編號(hào)：

ELK-Cisco-01-01-01

名稱：

本機(jī)認(rèn)證和授權(quán)設(shè)置

實(shí)施目的：

初始模式下，設(shè)備內(nèi)一般建有沒有密碼的管理員賬號(hào)，該賬號(hào)只能用于Console連接，不能用于遠(yuǎn)程登錄。強(qiáng)烈建議用戶應(yīng)在初始化配置時(shí)為它們加添密碼。一般而言，設(shè)備允許用戶自行創(chuàng)建本機(jī)登錄賬號(hào)，并為其設(shè)定密碼和權(quán)限。同時(shí)，為了AAA服務(wù)器出現(xiàn)問題時(shí)，對(duì)設(shè)備的維護(hù)工作仍可正常進(jìn)行，建議保留必要的維護(hù)用戶。

問題影響：

非法訪問文件或目錄。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于管理員賬號(hào)配置。

實(shí)施方案：

1. 參考配置操作

配置本地用戶BluShin，密碼GoodPa55w0rd,權(quán)限為10

Router(Config)#username BluShin privilege 10 password G00dPa55w0rd?

Router(Config)#privilege EXEC level 10 telnet

Router(Config)#privilege EXEC level 10 show ip access-list

?

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)

帳號(hào)、口令配置，指定了認(rèn)證系統(tǒng)

?

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-01-02-01

名稱：

設(shè)置特權(quán)口令

實(shí)施目的：

不要采用enable password設(shè)置密碼，而采用enable secret命令設(shè)置，enable secret 命令用于設(shè)定具有管理員權(quán)限的口令，而enable password采用的加密算法比較弱。而要采用enable secret命令設(shè)置。并且要啟用Service password-encryption，這條命令用于對(duì)存儲(chǔ)在配置文件中的所有口令和類似數(shù)據(jù)進(jìn)行加密。避免當(dāng)配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文。

問題影響;

密碼容易被非法利用。?

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于密碼配置狀態(tài)。

實(shí)施方案：

1. 參考配置操作

Router(Config)#enable secret xxxxxxxx

Router(Config)#Service password-encryption

?

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★★★

編號(hào)：

ELK-Cisco-01-02-02

名稱：

賬號(hào)、口令授權(quán)

實(shí)施目的：

設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。

問題影響;

密碼容易被非法利用。?

系統(tǒng)當(dāng)前狀態(tài)：

?

實(shí)施方案：

與外部TACACS+ server 192.168.6.18 聯(lián)動(dòng)，遠(yuǎn)程登錄使用TACACS+ serverya驗(yàn)證；

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

帳號(hào)、口令配置，指定了認(rèn)證系統(tǒng)。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★★★

編號(hào)：

ELK-Cisco-01-03-01

名稱：

加固CON端口的登錄

實(shí)施目的：

控制CON端口的訪問,給CON口設(shè)置高強(qiáng)度的登錄密碼，修改默認(rèn)參數(shù)，配置認(rèn)證策略。

問題影響：

增加密碼被破解的成功率。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于CON配置狀態(tài)。

實(shí)施方案：

1、參考配置操作

Router(Config)#line con 0

Router(Config-line)#Transport input none

Router(Config-line)#Login

Router(Config-line)#password XXXXXXX

Router(Config-line)#Exec-timeoute 3 0

Router(Config-line)#session-limit 5

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

高

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-01-03-02

名稱：

加固AUX端口的管理

實(shí)施目的：

除非使用撥號(hào)接入時(shí)使用AUX端口，否則禁止這個(gè)端口。

問題影響：

容易被攻擊者利用。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于CON配置狀態(tài)。

實(shí)施方案：

1. 參考配置操作

Router(Config)#line aux 0

Router(Config-line)#transport input none

Router(Config-line)#no exec

設(shè)置完成后無法通過AUX撥號(hào)接入路由器

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-01-03-03

名稱：

HTTP登錄安全加固

實(shí)施目的：

如非要采用HTTP服務(wù)，要求對(duì)HTTP服務(wù)進(jìn)行嚴(yán)格的控制

如果必須選擇使用HTTP進(jìn)行管理，最好用ip http access-class命令限定訪問地址且用ip http authentication命令配置認(rèn)證，修改HTTP的默認(rèn)端口。

問題影響：

容易被非法用戶獲取口令進(jìn)行違規(guī)操作。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于HTTP登錄配置狀態(tài)。

實(shí)施方案：

1. 參考配置操作

！修改默認(rèn)端口

Router(Config)# ip http port 50000

Router(Config)# access-list 10 permit 192.168.0.1

Router(Config)# access-list 10 deny any

！啟用ACL嚴(yán)格控制可以登陸的維護(hù)地址

Router(Config)# ip http access-class 10

！配置本地?cái)?shù)據(jù)庫

Router(Config)# username BluShin privilege 10 password G00dPa55w0rd

！啟用本地認(rèn)證

Router(Config)# ip http auth local

Router(Config)# ip http server啟用HTTP服務(wù)

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-03-01-01

名稱：

開啟日志功能

實(shí)施目的：

為了實(shí)現(xiàn)對(duì)設(shè)備安全的管理，要求對(duì)設(shè)備的安全審計(jì)進(jìn)行有效管理。根據(jù)設(shè)備本身具有的屬性和實(shí)際維護(hù)經(jīng)驗(yàn)，建議相關(guān)安全審計(jì)信息應(yīng)包括設(shè)備登錄信息日志和設(shè)備事件信息日志，同時(shí)提供SYSLOG服務(wù)器的設(shè)置方式。

Cisco設(shè)備將LOG信息分成八個(gè)級(jí)別，由低到高分別為debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。考慮到日志信息的種類和詳細(xì)程度，并且日志開啟對(duì)設(shè)備的負(fù)荷有一定影響，在這建議獲取有意義的日志信息，并將其發(fā)送到網(wǎng)管主機(jī)或日志服務(wù)器并進(jìn)行分析，建議將notifications及以上的LOG信息送到日志服務(wù)器。

問題影響：

無法對(duì)用戶的登陸進(jìn)行日志記錄。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于logging服務(wù)的配置。

實(shí)施方案：

1. 參考配置操作

！開啟日志

Router(Config)#logging on

！設(shè)置日志服務(wù)器地址

Router(Config)#logging a.b.c.d

！日志記錄級(jí)別，可用”?”查看詳細(xì)內(nèi)容

Router(Config)#logging trap notifications

！日志發(fā)出用的源IP地址

Router(Config)#logging source-interface e0

！日志記錄的時(shí)間戳設(shè)置，可根據(jù)需要具體配置

Router(Config)#service timestamps log datetime localtime

?

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★★★

編號(hào)：

ELK-Cisco-03-01-01

名稱：

SNMP服務(wù)器配置

實(shí)施目的：

如不需要提供SNMP服務(wù)的，要求禁止SNMP協(xié)議服務(wù)，注意在禁止時(shí)刪除一些SNMP服務(wù)的默認(rèn)配置。

問題影響：

被欺騙的基于數(shù)據(jù)包的協(xié)議。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

實(shí)施方案：

1. 參考配置操作

Router(Config)# no SNMP-server community public Ro

Router(Config)# no SNMP-server community private RW

Router(Config)# no SNMP-server enable traps

Router(Config)# no SNMP-server system-shutdown

Router(Config)# no SNMP-server

關(guān)閉，網(wǎng)管系統(tǒng)無法采集到相關(guān)管理數(shù)據(jù)，不能進(jìn)行告警監(jiān)控

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

service –status-all??//看所有服務(wù)程序狀態(tài)

netstat –an //看snmp的udp是否打開

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-03-01-02

名稱：

更改SNMP TRAP協(xié)議端口；

實(shí)施目的：

如開啟SNMP協(xié)議，要求更改SNMP trap協(xié)議的標(biāo)準(zhǔn)端口號(hào)，以增強(qiáng)其安全性。

問題影響：

容易引起拒絕服務(wù)攻擊。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

實(shí)施方案：

1. 參考配置操作

Router(config)#SNMP-server host 10.0.0.1 traps version udp-port 1661

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

Show SNMP

實(shí)施風(fēng)險(xiǎn)：

高

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-03-01-03

名稱：

限制發(fā)起SNMP連接的源地址

實(shí)施目的：

如開啟SNMP協(xié)議，要求更改SNMP 連接的源地址，以增強(qiáng)其安全性。

問題影響：

容易被非法攻擊。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

實(shí)施方案：

1. 參考配置操作

outer(Config)# access-list 10 permit 192.168.0.1

Router(Config)# access-list 10 deny any

Router(Config)# SNMP-server community MoreHardPublic Ro 10

【影響】：只有指定的網(wǎng)管網(wǎng)段才能使用SNMP維護(hù)

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-03-01-04

名稱：

設(shè)置SNMP密碼

實(shí)施目的：

如開啟SNMP協(xié)議，要求設(shè)置并定期更改SNMP Community（至少半年一次），以增強(qiáng)其安全性，不建議開啟SNMP rw特性。

問題影響：

密碼泄露，造成不一定的危險(xiǎn)。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

實(shí)施方案：

1. 參考配置操作

Router(Config)# SNMP-server community MoreHardPublic ro

！不建議實(shí)施

Router(Config)# SNMP-server community MoreHardPublic rw

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-03-01-05

名稱：

源地址路由檢查

實(shí)施目的：

為了防止利用IP Spoofing手段假冒源地址進(jìn)行的攻擊對(duì)整個(gè)網(wǎng)絡(luò)造成的沖擊，要求在所有的邊緣路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源路由檢查。Cisco路由器提供全局模式下啟用URPF（Unicast Reverse Path Forwarding單播反向路徑轉(zhuǎn)發(fā)）的功能。

?

問題影響：

會(huì)對(duì)設(shè)備負(fù)荷造成影響。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于CEF 服務(wù)的配置。

實(shí)施方案：

1. 參考配置操作

Router# config t

！啟用CEF,要使用VRVF功能必須啟用CEF(Cisco Express Forwarding)

Router(Config)# ip cef

！啟用Unicast Reverse-Path Verification

Router(Config)# interface eth0/1

Router(Config-if)# ip verify unicast reverse-path

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

高

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-03-01-06

名稱：

配置路由器防止地址欺騙

實(shí)施目的：

防止地址欺騙

問題影響：

會(huì)對(duì)設(shè)備負(fù)荷造成影響，惡意攻擊。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于CEF 服務(wù)的配置。

實(shí)施方案：

如過濾非公有地址訪問內(nèi)部網(wǎng)絡(luò)。過濾自己內(nèi)部網(wǎng)絡(luò)地址；回環(huán)地址(127.0.0.0/8)；RFC1918私有地址；DHCP自定義地址 (169.254.0.0/16)；科學(xué)文檔作者測(cè)試用地址(192.0.2.0/24)；不用的組播地址(224.0.0.0/4)；SUN公司的古老 的測(cè)試地址(20.20.20.0/24;204.152.64.0/23)；全網(wǎng)絡(luò)地址(0.0.0.0/8)。
Router(Config)# access-list 100 deny ip 127.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 172.16.0.0 0.15.255.255 any
Router(Config)# access-list 100 deny ip 10.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 deny ip 169.254.0.0 0.0.255.255 any
Router(Config)# access-list 100 deny ip 192.0.2.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 224.0.0.0 15.255.255.255 any
Router(Config)# access-list 100 deny ip 20.20.20.0 0.0.0.255 any
Router(Config)# access-list 100 deny ip 204.152.64.0 0.0.2.255 any
Router(Config)# access-list 100 deny ip 0.0.0.0 0.255.255.255 any
Router(Config)# access-list 100 permit ip any any
Router(Config-if)# ip access-group 100 in2 建議采用訪問列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。（可選）如：
Router(Config)# no access-list 101
Router(Config)# access-list 101 permit ip 192.168.0.0 0.0.255.255 any
Router(Config)# access-list 101 deny ip any any
Router(Config)# interface eth 0/1
Router(Config-if)# description “internet Ethernet”
Router(Config-if)# ip address 192.168.0.254 255.255.255.0
Router(Config-if)# ip access-group 101 in其他可選項(xiàng)：

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

各接口只轉(zhuǎn)發(fā)屬于自己ip范圍內(nèi)的源地址數(shù)據(jù)包流出

實(shí)施風(fēng)險(xiǎn)：

高

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-01

名稱：

禁止CDP(Cisco Discovery Protocol)

實(shí)施目的：

由于CDP服務(wù)可能被攻擊者利用獲得路由器的版本等信息，從而進(jìn)行攻擊，所以如果沒有必要使用CDP服務(wù)，則應(yīng)關(guān)閉CDP服務(wù)。

問題影響：

增加攻擊的成功率。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件cdp當(dāng)前配置的狀態(tài)。

實(shí)施步驟：

1、參考配置操作

！全局CDP的關(guān)閉

Router(Config)#no cdp run

！特定端口CDP的關(guān)閉

Router(Config)#interface f0/0

Router(Config-if)# no cdp enable

【影響】：無法發(fā)現(xiàn)網(wǎng)絡(luò)鄰居的詳細(xì)信息，造成維護(hù)不便。

回退方案：

！全局CDP的恢復(fù)

Router(Config)#cdp run

特定端口CDP的恢復(fù)

Router(Config)#interface f0/0

Router(Config-if)# cdp enable

?

判斷依據(jù)：

Show?CDP 但看是否還有相關(guān)信息

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-02

名稱：

禁止TCP、UDP Small服務(wù)

實(shí)施目的：

Cisco路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機(jī)制。要求關(guān)閉這些服務(wù)。

問題影響：

增加攻擊者的利用率。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件service tcp-small-servers service udp-samll-servers當(dāng)前配置的狀態(tài)。

實(shí)施方案：

1、參考配置操作

Router(Config)# no service tcp-small-servers

Router(Config)# no service udp-samll-servers

回退方案：

Router(Config)# service tcp-small-servers

Router(Config)# nservice udp-samll-servers

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★★

編號(hào)：

ELK-Cisco-04-01-03

名稱：

禁止Finger、NTP服務(wù)

實(shí)施目的：

Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險(xiǎn)的，但是如果沒有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)。要求關(guān)閉這些服務(wù)。

問題影響：

增加密碼被破解的成功率。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件Finger、NTP服務(wù)當(dāng)前配置的狀態(tài)。

實(shí)施方案：

1、參考配置操作

Router(Config)# no ip finger

Router(Config)# no service finger

Router(Config)# no ntp

回退方案：

Router(Config)# ?ip finger

Router(Config)# service finger

Router(Config)# ?ntp

判斷依據(jù)

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-04

名稱：

禁止BOOTp服務(wù)

實(shí)施目的：

禁用自啟動(dòng)服務(wù)

問題影響：

會(huì)被黑客利用分配的一個(gè)IP地址作為局部路由器通過“中間人”（man-in-middle）方式進(jìn)行攻擊

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件BOOTp服務(wù)當(dāng)前配置的狀態(tài)。

實(shí)施方案：

1. 參考配置操作

Router(Config)# no ip bootp server

回退方案：

Router(Config)# ip bootp server

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-05

名稱：

禁止IP Source Routing

實(shí)施目的：

禁用源路由，防止路由信息泄露

問題影響：

容易泄露一些信息，造成一定的威脅。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于IP Source Routing服務(wù)當(dāng)前的配置狀態(tài)。

實(shí)施方案：

1. 參考配置操作

Router(Config)# no ip source-route

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-06

名稱：

禁止IP Directed Broadcast

實(shí)施目的：

禁用定向廣播，防止smurf攻擊

問題影響：

增加smurf攻擊的利用率。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于IP Directed Broadcast服務(wù)當(dāng)前的配置狀態(tài)。

實(shí)施方案：

1. 參考配置操作

?Router(Config)# no ip directed-broadcast

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-07

名稱：

禁止IP Classless

實(shí)施目的：

禁止無類路由

問題影響：

有利于被攻擊者利用

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于IP Classless服務(wù)當(dāng)前的配置狀態(tài)。

實(shí)施方案：

1. 參考配置操作

?Router(Config)# no ip classless

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-08

名稱：

WINS和DNS服務(wù)加固

實(shí)施目的：

如果沒必要通過網(wǎng)絡(luò)進(jìn)行名字查詢則禁止WINS和DNS服務(wù)

問題影響：

安全性被降低。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于WINS和DNS服務(wù)當(dāng)前的配置狀態(tài)。

實(shí)施方案：

1、參考配置操作

?Router(Config)# no ip domain-lookup

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-09

名稱：

ARP-Proxy服務(wù)加固

實(shí)施目的：

建議如果不需要ARP-Proxy服務(wù)則禁止它，否則容易引起路由表的混亂, 路由器默認(rèn)識(shí)開啟的

安全影響：

容易引起路由的混亂。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于ARP-Proxy服務(wù)當(dāng)前的配置狀態(tài)。

實(shí)施方案：

1、參考配置操作

！全局配置

Router(Config)# no ip proxy-arp

！接口配置

Router(Config)# interface eth 0/2

Router(Config-if)# no ip proxy-arp

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

低

重要等級(jí)：

★

編號(hào)：

ELK-Cisco-04-01-10

名稱：

禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件

實(shí)施目的：

禁止下載非法文件。

問題影響：

配置文件被非法下載。

系統(tǒng)當(dāng)前狀態(tài)：

查看備份的系統(tǒng)配置文件中關(guān)于boot service?服務(wù)的配置。

實(shí)施方案：

1. 參考配置操作

Router(Config)# no boot network

Router(Config)# no service config

回退方案：

還原系統(tǒng)配置文件。

判斷依據(jù)：

查看配置文件，核對(duì)參考配置操作。

實(shí)施風(fēng)險(xiǎn)：

中

重要等級(jí)：

★★★