一项一项教你测等保2.0——路由器入侵防范

随着社会的进步和科技的发展，新技术、新业务下的产品与服务不断创新与升级，云服务、大数据、物联网、移动互联及工业控制等新技术广泛应用，使用多年的等保1.0相关系列标准在适用性、时效性、易用性、可操作性上已经无法满足新时代的要求，并且以“勒索病毒”为代表的新型攻击席卷全球，使传统安全防护手段已经难以有效保护网络空间安全，网络安全保护体系需要全面升级，以便配合《网络安全法》的实施，下面结合我多年的等保测评经验，为大家解读等保测评2.0的相关内容。

a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

b）应关闭不需要的系统服务、默认共享和高危端口；

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

a）应遵循最小安装的原则，仅安装需要的组件和应用程序；

此项适用于终端、服务器、数据库，测评对象为网络设备，不适用。

b）应关闭不需要的系统服务、默认共享和高危端口；

4.1.测评项a要求1

应关闭不需要的系统服务

输入命令diplay current-configuration（dis cu），如下图所示，查看有没有开启Telnet服务、SSH服务、FTP服务、DHCP服务和HGMP服务等服务，下图没有找到这些服务。

也可以使用命令dis cu | in telnet单独查看某项服务是否开启，如下图所示，什么都没有表示没有开启。

华三路由器如下图所示：

常见的服务

1、Telnet服务: Telnet协议是TCP/IP协议族中的一员，是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序，用它连接到服务器。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话，必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

2、SSH服务：SSH 为 Secure Shell 的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。SSH 是较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

3、FTP服务：文件传输协议（File Transfer Protocol，FTP）是用于在网络上进行文件传输的一套标准协议，它工作在 OSI 模型的第七层， TCP 模型的第四层， 即应用层， 使用 TCP 传输而不是 UDP， 客户在和服务器建立连接前要经过一个“三次握手”的过程， 保证客户与服务器之间的连接是可靠的， 而且是面向连接， 为数据传输提供可靠保证

4、DHCP服务：DHCP（动态主机配置协议）是一个局域网的网络协议。指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码

5、HGMP服务：HGMP是Huawei Group Management Protocol的缩写，即华为组管理协议，它是华为的私有协议，对该协议有解释权和修改权。它是一种实现管理进程对代理进程下的进行集中管理和二层多播组控制的通信协议。其主要结构是：一个管理进程，同时管理其下的许多代理进程。在管理进程和代理进程上同时都运行HGMP协议

4.2.测评项a要求2

应关闭默认共享和高危端口

输入命令display tcp status，查看端口开放情况，如下图所示：

华三路由器输入命令dis tcp，如下图所示：

常见的高危端口

1、135端口：135端口就是RPC通信中的桥梁，该端口被攻击者采用了一种DCOM技术，可以直接对其他工作站的DCOM程序进行远程控制。DCOM技术与对方计算机进行通信时，会自动调用目标主机中的RPC服务，而RPC服务将自动询问目标主机中的135端口，并且获取当前有哪些端口可以被用来通信。

2、137端口：137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。

要是非法攻击者知道目标主机的IP地址，并向该地址的137端口发送一个连接请求时，就可能获得目标主机的相关名称信息。例如目标主机的计算机名称，注册该目标主机的用户信息，目标主机本次开机、关机时间等。

3、138端口：138端口都属于UDP端口，主要作用就是提供NetBIOS环境下的计算机名浏览功能。

非法***者要是与目标主机的138端口建立连接请求的话，就能轻松获得目标主机所处的局域网网络名称以及目标主机的计算机名称。有了计算机名称，其对应的IP地址也就能轻松获得。如此一来，就为***进一步***系统带来了便利。

4、139端口：139端口是一种TCP端口，主要作用是通过网上邻居访问局域网中的共享文件或共享打印机。

攻击者要是与目标主机的139端口建立连接的话，就很有可能浏览到指定网段内所有工作站中的全部共享信息，甚至可以对目标主机中的共享文件夹进行各种编辑、删除*作，倘若***者还知道目标主机的IP地址和登录帐号的话，还能轻而易举地查看到目标主机中的隐藏共享信息。

5、445端口：是一种TCP端口，功能与139端口几乎一致，也是提供局域网中文件或打印机共享服务。

c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；

输入diplay current- configuration命令，查看是否有如下配置，华为路由器没有，下图是华三路由器的配置。

d)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求；

此项不适用，该项要求一般在应用层面上核查。

e)应能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞；

询问系统管理员是否进行过漏洞扫描，如果进行过，查看漏扫报告是否存在高风险漏洞，核查是否对漏洞进行过充分的测试评估，并及时修补漏洞。

f)应能够检测到对重要节点进行入侵的行为，并在发生严重入侵事件时提供报警。

此项不适用。

这一部分讲完了之后，大家可以明显感觉出，这部分可以测评的项目少了很多，有好多不适用的。

之后还有恶意代码防范、可信验证、数据保密性、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等内容，可测评的项目更是少之又少，除了可信验证（基本都不符合）、数据保密性（查看是否采用SSH、HTTPS方式访问，且关闭TELNET和HTTP服务）数据备份恢复（访谈管理员询问相关情况）等几项外，其余都是不适用，并且这几项在其他测评内容中都提到过，大家可以自己对照学习。

因此，以后的内容就不单独再讲了，路由器的测评内容也就结束了。

以上就是等保2.0解读——路由器入侵防范的所有内容，希望对大家有所帮助，欢迎关注@科技兴，了解更多科技尤其是网络安全方面的资讯和知识。