网络设备的种类很多,本文继续介绍路由器中的访问控制功能,您可前往信创致远http://www.dengbao110.com/了解更多内容。
(四)应对进出网络安全测评的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMP、POP3等协议命令级的控制。
【描述】
对于一些常用的应用层协议,能够在访向控制设备上实现应用层协议命令级的控制和内容检查,从而增强访问控制粒度。
【检查方法】
如果在网络安全测评边界处部署了防火墙,该项要求一股通过防火墙来实现。
(五)应在会话处于非活跃一定时间或会话结束后终止网络连接。
【描述】
当恶意用户进行网络安全测评攻击时,有时会发起大量会话连接,建立会话后长时间保持状态连接从而占用大量网络资源和系统资源,最终吕现将络资源和系绕资源耗尽的情况。因此应在会话终止或长时间无响应的情况下终止网络连接,释放被占用网络资源和系统资源,保沚业务可以被正常访问。
【检查方法】
此项不适合,该项要求一般在防火墙上实现。
(六)应限制网络最大流量数及网络连接数
路由器可根据IP地址、端口、协议来限制应用数据流的最大流量,还可以根据IP地址来限制网络安全测评连接数,从而保证业务带宽不被占用,业务系统可以对外正常提供业务。
路由器的带宽策略一般采用分层的带宽管理机制,管理员可以通过设置细粒度的带宽策略,对数据报文做帮宽限制和优先级别设定,还可以通过渡地北、目的地址、用广和协议四个方面来限制宽。
【检查方法】
访谈系统管理员,依据实际內络状况是否需要限制网络最大流量数及网络连接数并检査路由器配置。如果在网络中部署了防火墙,该项要求一般通过防火墙来实现。
在思科路由器中:
1)在特权模式下输入命令 show running-config会输出该路由器相关配置信息。
2)检查配置信息中应当存在类似如卜配置信息
如限制主机10..1.1的最大连接数为200,则检查配置信息中应当存在类似如下配置项:
如限制源自192l6810.024的流量的带宽为100kbps,则检查配置信息中应当存在类似如下配置项:
class-map match-all <blue
match access-group 1
policy-map blue
queue-limit 30
class class-default
ip address 172.16.10.1 255.255.255.252
service-policy output blue
在华为路由器中
1)在特权模式下输入命令 display acl config all会输出该路由器相关配置信息.
2)检查配置信息中应当存在类似如下配置信息:
如限制某端口下的1000kbs访问,则检查配置信息中应当存在类似如下配置项:
acl number 3000
rule 1 permit i1
interface Ethernet2/1/9
port access vlan 2109
traffic-shape 10000 256
traffic-limit inbound ip-group 3000 rule 1 system-index 28 tc-index
6 10000 1000000 1000000 10000 conform remark-policed-service exceed droy