DB32-T 2766.3-2015重要信息系統(tǒng)安全防護(hù)技術(shù)規(guī)范 第3部分-路由器

lICS25.040

L70

備案號(hào)：46301-2015

DB32

江蘇省地方標(biāo)準(zhǔn)

DB32/T2766.3-2015

重要信息系統(tǒng)安全防護(hù)技術(shù)規(guī)范

第3部分：路由器

Specificationforsecuritytechnologyprotectionofimportantinformationsystems—

Part3：Router

2015-06-15發(fā)布2015-08-15實(shí)施

江蘇省質(zhì)量技術(shù)監(jiān)督局發(fā)布

DB32/T2766.3-2015

前言

本規(guī)范依據(jù)GB/T1.1-2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》編寫。

本標(biāo)準(zhǔn)附錄A是資料性附錄。

本規(guī)范由江蘇省經(jīng)濟(jì)和信息化委員會(huì)提出并歸口。

本規(guī)范起草單位：江蘇省電子信息產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)研究院（江蘇省信息安全測評(píng)中心）。

本規(guī)范起草人：王丹中、黃申、吳蘭、車?yán)鑴偂⒗顕?、王坤?/p>

II

DB32/T2766.3-2015

引言

DB32/T1927-2011《政府信息系統(tǒng)安全防護(hù)基本要求》中對路由器設(shè)備的安全防護(hù)僅提

出了基本要求，對如何具體實(shí)施未做詳細(xì)規(guī)定。

本規(guī)范是對DB32/T1927-2011《政府信息系統(tǒng)安全防護(hù)基本要求》的細(xì)化，規(guī)定了重要

信息系統(tǒng)中路由器設(shè)備的安全技術(shù)防護(hù)要求和安全防護(hù)方法，以幫助和指導(dǎo)重要信息系統(tǒng)管

理、運(yùn)維和使用等單位對網(wǎng)絡(luò)信息系統(tǒng)中的路由器設(shè)備進(jìn)行安全配置、安全管理和安全運(yùn)維，

提高路由器設(shè)備的安全技術(shù)防護(hù)能力。

III

DB32/T2766.3-2015

重要信息系統(tǒng)安全防護(hù)技術(shù)規(guī)范第3部分：路由器

1范圍

本標(biāo)準(zhǔn)規(guī)定了重要信息系統(tǒng)中路由器設(shè)備的安全技術(shù)防護(hù)要求和安全防護(hù)方法，以幫助

和指導(dǎo)重要信息系統(tǒng)管理、運(yùn)維和使用等單位對網(wǎng)絡(luò)信息系統(tǒng)中的路由器設(shè)備進(jìn)行安全配

置、安全管理和安全運(yùn)維，提高路由器設(shè)備的安全技術(shù)防護(hù)能力。

本標(biāo)準(zhǔn)適用于重要信息系統(tǒng)中路由器設(shè)備的安全管理、安全運(yùn)維與防護(hù)。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的，凡是注日期的引用文件，僅注日期的版本適

用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T18018信息安全技術(shù)路由器安全技術(shù)要求

GB/T20011信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

DB32/T1927政府信息系統(tǒng)安全防護(hù)基本要求

3術(shù)語和定義

GB/T17859、GB/T22239界定的術(shù)語和定義適用于本文件。

3.1

重要信息系統(tǒng)importantinformationsystems

由政府機(jī)關(guān)建設(shè)和使用，履行經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會(huì)管理、公共服務(wù)等重要職能的

信息系統(tǒng)，或由企、事業(yè)單位建設(shè)和使用，對其正常運(yùn)營、生產(chǎn)管理等具有重要作用的信息

系統(tǒng)。

4符號(hào)和縮略語

IP互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

MAC介質(zhì)訪問控制（MediaAccessControl）

ACL訪問控制列表（AccessControlList）

AUX輔助口（Auxiliary）

VTY虛擬終端（VirtualTeletypeTerminal）

TACACS+終端訪問控制器訪問控制系統(tǒng)+（TerminalAccessControllerAccess

ControlSystemPlus）

RADIUS遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)（RemoteAuthenticationDialInUserService）

SNMP簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

SSH安全外殼協(xié)議（SecureShellProtocol）

HTTPS安全超文本傳輸協(xié)議（HyperTextTransferProtocoloverSecureSocket

1

DB32/T2766.3-2015

Layer）

5安全技術(shù)防護(hù)

5.1結(jié)構(gòu)安全與網(wǎng)段劃分

5.1.1基本要求

DB32/T1927-2011中、適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.1.2防護(hù)方法

a）在使用動(dòng)態(tài)路由選擇協(xié)議時(shí)，應(yīng)啟用路由協(xié)議認(rèn)證功能，并不以明文形式保存認(rèn)證

碼。

b）應(yīng)在關(guān)鍵路由器中采用IP/MAC地址綁定方式防止重要網(wǎng)段的地址欺騙。

5.2網(wǎng)絡(luò)訪問控制

5.2.1基本要求

DB32/T1927-2011中、和適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.2.2防護(hù)方法

a）應(yīng)在路由器中配置合理的訪問控制列表（ACL），為數(shù)據(jù)流提供明確的允許/拒絕訪問

的能力。

b）應(yīng)關(guān)閉路由器的不必要服務(wù)和端口。

c）在網(wǎng)絡(luò)中使用無線接入路由器時(shí)，應(yīng)通過開啟安全設(shè)置、MAC地址過濾等方式允許/

拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入。

d）當(dāng)網(wǎng)絡(luò)邊界處未部署防火墻時(shí)，應(yīng)在路由器中根據(jù)實(shí)際網(wǎng)絡(luò)狀況通過IP地址、端口、

用戶、協(xié)議等限制網(wǎng)絡(luò)的最大流量，并通過IP地址限制網(wǎng)絡(luò)的最大連接數(shù)。

5.3撥號(hào)訪問控制

5.3.1基本要求

DB32/T1927-2011中、和適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.3.2防護(hù)方法

a）對采用遠(yuǎn)程接入網(wǎng)絡(luò)的用戶，路由器應(yīng)提供用戶認(rèn)證功能，通過配置用戶、用戶組，

并結(jié)合訪問控制規(guī)則實(shí)現(xiàn)允許/拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問。

b）對采用遠(yuǎn)程接入網(wǎng)絡(luò)的用戶，路由器應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。

5.4網(wǎng)絡(luò)安全審計(jì)

5.4.1基本要求

DB32/T1927-2011中4.2.4適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.4.2防護(hù)方法

a）應(yīng)啟用路由器的系統(tǒng)日志功能，對其運(yùn)行狀況、網(wǎng)絡(luò)流量、系統(tǒng)事件、登錄事件、

管理操作等內(nèi)容進(jìn)行監(jiān)測和記錄。

b）日志審計(jì)內(nèi)容應(yīng)記錄事件的時(shí)間、用戶、事件類型、事件是否成功等相關(guān)信息。

c）應(yīng)采用技術(shù)手段對路由器的審計(jì)記錄數(shù)據(jù)進(jìn)行查詢和分析，并生成報(bào)表。

d）應(yīng)在路由器發(fā)生錯(cuò)誤或異常等特定事件時(shí)主動(dòng)發(fā)送報(bào)警信息。

2

DB32/T2766.3-2015

e）應(yīng)采用技術(shù)或管理手段對路由器的審計(jì)記錄進(jìn)行保護(hù)，防止未授權(quán)修改、刪除和破

壞等操作。

f）應(yīng)采取措施確保審計(jì)存儲(chǔ)耗盡、失敗或受到攻擊時(shí)，審計(jì)記錄在一定的時(shí)間內(nèi)不會(huì)

被破壞。

5.5網(wǎng)絡(luò)設(shè)備防護(hù)

5.5.1基本要求

DB32/T1927-2011中、-適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.5.2防護(hù)方法

身份鑒別

a）應(yīng)為路由器設(shè)置身份鑒別信息，對通過不同登錄方式和不同訪問模式使用路由器的

用戶進(jìn)行身份鑒別。

——控制臺(tái)（Console）口令：應(yīng)在路由器控制臺(tái)端口上設(shè)置登錄口令，防止其他未授

權(quán)用戶連接到路由器并訪問用戶模式。

——輔助端口（AUX）口令：當(dāng)輔助端口作為備份的控制臺(tái)端口或用于遠(yuǎn)程訪問時(shí)，應(yīng)

設(shè)置輔助端口登錄口令，否則應(yīng)關(guān)閉輔助端口。

——遠(yuǎn)程登錄（VTY）口令：當(dāng)使用虛擬終端（VTY）進(jìn)行遠(yuǎn)程訪問時(shí)，應(yīng)設(shè)置遠(yuǎn)程登錄

（VTY）口令，防止未授權(quán)訪問。

b）身份鑒別所使用的口令應(yīng)滿足長度和復(fù)雜度要求，口令至少為8位，由大寫字母、

小寫字母、數(shù)字、特殊符號(hào)組成，并定期更換。

c）身份鑒別信息應(yīng)不易被冒用，存儲(chǔ)在配置文件中的口令應(yīng)加密存儲(chǔ)，或存儲(chǔ)在

TACACS+或RADIUS認(rèn)證服務(wù)器上。

d）路由器的用戶標(biāo)識(shí)應(yīng)具有唯一性，防止多人共用一個(gè)賬戶。

鑒別失敗

a）應(yīng)具有登錄鑒別失敗處理功能，可采用結(jié)束會(huì)話、限制非法登錄次數(shù)等措施中斷連

接或鎖定賬號(hào)。

b）當(dāng)?shù)卿涜b別失敗時(shí)，路由器應(yīng)僅反饋鑒別是否成功等相關(guān)信息。

超時(shí)鎖定

應(yīng)設(shè)置路由器的會(huì)話超時(shí)鎖定功能，當(dāng)?shù)卿浻脩魺o操作時(shí)間超過一定時(shí)限，對用戶身份

進(jìn)行重新鑒別。

權(quán)限管理

a）應(yīng)根據(jù)實(shí)際需要為管理用戶分配其所需的最小權(quán)限，控制不同用戶對路由器進(jìn)行數(shù)

據(jù)訪問、數(shù)據(jù)修改、程序執(zhí)行等操作。

b）應(yīng)實(shí)現(xiàn)路由器特權(quán)用戶的權(quán)限分離，將管理與審計(jì)的權(quán)限分配給不同的用戶，限定

特權(quán)用戶只具有完成工作職責(zé)范圍內(nèi)的權(quán)限，各項(xiàng)工作職責(zé)之間不可互相替代。

遠(yuǎn)程管理

a）應(yīng)對路由器的管理員登錄地址進(jìn)行限制，應(yīng)使用專用的管理終端、通信路徑或配置

相關(guān)安全屬性，避免未授權(quán)的訪問。

3

DB32/T2766.3-2015

b）當(dāng)使用SNMP協(xié)議對路由器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)修改默認(rèn)的共用團(tuán)體字符串

（communitystring），按b）給出的要求設(shè)置足夠強(qiáng)壯的團(tuán)體字符串，

并定期更改；應(yīng)啟用SNMP的trap性能，在路由器發(fā)生異常事件或錯(cuò)誤情況時(shí)，向

網(wǎng)絡(luò)管理服務(wù)器發(fā)送報(bào)警信息。

c）在遠(yuǎn)程接入路由器時(shí)，應(yīng)采用SSH、HTTPS等遠(yuǎn)程安全協(xié)議進(jìn)行遠(yuǎn)程接入。

4

DB32/T2766.3-2015

附錄A

（資料性附錄）

路由器基本要求防護(hù)方法實(shí)施示例

路由器基本要求防護(hù)方法實(shí)施示例見表A.1。

表A.1路由器基本要求防護(hù)方法實(shí)施示例

序號(hào)項(xiàng)目防護(hù)方法實(shí)施示例

1）使用靜態(tài)路由時(shí)，通過iproute命令作類似如下配置：

iproute93

2）使用OSPF等路由協(xié)議時(shí)，通過相關(guān)命令作類似如下配置：

15.1結(jié)構(gòu)5.1.2a）routerospf100

安全與網(wǎng)ipospfauthentication

段劃分ipospfauthenticationmessage-digest

ipospfmessage-digest-key1md57XXXXXXX（認(rèn)證碼）

通過arp命令在核心路由器中作如下類似配置：

25.1.2b）

arp0000.e268.9980arpa

配置訪問控制策略：

noaccess-list111

35.2.2a）ipaccess-listextended111

access-list111permittcphost6anyeq443

access-list111denyanyany

關(guān)閉默認(rèn)開啟的TCPSmallservice、UDPSmallservice、BOOTP、

IPSourceRouting、ARP-Proxy、IPDirectedBroadcast、WINS

和DNS等服務(wù)和不必要的端口：

noservicetcp-small-servers

noserviceudp-small-servers

noipfinger

5.2網(wǎng)絡(luò)noservicefinger

訪問控制

noipbootpserver

45.2.2b）

noipsource-route

noipproxy-arp

noipdirected-broadcast

noipdomain-lookup

關(guān)閉不必要的端口：

interfaceeth0/3

shutdown

5

DB32/T2766.3-2015

表A.1路由器基本要求防護(hù)方法實(shí)施示例(續(xù))

序號(hào)項(xiàng)目防護(hù)方法實(shí)施示例

在無線路由器的無線網(wǎng)絡(luò)安全設(shè)置中啟用WPA-PSK/WPA2-PSK、

55.2.2c）AES等加密認(rèn)證模式，同時(shí)啟用MAC地址過濾功能，添加并保存禁

止/允許上網(wǎng)的設(shè)備MAC條目

1）若限制源自/24的流量的帶寬為1000kbps，可在

路由器中配置如下：

class-mapmatch-allkkbule

matchaccess-group1

5.2網(wǎng)絡(luò)policy-mapblue

classkkblue

訪問控制

bandwidth1000

65.2.2d）

queue-limit30

classclass-default

ipaddress52

service-policyoutputblue

2）若限制主機(jī)的最大連接數(shù)為200，可配置如下：

ipnattranslationmax-entrieshost200

1）通過cryptoisakmp相關(guān)命令配置如下：

cryptoisakmppolicy10

hashmd5

authenticationpre-share

lifetime3600

cryptoisakmpkeyxxxxaddress

2）通過cryptoipsec相關(guān)命令作如下類似配置：

cryptoipsectransform-setzhangah-md5-hmacesp-des

cryptomapzhang10ipsec-isakmp

setpeer

settransform-setzhang

5.3撥號(hào)setpfsgroup1

75.3.2a）

訪問控制……

matchaddress100

3）通過access-list相關(guān)命令作如下類似配置：

access-list100permittcphosthost

4）通過dialer等相關(guān)命令在配置信息中作如下類似配置：

encapsulationppp

pppauthenticationchap

dialermapipnamerouter1broadcast7782001

pppmultilink

dialeridle-timeout30

dialerload-threshold128

6

DB32/T2766.3-2015

表A.1路由器基本要求防護(hù)方法實(shí)施示例(續(xù))

序號(hào)項(xiàng)目防護(hù)方法實(shí)施示例

通過logging等相關(guān)命令在配置信息中作如下類似配置：

loggingon

loggingtrapnotifications

logging

85.4.2a）

snmp-servercommunitypcitcroRO

snmp-serverenabletrapssyslog

……

snmp-serverhostxxxx

95.4.2b）只要啟用審計(jì)功能就能符合該項(xiàng)要求

可使用設(shè)備日志安全分析工具對網(wǎng)絡(luò)設(shè)備的日志進(jìn)行分析并生

105.4.2c）

5.4網(wǎng)絡(luò)成報(bào)表

安全審計(jì)通過設(shè)置專門的日志服務(wù)器來接收路由器設(shè)備發(fā)出的報(bào)警信息，

在配置信息中作如下類似配置：

115.4.2d）loggingon

loggingtrapnotifications

logging

通過設(shè)置專門的日志服務(wù)器來接收路由器設(shè)備發(fā)出的報(bào)警信息，

在配置信息中作如下類似配置：

125.4.2e）loggingon

loggingtrapnotifications

logging

在使用專門的日志服務(wù)器時(shí)，審計(jì)記錄的保存時(shí)間設(shè)置為一定時(shí)

135.4.2f）

間值，或以數(shù)據(jù)備份方式確保審計(jì)記錄保存時(shí)間不少于一定時(shí)間

1）配置管理員用戶及密碼：

linevty04

login

passwordxxxxxx

lineaux0

login

5.5網(wǎng)絡(luò)passwordxxxxxx

14a）

設(shè)備防護(hù)

linecon0

login

passwordxxxxxx

2）配置password密碼加密及使用secret密碼：

servicepassword-encryption

enablesecretxxxx_123

7

DB32/T2766.3-2015

表A.1路由器基本要求防護(hù)方法實(shí)施示例(續(xù))

序號(hào)項(xiàng)目防護(hù)方法實(shí)施示例

3）如果設(shè)備啟用了AAA認(rèn)證，作類似如下配置項(xiàng)：

aaanew-model

tacacs-serverhostsigle-connecting

tacacs-serverkeyshared

14a）aaanew-model

radius-serverhost

radius-serverkeysharedl

linevty04

aaaauthorizationlogin

通過相關(guān)命令作類似如下配置：

servicepassword-encryption

enablesecret5$1oxphetTb$rTsF$EdvjtWbi0qA2g

usernameadminpassword7Wbi0qA1$rTsF$Edvjt2gpvyhetTb

linevty04

15b）-c）password70956A4D109A

lineaux0

5.5網(wǎng)絡(luò)password70356A4D66A0

設(shè)備防護(hù)linecon0

password70956A4D08B7

通過username相關(guān)命令在路由器中作類似如下配置項(xiàng)：

16d）usernameadminprivilege10passwordPWD1

usernameuserprivilege1passwordPWD2

通過exec-timeout命令在路由器中作類似如下配置項(xiàng)：

linevty04

login

exec-timeout50

a）-b)、lineaux0

17

a）login

exec-timeout50

linecon0

login

exec-timeout50

通過username相關(guān)命令在路由器設(shè)備中作類似如下配置項(xiàng)：

18a）-b）usernamerootprivilege10G00DpAS

usernameexecprivilege10SSH

8

DB32/T2766.3-2015

表A.1路由器基本要求防護(hù)方法實(shí)施示例(續(xù))

序號(hào)項(xiàng)目防護(hù)方法實(shí)施示例

usernameexecprivilege10showlog

……

18a）-b）

usernameuser1privilege3

usernameuser2privilege5

通過access-list相關(guān)命令在路由器中作類似如下配置，限制遠(yuǎn)

程登錄地址范圍：

access-list3permitxxx.xxx.xxx.xxxlog

access-list3denyany

……

19a）linevty04

access-list3in

通過訪問控制列表，限制能訪問到路由器上的管理服務(wù)器范圍：

access-list100permit159．226．244．00．0．0．255

snmp-servercommunityprivateRW100

修改默認(rèn)的共用團(tuán)體字符串public、private，使用具有足夠安

全強(qiáng)度的團(tuán)體字符串參數(shù)：

5.5網(wǎng)絡(luò)

snmp-servercommunityxxxxxxxRO

設(shè)備防護(hù)snmp-servercommunityxxxxxxxRW

20b）

配置路由器向網(wǎng)絡(luò)管理服務(wù)器發(fā)送報(bào)警信息：

snmp-serverenabletraps

snmp-servertrap-authentication

snmp-serverhostxxx．xxx．xxx．xxx

生成RSA密鑰：

cryptokeygeneratersageneral-keys

啟用AAA認(rèn)證：

aaanew-model

usernamexxxpasswordxxxxxx

21c）

ipsshtime-out100

ipsshauthentication-retries3

在vty下啟用ssh：

linevty04

transportinputssh

9

DB32/T2766.3-2015

目次

前言.....................................................................II

引言....................................................................III

1范圍.......................................................................1

2規(guī)范性引用文件..............................................................1

3術(shù)語和定義..................................................................1

4符號(hào)和縮略語................................................................1

5安全技術(shù)防護(hù)................................................................2

5.1結(jié)構(gòu)安全與網(wǎng)段劃分....................................................2

5.2網(wǎng)絡(luò)訪問控制..........................................................2

5.3撥號(hào)訪問控制..........................................................2

5.4網(wǎng)絡(luò)安全審計(jì)..........................................................2

5.5網(wǎng)絡(luò)設(shè)備防護(hù)..........................................................3

附錄A（資料性附錄）路由器基本要求防護(hù)方法實(shí)施示例.......................5

I

DB32/T2766.3-2015

重要信息系統(tǒng)安全防護(hù)技術(shù)規(guī)范第3部分：路由器

1范圍

本標(biāo)準(zhǔn)規(guī)定了重要信息系統(tǒng)中路由器設(shè)備的安全技術(shù)防護(hù)要求和安全防護(hù)方法，以幫助

和指導(dǎo)重要信息系統(tǒng)管理、運(yùn)維和使用等單位對網(wǎng)絡(luò)信息系統(tǒng)中的路由器設(shè)備進(jìn)行安全配

置、安全管理和安全運(yùn)維，提高路由器設(shè)備的安全技術(shù)防護(hù)能力。

本標(biāo)準(zhǔn)適用于重要信息系統(tǒng)中路由器設(shè)備的安全管理、安全運(yùn)維與防護(hù)。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的，凡是注日期的引用文件，僅注日期的版本適

用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB17859計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

GB/T18018信息安全技術(shù)路由器安全技術(shù)要求

GB/T20011信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則

GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求

DB32/T1927政府信息系統(tǒng)安全防護(hù)基本要求

3術(shù)語和定義

GB/T17859、GB/T22239界定的術(shù)語和定義適用于本文件。

3.1

重要信息系統(tǒng)importantinformationsystems

由政府機(jī)關(guān)建設(shè)和使用，履行經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會(huì)管理、公共服務(wù)等重要職能的

信息系統(tǒng)，或由企、事業(yè)單位建設(shè)和使用，對其正常運(yùn)營、生產(chǎn)管理等具有重要作用的信息

系統(tǒng)。

4符號(hào)和縮略語

IP互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

MAC介質(zhì)訪問控制（MediaAccessControl）

ACL訪問控制列表（AccessControlList）

AUX輔助口（Auxiliary）

VTY虛擬終端（VirtualTeletypeTerminal）

TACACS+終端訪問控制器訪問控制系統(tǒng)+（TerminalAccessControllerAccess

ControlSystemPlus）

RADIUS遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)（RemoteAuthenticationDialInUserService）

SNMP簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol）

SSH安全外殼協(xié)議（SecureShellProtocol）

HTTPS安全超文本傳輸協(xié)議（HyperTextTransferProtocoloverSecureSocket

1

DB32/T2766.3-2015

Layer）

5安全技術(shù)防護(hù)

5.1結(jié)構(gòu)安全與網(wǎng)段劃分

5.1.1基本要求

DB32/T1927-2011中、適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.1.2防護(hù)方法

a）在使用動(dòng)態(tài)路由選擇協(xié)議時(shí)，應(yīng)啟用路由協(xié)議認(rèn)證功能，并不以明文形式保存認(rèn)證

碼。

b）應(yīng)在關(guān)鍵路由器中采用IP/MAC地址綁定方式防止重要網(wǎng)段的地址欺騙。

5.2網(wǎng)絡(luò)訪問控制

5.2.1基本要求

DB32/T1927-2011中、和適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.2.2防護(hù)方法

a）應(yīng)在路由器中配置合理的訪問控制列表（ACL），為數(shù)據(jù)流提供明確的允許/拒絕訪問

的能力。

b）應(yīng)關(guān)閉路由器的不必要服務(wù)和端口。

c）在網(wǎng)絡(luò)中使用無線接入路由器時(shí)，應(yīng)通過開啟安全設(shè)置、MAC地址過濾等方式允許/

拒絕便攜式和移動(dòng)式設(shè)備的網(wǎng)絡(luò)接入。

d）當(dāng)網(wǎng)絡(luò)邊界處未部署防火墻時(shí)，應(yīng)在路由器中根據(jù)實(shí)際網(wǎng)絡(luò)狀況通過IP地址、端口、

用戶、協(xié)議等限制網(wǎng)絡(luò)的最大流量，并通過IP地址限制網(wǎng)絡(luò)的最大連接數(shù)。

5.3撥號(hào)訪問控制

5.3.1基本要求

DB32/T1927-2011中、和適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.3.2防護(hù)方法

a）對采用遠(yuǎn)程接入網(wǎng)絡(luò)的用戶，路由器應(yīng)提供用戶認(rèn)證功能，通過配置用戶、用戶組，

并結(jié)合訪問控制規(guī)則實(shí)現(xiàn)允許/拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問。

b）對采用遠(yuǎn)程接入網(wǎng)絡(luò)的用戶，路由器應(yīng)限制具有撥號(hào)訪問權(quán)限的用戶數(shù)量。

5.4網(wǎng)絡(luò)安全審計(jì)

5.4.1基本要求

DB32/T1927-2011中4.2.4適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.4.2防護(hù)方法

a）應(yīng)啟用路由器的系統(tǒng)日志功能，對其運(yùn)行狀況、網(wǎng)絡(luò)流量、系統(tǒng)事件、登錄事件、

管理操作等內(nèi)容進(jìn)行監(jiān)測和記錄。

b）日志審計(jì)內(nèi)容應(yīng)記錄事件的時(shí)間、用戶、事件類型、事件是否成功等相關(guān)信息。

c）應(yīng)采用技術(shù)手段對路由器的審計(jì)記錄數(shù)據(jù)進(jìn)行查詢和分析，并生成報(bào)表。

d）應(yīng)在路由器發(fā)生錯(cuò)誤或異常等特定事件時(shí)主動(dòng)發(fā)送報(bào)警信息。

2

DB32/T2766.3-2015

e）應(yīng)采用技術(shù)或管理手段對路由器的審計(jì)記錄進(jìn)行保護(hù)，防止未授權(quán)修改、刪除和破

壞等操作。

f）應(yīng)采取措施確保審計(jì)存儲(chǔ)耗盡、失敗或受到攻擊時(shí)，審計(jì)記錄在一定的時(shí)間內(nèi)不會(huì)

被破壞。

5.5網(wǎng)絡(luò)設(shè)備防護(hù)

5.5.1基本要求

DB32/T1927-2011中、-適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。

5.5.2防護(hù)方法

身份鑒別

a）應(yīng)為路由器設(shè)置身份鑒別信息，對通過不同登錄方式和不同訪問模式使用路由器的

用戶進(jìn)行身份鑒別。

——控制臺(tái)（Console）口令：應(yīng)在路由器控制臺(tái)端口上設(shè)置登錄口令，防止其他未授

權(quán)用戶連接到路由器并訪問用戶模式。

——輔助端口（AUX）口令：當(dāng)輔助端口作為備份的控制臺(tái)端口或用于遠(yuǎn)程訪問時(shí)，應(yīng)

設(shè)置輔助端口登錄口令，否則應(yīng)關(guān)閉輔助端口。

——遠(yuǎn)程登錄（VTY）口令：當(dāng)使用虛擬終端（VTY）進(jìn)行遠(yuǎn)程訪問時(shí)，應(yīng)設(shè)置遠(yuǎn)程登錄

（VTY）口令，防止未授權(quán)訪問。

b）身份鑒別所使用的口令應(yīng)滿足長度和復(fù)雜度要求，口令至少為8位，由大寫字母、

小寫字母、數(shù)字、特殊符號(hào)組成，并定期更換。

c）身份鑒別信息應(yīng)不易被冒用，存儲(chǔ)在配置文件中的口令應(yīng)加密存儲(chǔ)，或存儲(chǔ)在

TACACS+或RADIUS認(rèn)證服務(wù)器上。

d）路由器的用戶標(biāo)識(shí)應(yīng)具有唯一性，防止多人共用一個(gè)賬戶。

鑒別失敗

a）應(yīng)具有登錄鑒別失敗處理功能，可采用結(jié)束會(huì)話、限制非法登錄次數(shù)等措施中斷連

接或鎖定賬號(hào)。

b）當(dāng)?shù)卿涜b別失敗時(shí)，路由器應(yīng)僅反饋鑒別是否成功等相關(guān)信息。

超時(shí)鎖定

應(yīng)設(shè)置路由器的會(huì)話超時(shí)鎖定功能，當(dāng)?shù)卿浻脩魺o操作時(shí)間超過一定時(shí)限，對用戶身份

進(jìn)行重新鑒別。

權(quán)限管理

a）應(yīng)根據(jù)實(shí)際需要為管理用戶分配其所需的最小權(quán)限，控制不同用戶對路由器進(jìn)行數(shù)

據(jù)訪問、數(shù)據(jù)修改、程序執(zhí)行等操作。

b）應(yīng)實(shí)現(xiàn)路由器特權(quán)用戶的權(quán)限分離，將管理與審計(jì)的權(quán)限分配給不同的用戶，限定

特權(quán)用戶只具有完成工作職責(zé)范圍內(nèi)的權(quán)限，各項(xiàng)工作職責(zé)之間不可互相替代。

遠(yuǎn)程管理

a）應(yīng)對路由器的管理員登錄地址進(jìn)行限制，應(yīng)使用專用的管理終端、通信路徑或配置

相關(guān)安全屬性，避免未授權(quán)的訪問。

3

DB32/T2766.3-2015

b）當(dāng)使用SNMP協(xié)議對路由器進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)修改默認(rèn)的共用團(tuán)體字符串

（communitystring），按b）給出的要求設(shè)置足夠強(qiáng)壯的團(tuán)體字符串，

并定期更改；應(yīng)啟用SNMP的trap性能，在路由器發(fā)生異常事件或錯(cuò)誤情況時(shí)，向

網(wǎng)絡(luò)管理服務(wù)器發(fā)送報(bào)警信息。

c）在遠(yuǎn)程接入路由器時(shí)，應(yīng)采用SSH、HTTPS等遠(yuǎn)程安全協(xié)議進(jìn)行遠(yuǎn)程接入。

4

DB32/T2766.3-2015

附錄A

（資料性附錄）

路由器基本要求防護(hù)方法實(shí)施示例

路由器基本要求防護(hù)方法實(shí)施示例見表A.1。

表A.1路由器基本要求防護(hù)方法實(shí)施示例

序號(hào)項(xiàng)目防護(hù)方法實(shí)施示例

1）使用靜態(tài)路由時(shí)，通過iproute命令作類似如下配置：

iproute93

2）使用OSPF等路由協(xié)議時(shí)，通過相關(guān)命令作類似如下配置：

15.1結(jié)構(gòu)5.1.2a）routerospf100

安全與網(wǎng)ipospfauthentication

段劃分ipospfauthenticationmessage-digest

ipospfmessage-digest-key1md57XXXXXXX（認(rèn)證碼）

通過arp命令在核心路由器中作如下類似配置：

25.1.2b）

arp0000.e268.9980arpa

配置訪問控制策略：

noaccess-list111

35.2.2a）ipaccess-listextended111

access-list111permittcphost6anyeq443

access-list111denyanyany

關(guān)閉默認(rèn)開啟的TCPSmallservice、UDPSmallservice、BOOTP、

IPSourceRouting、ARP-Proxy、IPDirectedBroadcast、WINS

和DNS等服務(wù)和不必要的端口：

noservicetcp-small-servers

noserviceudp-small-servers

noipfinger

5.2網(wǎng)絡(luò)noservicefinger

訪問控制

noipbootpserver

45.2.2b）

noipsource-route

noipproxy-arp

noipdirected-broadcast

noipdomain-lookup

關(guān)閉不必要的端口：

interfaceeth0/3

shutdown