安全配置指南
AAA
用户管理概述
AAA 是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。
它提供对用户进行认证、授权和计费三种功能。
认证:验证用户是否可以获得访问权。
授权:授权用户可以使用哪些服务。
计费:记录用户使用网络资源的情况。
AAA 一般采用“客户端—服务器”结构。这种结构既具有良好的可扩展性,又便于用
户信息的集中管理。
S7700 支持的认证方案包括:
●无需认证(None 认证方式):当对用户非常信任时,不对其进行合法性检
查,其
他情况下一般不采用这种方式。
●本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在
S7700
上,并使用这些用户信息对本地用户进行认证。本地认证的优点是速度快;缺点是
存储信息量受设备硬件条件限制。
●远端认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在
认证服
务器上。S7700 作为客户端,与认证服务器通信,通过RADIUS(Remote
Authentication Dial In User Service)协议或HWTACACS (HUAWEI Terminal Access Controller Access Control System)协议进行远端认证。
S7700 支持的授权方案包括:
●无需授权:对用户非常信任,直接授权通过。
本地授权:根据S7700 上为本地用户帐号配置的相关属性进行授权。
●远端授权:S7700 作为客户端,与授权服务器通信,通过HWTACACS 协议进
行远
端授权。
●If Authenticated 授权:如果用户通过了认证,并且使用了本地认证或远
端认证模
式,则用户授权通过。
S7700 支持的计费方案包括:
●不计费:不对用户进行计费。
●RADIUS 计费:S7700 将计费报文送往RADIUS 服务器,由RADIUS 服务器完
成对
用户的计费。
●HWTACACS 计费:S7700 将计费报文送往HWTACACS 服务器,由HWTACACS服
务器完成对用户的计费。
在RADIUS/HWTACACS 计费模式中,正常情况下S7700 在用户上线和下线时各生成一
份计费报文传送给服务器,服务器根据计费报文中的信息(上下线时间)对用户进行计
费。
S7700 支持实时计费功能。实时计费功能是指用户在线过程中,S7700 定时生成计费报
文传送给服务器。通过实时计费功能,S7700 可以在其和服务器通信中断时,最大程度
的减少计费异常的时间。
本地用户管理
本地用户管理是指在本地S7700 上建立本地用户数据库,维护用户信息,并对用户进行
管理。
基于域的用户管理
S7700 通过域来进行用户管理,域下可以配置认证、授权和计费方案。属于该域的用户通过指定的方案进行认证和授权。
S7700 的所有用户都属于某个域。用户所属的域是由域分隔符后的字符串来决定的。域分隔符可以是“@”、“|”、“%”等符号,比如:用户名“user@huawei”,就属于huawei 域。如果用户名中没有带@,就属于系统缺省的default 域。
缺省情况下,S7700 存在配置名为default 和default_admin 两个域,全局默认普通域为default,全局默认管理域为default_admin。两个域均不能删除,只能修改。当无法确认接入用户的域时使用缺省域。
default 用于接入用户(如NAC)的缺省域,缺省为本地认证。default_admin
用于管理员(如http,SSH,telnet,terminal,ftp)的缺省域,缺省为本地认证。
S7700 总共可以配置128 个域,包括缺省的两个域。域下配置的授权信息较AAA 服务器的授权信息优先级低,即,优先使用AAA 服务器下发的授权属性,在AAA 服务器无该项授权或不支持该项授权时,域的授权属性生效。这样处理可以凭借域管理灵活增加业务,而不必受限于AAA 服务器提供的属性。
如果认证方案或授权方案指定通过RADIUS 协议或HWTACACS 协议与服务器通信,则需要在域下配置RADIUS 或HWTACACS 模板。
RADIUS 模板中,可以指定认证和计费服务器的IP 地址、端口号、密钥等属性。
HWTACACS 模板中,可以指定认证服务器的IP 地址、计费服务器的IP 地址、授权服务器的IP 地址、端口号、密钥等属性。
说明:
RADIUS 协议的认证和授权是绑定在一起的,不能使用RADIUS 单独进行授权。
配置AAA方案
认证方案
aaa
authentication-scheme authentication-scheme-name,
authentication-mode { hwtacacs | radius | local }* [ none ]
authentication-super { hwtacacs | radius | super }* [ none ]或者authenticationsuper
none 配置用户级别提升认证方案。
none 表示无需认证,直接让用户更改用户级别。缺省情况下,用户级别提升时采用super即本地认证模式。
如果采用本地认证模式对用户级别提升进行认证,需要在系统视图下执行super password命令,配置用户级别提升时的密码。
授权方案
aaa
authorization-scheme authorization-scheme-name 缺省情况下,S7700 有一个授权方案,授权方案配置名称是default,不能删除,只能修改。authorization-mode { [ hwtacacs | if-authenticated | local ]* [ none ] },authorization-cmd privilege-level hwtacacs [ local ],配置某级别的用户按命令行授权。
计费方案
aaa
accounting-scheme accounting-scheme-name
accounting-mode { hwtacacs | radius | none },配置计费模式。缺省情况下,计费方案采用不计费模式(none)
accounting realtime interval
accounting start-fail { online | offline },(可选)配置远端计费开始失败策略。在用户接入时,如果初始计费失败,就可以根据初始计费失败策略对用户进行相应的处理。
accounting interim-fail [ max-times times ] { online | offline },(可选)配置远端实时计费失败策略。用户上线后,如果出现实时计费失败的情况,可以根据实时计费失败策略对用户进行相应的处理。
配置记录方案
配置记录方案可以帮助用户进行设备监控和故障处理。记录内容可以包括用户在S7700上执行过的命令、连接信息、系统级事件。
hwtacacs-server template template-name
aaa
recording-scheme recording-scheme-name 创建记录方案,并进入记录方案视图。
recording-mode hwtacacs template-name,配置与记录方案相关联的HWTACACS 服务器模板。
quit
cmd recording-scheme recording-scheme-name,记录用户在S7700 上执行过的命令。
outbound recording-scheme recording-scheme-name,记录连接信息。
system recording-scheme recording-scheme-name,记录系统级事件。
维护
dis aaa configuration
dis authentication-scheme
dis authorization-scheme
dis accounting-scheme
dis recording-scheme
display access-user [ domain domain-name | ip-address ip-address [ vpninstance
instance-name ] | mac-address mac-address | slot slot-id | interface interfacetype
interface-number [ vlan vlan-id [ qinq qinq-vlan-id ] ] | user-id
user-number ]查看所有在线用户的概要信息。
配置radius服务器
配置认证和计费服务器
system-viw
radius-server template template-name
配置RADIUS 主用认证服务器
radius-server authentication ip-address port [ source loopback interfacenumber],
配置RADIUS 备份认证服务器
radius-server authentication ip-address port [ source loopback interfacenumber] secondary,
配置RADIUS 主计费服务器
radius-server accounting ip-address port [ source loopback interface-number ]
配置RADIUS 备份计费服务器
radius-server accounting ip-address port [ source loopback interfacenumber] secondary
配置授权服务器
RADIUS 授权服务器主要用于用户进行动态业务选择时的业务授权。
radius-server authorization ip-address [ vpn-instance
vpn-instance-name ]{ server-group group-name | shared-key{cipher| simple} key-string } * [ack-reservedinterval interval ],配置RADIUS 授权服务器。
配置radius秘钥
S7700 和RADIUS 服务器在发送认证报文时,对口令等重要信息使用MD5 加密,确保认证信息在网络中传输的安全性。为了确保认证双方身份的合法性,要求
S7700 上的密钥与RADIUS 服务器的密钥必须相同。
radius-server template template-name,
radius-server shared-key [ cipher | simple ] key-string
缺省情况下,RADIUS 共享密钥是huawei
配置本地用户
aaa
local-user user-name { password cipher password | access-limit
max-number | ftpdirectory directory | idle-timeout minutes [ seconds ] | privilege level level | state { block |active } } *,创建本地用户帐号,并配置本地用户的各项参数。
local-user user-name service-type { 8021x | bind | ftp | http | l2tp | ppp | ssh |
telnet | terminal | web | x25-pad } *,配置本地用户的接入类型。
local-user user-name state { active | block },配置本地用户的状态display local-user [ username user-name ]
配置举例
sysname Quidway
#
radius-server template shiva
radius-server shared-key cipher 3MQ*TZ,O3KCQ=^Q`MAF4<1!! radius-server authentication 129.7.66.66 1812
radius-server authentication 129.7.66.67 1812 secondary radius-server accounting 129.7.66.66 1813
radius-server accounting 129.7.66.67 1813 secondary
radius-server retransmit 2
#
aaa
authentication-scheme 1
authentication-mode radius
accounting-scheme 1
accounting-mode radius
domain huawei
authentication-scheme 1
accounting-scheme 1
radius-server shiva
sysname Quidway
#
hwtacacs-server template ht
hwtacacs-server authentication 129.7.66.66
hwtacacs-server authentication 129.7.66.67 secondary hwtacacs-server authorization 129.7.66.66
hwtacacs-server authorization 129.7.66.67 secondary hwtacacs-server accounting 129.7.66.66
hwtacacs-server accounting 129.7.66.67 secondary
hwtacacs-server shared-key cipher 3MQ*TZ,O3KCQ=^Q`MAF4<1!! aaa
authentication-scheme default
authentication-scheme l-h
authentication-mode hwtacacs local
authentication-super hwtacacs super
authorization-scheme default
authorization-scheme hwtacacs
authorization-mode hwtacacs
authorization-cmd 3 hwtacacs
accounting-scheme default
accounting-scheme hwtacacs
accounting-mode hwtacacs
accounting start-fail online
accounting realtime 3
recording-scheme scheme0
recording-mode hwtacacs ht
cmd recording-scheme scheme0
outbound recording-scheme scheme0
system recording-scheme scheme0
domain default
domain default_admin
domain huawei
authentication-scheme l-h
accounting-scheme hwtacacs
authorization-scheme hwtacacs
hwtacacs-server ht
#
return
NAC
传统的网络安全技术只考虑了外部计算机对网络的威胁,而没有考虑到内部计算机对网络的威胁,而且现有的网络设备难以有效防止内部设备对网络的威胁。NAC(Network Admission Control)称为网络接入控制,是一种安全接入的框架,其理念是安全“端到端”的概念。NAC 从用户终端考虑内部网络安全,而不是从网络设备层面考虑安全。
NAC主要包括以下几个部分:
User:接入用户,需要对其进行认证。如果采用802.1x 认证,用户需要安装客户端软件。
NAD:网络接入设备,包括路由器、交换机等(这里是S7700),对接入用户进行认证和授权。一般需要和AAA 服务器配合使用,防止非法终端接入,降低不安全终端的威胁;防止合法终端越权访问,保护核心资源。
l ACS:安全策略服务器,主要进行终端安全健康性检查与策略管理;用户行为管理与违规审计,强化行为审计,防止恶意终端破坏。
PPPoE+
如果采用普通的PPPoE 拨号方式,则用户无论在什么地方(通过设备的不同端口)进行PPPoE 拨号,只要是通过同一个Radius 服务器认证成功,这个帐号都能访问网络。增加PPPoE+特性后,认证时不仅需要用户名和密码,认证报文中还将携带端口等信息。如果Radius 服务器识别的端口号等信息和所配置的不一致,则认证不通过。这样就可以防止非法用户盗用其它合法用户(主要是公司)的帐号进行上网。
MFF
在传统的以太网组网方案中,为了实现不同客户端主机之间的二层隔离和三层互通,通常采用在交换机上划分VLAN 的方法。但是当彼此间需要二层隔离的用户较多时,这种方式会占用大量的VLAN 资源;同时,为实现客户端之间三层互通,需要为每个VLAN规划不同的IP 网段,并配置VLAN 接口的IP 地址,因此划分过多的VLAN 会降低IP地址的分配效率。
为了改善这种现状,MFF(MAC-Forced Forwarding)为同一广播域内实现客户端主机间的二层隔离和三层互通,提供了一种解决方案。MFF 截获用户的ARP 请求报文,通过ARP 代答机制,回复网关MAC 地址的ARP 应答报文。通过这种方式,可以强制用户将所有流量(包括同一子网内的流量)发送到网关,使网关可以监控数据流量,防止用户之间的恶意攻击,能更好的保障网络部署的安全性。
如图1所示为以太接入网MFF方案的应用场景,这些应用场景往往需要网关统一管理和计费。在EAN(Ethernet Access Nodes)上部署MFF,可以使客户端的数据流量首先经过网关再通过三层转发至其它用户,实现了二层流量的隔离,同时达到监控和计费的目的。
MFF环境下用户的二层隔离和三层互通是通过ARP代答机制实现的,这种代答机制在一定程度上减少了网络侧和用户侧之间的广播报文数量。
EAN捕获从客户端主机发出的ARP请求,并以网关的MAC地址作为源MAC地址应答ARP,对于网关和服务器请求用户的ARP报文,MFF设备使用用户的IP地址和MAC地址进行代答。
图1MFF方案的应用场景
接口角色
在部署MFF的设备上存在两种接口角色:用户接口和网络接口。
用户接口是指连接终端用户的接口。
用户接口对于不同报文的处理方式如下:
?丢弃IGMP QUERY报文,允许其他协议报文通过;
?ARP报文上送CPU进行处理;
?若已经学习到网关MAC地址,则仅允许目的MAC地址为网关MAC地址的单播报文通过,其他报文将被丢弃;若没有学习到网关MAC地址,目的MAC地址作为网关MAC地址的单播报文也将被丢弃;
?组播数据报文和广播数据报文都不允许通过。
网络接口是指连接其他网络设备如接入交换机、汇聚交换机或者网关的接口。
网络接口对于不同的报文处理如下:
?允许组播报文和DHCP报文通过;
?对于ARP报文则上送CPU进行处理;
?其他广播报文都不允许通过。
实现功能
MFF解决方案主要包括七个方面的内容:获取网关和用户信息、网关探测、ARP代答、应用服务器访问、用户在线探测、用户隔离端口和提高MFF特性的安全性。
?获取网关和用户信息
用户获取IP地址的方式有两种:静态配置IP地址和通过DHCP协议动态获取IP地址,对应这两种方式,EAN获取的网关信息也分为两种情况:手动配置网关IP地址和DHCP
Snooping动态定制网关。
?手动配置网关IP地址
如果用户的IP地址是静态配置的,MFF无法通过DHCP报文来获取网关信息,因此网
关信息需要手动配置。当EAN指定了网关的IP地址后,当用户有ARP请求,且EAN
没有学习到网关的MAC地址时,设备将会丢弃ARP请求,然后以用户的IP地址和MAC
地址为源信息构造ARP请求报文发送至网络端口,请求网关的MAC地址。待收到网关
的ARP应答后,从中学习网关的MAC地址。
当指定了网关地址后,MFF通过捕获来自用户侧的ARP报文来识别在线用户数。每一
个含有新的源IP的ARP报文都会触发MFF记录一个新的用户信息,直到用户数达到
上限为止。
?DHCP Snooping动态定制网关
如果用户的IP地址是通过DHCP协议动态获取的,那么EAN将通过侦听来自网络端口
的DHCP ACK来获取网关信息。用户被授权访问的网关IP地址会在DHCP ACK中指明,
包含在此信息字段中的OPTION121或者OPTION3中。EAN会解析这两个字段的内容,
从中学习到用户对应的网关IP地址。学习完成后EAN以用户的IP地址和MAC为源信
息构造ARP报文,向网关发送ARP请求,并从返回的ARP应答中学习网关的MAC地址。
?对于CloudEngine系列交换机,当EAN学习到多个网关时,默认采用第一个网关为用户代答,因此只会向第一个网关发送ARP请求。
?对于S系列交换机,若客户端主机被授权访问多个网关,则当EAN收到来自该主机的非网关的ARP请求后,会使用第一个网关的MAC地址代答。而EAN收到
对网关的ARP请求时则会用该网关的MAC地址代答。
?网关探测
为了及时感知网关的MAC地址的变化,MFF支持网关定时探测功能。当网关探测功能开启后,EAN每隔30秒会扫描已记录的网关信息。对于所有已经定制的网关,EAN会使用某一个用户的信息构造ARP请求报文发向网络端,并从网关的ARP应答中获取网关的MAC地址。
如果MAC地址发生变化,EAN将立即更新网关信息,同时广播免费ARP广播报文到用户端,用于及时刷新用户的网关地址映射关系。
说明:
若VLAN中没有记录任何用户,那么EAN将不会发送ARP请求报文,直到有一个用户上线为止。
?ARP代答
EAN捕获从客户端主机发出的ARP请求,并以网关的MAC地址作为源MAC地址应答ARP。使客户端主机的ARP表记录的IP地址都与网关的MAC对应,由此强制主机发出的所有报文在二层转发中都以网关为目的地,从而使数据流量监控、计费得以实施,提高网络的安全性。
EAN同样可以对网络侧的ARP请求进行代答,对于网关和服务器请求用户的ARP报文,EAN 使用用户的IP地址和MAC地址进行代答。
应用服务器访问
如图2所示,在网络中除了网关外可能还部署了应用服务器,比如DHCP Server、组播服务器、其他业务服务器等。如果不在EAN中指定应用服务器的IP地址,用户如果访问应用服务器,流量会先被转发至网关,然后再被转发至应用服务器,这样就会增加上行流量,消耗带宽,占用网关转发资源。
为此MFF在处理用户对应用服务器的访问时,在EAN中指定应用服务器的IP地址,设置用户可以访问的应用服务器列表。EAN捕获从客户端主机发出的ARP请求,并以应用服务器的MAC地址作为源MAC地址应答ARP。对于应用服务器的ARP请求,EAN将会回应它所请求的用户MAC地址。这样实现用户与应用服务器之间的二层互通,流量不需要经过网关就可转发至服务器。
说明:
图中所示为CloudEngine系列交换机的实现情况。对于S系列交换机,实现情况为用户上行到服务器的流量,需要经过网关转发;服务器下行到用户的流量,不需要网关转发,可以直接发送到目的用户。
图2应用服务器访问
父主题:原理描述
Acl
S7700支持的ACL
对用于过滤IPv4 报文的ACL,S7700 支持基本ACL、高级ACL、二层ACL 和用户自定义ACL。
l 基本ACL 主要基于源地址、分片标记和时间段信息对数据包进行分类定义。l 高级ACL 可以基于源地址、目的地址、源端口号、目的端口号、协议类型、优先
级、时间段等信息对数据包进行更为细致的分类定义。
l 二层ACL 主要基于源MAC 地址、目的MAC 地址和报文类型等信息对数据包进行分类定义
应用方式
基于硬件的应用:ACL 被下发到硬件,例如配置QoS 功能时引用ACL,对报文进行流分类。需要注意的是,当ACL 被QoS 功能引用时,如果ACL 规则中定义的动作为deny,则匹配此ACL 的报文就被丢弃。如果ACL 规则中定义的动作为permit,则S7700 对匹配此ACL 的报文采取的动作由QoS 中流行为定义的动作决定。
基于软件的应用:ACL 被上层软件引用,例如配置登录用户控制功能时引用ACL,可以对FTP、Telnet 和SSH 用户进行控制。或者当S7700 作为TFTP 客户端时,可以在S7700 上配置ACL,控制本设备以TFTP 方式登录到哪些TFTP 服务器。需要注意的是,当ACL 被上层软件引用时,S7700 对匹配此ACL 的报文采取的动作由ACL 规则中定义的动作(deny 或permit)决定。
当ACL 下发到硬件,被QoS 策略引用进行流分类时,如果报文没有与ACL 中的规则匹配,此时S7700 不会使用流行为中定义的动作对此类报文进行处理。
当ACL 被上层软件引用,对FTP、Telnet 或者SSH 登录用户进行控制时,如果报文没有与ACL 中的规则匹配,此时S7700 对此类报文采取的动作为deny,即拒绝报文通过。
自反ACL
自反ACL 是一种动态下发的ACL。它根据IP 报文的上层会话信息生成,只有当私网用户先访问了公网后才允许公网访问私网。利用自反ACL 可以很好的保护企业内部网络,免受外部非法用户的攻击。
自反ACL 功能只适用于高级ACL,并且只能根据TCP、UDP 和ICMP 协议类型的报文自动生成ACL 规则。
根据不同的匹配规则,自反ACL 的实现原理如下:
当配置自反ACL 功能的接口通过TCP 或UDP 协议类型的报文时,接口下将下发一条把报文源IP 地址和目的IP 地址、源端口和目的端口互换的ACL 规则。
当配置自反ACL 功能的接口通过ICMP 协议类型的报文时,自反ACL 功能阻止目的端发送的ICMP-Echo-Request 报文通过,允许接收目的端发送的ICMP-Echo-Reply 报文。
自反ACL 匹配的协议类型与触发接口自动生成自反ACL 的报文协议类型相同。
配置ACL
配置二层ACL
rule [ rule-id ] { permit | deny } [ [ ether-ii | 802.3 | snap ] |
l2-protocol typevalue [ type-mask ] | destination-mac
dest-mac-address [ dest-mac-mask ] | source-mac sourcemac-address [ source-mac-mask ] | vlan-id vlan-id
[ vlan-id-mask ] | 8021p 802.1p-value | cvlanid cvlan-id
[ cvlan-id-mask ] | cvlan-8021p 802.1p-value | double-tag ] *
[ time-range timerange-name ],配置ACL 规则。
配置用户自定义ACL
rule [ rule-id ] { deny | permit } [ [ l2-head | ipv4-head | ipv6-head | l4-head ]{ rule-string rule-mask offset } &<1-8> ] [ time-range time-range-name ],配置用户自定义ACL 规则。
配置自反ACL
当参数protocol 为TCP、UDP 时,创建ACL 规则
rule [ rule-id ] { deny | permit } { tcp | udp } [ destination { destination-address destinationwildcard| any } | destination-port { eq | gt | lt | range port-start } port | dscp dscp |fragment | precedence precedence | source { source-address source-wildcard | any } |source-port { eq | gt | lt | range port-start } port | tcp-flag { ack | fin | psh | rst | syn |urg }* | time-range time-name | tos tos | ttl-expired ]*
当参数protocol 为ICMP 时,创建ACL 规则
rule [ rule-id ] { deny | permit } icmp [ destination { destination-address destinationwildcard| any } | dscp dscp | fragment | icmp-type { icmp-name | icmp-type icmp-code } |precedence precedence | source { source-address source-wildcard | any } | time-range time-name | tos tos | ttl-expired ]*
端口下应用
traffic-reflect { inbound | outbound } acl { adv-acl-name | adv-acl-number } [ timeout time-value ]
维护ACL
清空计数信息
reset acl counter{ name acl-name | acl-number | all }命令,清除ACL 统计信息
ND snooping
邻居发现ND(Neighbor Discovery)是确定邻居节点之间关系的一组消息和进程。邻居发现协议替代了IPv4 的ARP(Address Resolution Protocol)、ICMP 路由器发现(RouterDiscovery)和ICMP 重定向(Redirect)消息,并提供了
地址冲突检测、邻居地址解析、确定邻居可达性以及进行主机地址配置等功能。IPv6 邻居发现机制提供了5 种不同类型的ICMPv6 报文。
路由器请求报文RS(Router Solicitation):主机启动后,通过RS 报文向路由设备发出请求,路由设备则会以RA 报文响应。
路由器通告报文RA(Router Advertisement):路由设备周期性的发布RA 报文,其中包括前缀和一些标志位的信息。
邻居请求报文NS(Neighbor Solicitation):IPv6 节点通过NS 报文可以得到邻居的链路层地址,检查邻居是否可达,也可以进行重复地址检测。
邻居通告报文NA(Neighbor Advertisement):NA 报文是IPv6 节点对NS 报文的响应,同时IPv6 节点在链路层变化时也可以主动发送NA 报文。
重定向报文(Redirect):路由设备发现报文的入接口和出接口相同时,可以通过重定向报文通知主机选择另外一个更好的下一跳地址。
ND Snooping 是ND 的一种安全特性,通过截获以上5 种类型的报文并进行分析处理,可以过滤不信任的报文并建立和维护前缀管理表和ND 动态绑定表。前缀管理表中包括前缀、前缀老化租期等信息。ND 动态绑定表中包括IPv6 地址、MAC 地址、端口和VLAN 等信息。ND Snooping 通过维护前缀管理表和ND 动态绑定表,能够保证合法用户访问网络,防止非法用户对网络设备和合法用户造成攻击。
S7700 部署在二层网络中时,处于ND Server(通常是路由器)和用户网络之间。S7700通过配置接口状态为信任(Trusted)或非信任(Untrusted),可以防止非法用户仿冒。
ND Server。S7700 中建立和维护前缀管理表和ND 动态绑定表,能够保证合法用户访问网络,防止非法用户对网络设备和合法用户造成攻击。
当网络中存在ND Server(通常是路由器)仿冒者时,ND Server 仿冒者回应给ND 客户端的仿冒信息,如错误的网关地址、错误的DNS 服务器、错误的IP 等,从而使客户端
无法访问网络或访问到不正确的网络。
为了避免受到ND Server 仿冒者的攻击,可以在S7700 上配置ND Snooping 功能,把网
络侧的接口配置为信任状态,把用户侧的接口配置为不信任状态,凡是从不信任接口收
到的RA(Router Advertisement)报文全部丢弃。
根据信任接口接收到的RA 报文,S7700 会建立前缀管理表。该表保存ND Server 分配
给S7700 的前缀信息,用来管理客户端的地址。
根据前缀管理表中的前缀信息,客户端自动生成IPv6 地址,然后发送NS(Neighbor Solicitation)探测报文在网络中检查地址是否重复。在这过程中,S7700 根据NS 报文的信息生成ND 动态绑定表,用来保存客户端的IPv6 地址、MAC 地址和VLAN 编号等信息,并将该表项中的内容下发到ACL 中默认允许通过。
绑定表老化功能
使能ND Snooping 功能后,S7700 会根据用户的信息建立ND 动态绑定表。如果配置了ND 动态绑定表老化功能,S7700 会根据设备配置的老化探测次数
和探测时间发送NS 探测报文。如果在配置的老化探测次数内用户没有回应NA (Neighbor Advertisement)报文,S7700 认为用户不在线,删除用户的ND 动态绑定表项,使得S7700 不能将报文转发给该用户
维护ND snooping
清空前缀管理表
ND Server 会定时发送RA 前缀公告报文,通知客户端更新前缀信息。S7700 为
客户的接入设备会维护该前缀信息,对前缀信息进行更新和老化。
一般情况下,不建议手工删除前缀管理表项。当同时具备以下两种情况时需要手动删除。
l 用户的租期未到期,前缀管理表还不能自动老化。
l 确认用户不再连接网络。
在确认需要手动清除前缀管理表项时,请在用户视图或系统视图下执行以下命令。reset nd snooping prefix [ ipv6-address/prefix-length ]
清空ND动态绑定表
当同时具备以下几种情况时需要手动删除ND 动态绑定表项。
l ND 动态绑定表未到老化周期,还不能自动老化。
l 确认用户不再连接网络。
l 用户的VLAN 或接口信息发生变化。
reset nd snooping user-bind [ interface interface-type interface-number | ipv6- address ipv6-address | mac-address mac-address | vlan vlan-id ],
KEY chain
key chain概述
Keychain 提供对所有应用层协议的认证,并且keychain 能够在不丢包的情况下,动态更改密码链。
为了安全,在网络上需要不断对应用层的认证信息进行更改。通过认证算法和共享安全密钥共同决定信息在不安全的网络上进行传输时是否被篡改。这种认证方式对数据进行认证时,需要数据发送者和接收者之间共享安全密钥和认证算法,并且密钥不能在网络上进行传输。
如果每个应用层协议维护一套认证规则(包括认证算法和密钥),将会有大量的应用程序采用相同的认证方式。这将导致认证信息被复制和更改。同样,如果每个应用程序都采用一个固定的认证密钥,每次更改需要网络管理员手工修改。手工更改密钥或认证算法将是非常复杂和烦琐的,要想实现更改所有交换机的密码而不丢包将是非常困难的。因此,需要系统能够集中管理所有的认证处理和更改认证算法和密钥,避免过多的人工干预。Keychain 就实现了这个功能。
S7700支持的keychain特性
对应用层协议认证
应用Keychain 实现对应用层协议的认证。一个Keychain 可以配置一个或多个keyid
。key-id 由认证算法和密钥组成。每一个key-id 关联一个发送和接收的生命周
期,生命周期用来定义Keychain 发送和接收的活跃时间段。key-id 需要发送和接收
的两端都是活跃的。管理员在配置key-id 时,需要保证发送和接收端在通信时不丢
包。
配置接收容忍时间
如果发送端交换机的key-id 发生变更,接收端交换机的key-id 也需要变更。由于时
钟不同步,在接收者和发送者变更key-id 时有可能存在时间延迟。在延迟的时间范
围内会造成数据丢失,因为发送端和接收端的key-id 不一致。为了实现两端key-id
变更时不丢包,需要配置容忍时间,在该时间范围内两端的key-id 都可以使用。这
个时间段被称为接收容忍时间,接收容忍时间只对接收端的Key 有效。接收容忍时
间将导致接收起始和终止的时间延长。
配置缺省send-key-id
如果在某个时间段管理员没有配置key-id,此时将没有活跃的key-id 发送。在该时
间段,应用程序将没有认证的交互。为了避免这种情况,使用缺省的send-key-id,
该id 始终处于活跃状态。任何存在的key-id 都可以被指定为send-key-id。在一个Keychain 中只能有一个send-key-id。在活跃的key-id 状态变为不活跃,并且不存在
其他活跃的key-id 时,应用程序将使用缺省的send-key-id。
配置TCP-kind 和TCP algorithm-id
TCP 应用程序之间通过TCP 认证建立连接。对于TCP 的认证交互,TCP 使用增强
的TCP 认证选项。目前,不同的厂商使用不同的kind-value 值代表增强的TCP 认
证选项。为了实现不同厂商设备之间的交互,kind-value 必须是可配置的,能根据
对端设备的TCP 类型进行调整。同样,在TCP 的增强认证选项中存在一个
algorithm-id 字段,该字段用来表示认证算法的类型。由于algorithm-id 不是IANA
统一定义的,不同的厂商之间使用不同的algorithm-id 来代表认证算法。为了实现
不同厂商之间的互通,用户必须根据对端配置的算法类型,配置TCP algorithmid,
以保持两端算法的一致。
攻击防范
畸形报文攻击防范
畸形报文攻击是通过向目标设备发送有缺陷的IP报文,使得目标设备在处理这样的IP报文时出错和崩溃,给目标设备带来损失。畸形报文攻击防范是指设备实时检测出畸形报文并予以丢弃,实现对本设备的保护。
畸形报文攻击主要分为以下几类:
没有IP载荷的泛洪
如果IP报文只有20字节的IP报文头,没有数据部分,就认为是没有IP载荷的报文。攻击者经常构造只有IP头部,没有携带任何高层数据的IP报文,目标设备在处理这些没有IP载荷的报文时会出错和崩溃,给设备带来损失。
启用畸形报文攻击防范后,设备在接收到没有载荷的IP报文时,直接将其丢弃。
IGMP空报文
IGMP报文是20字节的IP头加上8字节的IGMP报文体,总长度小于28字节的IGMP报文称为IGMP 空报文。设备在处理IGMP空报文时会出错和崩溃,给目标设备带来损失。
Solution Manager管理配置手册
模 块:Solution Manager 范 围:BASIS 实施地点:三全 日期:2011/12/27 16:09:00 作者:贾培星 状态: 三全Solution Manager系统 配置手册 V1.0 2011-10-12
模 块:Solution Manager 范 围:BASIS 实施地点:三全 日期:2011/12/27 16:09:00 作者:贾培星 状态: 目录 一、初始配置 (3) 1.1登录配置页面 (3) 1.2 System Preparation (3) 1.3 Basic Configuration (27) 二、ERP 升级STACK文件生成 (50) 2.1注册卫星系统SLD (50) 2.2 Maintenance Optimizer配置 (52) 2.3生成ECC升级XML文件 (52)
模 块:Solution Manager 范 围:BASIS 实施地点:三全 日期:2011/12/27 16:09:00 作者:贾培星 状态: 一、 初始配置 1.1 登录配置页面 登录Solution Manager 开发系统,运行T-CODE :solman_setup ,然后会跳转到IE 页面(如下图),接着就可以开始初始与基本配置。 1.2System Preparation:
模 块:Solution Manager 范 围:BASIS 实施地点:三全 日期:2011/12/27 16:09:00 作者:贾培星 状态: Next
模 块:Solution Manager 范 围:BASIS 实施地点:三全 日期:2011/12/27 16:09:00 作者:贾培星 状态: Next
操作系统的安全策略基本配置原则(新版)
When the lives of employees or national property are endangered, production activities are stopped to rectify and eliminate dangerous factors. (安全管理) 单位:___________________ 姓名:___________________ 日期:___________________ 操作系统的安全策略基本配置原 则(新版)
操作系统的安全策略基本配置原则(新版)导语:生产有了安全保障,才能持续、稳定发展。生产活动中事故层出不穷,生产势必陷于混乱、甚至瘫痪状态。当生产与安全发生矛盾、危及职工生命或国家财产时,生产活动停下来整治、消除危险因素以后,生产形势会变得更好。"安全第一" 的提法,决非把安全摆到生产之上;忽视安全自然是一种错误。 安全配置方案中级篇主要介绍操作系统的安全策略配置,包括十 条基本配置原则: (1)操作系统安全策略,(2)关闭不必要的服务(3)关闭不必要的端口,(4)开启审核策略(5)开启密码策略,(6)开启帐户策略,(7)备份敏 感文件,(8)不显示上次登陆名,(9)禁止建立空连接(10)下载最新的补丁 1操作系统安全策略 利用Windows2000的安全配置工具来配置安全策略,微软提供了一套的基于管理控制台的安全配置和分析工具,可以配置服务器的安全 策略.在管理工具中可以找到"本地安全策略".可以配置四类安全策略:帐户策略,本地策略,公钥策略和IP安全策略.在默认的情况下,这些策略都是没有开启的. 2关闭不必要的服务 Windows2000的TerminalServices(终端服务)和IIS(Internet信
信息安全等级保护操作的指南和操作流程图
信息安全等级保护操作流程 1信息系统定级 1.1定级工作实施范围 “关于开展全国重要信息系统安全等级保护定级工作的通知”对于重要信息系统的范围规定如下: (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要网站和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 注:跨省或者全国统一联网运行的信息系统可以由主管部门统一确定安全保护等级。涉密信息系统的等级确定按照国家保密局的有关规定和标准执行。
1.2定级依据标准 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发【2003】27 号文件) 《关于信息安全等级保护工作的实施意见》(公通字【2004】66号文件) 《电子政务信息系统安全等级保护实施指南(试行)》(国信办【2005】25 号文件) 《信息安全等级保护管理办法》(公通字【2007】43 号文件)《计算机信息系统安全保护等级划分准则》 《电子政务信息安全等级保护实施指南》 《信息系统安全等级保护定级指南》 《信息系统安全等级保护基本要求》 《信息系统安全等级保护实施指南》 《信息系统安全等级保护测评指南》
1.3定级工作流程 信息系统调查确定定级对象定级要素分析编写定级报告协助定级备案? 网络拓扑调查? 资产信息调查? 服务信息调查? 系统边界调查? …… ? 管理机构分析? 业务类型分析? 物理位置分析? 运行环境分析? …… ? 业务信息分析? 系统服务分析? 综合分析? 确定等级? …… ? 编写定级报告? …… ? 协助评审审批? 形成最终报告? 协助定级备案 图 1-1信息系统定级工作流程 1.3.1信息系统调查 信息系统调查是通过一系列的信息系统情况调查表对信息系统基本情况进行摸底调查,全面掌握信息系统的数量、分布、业务类型、应用、服务范围、系统结构、管理组织和管理方式等基本情况。同时,通过信息系统调查还可以明确信息系统存在的资产价值、威胁等级、风险等级以及可能造成的影响客体、影响范围等基本情况。 信息系统调查结果将作为信息系统安全等级保护定级工作的主要依据,保证定级结果的客观、合理和准确。
CM-DEV-3-01 配置管理应用指南
本资料仅供内部使用! 配置管理应用指南 XXXXXXXXXXX有限公司 2020年01月05日 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属XXXXXXXXXX有限公司所有,受到有关产权及版权法保护。任何个人、机构未经xxxxxx有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
配置管理规范 仅供内部使用修改记录
目录 1 概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3术语和缩略语 (2) 1.4权限与职责 (2) 1.5配置管理过程图示 (5) 2配置项管理 (5) 2.1配置项的范围 (5) 3版本控制 (6) 3.1基线命名规范 (6) 3.2发行版本表示 (6) 4配置库管理 (7) 4.1配置库的建立 (7) 4.2分配权限 (7) 4.3基线库建立 (7) 4.4配置项基线管理 (8) 4.5配置库备份 (9) 5配置库使用规范 (10) 6系统集成 (11) 6.1集成步骤 (12) 6.2集成结果存放位置 (13) 6.3说明 (13) 7配置变更控制 (13) 7.1软件及其相关文档的变更 (13) 7.2配置库权限变更管理 (15) 8配置状态报告 (16) 8.1目的 (16) 8.2记录内容 (16) 8.3生成报告 (16) 9CM阶段报告 (16) 9.1目的 (16) 9.2记录内容 (16) 9.3生成报告 (17) 10配置审核 (17)
10.1类别 (17) 10.2执行时机 (17) 10.3不符合项处理 (17) 11发布管理 (18) 11.1交付管理 (18) 12 异地项目管理 (18)
曙光作业管理-调度系统安装配置手册
Torque + Maui配置手册之抛砖引玉篇 本文将以应用于实际案例(南航理学院、复旦大学物理系、宁波气象局)中的作业调度系统为例,简单介绍一下免费开源又好用的Torque+Maui如何在曙光服务器上进行安装和配置,以及针对用户特定需求的常用调度策略的设定情况,以便可以起到抛砖引玉的作用,使更多的人关注MAUI这个功能强大的集群调度器(后期将推出SGE+MAUI版本)。本文中的涉及的软件版本Torque 版本:2.1.7 maui版本:3.2.6p17。 1. 集群资源管理器Torque 1.1.从源代码安装Torque 其中pbs_server安装在node33上,TORQUE有两个主要的可执行文件,一个是主节点上的pbs_server,一个是计算节点上的pbs_mom,机群中每一个计算节点(node1~node16)都有一个pbs_mom负责与pbs_server通信,告诉pbs_server该节点上的可用资源数以及作业的状态。机群的NFS共享存储位置为/home,所有用户目录都在该目录下。 1.1.1.解压源文件包 在共享目录下解压缩torque # tar -zxf torque-2.1.17.tar.gz 假设解压的文件夹名字为: /home/dawning/torque-2.1.7 1.1. 2.编译设置 #./configure --enable-docs --with-scp --enable-syslog 其中, 默认情况下,TORQUE将可执行文件安装在/usr/local/bin和/usr/local/sbin下。其余的配置文件将安装在/var/spool/torque下 默认情况下,TORQUE不安装管理员手册,这里指定要安装。 默认情况下,TORQUE使用rcp来copy数据文件,官方强烈推荐使用scp,所以这里设定--with-scp. 默认情况下,TORQUE不允许使用syslog,我们这里使用syslog。 1.1.3.编译安装 # make # make install Server端安装设置: 在torque的安装源文件根目录中,执行 #./torque.setup root 以root作为torque的管理员账号创建作业队列。 计算节点(Client端)的安装: 由于计算节点节点系统相同,因而可以用如下SHELL script (脚本名字为torque.install.sh)在
AI操作系统安全配置规范
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
ISO20000管理手册
浙江慧优科技有限公司 IT 服务管理手册 版本编号:V1.0 变更履历
浙江慧优科技有限公司 IT 服务管理手册 版本编号:V1.0 目录
浙江慧优科技有限公司 IT 服务管理手册 版本编号:V1.0 01 颁布令 随着公司全新领域的开拓,为满足顾客有关信息技术服务的相关要求,提高公司信息技术服务管理水平,防止由于信息技术服务的不及时等导致的公司和客户的损失。公司开展贯彻ISO/IEC 20000 《信息技术服务管理-规范》国际标准工作,建立、实施和持续改进文件化的信息技术服务管理体系,制定了浙江慧优科技有限公司《IT服务管理手册》。 《IT 服务管理手册》是企业的法规性文件,是指导企业建立并实施信息技术服务管理体系的纲领和行动准则,用于贯彻企业的信息技术服务管理方针、目标,实现信息技术服务管理体系有效运行、持续改进,体现企业对社会的承诺。 《IT 服务管理手册》符合有关信息安全法律、法规要求及ISO/IEC 20000 《信息技术服务管理-规范》标准和企业实际情况,现正式批准发布,自2012年8月15日起实施。企业全体员工必须遵照执行。 全体员工必须严格按照《IT 服务管理手册》的要求,自觉遵循信息技术服管管理方针,贯彻实施本手册的各项要求,努力实现公司信息技术服务管理方针和目标。 浙江慧优科技有限公司 总经理: 二○一二年八月一日
浙江慧优科技有限公司 IT 服务管理手册 版本编号:V1.0 02 管理者代表授权书 为贯彻执行信息技术服务管理体系,满足ISO/IEC 20000 《信息技术服务管理-规范》标准的要求,加强领导,特任命马红岩为我公司信息技术服务管理者代表。授权代表有如下职责和权限: 1、按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,识别、建立、实施和保持信息技术服务管理体系,不断改进信息技术服务管理体系,确保其有效性、适宜性和符合性。 2、根据服务管理的策略和目标,给与权利和责任,以保证服务管理过程的设计,提升和改进。 3、确保服务管理流程与SMS 的其它组件进行了整合。 4、确保资产,包括许可证,根据法律法规要求和合同义务,被用于管理交付服务。 5、向公司最高管理者报告信息技术服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。 6、组织ISO/IEC 20000 体系的管理评审,主持信息技术服务管理体系内部审核,推动内部审核活动。 7、推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。 8、负责与信息技术服务管理体系有关的协调和联络工作。 本授权书自任命日起生效执行。 浙江慧优科技有限公司
服务器基本安全配置
服务器基本安全配置 1.用户安全 (1)运行lusrmgr.msc,重命名原Administrator用户为自定义一定长度的名字,并新建同名 Administrator普通用户,设置超长密码去除所有隶属用户组。 (2)运行gpedit.msc——计算机配置—安全设置—账户策略—密码策略 启动密码复杂性要求,设置密码最小长度、密码最长使用期限,定期修改密码保证服务器账户的密码安全。 (3)运行gpedit.msc——计算机配置—安全设置—账户策略—账户锁定策略 启动账户锁定,设置单用户多次登录错误锁定策略,具体设置参照要求设置。
(4)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 交互式登录:不显示上次的用户名;——启动 交互式登录:回话锁定时显示用户信息;——不显示用户信息 (5)运行gpedit.msc——计算机配置—安全设置—本地策略—安全选项 网络访问:可匿名访问的共享;——清空 网络访问:可匿名访问的命名管道;——清空 网络访问:可远程访问的注册表路径;——清空 网络访问:可远程访问的注册表路径和子路径;——清空 (6)运行gpedit.msc——计算机配置—安全设置—本地策略 通过终端服务拒绝登陆——加入一下用户(****代表计算机名)ASPNET Guest IUSR_***** IWAM_***** NETWORK SERVICE SQLDebugger 注:用户添加查找如下图:
(7)运行gpedit.msc——计算机配置—安全设置—本地策略—策略审核 即系统日志记录的审核消息,方便我们检查服务器的账户安全,推荐设置如下: (8)
软件配置管理规范.doc
软件配置管理规范1 1.简介 软件配置管理的目的是保证在整个软件生命周期中软件产品的完整性。 1.1 目的 本文档指导项目开展配置管理活动。 1.2 范围 本文档适用于SWL开发小组批准立项的软件项目。 1.3 文档结构 第一部分: 简介,包括本规范的目的、范围、词汇以及所涉及到的参考信息。 第二部分: 配置管理工作规范的正文,包括活动的流程图、进入能及退出的准则、所涉及的角色、相 关活动的阐述、验证与确认能及度量。 第三部分: 变更控制工作规范的正文,包括活动的流程图、进入能及退
出准则、所涉及的角色、相关 活动的阐述、验证与确认能及度量。 第四部分: 参考文献,列出了编写本规范所参考的相关的文献资料。 第五部分: 附录,本文中流程图的标准符号定义。 1.4 词汇表 CM (Configuration Management) 配置管理。 CCB (Change Control Board) 变更控制委员会。 CI (Configuration Item) 配置项,包含文档、程序。 CR (Change Request) 变更请求,对提出的要变更工件或流程的任何请求的统称。在变更请求中记录的信息 是有关当前问题、提议解决方案及其成本的起源和影响的信息。
PCA (Physical Configuration Audit) 物理审计,在配置管理系统中建成立基线的工件是否为“正确”版本。 FCA (Functional Configuration Audit) 功能审计,核心软件配置项的实际性能是否符合它的需求。 基线(Baseline) 己通过复审和批准的工件发布版,由此构成进一步演进或开发的公认基础,并且只能 通过正式程序,例如变更管理和配置控制才能进行更改。 CML (Configuration Management Library) 配置客理库,存储项目工件的所有版本,即存储项目的定义的配置项。 版本(Version) 某个工件的变体,工件的后期版本一般是在初期版本的基础上进行的扩展。 1.5参考信息 1.5.1 可追溯性 CMU/ SET-93-TR-024 Capability Maturity Model SM for Software, Version 1.1
(智慧政务)电子政务信息安全等级保护实施指南
(智慧政务)电子政务信息安全等级保护实施指南
电子政务信息安全等级保护 实施指南 国务院信息化工作办公室 2005年9月
目录 1 引言 (1) 1.1 编写目的 (1) 1.2 适用范围 (1) 1.3 文档结构 (1) 2 基本原理 (2) 2.1 基本概念 (2) 2.1.1 电子政务等级保护的基本含义 (2) 2.1.2 电子政务安全等级的层级划分 (3) 2.1.3 电子政务等级保护的基本安全要求 (4) 2.2 基本方法 (4) 2.2.1 等级保护的要素及其关系 (4) 2.2.2 电子政务等级保护实现方法 (5) 2.3 实施过程 (6) 2.4 角色及职责 (9) 2.5 系统间互联互通的等级保护要求 (10) 3 定级 (10) 3.1 定级过程 (11) 3.2 系统识别与描述 (11) 3.2.1 系统整体识别与描述 (11)
3.2.3 子系统识别与描述 (13) 3.3 等级确定 (13) 3.3.1 电子政务安全属性描述 (13) 3.3.2 定级原则 (13) 3.3.3 定级方法 (16) 3.3.4 复杂系统定级方法 (17) 4 安全规划与设计 (18) 4.1 系统分域保护框架建立 (18) 4.1.1 安全域划分 (18) 4.1.2 保护对象分类 (19) 4.1.3 系统分域保护框架 (21) 4.2 选择和调整安全措施 (22) 4.3 安全规划与方案设计 (24) 4.3.1 安全需求分析 (24) 4.3.2 安全项目规划 (24) 4.3.3 安全工作规划 (25) 4.3.4 安全方案设计 (25) 5 实施、等级评估与运行 (25) 5.1 安全措施的实施 (25) 5.2 等级评估与验收 (25) 5.3 运行监控与改进 (26)
AWS服务器配置部署手册
A W S服务器配置部署手 册 Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
aws服务器配置部署手册 一、实例的启动(创建) 1.什么是实例 在所有工作之前,我们来看一看什么是AmazonEC2.根据其官方文档的解释如下: 在知道什么是AmazonEC2,之后我们就可以开始我们的工作了。 AmazonEC2提供不同的实例类型,以便可以选择需要的CPU、内存、存储和网络容量来运行应用程序。登录帐号,进入EC2的控制面板,启动实例。 2.实例的相关配置 根据我们的需求选择MicrosoftWindowsServer2012R2Base,。 其他过程直接选择默认配置,点击配置安全组。 默认的安全组只有一个规则,这条规则对应的是远程桌面连接的端口。但是只有这条规则是不够的,为了方便我们之后服务器的配置以及网站的部署,我们得添加其他的规则,下图是我配置帕累托后台所用的安全组。(有关安全组端口作用在附件中有部分说明,详见附件1) 完成相关工作之后,点击审核和启动,会跳出如下页面,这一步很重要!因为在这创建的密钥对,以后都会用到。 在保存好密钥对之后就可以启动实例了。 3.绑定弹性IP 在导航栏中找到弹性IP,点击分配新地址。创建好之后右击,选择关联地址,将其关联到我们的实例上。
二、服务器的配置 1.远程桌面连接 实例在创建完成之后,就要配置服务器了。在配置服务器时,需要通过远程桌面连接进入实例进行配置。 首先查看我们实例的安全组有没有配置远程连接的端口,如果没有进行添加配置(导航栏中找到安全组,点击进入)。 若实例需要添加安全组,在安全组创建之后可以右击实例更改安全组进行安全组的绑定。 在完成端口的开放之后,就可以进行远程桌面连接了。右击我们的实例,点击连接,跳出如下画面。 首先通过之前保存的密钥对获取密码,然后通过下载的远程桌面文件和解密得到的密码进行连接。 2.服务器配置之添加角色和功能 进入后点击开始按钮,选择服务器管理器(实例中默认的服务器只有一个,我们的工作只需要一个,所以暂不做添加修改。) 点击第二项添加角色和功能,一路下一步,直到服务器和角色页面,勾选Web 服务器(IIS)选项(根据个人需求进行相关筛选), 在功能页面同样勾选需要的功能,最后确认并安装。 3.服务器配置之防火墙配置 在服务器配置中还有一个非常重要的步骤——防火墙的配置。之前因为没有对防火墙进行相关配置,导致本人焦头烂额,始终无法从外部网络连接至服务器。
配置管理制度
信息系统配置管理规范
目录 1 概述 (3) 1.1.目的 (3) 1.2.范围 (3) 1.3.术语 (3) 1.4.角色与职责 (3) 2 配置管理范围 (4) 3 项目配置库建立与使用 (4) 3.1项目配置库建立 (4) 3.2项目配置库使用 (4) 4 权限变更 (5) 5 配置库安全 (5) 6 配置库使用规范 (6) 附录一:配置项命名规则 (7) 附录二:配置库目录结构管理规定 (8) 附录三:基线库产品清单 (9)
1 概述 1.1.目的 为了保证XXXX研发项目文件的安全性、机密性;保证信息系统的完整性、有效性及可追溯性,以及加强研发项目的协同能力,特制订本制度。 1.2.范围 适用于本行所有信息系统。 1.3.术语 1.4.角色与职责
2 配置管理范围 研发项目过程中产生的所有文档,包括:研发项目管理文档、研发设计及技术文档、源代码、可执行程序,工具及相关资料等。 ◆项目文档主要:立项书、项目计划、例会会议记录及项目过程中管理类文档等。 ◆设计及技术文档主要:需求,需求分析报告、概要设计说明书、详细设计说明书、数据库表结构、 测试文档、使用说明书、技术说明书等。 ◆工具及其相关资料:开发或测试过程中的工具,以及其使用文档等,如觉得有必要也纳入配置库的 管理。 3 项目配置库建立与使用 3.1 项目配置库建立 1.项目立项时,由项目经理申请建立项目配置库(附录二X《配置库申请单》) 2.配置管理员与项目经理根据《配置管理的流程》确定《配置管理计划》。 3.配置项:项目经理与配置管理员共同确认研发项目的配置库目录结构,并建立配置库目录结构;所建配 置库目录结构必需按本文规定目录结构执行(目录结构参考附录二)。 4.项目小组:项目经理提供项目小组成员名单及联系方式,配置库权限清单(内容应包括员工姓名、目录 权限等) 5.权限分配:配置管理员为相关人员的设置配置权限。配置库权限设置完成之后,由配置管理员将配置库 名称、访问路径、访问权限等信息以邮件方式通知各相关人员;配置库使用人员以各自的用户名和密码进行访问配置库。 6.配置库密码只能在服务器上设置,如配置库使用人员密码遗忘或需要修改,可以与配置管理员取得联系, 进行修改密码。 3.2 项目配置库使用 1.配置库目录说明 配置库基本结构如“附录二”所示,以项目名称作为一级目录,二级目录包括:devlib、testlib、PMlib、
配置管理指南
配置管理指南本页仅作为文档页封面,使用时可以删除 This document is for reference only-rar21year.March
配置管理指南有限公司
变更记录 修改点说明的内容有如下几种:创建、修改(+修改说明)、删除(+删除说明)
目录 1. 过程概述 ...................................................................................................................... 错误!未定义书签。 2. 过程目标 ...................................................................................................................... 错误!未定义书签。 3. 必要条件 ...................................................................................................................... 错误!未定义书签。 4. 应执行活动 .................................................................................................................. 错误!未定义书签。 5. 验证与监督 .................................................................................................................. 错误!未定义书签。 6. 裁剪指南 ...................................................................................................................... 错误!未定义书签。 7. 附件说明 ...................................................................................................................... 错误!未定义书签。 8. 相关过程 ...................................................................................................................... 错误!未定义书签。
2003服务器安全配置教程
WEB+FTP+Email服务器安全配置手册 作者:阿里西西 2006-8-11
目录第一章:硬件环境 第二章:软件环境 第三章:系统端口安全配置 第四章:系统帐户及安全策略配置 第五章:IIS和WEB站点文件夹权限配置第六章:FTP服务器安全权限配置 第七章:Email服务器安全权限配置 第八章:远程管理软件配置 第九章:其它安全配置建议 第十章:篇后语
一、硬件环境 服务器采用1U规格的机架式托管主机,大概配置为Nocona2.8G/1G DDR2/160G*2SATA 硬盘/双网卡/光驱软驱/3*USB2.0。 二、软件环境 操作系统:Windows Server 2003 Enterprise Edition sp1 WEB系统:Win操作系统自带IIS6,支持.NET 邮件系统:MDaemon 8.02英文版 FTP服务器系统:Serv-U 6.0.2汉化版 防火墙: BlackICE Server Protection,中文名:黑冰 杀毒软件:NOD32 2.5 远程管理控件:Symantec pcAnywhere11.5+Win系统自带的MSTSC 数据库:MSSQL2000企业版 相关支持组件:JMail 4.4专业版,带POP3接口;ASPJPEG图片组件 相关软件:X-SCAN安全检测扫描软件;ACCESS;EditPlus [相关说明] *考虑服务器数据安全,把160G*2硬盘做成了阵列,实际可用容易也就只有一百多G了。 *硬盘分区均为NTFS分区;NTFS比FAT分区多了安全控制功能,可以对不同的文件夹设置不同的访问权限,安全性增强。操作系统安装完后,第一时间安装NOD32杀毒软件,装完后在线更新病毒库,接着在线Update操作系统安全补丁。 *安装完系统更新后,运行X-SCAN进行安全扫描,扫描完后查看安全报告,根据安全报告做出相应的安全策略调整即可。 *出于安全考虑把MSTSC远程桌面的默认端口进行更改。
软件配置管理工具+Vss+60实用指南
软件配置管理工具Vss6.0实用指南 一、版本管理的必要性 如果说70年代的软件危机导致了软件工程思想的诞生和理论体系的发展,那么80~90年代尤其是90年代软件产业的迅猛发展导致了另一种新思想的产生和实现,这就是软件的版本管理。 只要参加过软件开发的人都清楚,现在的软件项目完全由一个人来完成是难以想象而且也是不可能的,通常是有一个研发小组来共同分析、设计、编码和维护,并有专门的测试小组对已完成编码调试的软件进行全面的测试。在软件开发这个庞大而复杂的过程中,需要涉及到各个方面的人员,信息的交流反馈不仅仅是在研发小组的成员之间及各个研发小组之间,还存在于客户和研发者之间。所有的这些交流反馈意见信息都有可能导致对软件的修改,小的可能只是对某个源文件中的某个变量的定义改动,大到重新设计程序模块甚至可能是整个需求分析变动。在这个工程中,由于软件开发所固有的特征,可能会形成众多的软件版本,而且我们并不能保证不出现错误的修改,而这样的一个困难局面却又非常现实地摆在项目开发管理者的面前,他/她该如何有效地解决这些问题,具体地说就是如下一些问题: 1.怎样对研发项目进行整体管理; 2.项目开发小组的成员之间如何以一种有效的机制进行协调; 3.如何进行对小组成员各自承担的子项目的统一管理; 4.如何对研发小组各成员所作的修改进行统一汇总; 5.如何保留修改的轨迹,以便撤销错误的改动; 6.对在研发过程中形成的软件的各个版本如何进行标识,管理及差异识辨等等。 一个非常直接的反应,我们必须要引进一种管理机制,一个版本管理机制,而且是广义上的版本管理,它不仅需要对源代码的版本进行管理,而且还要对整个项目进行管理。以往的那种被誉为具有良好编程风格的做法,诸如在对他人的源程序进行修改时注释修改原因,修改人和日期,如果是多个成员同时进行了修改,那么需要进行及时的人工的差异比较和综合以便形成一个统一的新版本。这种做法在当前的大型软件的开发中已经越来越没有空间了,可以说是一种以小作坊的形式来面对软件的社会化大生产,再也不可能行得通了。 其实,版本管理的思想很早就存在于软件开发者的头脑之中,只是以往的认识没有现在人们所意识到的那样迫切。UNIX 的程序开发系统较早就提供了能够进行开发小组中源代码版本管理的工具,现在的Linux更是提供功能强大的能够跨平台的版本管理器,国外公司的基于Windows的版本管理器也已经有了比较成熟的产品,国内的研究单位如北京大学计算机系CASE实验室也在致力于这方面的工作。在众多的成熟产品和试验产品中,这里只将对使用比较广泛,有较大用户前景且又能较易获得的版本管理器产品Microsoft公司的Visual SourceSafe6.0进行详细的介绍,针对普通的研发小组的解决方案,及具体的实现。 二、Visual SourceSafe6.0(VSS6.0)简介 VSS6.0现在是作为Microsoft Visual Studio6.0这个开发产品家族的一员,如Visual C++6.0和Visual J++6.0一样。 1.VSS的简单工作原理 Microsoft的VSS6.0解决了软件开发小组长期所面临的版本管理问题,它可能有效地帮助项目开发组的负责人对项目程序进行管理,将所有的项目源文件(包括各种文件类型)以特有的方式存入数据库。开发组的成员不能对该数据库中的
操作系统安全配置管理办法
行业资料:________ 操作系统安全配置管理办法 单位:______________________ 部门:______________________ 日期:______年_____月_____日 第1 页共8 页
操作系统安全配置管理办法 1范围 1.1为了指导、规范海南电网公司信息通信分公司信息系统的操作系统安全配置方法和日常系统操作管理,提高重要信息系统的安全运行维护水平,规范化操作,确保信息系统安全稳定可靠运行,特制定本管理办法。 1.2本办法适用公司信息大区所有信息系统操作系统安全配置管理。主要操作系统包括:AIx系统、Windows系统、Linux系统及HPUNIx 系统等。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 --中华人民共和国计算机信息系统安全保护条例 --中华人民共和国国家安全法 --中华人民共和国保守国家秘密法 --ISO27001标准/ISO27002指南 --公通字[xx]43号信息安全等级保护管理办法 --GB/T21028-xx信息安全技术服务器安全技术要求 --GB/T20272-xx信息安全技术操作系统安全技术要求 --GB/T20269-xx信息安全技术信息系统安全管理要求 --GB/T22239-xx信息安全技术信息系统安全等级保护基本要求 --GB/T22240-xx信息安全技术信息系统安全等级保护定级指南 第 2 页共 8 页
3支持文件 《IT主流设备安全基线技术规范》(Q/CSG11804-xx) 4操作系统配置管理责任 4.1操作系统安全配置管理的主要责任人员是系统管理员,负责对所管辖的服务器操作系统进行安全配置。 4.2对于终端计算机操作系统的安全配置,应由终端管理员负责进行配置,或者在终端管理员指导下进行配置。 4.3系统管理员和终端管理员应定期对所管辖的服务器操作系统的配置、终端计算机操作系统的配置进行安全检查或抽查。 4.4系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置的变更管理,变更应填写配置变更申请表。 4.5系统管理员和终端管理员负责定期对所管辖的服务器和终端计算机操作系统安全配置方法的修订和完善,由信息安全管理员对操作系统安全配置修订进行规范化和文档化,并经审核批准后统一发布。 5操作系统安全配置方法 5.1操作系统的安全配置规范应该根据不同的操作系统类型,不同的应用环境及不同的安全等级,结合信息系统和终端安全特性,制定合适的操作系统安全配置,以采取合适的安全控制措施。 5.2根据应用系统实际情况,在总体安全要求的前提下,操作系统的安全配置应满足《IT主流设备安全基线技术规范》(Q/CSG11804-xx)文件中对AIx系统、Windows系统、Linux系统及HPUNIx等最低安全配置要求的基础上可进行适当调节。 5.3操作系统安全配置方法应该根据技术发展和信息系统实际发展情况不断修订和完善。 第 3 页共 8 页
信息安全技术信息系统安全等级保护测评过程指南送审稿
信息安全技术信息系统安全等级保护测评过程指南 送审稿 引言 依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43 号),制定本标准。本标准是信息安全等级保护相关系列标准之一。 与本标准相关的系列标准包括: ――22240-2008信息安全技术信息系统安全等级保护定级指南; ――22239-2008信息安全技术信息系统安全等级保护基本要 求; ―― 信息安全技术信息系统安全等级保护实施指南; --- 信息安全技术信息系统安全等级保护测评要求。 信息安全技术信息系统安全等级保护测评过程指南 1 范围
本标准规定了信息系统安全等级保护测评(以下简称等级测评)工作的测评过程,既适用于测评机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评价,也适用于信息系统的运营使用单位在信息系统定级工作完成之后,对信息系统的安全保护现状进行的测试评价,获取信息系统的全面保护需求。 2 规范性引用文件 下列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 5271.8 信息技术词汇第8 部分:安全17859-1999 计算机信息系统安全保护等级划分准则22240-2008 信息安全技术 信息系统安全等级保护定级指南22239-2008 信息安全技术信息系统安全等级保护基本要求信息安全技术信息系统安全等级保护实施指南信息安全技术信息系统安全等级保护测评要求《信息安全等级保护管理办法》(公通字[2007]43 号) 3 术语和定义 5271.8 、17859-1999 、和确立的以及下列的术语和定义适用于本标准。
web服务器的安全配置(以windows为例)
6、先关闭不需要的端口开启防火墙导入IPSEC策略 在” 网络连接”里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec 的功能。 然后点击确定—>下一步安装。(具体见本文附件1) 3、系统补丁的更新 点击开始菜单—>所有程序—>Windows Update 按照提示进行补丁的安装。 4、备份系统 用GHOST备份系统。 5、安装常用的软件 例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份
修改3389远程连接端口 修改注册表. 开始--运行--regedit 依次展开HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/ TERMINAL SERVER/WDS/RDPWD/TDS/TCP 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 ) HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/ WINSTATIONS/RDP-TCP/ 右边键值中PortNumber 改为你想用的端口号.注意使用十进制(例10000 )
各种操作系统安全配置方案
操作系统安全配置方案 内容提要 Windows 的安全配置。 操作系统的安全将决定网络的安全,从保护级别上分成安全初级篇、中级篇和高级篇,共36 条基本配置原则。 安全配置初级篇讲述常规的操作系统安全配置,中级篇介绍操作系统的安全策略配置,高级篇介绍操作系统安全信息通信配置。 操作系统概述 目前服务器常用的操作系统有三类: Unix Linux Windows NT/2000/2003 Server 。 这些操作系统都是符合C2 级安全级别的操作系统。但是都存在不少漏洞,如果对这些漏洞不了解,不采取相应的措施,就会使操作系统完全暴露给入侵者。 UNIX 系统 UNIX 操作系统是由美国贝尔实验室开发的一种多用户、多任务的通用操作系统。它从一个实验室的产品发展成为当前使用普遍、影响深远的主流操作系统。 UNIX 诞生于20 世纪60 年代末期,贝尔实验室的研究人员于1969 年开始在GE645 计算机上实现一种分时操作系统的雏形,后来该系统被移植到了DEC 的PDP-7 小型机上。 1970 年给系统正式取名为Unix 操作系统。到1973 年,Unix 系统的绝大部分源代码都用C 语言重新编写过,大大提高了Unix 系统的可移植性,也为提高系统软件的开发效率创造了条件。 主要特色 UNIX 操作系统经过20 多年的发展后,已经成为一种成熟的主流操作系统,并在发展过程中逐步形成了一些新的特色,其中主要特色包括5 个方面。 (1 )可靠性高 (2 )极强的伸缩性 (3 )网络功能强 (4 )强大的数据库支持功能 (5 )开放性好 Linux 系统 Linux 是一套可以免费使用和自由传播的类Unix 操作系统,主要用于基于Intel x86 系列CPU 的计算机上。这个系统是由全世界各地的成千上万的程序员设计和实现的。其目的是建立不受任何商品化软件的版权制约的、全世界都能自由使用的Unix 兼容产品。 Linux 最早开始于一位名叫Linus Torvalds 的计算机业余爱好者,当时他是芬兰赫尔辛基大学的学生。 目的是想设计一个代替Minix (是由一位名叫Andrew Tannebaum 的计算机教授编写的一个操作系统示教程序)的操作系统。这个操作系统可用于386 、486 或奔腾处理器的个人计算机上,并且具有Unix 操作系统的全部功能。 Linux 是一个免费的操作系统,用户可以免费获得其源代码,并能够随意修改。 它是在共用许可证GPL(General Public License) 保护下的自由软件,也有好几种版本,如Red Hat Linux 、Slackware ,以及国内的Xteam Linux 、红旗Linux 等等。Linux 的