密级：内部
文档编号：
项目代号：
中国移动通信集团
网络设备安全配置规范
总则
版本：草稿
二零零三年十一月
中国移动通信公司
福建移动通信公司
版本控制
版本号
日期
参与人员
更新说明
初稿
2003-11-25
洪顺安
文档建立，初始化
目录
第一部分概述和介绍 5
1 概述 5
1.1 项目背景 5
1.2 项目目标 5
1.3 参考资料 5
第二部分设备的安全机制 7
1 访问控制 7
2 数据加密 7
3 日志问题 8
4 自身的防攻击能力 8
第三部分设备安全配置建议 9
1 访问控制列表及其管理 9
1.1 实施原则 9
1.2 存在问题 10
1.3 要求配置部分 10
2 路由协议的安全性 11
2.1 路由协议认证 11
2.2 源地址路由检查 12
2.3 黑洞路由 12
3 网管及认证问题 13
3.1 访问管理 13
3.1.1 限制登录空闲时间 14
3.1.2 限制尝试次数 14
3.1.3 限制并发数 14
3.1.4 访问地址限制 14
3.2 帐号和密码管理 15
3.3 帐号认证和授权 15
3.3.1 本机认证和授权 15
3.3.2 AAA认证 16
3.4 snmp协议 16
3.5 HTTP的配置要求 17
4 安全审计 17
4.1 设备的登录信息 18
4.2 设备异常事件 18
4.3 SYSLOG服务器的设置 18
5 设备IOS升级方法 18
5.1 前期准备 19
5.1.1 软件的获取 19
5.1.2 制定升级计划 19
5.1.3 配置同步 19
5.1.4 数据备份 20
5.1.5 其他准备工作 20
5.2 升级操作 20
5.2.1 记录升级前系统状态 20
5.2.2 升级IOS或装载补丁 20
5.2.3 检查升级后系统的状态 21
5.3 应急保障措施 21
6 特定的安全配置 21
6.1 更改标准端口 21
6.2 关闭不必要的服务 21
6.3 防DOS攻击 22
6.3.1 Smurf进攻的防范。 22
6.3.2 TCPSYN的防范。 23
6.3.3 LAND.C进攻的防范 25
6.4 ICMP协议的安全配置。 25
6.5 其他特定的安全配置 26
第四部分附表 27