歸檔的文件中。對(duì)ACS服務(wù)器中的用戶、用戶組及系統(tǒng)相關(guān)配置進(jìn)行備份，備份的目錄更改為D盤(pán)下，這樣保證即使損傷系統(tǒng)崩潰，數(shù)據(jù)資料不受影響。數(shù)據(jù)庫(kù)恢復(fù)管理員可手工操作ACSServer從指定的目錄的備份文件恢復(fù)用戶配置、用戶組配置及系統(tǒng)相關(guān)配置，實(shí)現(xiàn)ACS的數(shù)據(jù)庫(kù)恢復(fù)。在console□通過(guò)靜態(tài)口令和密碼來(lái)進(jìn)行登錄，如果無(wú)法使用ACS方式登錄到網(wǎng)絡(luò)設(shè)備，則在緊急情況下，可以通過(guò)進(jìn)入機(jī)房，登錄Console口，使用靜態(tài)口令和密碼進(jìn)行配置,在路由器界面下需要做額外的配置。操作系統(tǒng)安全加紅色代表可以實(shí)施，藍(lán)色代表了解后再討論確定）WINDOWS操作系統(tǒng)加固編號(hào)機(jī)器名內(nèi)部IP地址域名服務(wù)器IP操作系統(tǒng)Windows2008Server網(wǎng)關(guān)IPCPU內(nèi)存檢查日期檢查人編號(hào)檢查內(nèi)容檢查結(jié)果加固建議補(bǔ)丁安裝情況1操作系統(tǒng)是否已經(jīng)安裝相關(guān)的補(bǔ)丁是無(wú)2操作系統(tǒng)是否已經(jīng)安裝了全部的HOTFIX是無(wú)3應(yīng)用程序是否及時(shí)進(jìn)行補(bǔ)丁的更新，包括Office和IE等是無(wú)賬戶策略4密碼是否符合復(fù)雜性要求否開(kāi)啟密碼復(fù)雜性要求5密碼長(zhǎng)度是否符合要求否啟用密碼最小長(zhǎng)度，最小8位6是否設(shè)置了密碼最長(zhǎng)使用期限否啟用密碼最長(zhǎng)使用期限（不小于30天）7是否設(shè)置了帳戶鎖定閥值否開(kāi)啟帳戶鎖定，一般5次8是否設(shè)定了帳戶鎖定時(shí)間否啟用帳戶鎖定時(shí)間9是否設(shè)置了復(fù)位帳戶鎖定計(jì)數(shù)器否啟用帳戶鎖定復(fù)位時(shí)間10是否將審核策略更改為成功和失敗否審核策略更改的成功和失敗事件11是否將審核登錄事件更改為成功和失敗否審核對(duì)登錄事件的成功和失敗事件12是否將審核對(duì)象訪問(wèn)設(shè)置為失敗否審核對(duì)象訪問(wèn)的失敗事件安全設(shè)置13當(dāng)?shù)卿洉r(shí)間用完時(shí)自動(dòng)注銷(xiāo)用戶（啟用）是無(wú)14在掛起會(huì)話之前所需的空閑時(shí)間（小于等于30分鐘）是無(wú)15發(fā)送未加密的密碼到第三方SMB服務(wù)器：（禁用）是無(wú)

16允許對(duì)所有驅(qū)動(dòng)器和文件夾進(jìn)行軟盤(pán)復(fù)制和訪問(wèn)（禁用）是無(wú)17故障恢復(fù)控制臺(tái):允許自動(dòng)系統(tǒng)管理級(jí)登錄（禁用）是無(wú)18清除虛擬內(nèi)存頁(yè)面文件（啟用）否建議啟用清除虛擬內(nèi)存頁(yè)面文件該項(xiàng)影響：系統(tǒng)在關(guān)機(jī)時(shí)會(huì)清除虛擬內(nèi)存頁(yè)面文件19允許系統(tǒng)在未登錄前關(guān)機(jī)（禁用）是無(wú)20交互式登錄：不顯示上次的用戶名（啟用）否建議在登錄時(shí)不顯示上次的用戶名注冊(cè)表安全21抑制Dr.WatsonCrashDump:HKLM\Software\Microsoft\DrWatson\CreateCrashDump(REG_DWORD)0否建議設(shè)置CreateCrashDump鍵值為0該項(xiàng)影響：系統(tǒng)崩潰時(shí)不會(huì)生成Dump文件22禁止在任何驅(qū)動(dòng)器上自動(dòng)運(yùn)行任何程序：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255否建議創(chuàng)建并設(shè)置NoDriveTypeAutoRun鍵值為255該項(xiàng)影響：在驅(qū)動(dòng)器上無(wú)法自動(dòng)運(yùn)行任何程序23用星號(hào)掩藏任何的口令輸入：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds(REG_DWORD)1否建議創(chuàng)建并設(shè)置HideSharePwds鍵值為124禁止自動(dòng)執(zhí)行系統(tǒng)調(diào)試器：HKLM\Software\Microsoft\WindowsNT\CurrentV?rsion\AeDebug\Auto(REG_DWORD)0否建議創(chuàng)建并設(shè)置AeDebug\Auto鍵值為0該項(xiàng)影響：無(wú)系統(tǒng)調(diào)試功能25禁止自動(dòng)登錄：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_DWORD)0否建議創(chuàng)建并設(shè)置AutoAdminLogon鍵值為0該項(xiàng)影響：開(kāi)機(jī)不會(huì)自動(dòng)登錄至U系統(tǒng)，需要用戶名密碼的認(rèn)證26禁止在藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器：HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot(REG_DWORD)0否建議設(shè)置CrashControl\AutoReboot鍵值為0該項(xiàng)影響：系統(tǒng)藍(lán)屏后自動(dòng)啟動(dòng)機(jī)器27禁止CD自動(dòng)運(yùn)行：HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)0否建議設(shè)置CDrom\Autorun鍵值為0該項(xiàng)影響:CD無(wú)自動(dòng)運(yùn)行功能tt28刪除服務(wù)器上的管理員共享：HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)0否建議創(chuàng)建并設(shè)置AutoShareServer鍵值為0該項(xiàng)影響：默認(rèn)的管理共享關(guān)閉29源路由欺騙保護(hù)：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)2否建議創(chuàng)建并設(shè)置DisableIPSourceRouting鍵值為2該項(xiàng)影響：防止源路由欺騙攻擊30幫助防止碎片包攻擊：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)1否建議創(chuàng)建并設(shè)置EnablePMTUDiscovery鍵值為1該項(xiàng)影響：防止碎片包攻擊31管理keep-alive時(shí)間：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime(REG_DWORD)300000否建議創(chuàng)建并設(shè)置KeepAliveTime鍵值為300000該項(xiàng)影響：通過(guò)設(shè)置適當(dāng)?shù)腒eep-alive時(shí)間減少被攻擊的可臺(tái)P能匕32防止SYNFlood攻擊：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)2否建議創(chuàng)建并設(shè)置SynAttackProtect鍵值為2該項(xiàng)影響：防止SYNFlood攻擊33SYN攻擊保護(hù)-管理TCP半開(kāi)sockets的最大數(shù)目：HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100或500否建議創(chuàng)建并設(shè)置TcpMaxHalfOpen鍵值為100或500該項(xiàng)影響：防止SYN攻擊關(guān)閉的服務(wù)34Alerter-禁止否建議禁用該服務(wù)該項(xiàng)影響：關(guān)閉警報(bào)服務(wù)，使用NetAlertRaise或NetAlertRaiseEx應(yīng)用程序編程接口(API)的應(yīng)用程序?qū)o(wú)法利用Messenger服務(wù)的消息框向用戶或計(jì)算機(jī)通知管理警報(bào)。35Clipbook-禁止否建議禁用該服務(wù)該項(xiàng)影響:剪貼簿查看器將無(wú)法與遠(yuǎn)程計(jì)算機(jī)共享信息，但仍可用于查看本地剪貼簿。36ComputerBrowser-禁止否建議禁用該服務(wù)該項(xiàng)影響:瀏覽器列表將無(wú)法更新或維護(hù)(無(wú)法使用網(wǎng)上鄰居，但是可以在運(yùn)行那里輸入IP進(jìn)行訪問(wèn)，不需要訪問(wèn)其他計(jì)算機(jī)共享資源，可以考慮禁止)

37InternetConnectionSharing-禁止否建議禁用該服務(wù)該項(xiàng)影響:像Internet共享、名稱(chēng)解析、尋址和/或入侵防范等網(wǎng)絡(luò)服務(wù)將不可用38Messenger-禁止否建議禁用該服務(wù)該項(xiàng)影響:計(jì)算機(jī)或當(dāng)前登錄的用戶將無(wú)法發(fā)送或接收Messenger通知39RemoteRegistryService-禁止否建議禁用該服務(wù)該項(xiàng)影響:只允許在本地計(jì)算機(jī)中修改注冊(cè)表40RoutingandRemoteAccess-禁止是無(wú)41SimpleMailTrasferProtocol(SMTP)-禁止是系統(tǒng)無(wú)此服務(wù)無(wú)42SimpleNetworkManagementProtocol(SNMP)Service-禁止是系統(tǒng)無(wú)此服務(wù)無(wú)43SimpleNetworkManagementProtocol(SNMP)Trap-禁止是系統(tǒng)無(wú)此服務(wù)無(wú)44Telnet-禁止否建議禁用該服務(wù)該項(xiàng)影響：遠(yuǎn)程用戶將不能通過(guò)Telnet客戶端訪問(wèn)程序45WorldWideWebPublishingService-禁止否建議禁用該服務(wù)該項(xiàng)影響:操作系統(tǒng)將無(wú)法處理任何形式的Web請(qǐng)求（如果不需要iis服務(wù)可以停止掉）其他安全設(shè)置46所有的磁盤(pán)卷使用NTFS文件系統(tǒng)是無(wú)47已經(jīng)安裝第二方個(gè)人版防火墻否建議安裝第三方個(gè)人版防火墻48已經(jīng)安裝防病毒軟件是無(wú)49防病毒軟件的特征碼和檢查引擎已經(jīng)更新到最新否及時(shí)更新特征碼和檢查引擎50防病毒軟件已設(shè)置自動(dòng)更新否及時(shí)更新防病毒軟件51系統(tǒng)時(shí)間是否正確是無(wú)52文件夾共享是否有過(guò)大的權(quán)限和帳號(hào)是刪除所有共享的Everyone用戶,按用戶添加最小權(quán)限該項(xiàng)影響：惡意用戶可以對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行非法操作

53有無(wú)異常的計(jì)劃任務(wù)否無(wú)54有無(wú)設(shè)置屏保密碼否建議設(shè)置屏幕保護(hù)密碼55有無(wú)打開(kāi)審計(jì)功能否建議打開(kāi)審計(jì)功能56有無(wú)設(shè)置審計(jì)文件大小或保留時(shí)間否建議對(duì)文件大小或保留時(shí)間開(kāi)啟審計(jì)57有無(wú)打開(kāi)不需要的端口（如80、25、110）否無(wú)58有無(wú)禁用Netbios否建議禁用Netbios該項(xiàng)影響：防止系統(tǒng)信息的泄露（會(huì)造成無(wú)法解析netbios）59只有本地登錄的用戶才能訪問(wèn)CD-ROM否建議只有本地登錄的用戶才能訪問(wèn)CD-ROM該項(xiàng)影響：防止遠(yuǎn)程用戶的非法訪問(wèn)圖表42WINDOWS操作系統(tǒng)加固交換機(jī)加固建議編號(hào)物理位置操作系統(tǒng)XXNSHI003生產(chǎn)廠商/型號(hào)內(nèi)部IP地址版本號(hào)檢查細(xì)目CISCO6506人行上海中心機(jī)房CISCOIOS12,2<18>SXD1編號(hào)檢查項(xiàng)目檢查內(nèi)容結(jié)果建議措施1系統(tǒng)安全是否定期更新操作系統(tǒng)的版本否定義升級(jí)操作系統(tǒng)版本（沒(méi)必要定期升級(jí)，升級(jí)后的版本可能不穩(wěn)定）2口令管理是否修改網(wǎng)絡(luò)設(shè)備的默認(rèn)口令否建議措施：修改默認(rèn)密碼（可以實(shí)施，如修改SNMP的默認(rèn)密碼）3是否設(shè)置口令強(qiáng)度和有效期否設(shè)置口令強(qiáng)度和有效期（可以定期修改口令）

4是否使用enablesecret是無(wú)（可以使用enablesecret密碼，密文傳送，更加安全）5是否使用servicepassword-encryption是無(wú)（如果用enablepassword，可以使用該服務(wù),密碼加密；如果用enablesecret就不需要使用該服務(wù)）6服務(wù)安全是否關(guān)閉IP直接廣播是無(wú)（默認(rèn)是關(guān)閉的）7是否關(guān)閉HTTP設(shè)置是無(wú)（可以關(guān)閉，關(guān)閉后不能WEB管理該設(shè)備）8是否封鎖ICMPPING請(qǐng)求否無(wú)（可以實(shí)施，通過(guò)ACL禁止PING，建議不這樣做，經(jīng)常要用PING檢查網(wǎng)絡(luò)）9是否控制Telnet訪問(wèn)是控制TELNET訪問(wèn)（限制訪問(wèn)的IP地址）（已經(jīng)通過(guò)ACL實(shí)施）10是否禁止CDP否無(wú)（可以禁止CDP協(xié)議，但不建議這樣做，檢查網(wǎng)絡(luò)時(shí)經(jīng)常CDP協(xié)議找到鄰居端口）11是否關(guān)閉IP源路由否無(wú)（不清楚關(guān)閉源路由會(huì)不會(huì)影響其他服務(wù)）12是否禁用了不必要的服務(wù)否禁用不必要服務(wù)（可以禁用HTTP,IP直接廣播，其它的服務(wù)要視情況而定）

13是否限制遠(yuǎn)程終端會(huì)話是限制遠(yuǎn)程終端會(huì)話（通過(guò)ACL實(shí)施了特定IP登陸）14策略安全是否建立準(zhǔn)入、準(zhǔn)出地址過(guò)濾策略是設(shè)置ACL或在防火墻上實(shí)現(xiàn)該功能（實(shí)施了ACL限制遠(yuǎn)程登陸）15是否制定數(shù)據(jù)包過(guò)濾策略否可以在防火墻上實(shí)現(xiàn)該功能（需要了解數(shù)據(jù)包的類(lèi)型等）16是否配置了強(qiáng)加密和密碼加密否設(shè)置強(qiáng)加密和密碼加密（可以enablesecret實(shí)施密碼加密）17是否應(yīng)用Control-planepolice預(yù)防DDOS攻擊否可以在防火墻上實(shí)現(xiàn)該功能（內(nèi)網(wǎng)內(nèi)無(wú)硬件防火墻，邊界處才有防火墻）18是否有完整的系統(tǒng)日志記錄功能，包括AAA、SNMPTrapSyslog、本地日志緩存否使用部分日志功能（接受SYSLOG日志）（實(shí)施網(wǎng)管平臺(tái)后可以將網(wǎng)絡(luò)設(shè)備的日志轉(zhuǎn)移到網(wǎng)管服務(wù)器上）19是否實(shí)施了配置管理，必要時(shí)可將路由配置恢復(fù)到原先狀態(tài)是無(wú)20OSPF協(xié)議使用LOOPBACK是否做ROUTE-ID的標(biāo)識(shí)否無(wú)（也可以使用物理口做ROUTE-ID，即現(xiàn)在用的情景）21接入層和匯聚層之間是否采用靜態(tài)路由是無(wú)

22是否存在黑洞路由即孤立的路由否無(wú)23其它設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計(jì)的權(quán)限分配給不同的網(wǎng)絡(luò)設(shè)備用戶。否設(shè)置用戶權(quán)限分離（管理帳號(hào)和查看帳號(hào)分離）（可以實(shí)施，建議不要實(shí)施，因?yàn)槲覀兿拗屏颂囟↖P登錄，不再需要分權(quán)限了）24動(dòng)態(tài)路由協(xié)議是否啟用認(rèn)證功能否啟用認(rèn)證功能（可以實(shí)施，可以啟用鏈路上OSPF的明文或密文驗(yàn)證，有效的控制3層設(shè)備的接入，但實(shí)施時(shí)要所有網(wǎng)絡(luò)設(shè)備同時(shí)一起啟用認(rèn)證）25使用SSH代替TELNET否使用SSH代替TELNET（不支持SSH登錄）26是否設(shè)置Syslog日志否接收SYSLOG日志（網(wǎng)管平臺(tái)實(shí)施后，可以收集日志）27VLAN設(shè)置是否合理否按部門(mén)劃分VLAN，按訪問(wèn)需求設(shè)置VLAN訪問(wèn)權(quán)限（可以實(shí)施，重新劃分VLAN，通過(guò)ACL控制VLAN之間的訪問(wèn)，但工作量較大，需商量）28ACL設(shè)置是否合理否控制VLAN訪問(wèn)/可以使用防火墻代理部分ACL功能（通過(guò)ACL控制VLAN之間的訪問(wèn)）圖表43交換機(jī)加固建議路由器加固建議編號(hào)生產(chǎn)廠商/型號(hào)CISCO7606/r