网络安全优化标操作手册

网络安全策略操作手册

--

--WORD格式---可编辑--

《网络安全策略操作手册》

文档记录：

摘要记录：

关键字

网络安全 密码 ACL

编 号

版本控制：

变更者

版本 1． 0

变更日期 2015.5.26

批准人 审批日期 变更内容

钟登

II

--

--WORD格式---可编辑--

《网络安全策略操作手册》

1、密码安全

1.1 密码复杂度

1）使用大写字母和小写字母、标点和数字的集合。 2）有规律地更换密码，长度大于或等于

8 位左右较为合适。

3）不要使用和你有关的姓名和数字，如出生日期或是绰号。

1.2 登录方式和明密文加密

常用的网络设备远程登录方式有 Telnet 和 SSH，telent 属于明文传输密码，密码容易遭到网络抓包或监听工具窃取， 而 SSH采用密文方式传输密码， 相对安全。同样，网络交换机模式密码有明文和密文两种存在方式， 建议采用密文方式加密，这样即使配置文件泄露也不会泄露交换机登录密码。

Telnet 方式：

Switch(config)#line vty 04

Switch(config-line)#password xxxx 设置 telnet 时的登陆密码 Switch(config-line)#login

SSH 方式：

Switch(config)#ip domain-name cisco

Switch(config)#crypto key generate rsa general-keys Switch(config)#line vty 0 4

Switch(config-line)#transport input ssh

设置 SSH 登录方式（建议）

Switch(config-line)#username cisco password xxx Switch （config-line)#login

全局模式口令

R1#configure terminal

R1(config)#enable password XXXX

明文加密

3

--

--WORD格式---可编辑--

《网络安全策略操作手册》

R1(config)#enable secret XXXX 密文加密（建议）

1.3 访问控制列表安全策略

访问控制列表（ ACL）用来允许特定的源数据去往特定的目标和禁止特定的源数据去往特定的目标来达到一种安全防护的作用。

示例：

1）财务部，由于财务部的数据库服务器是比较机密的，需禁止人事、软件开发、网站设计部访问财务。

Access-list 101 deny ip 192.168.1.0 0.0.0.255 192.168.4.0 0.0.0.255 Access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 Access-list 101 deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255 Access-list 101 permit ip any any

2）人事部，需要经常和各部门沟通了解各部门人员流通情况

ACL来允许人事部访问其他各部门

Access-list 101 permit 192.168.1.0 0.0.0.255 any

4

--

--WORD格式---可编辑--

《网络安全策略操作手册》

1.4 Syslog、NTP 服务器配置

核心交换机在网络中起到至关重要的作用， 需要经常查看实时日志信息， 同时需要随时查看以前的一些日志信息， 来对设备的一些故障、 运行情况、 性能做一些分析。同时网络设备的时间同步也能保障业务的一致性。

Syslog 配置

Router （config ）#log on

Router （config ）#log server x.x.x.x(

服务器地址 )

Router （config ）#log facility local 1

Router （config ）#log trap errors

Ntp 配置（设备作为客户端）

Router （config ）#clock timezone CST-8

Router （config ）#ntp server x.x.x.x

Router （config ）#ntp source interface GE/0/1

Ntp 配置（设备作为源）

Router （config ）#clock timezone BeiJing 8

Router （config ）#ntp source interface GE/0/1

Router （config ）#ntp authentication-key 1234 md5 104D000A0618 7

Router （config ）#ntp trusted-key 1234

Router （config ）#ntp master

5

--