模块A

2.1 基本配置
2.2.1 账户密码策略配
a) 最小密码长度不得少于 12 个字符 （交换机、路由器、防火墙、Linux、Windows）

防火墙：password-policy minimum-length 12,影响username abc password 这个密码，但不影响enable密码
路由器： security passwords 12
交换机：通过aaa common-criteria policy创建密码策略，设置min-length 12，通过username创建用户名与密码时应用该策略
linux : /etc/login.defs  PASS_MIN_LEN 12
windows: 本地组策略-windows设置-安全设置-密码策略

b) 密码复杂度设置要求应包含大小写字母，数字和特殊字符 （交换机、路由器、防火墙、Linux、Windows）

防火墙：password-policy
路由器：?
交换机：通过aaa common-criteria policy 创建密码策略   
linux : 安装pam_pwquality,编辑/etc/security/pwquality.conf
Windows: 本地组策略-windows设置-安全设置-密码策略

参考说明

c) 所有密码必须作为可逆密文存储在配置中 （交换机、路由器、防护墙）

Service password-encryption

d) 本地用户的密码应作为 scrypt hash 存储在配置中 （交换机、路由器）

username myuser algorithm-type scrypt secret mypassword

e) 设置 enable 密码为 QWEqwe258!@# (交换机、路由器、防火墙)

2.2.2 账户登录安全策略配置
a) 在用户登录系统时 ，应该有“For authorizedusers only”的 banner 提示信息 （交换机、路由器、防火墙、Linux、Windows）
b) 一分钟内仅允许 5 次登录失败的尝试，超过 5 次，登录帐号锁定 1 分钟。 （交换机、路由器、防火墙、Linux、Windows）
c) 启用本地控制台身份验证。成功验证后，用户应以最小权限登陆用户模式（privilege level 1) （交换机、路由器）
d) 非活动超时时间不得超过 1 分钟 （交换机、路由器、防护墙、Linux、Windows）
e) 禁用系统缓存登录 （windows）

2.3 网络设备加固
2.3.1 基础设备安全功能配
a) 任何端口上的 mac 地址的最大数量必须不大于2。在违反本安全策略的情况下，端口应设置为restrict状态，不能被设置为 错误禁用状态shutdown） （交换机)
b) 关闭空闲的端口 （交换机)

2.3.2 分支机构间通信和远程工作人员远程访问策略
a) 在 路由器 与 防火墙 之间构建 vpn 隧道，使分支机构和办公区能正常通信。要求构建的 ipsec 隧道的 ikev1 策略集加密参数使用 aes、摘要算法使用 sha、密钥交换算法使用 pre-shared-key，ipsec 变换集使用 esp-aes 和 esp-sha-hmac

2.4 公共服务保护
a) 配置所有对 Web 网站的请求使用 HTTPS 协议进行处理。必须将所有 HTTP 请求重定向到 HTTPS
b) 配置 Web 网站服务，禁止目录浏览
c) 配置 Web 网站服务，隐藏 web 网站服务名称及版本号
d) 设置公司 FTP 服务器仅接受 SSL / TLS 连接
e) 设置公司 FTP 服务器，禁止匿名访问 FTP
f) 禁止 root 用户 SSH 远程登录Linux
g) 在Linux配置 snort 检测并告警所有发向本机的超过 1024字节的 ICMP 数据包，告警消息设置为 ICMP FLOOD
h) 配置 ModSecurity 添加规则，拦截所有请求方式为：HEAD、PUT、DELETE、CONNECT、TRACE 的 HTTP数据包