第一章 网络安全测评网络全局1.1 构造安全(G3)a)应保证重要网络设备的业务处理能力具有冗余空间,满足业务高峰期需要;b)应保证网络各个部分的带宽满足业务高峰期需要;c)应在业务终端与业务服务器之间进行路由控制建立安全的访问途径;(静态动态路由、动态路由协议认证功能。)ospf开放最短途径优先)d)应绘制与目前运行状况相符的网络拓扑构造图;e)应根据各部门的工作职能、重要性和所波及信息的重要程度等原因,划分不一样的子网或网段,并按照以便管理和控制的原则为各子网、网段分派地址段;(VLAN划分)f)应避免将重要网段布署在网络边界处且直接连接外部信息系统,重要网段与其他网段之间采用可靠的技术隔离手段;(在网络边界处布署:防火墙、网闸、或边界网络设备配置并启用acl)g)应按照对业务服务的重要次序来指定带宽分派优先级别,保证在网络发生拥堵的时候优先保护重要主机。(检查防火墙与否存在方略带宽配置)注释: 1)静态路由是指由网络管理员手工配置的路由信息,当网络的拓扑构造或链路的状态发 生变化 时,网络管理员需要手工修改路由表中有关的静态路由信息。 2)动态路由是指路由器可以自动地建立自己的路由表,并且可以根据实际状况的变化适时的进行调 整。动态路由机制的运作依赖路由的两个基本功能:对路由表的维护和路由器之间适时的路由信 息互换。路由器之间的信息互换是基于路由协议实现的,如ospf路由协议是一种经典的链路状态 路由协议,它通过路由器之间通告网络接口的状态,来建立链路状态数据库,生成最短途径树, 每个ospf路由器使用这写最短途径构造路由表。假如使用动态路由协议应配置使用路由协议认证 功能,保证网络路由安全。 3)vlan是一种通过将局域网内的设备逻辑而不是物理划提成不一样子网从而实现虚拟工作组的新技术。 不一样vlan内的报文在传播时是互相隔离的。假如不一样vlan要进行通信,则需要通过路由器或三层交 换机等三层设备实现。 思科 华为 4)与否存在路由协议认证:show running-config display current-configuration 查看vlan划分状况: show vlan display vlan all1.2 边界完整性检查(S3)a)应可以对非授权设备私自联到内部网络的行为进行检查,精确定出位置,并对其进行有效阻断;(技术手段:网络接入控制、关闭网络未使用的端口、ip/mac 地址绑定;管理措施:进入机房全程陪伴、红外视频监控)b)应可以对内部网络顾客私自联到外部网络的行为进...