Route(config)#logging trap information (控制交换机发出日志的级别为6级:information)
Route(config)#logging 192.168.10.188 (将日志发送到192.168.10.188,如需修改服务器,可采用Route(config)#no logging 192.168.10.188删除,然后重新配置日志服务器)
Route(config)#logging facility local6
Route(config)#logging source-interface FastEthernet 0/1 (设置发送日志的以太网口) Route(config)#exit Route#config terminal
Route(config)#logging trap information
Route(config)#snmp-server host 10.52.xx.xx traps public (配置发送trap信息主机)
Route(config)#snmp-server trap-source Ethernet 0/1 Route(config)#snmp-server enable traps syslog Route(config)#exit Route# write
H3C设备配置命令 # //指定loopback0作为发送日志信息的源地址 info-center loghost source LoopBack0 //配置日志主机IP地址 info-center loghost 10.52.xx.xx # //连接日志主机接口配置 interface Ethernet0/1 port link-mode route ip address 10.52.21.xx 255.255.255.0 # //配置 loopback0地址 interface LoopBack0 ip address 10.52.210.xx 255.255.255.255 # 4) 口令必须具有一定强度、长度和复杂度,长度不得小于8位字符串,要求是字母和数字或特殊字符的混合,用户名和口令禁止相同。
口令要及时更新,要建立定期修改制度,其中系统管理员口令修改间隔不得超过3个月,并且不得重复使用前3次以内的口令。用户登录事件要有记录和审计,同时限制同一用户连续失败登录次数,一般不超过3次。
5)所有网络设备均应开启网络设备登录失败处理功能、限制非法登录次数、当网络登录连接超时时自动退出等措施。网络登录连接超时时自动退出实施如下: 思科设备配置命令: Router#config terminal
Router(Config)#line con 0 配置控制口
Router(Config-line)#exec-timeout 5 0 设置超时5分钟 Router(Config-line)#exit Router(Config)#exit Router#write
6)部署桌面管理系统,对内部网络中的用户网络连接状态进行实时监控,以保证内部用户不可私自联到外部网络;配置桌面管理系统策略,对私自连接到外网的内部用户进行准确定位并阻断内外网互通。
7)在交换机上限制网络最大流量数及网络连接数。实施配置如下: 思科设备配置命令: Router#config terminal
Router(config)# access-list 101 deny tcp 10.52.31.0 0.0.0.255 any www(禁止10.52.31.0网段访问Internet)
Router(config)# access-list 102 deny tcp 10.52.31.0 0.0.0.255 any ftp(禁止10.52.31.0网段ftp服务)
Router(config)# ip nat translation max-entries 10.52.31.0 0.0.0.255 200(限制10.52.31.0网段的主机NAT的条目为200条) Route(config)#exit Route# write
MSR配置 # //指定NAT日志主机地址及UDP端口号,9021是XLog默认端口 userlog nat export host 10.52.xx.xx 9021 # //用于NAT的ACL acl number 2000 rule 0 permit source 10.52.xx.xx 0.0.0.255 # //使能NAT日志功能 nat log enable //创建NAT Session时创建日志 nat log flow-begin //打开NAT活跃流记录功能 nat log flow-active 10 # 8)由于网络中防火墙为透明模式,当防火墙接口为UP,但存在转发故障时,无法实现切换,故需要对路由器及交换机配置检测机制以实现网络冗余切换,配置如下:
H3C设备配置 # interface GigabitEthernet0/0 port link-mode route ip address 1.2.0.1 255.255.255.0 # //配置探测组admin oper nqa entry admin oper //类型为ICMP-Echo,即ping操作 type icmp-echo //ping的目的地址1.2.0.2 destination ip 1.2.0.2 //频率为1000毫秒,即1秒 frequency 1000 //配置反应组1,即如果连续测试3次失败则触发相关动作 reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only # //将静态路由和跟踪组1绑定 ip route-static 0.0.0.0 0.0.0.0 1.2.0.2 track 1 # //跟踪组1和admin oper的reaction 1绑定,即反应组1触发跟踪组1 track 1 nqa entry admin oper reaction 1 # //使能nqa nqa agent enable //nqa调度配置,即从配置开始起一直进行调度测试 nqa schedule admin oper start-time now lifetime forever 9)开启楼层接入交换机的接口安全特性,并作MAC绑定 10)关闭不必要的服务
? 禁止CDP(Cisco Discovery Protocol) ? 禁止TCP、UDP Small服务 ? 禁止Finger服务 ? 禁止NTP服务
? 禁止BOOTp服务(路由器适用) ? 禁止IP Source Routing
? 禁止IP Directed Broadcast(路由器和三层交换机适用) ? 启用service password-encryption ? 关闭WINS和DNS服务 ? 关闭ARP-Proxy服务
11)其它安全要求
? 禁止从网络启动和自动从网络下载初始配置文件。 ? 禁止未使用或空闲的端口 ? 符合banner的设置要求 ? 符合设备提示符的设置要求 ? 启用源地址路由检查(路由器适用) ? VTP设置密码(交换机适用)