《网络基础设施安全指南》——远程日志、路由、接口端口

1.远程日志

1.1 启用日志

启用日志后，网络设备上就会生成日志消息。可以将设备配置为立刻发送日志消息到本地日志缓存或中心化的日志服务器。NSA建议启用系统日志、设置本地日志缓存为16MB，并定期对收到的日志消息进行验证。

1.2 建立中心化的远程登录日志服务器

NSA建议使用至少2个远程、中心化的日志服务器来确保设备日志消息的监控、冗余和可用性。尽可能地确保传输的日志消息是加密的，以预防敏感信息的非授权泄露。

1.3 获取必要的日志信息

NSA建议设置将每个设备的缓存日志级别设置为informational级别以收集所有必要的信息。如果网络跨域多个时区，NSA建议使用UTC时间，所有的日志消息都应含有精确到毫秒的时间戳，以及时区和日期信息。

1.4 同步时钟

NSA建议每个设备和远程日志服务器使用至少2个可信的、可靠的时间服务器来确保信息的准确性和可用性。内部时间服务器应当作为所有设备的主要源，随后与授权的外部源进行同步。NSA建议在所有设备上启用NTP认证来预防时钟篡改，在设备和特定时间源之间配置强、唯一的NTP认证密钥。

2.路由

2.1 禁用IP源路由

NSA建议在所有设备上禁用IP源路由，因为该功能对正常的网络操作来说是非必要的。

2.2 启用uRPF

NSA建议在边界路由器的外部接口启用uRPF。

2.3 启用路由认证

NSA建议在所有接收来自网络中其他设备的路由更新的动态路由协议上启用路由认证。

3.接口端口

适当配置的接口端口可以预防敌手执行针对网络的漏洞利用。NSA建议：

• 禁用动态trunking
• 启用端口安全
• 禁用默认VLAN
• 禁用未使用的端口
• 禁用端口监控
• 禁用代理ARP