返回
reference中国移动通信集团网络设备安全配置规范 -思

reference中国移动通信集团网络设备安全配置规范 -思

ID:18507859

大小:120.00 KB

页数:19页

时间:2018-09-18

reference中国移动通信集团网络设备安全配置规范 -思_第1页
reference中国移动通信集团网络设备安全配置规范 -思_第2页
reference中国移动通信集团网络设备安全配置规范 -思_第3页
reference中国移动通信集团网络设备安全配置规范 -思_第4页
reference中国移动通信集团网络设备安全配置规范 -思_第5页
资源描述:

《reference中国移动通信集团网络设备安全配置规范 -思》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、密级:内部文档编号:项目代号:附件九中国移动通信集团网络设备安全配置规范思科PIX分册版本:草稿二零零三年十一月中国移动通信公司福建移动通信公司第19页共19页版本控制版本号日期参与人员更新说明初稿2003-11-15洪顺安、林秀文档建立,初始化第19页共19页目录第一部分概述和介绍41概述41.1项目背景41.2项目目标41.3参考资料42适用的软件版本5第二部分设备的安全机制6第三部分设备安全配置建议81网管及认证问题81.1访问管理81.1.1telnet服务的配置81.1.2SSH配置91.2帐号和密码管理101.3帐号认证和授权111.

2、3.1AAA认证111.4snmp协议122安全审计133设备IOS升级方法143.1前期准备143.1.1软件的获取143.1.2制定升级计划143.1.3设置FTP服务器153.1.4数据备份153.1.5注意事项163.2升级操作163.2.1升级IOS或装载补丁163.3应急保障措施173.3.1设置防火墙173.3.2PC设置(TFTP服务器设置)173.3.3上传旧的软件173.3.4重启路由器173.3.5恢复配置184特定的安全配置184.1其他特定的安全配置184.1.1禁止未使用或空闲的端口184.1.2banner的设置要求

3、184.1.3源地址路由限制19第19页共19页第一部分概述和介绍1概述本文档对中国移动网络思科防火墙-pix安全配置标准进行描述,规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分,在规范中针对设备的六大安全规范主题进行描述,除了提供详细的安全配置标准外,同时考虑设备型号和适用网络层次的不同,并对实际配置过程中应注意的问题进行详细描述。1.1项目背景该项目是为了规范网络设备的安全配置标准,提高中国移动网络设备的安全性而提出的。该项目成果将适用于集团公司以及各省公司网络部、计费、信息化等部门,涵盖业务网络(GPRS、CMN

4、et、各数据业务系统)、支撑系统(网管、BOSS、OA)等。1.2项目目标该项目的目标是对中国移动网络中使用的网络思科防火墙-pix安全配置标准进行规范,实现规范和指导各省各应用系统网络设备安全配置的作用。1.3参考资料lCISCO公司提供《ImprovingSecurityonCiscoRouters》l思科官方网站www.cisco.coml中国IT认证实验室网站http://www.chinaitlab.com/参与该分册编写的人员有:福建移动通信公司:洪顺安、林秀第19页共19页感谢:泰讯网络给予大力支持。1适用的软件版本本规范适用的设备

5、版本如下表:设备名称设备型号IOS版本备注CiscoPIX系列防火墙501、506E、515E、506、515、525、535型号CISCOPIX6.3及以上版本注意:考虑到思科设备的小版本号繁多,并且不易分辨。建议最好从集成商那获取最新的软件版本。第19页共19页第二部分设备的安全机制该部分内容对思科PIX防火墙自身的安全机制进行简单描述,对每种安全机制可以解决什么问题进行阐述。目前,防火墙采用的基础技术有两种,一是基于网络层的包过滤防火墙,主要是在网络层根据IP包的源和目的地址及源和目的端口来决定是转发还是丢弃IP包;二是基于应用层的隔离网络

6、的代理服务器(proxyserver),是在应用层为每一种服务提供一个代理,鉴于这两种技术都有各自的特点和弊端,建设一个具有良好性能的防火墙应是基于拓扑结构的合理选用和防火墙技术的合理配置。CisoPIXFirewall是基于这两种技术结合的防火墙。它应用安全算法(AdaptiveSecurityAlgorithm),将内部主机的地址映射为外部地址,拒绝未经允许的包入境,实现了动态,静态地址映射,从而有效地屏蔽了内部网络拓扑结构。通过管道技术,出境访问列表,可以有效地控制内、外部各资源的访问。PIXFirewall可连接多个不同的网络,每个网络都

7、可定义一个安全级别,级别低的相对于级别高的总是被视为外部网络,但最低的必须是全球统一的IP地址。PIXFirewall提供的完全防火墙保护以及IP安全(IPsec)虚拟专网能力特别适合于保护企业总部的边界。其保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;与应用层代理防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确连接时,访问才被允许通过。这样,内部和外部的

8、授权用户就可以透明地访问企业资源,同时保护了内部网络不会受到非授权访问的侵袭。另外,PIXFirewall第19页共19页实现了在Int

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。