reference中国移动通信集团网络设备安全配置规范 －思科pix分册

reference中国移动通信集团网络设备安全配置规范 －思科pix分册内容摘要：

1、第 1 页 共 22 页密 级：内部文档编号：项目代号：附件九中国移动通信集团网络设备安全配置规范思科 册版本：草稿二零零三年十一月中国移动通信公司福建移动通信公司第 2 页 共 22 页版本控制版本号 日期 参与人员 更新说明初稿 2003顺安、林秀 文档建立，初始化第 3 页 共 22 页目录第一部分 概述和介绍 .述 . 项目背景 . 项目目标 . 参考资料 .用的软件版本 .备的安全机制 .备安全配置建议 .管及认证问题 . 访问管理 .1 务的配置 .置 . 帐号和密码管理 . 帐号认证和授权 .证 . 议 .全审计 .备 级方法 . 前期准备 .件的获取 .定升级计划 .置 务器 2、.据备份 .意事项 . 升级操作 .级 装载补丁 . 应急 保障措施 .置防火墙 .C 设置（务器设置） .传旧的软件 .启路由器 .复配置 .定的安全配置 . 其他特定的安全配置 .止未使用或空闲的端口 .2 设置要求 .地址路由限制 . 页 共 22 页第一部分 概述和介绍1 概述本文档对中国移动网络思科防火墙全配置 标准进行描述，规范涉及适用范围、对应网络设备本身安全机制的介绍和设备安全配置标准三个部分，在规范中针对设备的六大安全规范主题进行描述，除了提供详细的安全配置标准外，同时 考虑设备型号和适用网络层次的不同，并 对实际配置过程中应注意的问题进行详细描述。 目背景该项目是为了规范网络 3、设备的安全配置标准，提高中国移动网络设备的安全性而提出的。 该项目成果将适用于集团公司以及各省公司网络部、计费、信息化等部门，涵盖业务网络（数据 业务 系统）、支撑系 统（网管、A）等。 目目标该项目的目标是对中国移动网络中使用的网络思科防火墙全配置标准进行规范，实现规范和指 导各省各应用系统网络设备安全配置的作用。 考资料 司提供 思科官方网站 页 共 22 页 中国 证实验 室网站 ：福建移动通信公司：洪顺安、林秀 感谢：泰讯网络给予大力支持。 2 适用的软件版本本规范适用的设备版本如下表：设备名称 设备型号 本 备注列防火墙501、506E、515E、506、515、525、535型号以上版本注意：考虑到思科设备的小版本号繁多，并且不易分辨。 建议最好从集成商那获取最新的软件版本。 第 6 页 共 22 页第二部分 设备的安全机制该部分内容对思科 火墙自身的安全机制进行简单描述，对每种安全机制可以解决什么问题进行阐述。 目前，防火墙采用的基础技术有两种，一是基于网 络层的包过滤防火墙，主要是在网络层根据 的源和目的地址及源和目的端口来决定是 转发还是丢弃 ；二是基于应用层的隔离网络的代理服务器（ 是在应用层为每一种服务。