华为路由器测评指导书.docx
- 文档编号:4380509
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:17
- 大小:18.33KB
华为路由器测评指导书.docx
《华为路由器测评指导书.docx》由会员分享,可在线阅读,更多相关《华为路由器测评指导书.docx(17页珍藏版)》请在冰豆网上搜索。
华为路由器测评指导书
华为路由器测评指导书
测评指标
测评项
测评实施过程
预期结果
结果记录
访问控制
a)应在网络边界部署访问控制设备,启用访问控制功能;
访谈网络管理员、安全管理员、检查网络拓扑结构,查看是否在网络边界处部署访问控制设备并配置启用了访问控制策略。
1)网络边界处有访问控制设备
2)访问控制设备上配置启用了访问控制策略
1)在网络边界部署了访问控制设备,并且启用了访问控制功能;
2)在网络边界没有部署访问控制设备;
3)在网络边界部署了访问控制设备,但没有启用访问控制功能;
b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级;
1)在特权模式下,输入命令displayaclconfigall会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
aclnumber2000
ruledenyicmpsourceanydestinationany
rulepermittcpsource10.1.2.0destination20.3.5.40destination-porteq443
rulepermittcpsource10.1.2.0destination20.3.4.55destination-porteq80
interfaceGigabitEthernet1/1/1
descriptionTO_XX
speed1000
duplexfull
portaccessvlan100
packet-filterinboundip-group2000
执行步骤1)有路由器相关配置信息输出
执行步骤2)配置文件中有类似的配置信息输出
1)访问控制表中有相应的配置信息
2)访问控制表中有部分的配置信息
3)访问控制表中没有相应的配置信息
c)应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制。
如果在网络边界处部署了防火墙,该项要求一般通过防火墙来实现
在防火墙上配置对网络信息进行过滤
1)防火墙有网络信息过滤配置
2)防火墙没有网络信息过滤配置
d)应在会话处于非活跃一定时间或会话结束后终止网络连接。
此项不合适,该项要求一般在防火墙上实现
防火墙上配置对非活跃会话终止连接
1)防火墙上有相关配置
2)防火墙上没有相关配置
e)应限制网络最大流量数及网络连接数。
访谈系统管理员,依据实际网络状况是否需要限制网络最大流量数及网络连接数,并检查路由器配置。
如果在网络中部署了防火墙,该项要求一般通过防火墙来实现。
1)在特权模式下输入命令displayaclconfigall
会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
如限制某端口下的10000Kbps访问,则检查配置信息中应当存在类似如下配置项:
aclnumber3000
rule1permitip
interfaceEthernet2/1/9
portaccessvlan2109
traffic-shape10000256
traffic-limitinboundip-group3000rule1system-index28tc-index6100001000000100000010000conformremark-policed-serviceexceeddrop
执行步骤1)显示路由器配置信息
执行步骤2)配置文件中有类似的配置信息输出
1)路由器中有相应配置信息
2)路由器中没有相应配置信息
f)重要网段应采取技术手段防止地址欺骗。
1)在特权模式下输入命令displayarp会输出该路由器相关配置信息
2)检查配置信息中应当存在类似如下配置信息:
arpstatic192.168.1.1000014-7855-c7bb
执行步骤1)显示路由器配置信息
执行步骤2)配置文件中有类似的配置信息输出
1)路由器中有相应配置信息
2)路由器中没有相应配置信息
g)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。
1)在特权模式下输入命令displayipsec会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
ikepeercenter
exchange-modeaggressive
pre-shared-keyabc
id-typename
remote-namecenter
remote-address10.0.0.1
ipsecpolicybranch110isakmp
securityacl3001
ike-peercenter
proposal1
aclnumber3001
rule0permitipsource192.168.2.00.0.0.255destination192.168.1.00.0.0.255
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
h)应限制具有拨号访问权限的用户数量。
1)在特权模式下输入命令displaydialer会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
link-protocolppp
pppauthentication-modepap
ipaddress10.12.12.20255.255.255.0
dialerenable-circular
dialer-group1
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
安全审计
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
info-centerenable
info-centerloghost1.1.1.1facilitylocal4languagechinese
info-centersourcedefaultchannelloghostloglevelinformational
snmp-agent
snmp-agentcommunityreadisPubilic
snmp-agenttarget-hosttrapaddress10.1.20.10port161parametersv2securitynameaaa
snmp-agenttrapenablestandardauthenticationcoldstartlinkdownlinkupwarmstart
snmp-agenttrapenablesystem
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
b)审计记录应包括:
事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
对于华为路由器来说,可以对系统错误、网络和接口的变化,登录失败、ACL匹配等进行审计,审计内容包括了时间、类型、用户等相关信息。
因此,对于华为路由器来说,只要审计功能启用就能符合该项要求。
启用了审计功能
1)审计功能启用
2)审计功能没有启用
c)应能够根据记录数据进行分析,并生成审计报表;
访谈并查看网络管理员采用了什么手段实现了审计记录数据的分析和报表生成。
实现审计记录数据的分析和报表生成的手段
1)有审计记录数据的分析和报表生成的手段
2)没有审计记录数据的分析和报表生成的手段
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
访谈网络设备管理员采用了何种手段避免了审计日志的未授权修改、删除和破坏。
例如可以设置专门的日志服务器来接收路由器等网络设备发送出的报警信息。
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
info-centerenable
info-centerloghost1.1.1.1facilitylocal4languagechinese
info-centersourcedefaultchannelloghostloglevelinformational
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
网络设备防护
a)应对登录网络设备的用户进行身份鉴别
路由器的口令安全包括两类:
设置登录口令和设置使能口令(特权密码),测评人员应通过查看设备的当前运行配置文件对相关设置依次进行检查。
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
superpasswordlevel3cipherN’C55QK<’=/Q=^Q’MAF4<1!
!
local-userbackbone
service-typessh
level3
aclnumber2010
rule1permitsource10.1.2.30
user-interfacevty04
acl2010inbound
authentication-modescheme
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
b)应对网络设备的管理员登录地址进行限制
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
aclnumber2010
rule1permitsource10.1.2.30
user-interfacevty04
acl2010inbound
authentication-modescheme
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
c)网络设备用户的标识应唯一
访谈网络管理员设备管理账号是否与网络管理员自然对应,不存在多人共用一个账户的情况。
查看网络配置信息中相关账户配置。
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置文件中应当存在类似如下配置信息:
superpasswordlevel3cipher
;*T-O=BHUS8;AX>:
IR2OA!
!
servicetypessh
local-usermcapasswordcipher8$A\8&]Z=O;Q=^Q’MAF4<1!
!
servicetypessh
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别
可以通过访谈网络设备管理员采用了何种鉴别技术实现双因子鉴别,并在管理员的配合下验证双因子鉴别的有效性。
采用了合适的技术实现了双因子鉴别
1)采用了双因子鉴别技术进行身份鉴别
2)没有采用双因子鉴别技术进行身份鉴别
e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换
询问系统管理员对身份鉴别采取的具体措施,使用口令的组成、长度和更改周期等。
查看网络设备配置信息中密码是否为密文存储。
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置信息中是否存在类似如下配置信息:
superpasswordlevel3cipher;*T-O=BHUS8;AX>:
IR20A!
!
servicetypessh
local-usermcapasswordcipher8$A\8&]Z=O;Q=^Q`MAF4<1!
!
servicetypessh
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置信息中是否存在类似如下配置信息:
user-interfacecon0
idle-timeout50
user-interfacevty04
userprivilegelevel3
setauthenticationpasswordcipherWV2[J->SMX7Q=^Q’MAF4<1!
!
idle-timeout50
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听
询问系统管理员采用何种方式对网络设备进行远程管理,目前大部分路由器支持加密协议传输。
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置文件中是否存在类似如下配置信息:
local-userhuaweipasswordcipher#$#suY9w#
local-userhuaweiservice-typessh
local-userhuaweilevel3
user-interfacevty04
authentication-modeaaa
protocolinboundssh
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
h)应实现设备特权用户的权限分离
1)在特权模式下输入命令displaycurrent-configuration会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
superpasswordlevel3cipher‘;*T-O=BHUS8;AX>:
IR2OA!
!
servicetypessh
local-usermcapasswordcipher8$A\8&]Z=O;Q=^Q’MAF4<1!
!
servicetypessh
执行步骤1)~2)配置文件中有类似的配置信息输出
1)路由器中有类似配置信息
2)路由器中没有类似配置信息
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 路由器 测评 指导书