`
snmp-server enable traps haRedundancy snmp-server enable traps routeTable snmp-server
3、中兴设备
standard acl 1000 //配置ACL访问列表 rule 1 permit 202.103.194.99 0.0.0.0 rule 2 permit 202.103.194.100 0.0.0.0 rule 3 permit 202.103.194.101 0.0.0.0 snmp-server access-list 1000 //配置允许访问的网段范围 snmp-server community public view AllView ro //配置读团体串 snmp-server community private view AllView rw //配置写团体串 snmp-server host 202.103.194.99 trap version 2c private udp-port 162 //设置接收Trap消息的目的地 snmp-server enable trap //开启trap snmp-server enable trap xxx //可以针对具体功能开trap(bgp ospf rmon snmp stalarm vpn) logging trap-enable notifications //配置允许告警信息上送trap 2.3 SYSLOG配置
■ 配置内容:
1、配置 log信息显示的时间; 2、配置 log信息触发的级别; 3、配置 log server; ■ 规范要求:
1、设备必须配置日志功能,记录所有中高风险的事件,其中必须记录用户登录事件,并对高风险的事件产生告警;
2、log信息采用北京时间来显示; 3、指定日志主机的IP地址;
4、log信息需集中保存到 log server(202.103.194.99)上,可以配置多个 log server; 5、IP POOL利用率超过85%,应输出告警信息;
6、Syslog触发级别根据不同设备实际情况调整,需包含如下信息:(端口UP DOWN 、BGP\\OSPF\\MPLS 邻居updown、 设备重启、板卡状态改变、Radius服务器down); ■ 配置示例: 1、华为设备 info-center loghost source LoopBack0 info-center timestamp trap date //trap时间为系统时间 info-center loghost 202.103.194.99 //目标主机,可多个 info-center logbuffer size 1024 //设置logbuffer大小 info-center source default channel 2 log level warning //设置warning级别的通过通道2输出 2、Juniper设备
`
service timestamps log datetime show-timezone localtime log fields timestamp instance no-calling-task log destination console severity WARNING log destination nv-file severity CRITICAL log destination nv-file severity emergency log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 4 severity WARNING log destination syslog 202.103.194.99 facility 6 severity info log destination syslog 202.103.194.99 facility 5 severity notice log destination syslog 202.103.194.99 facility 3 severity error log destination syslog 202.103.194.99 source loopback 0 3、中兴设备 syslog-server host 202.103.194.99 fport 514 lport 514 alarmlog level notifications cmdlog debugmsg //配置log server,最多可配5个 syslog-server facility local0 //默认local0,可以配置 syslog-server host x.x.x.x //配置发送log的host 2.4 登录AAA
■ 配置内容:
配置设备登陆到AAA服务器; ■ 规范要求:
1、AAA认证服务器优先考虑采取IP综合网管的AAA服务器(202.103.194.99)。 2、AAA Server采用tacas协议;
3、对于只支持Radius协议的设备,采用Radius协议进行管理。 4、配置本地认证一个超级帐号供应急使用; ■ 配置示例: 1、华为设备 hwtacacs-server template ht //配置tacacs服务器模板 hwtacacs-server authentication 202.103.194.99 49 //配置认证服务器和端口 hwtacacs-server authentication X.X.X.X XXX secondary hwtacacs-server authorization 202.103.194.99 49 //配置授权服务器和端口 hwtacacs-server authorization X.X.X.X XXX secondary hwtacacs-server accounting 202.103.194.99 49 //配置计费服务器和端口 hwtacacs-server accounting X.X.X.X XXX secondary hwtacacs-server shared-key Nocteam //配置服务器密钥 hwtacacs-server source-ip x.x.x.x //配置上送报文携带的源地址,一般是LOOBAPCK地址
undo hwtacacs-server user-name domain-included //设置上送帐号不携带域名 # `
aaa
authentication-scheme l-h //配置认证模板1-h
authentication-mode local-hwtacacs //配置认证策略为先本地后tacacs
或authentication-mode hwtacacs-local //MA5200G只支持先TACACS后本地 authentication-super hwtacacs super #
authorization-scheme hwtacacs //配置授权方案模板
authorization-mode local hwtacacs if-authenticated //配置授权策略为先本地后tacacs 或 authorization-mode hwtacacs local if-authenticated //MA5200G只支持先TACACS后
本地
#
accounting-scheme hwtacacs //配置计费模板 accounting-mode hwtacacs
accounting realtime 3 //配置计费间格 #
aaa视图下
domain default_admin //配置默认认证域 authentication-scheme l-h //分别使用相应的模板 authorization-scheme hwtacacs accounting-scheme hwtacacs hwtacacs-server ht #
super password level 3 cipher );W\本地super帐号
2、Juniper设备 aaa new-model aaa authentication login \ //配置认证方式tacacs+ aaa authorization exec \ privilege exec level 1 test privilege exec level 1 telnet //帐号权限类型 line vty 0 4 //telnet使用3a tacacs认证 login authentication \authorization exec \ tacacs-server source-address 222.217.167.11 tacacs-server host 202.103.194.99 key bras primary tacacs-server host X.X.X.X key bras 3、中兴设备
tacacs enable tacacs-server host 202.103.194.99 //配置认证tacacs+ server地址 `
aaa group-server tacacs+ zte //配置aaa 列表 server 202.103.194.99 //配置aaa服务器地址和tacacs server配置一样 aaa authentication enable default group zte local //配置enable方式,默认为tacacs服务器,如果认证不通过,则使用本地认证 aaa authentication login default group zte local //配置enable方式,默认为tacacs服务器,如果认证不通过,则使用本地认证 username zte password zte privilege 15 //本地最高权限账号 第3节 安全配置
3.1 防攻击设置
■ 配置内容:
1、关闭不必要的服务;
2、配置过滤常见病毒的端口及容易受攻击的端口; ■ 规范要求:
1、接口启用uRPF; 2、配置防病毒策略 3、关闭路由器端口服务如:ECHO(TCP 7)、HCEGEN(TCP 19和UDP 19)、FINGER(TCP 79)、FTP等,增强设备本身的安全性; 4、关闭设备登录banner提示;
5、Console端口登录需设置本地口令 ■ 配置示例: 1、华为设备 acl number 2000 //配置ACL访问列表 rule 10 permit source X.X.X.X X.X.X.X # acl number 3100 //配置高级ACL列表 rule 5 permit tcp destination-port eq echo rule 10 permit tcp destination-port eq CHARgen rule 15 permit udp destination-port eq 19 rule 20 permit tcp destination-port eq finger traffic classifier XXX //配置流模板 if-match ACL XXX traffic behavior XXX //配置动作模板 deny `
traffic policy XXX //配置策略模板,流与动作相关联 classifier XXXl behavior XXX traffic-policy XXX inbound //在相关的接口下应用
2、Juniper设备
no ftp-server enable conf t
interface ge0/0 ip sa-validate
ip classifier-list tcp7 tcp any any eq 7 ip classifier-list tcp19 tcp any any eq 19 ip classifier-list udp19 udp any any eq 19 ip classifier-list tcp17 tcp any any eq 17
ip policy-list is- attack classifier-group tcp7 filter
classifier-group tcp19 filter
classifier-group udp19 filter
classifier-group tcp17 filter
classifier-group * forward
3、中兴设备 no ftp-server enable acl extended number 100 //进入ACL配置模式 # extended acl 100 //配置扩展ACL列表 rule 1 deny tcp any any eq 7 rule 10 deny tcp any any eq 19 rule 20 deny tcp any any eq finger rule 15 deny udp any any eq 19 ip access-group 100 X //接口下匹配ACL ip verify XXX unicast-reverse-path acl XXX //接口下配置uRPF