当前已经进入了互联网+的时代，几乎绝大部分商家、企业、甚至国企央企都在拓展互联网业务，经济的飞速发展，人民生活水平提高，人们都忙于工作没有时间和精力去享受经济带来的福利，而网络业务能够给大众提供更加方便快捷的服务，所以引得互联网更加的火热。但是快捷背后时候存在着诸多的安全隐患，在巨大利益的引诱下许多商家大量的投入人力、财力去发展互联网业务，却极少重视它的安全稳定，千里之堤毁于蚁穴，信息安全的建设不是一朝一夕，而是循序渐进，防微杜渐。

那么本篇文章主要介绍的就是从最基本的安全角度出发，来规范和完善系统的安全问题，主要针对的是Cisco交换机、Juniper防火墙、mysql数据库、linux服务器，本篇文章主要介绍的Cisco核心交换机、写的不好，后续还会继续更新，请大家多多指导。

安全基线（BaseLine）：是保持信息系统安全的机密性、完整性、可用性的最小安全控制，是系统的最小安全保证，最基本的安全要求。安全基线 的根本目的是保障业务系统的安全，使业务系统的风险维持在可控范围内，为了避免人为疏忽或错误，或使用默认的安全配置，给业务系统安全造成风险，而制定安全检查标准，并且采取必要的安全检查措施，使业务系统达到相对的安全指标要求。安全基线检查工具是采用技术手段，自动完成安全配置检查的产品，并提供详尽的解决方案。

第一、思科核心交换机安全基线整改建议

一、口令策略

总结：用户登录是否启用AAA认证，本地用户是否有lever，snmp是否有ip访问限制，远程登录限制ip

1.使用认证服务器认证

#show running-config | include aaa

判定依据

1、已配置aaa认证服务器，实现用户认证。

2、已配置aaa认证服务器，实现enable认证。

以上条件需同时满足。

参考配置操作

1、Cisco(config)#aaa new-model

2、Cisco(config)#aaa authentication login default group   <server> local  #<server>为认证服务器名称（首先通过认证服务器认证，认证服务器认证失败的情况下通过本地认证。）

3、Cisco(config)#aaa authentication enable default group  <server> enable

4、Cisco(config)#end

5、Cisco#write

2.VTY端口访问的认证

检测方法

执行如下命令检测远程登陆认证

#show running-config | include aaa

判定依据

登陆认证未设置为none则合规，否则不合规

3.远程主机IP地址段限制

检测方法

执行如下命令检测vty口配置信息

#show running-config | begin line vty

判定依据

vty端口已绑定ACL则合规，否则不合规。

参考配置操作

1、Cisco(config)#access-list <tag> <access-list>   #<tag>表示access-list标号，<access-list>表示ACL规则内容。

2、Cisco(config)#line vty <num1> [<num2>]  #<num1>、<num2>（可选）表示要配置的vty起止序号。

3、Cisco(config-line)#access-class <tag> <in/out>  #<in/out>表示要过滤的连接的类型。

4、Cisco(config-line)#end

5、Cisco#write

4.限制可发起SNMP的源IP

检测方法

执行如下命令检测snmp团体名配置信息

#show running-config | include snmp-server community

判定依据

所有SNMP community均已绑定ACL则合规，否则不合规。

参考配置操作

1、Cisco(config)#access-list <tag> <access-list>    #<tag>表示access-list标号，<access-list>表示acl规则内容。

2、Cisco(config)#snmp-server community <name> <ro/rw> <tag>   #<name>表示community名称，<ro/rw>表示分配的权限。

3、Cisco(config)#end

4、Cisco#write

5.对用户设置授权等级

#show running-config | include username

参考配置操作

1、Switch(config)#username <username> privilege  <level>    #<username>用户名，<level>权限级别。

2、Switch(config)#end

3、Switch#write

6.已对命令设置授权等级

检测方法

执行如下命令，检测命令授权信息

#show running-config | include ^privilege

判定依据

1、对命令"snmp-server"设置了授权等级

2、对命令"ping"设置了授权等级

3、对命令"configure"设置了授权等级

以上三个条件均满足则合规，否则不合规。

参考配置操作

1、Cisco(config)#privilege configure level 7 snmp-server    #对snmp-server命令设置授权等级

2、Cisco(config)#privilege exec level 7 ping     #对ping命令设置授权等级

3、Cisco(config)#privilege exec level 7 configure    #对configure命令设置授权等级

4、Cisco(config)#end

5、Cisco#write

二、认证授权

总结：禁止ip-mask-reply不返回ping值，log日志服务器，log发送的source-interface，log缓冲区禁止向控制台溢出，启用aaa审计功能

1.关闭不必要的功能-禁用IP mask-reply（掩码应答）

#show running-config interface <interface_name>

判定依据

已禁用IP mask-reply则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>     # <InterfaceName> 表示接口名称。

2、Ciscoconfig-if)#no ip mask-reply

3、Cisco(config-if)#end

4、Cisco#write

2.日志存储位置

检测方法

执行如下命令检测系统日志配置

#show running-config | include logging

判定依据

已禁止系统日志向控制台输出则合规，否则不合规。

参考配置操作

1、Cisco(config)#logging host <ip地址>   #<ip地址>为远程日志服务器地址。

2、Cisco(config)#end

3、Cisco#write

3.调整系统日志的缓冲区大小

检测方法

执行如下命令检测日志缓冲区大小配置

#show running-config | include logging buffered

判定依据

系统日志缓冲区大小，不小于2048000则合规，否则不合规。

参考配置操作

1、Cisco(config)#logging buffered <size>   #其中<size>表示缓冲区大小。

2、Cisco(config)#end

3、Cisco#write

4.配置发送系统日志的源地址

检测方法

执行如下命令检测系统日志中的源地址配置

#show running-config | include logging source-interface

判定依据

系统日志中的源地址配置为loopback地址则合规，否则不合规。

参考配置操作

1、Cisco(config)#logging source-interface loopback0

2、Cisco(config)#end

3、Cisco#write

5.禁止系统日志向控制台输出

检测方法

执行如下命令检测系统日志设置

#show running-config | include logging console

判定依据

禁止系统日志向控制台输出则合规，否则不合规。

参考配置操作

1、Cisco(config)#no logging console

2、Cisco(config)#end

3、Cisco#write

6.使用认证服务器审计系统行为

检测方法

执行如下命令检测认证服务器审计行为

#show running-config | include aaa accounting

判定依据

已配置使用认证服务器对系统行为进行审计则合规，否则不合规。

参考配置操作

1、Cisco(config)#aaa accounting system default start-stop group <server>   #<server>为认证服务器名称。

2、Cisco(config)#end

3、Cisco#write

三、文件权限

总结：启用ntp服务，ntp做acl，关闭TCP Small，UDP Small服务,配置对SQL slammer蠕虫的防护,配置对Della蠕虫的防护,配置对震荡波端口及Blaster端口的防护,关闭的端口禁用cdp协议，PROXYARP，

全局禁用HTTP Server，禁用DNS查询服务，会话超时配置（console和vty），禁用Finger服务（默认关闭），IPUnreachables（不显示不可达，显示超时，损！！！），禁用IP Redirects（必须经过网关）

禁用IP source-route（默认关闭），关闭IP直接广播（默认关闭），开启的端口配置报文速率限制，开启STP功能，未关闭的端口指定 switchport 模式，配置为trunk口的VLAN都有允许列表

配置预防源地址伪造***(默认关闭，否启用uRPF)，对设备引擎直接处理的流量进行控制（contro-plane下是否配置service-policy，ip receive access-list比较复杂），关闭LACP，pagp

关闭flowcontrol，配置ARP***防护（mac 认证），典型协议报文防护（hsrp，vrry认证有秘钥）

1.配置启用NTP服务

检测方法

执行如下命令检测ntp配置

#show running-config | include ntp

判定依据

已配置NTP同步时钟则合规，否则不合规。

参考配置操作

1、Cisco(config)#ntp server <ip>     #<ip>表示NTP服务器IP

2、Cisco(config)#end

3、Cisco#write

2.关闭不必要的服务-禁用TCP Small服务

检测方法

执行如下命令检测UDP Small服务状态

#show running-config | include tcp-small-servers

判定依据

TCP Small服务被关闭则合规，否则不合规。

参考配置操作

1、Cisco(config)#no service tcp-small-servers

2、Cisco(Config-if)#end

3、Cisco#write

3.已知典型***防护

检测方法

1、执行如下命令检测ACL规则配置信息

（1）、#show access-lists

2、执行如下命令检测 vlan 和物理接口配置信息

（1）、#show running-config | begin interface

判定依据

1、已配置对SQL slammer蠕虫的防护

2、已配置对Della蠕虫的防护

3、已配置对震荡波端口及Blaster端口的防护

以上三个条件同时满足时则合规，否则不合规。

参考配置操作

1、配置对SQL slammer蠕虫的防护

（1）、Cisco(config)#access-list <tag> deny udp any any eq 1434  #<tag>表示access-list标号

2、应配置对Della蠕虫的防护

（1）、Cisco(config)#access-list <tag> deny tcp any any eq 445     #<tag>表示access-list标号

（2）、Cisco(config)#access-list <tag> deny tcp any any eq 5800

（3）、Cisco(config)#access-list <tag> deny tcp any any eq 5900

3、应配置对震荡波端口及Blaster端口的防护

（1）、Cisco(config)#access-list <tag> deny tcp any any eq 5554   #<tag>表示access-list标号

（2）、Cisco(config)#access-list <tag> deny tcp any any eq 9996

（3）、Cisco(config)#access-list <tag> deny tcp any any eq 4444

4、配置指定接口的ACL

（1）、Cisco(config)#interface <InterfaceName>   #接口名称

（2）、Cisco(config-if)#ip access-group <tag> in

（3）、Cisco(config-if)#end

（4）、Cisco#write

5.应关闭所有接口的CDP协议

检测方法

1、执行如下命令检测全局配置下是否关闭cdp协议

（1）、#show running-config | include cdp

2、执行如下命令接口检测配置信息

（1）#show running-config | begin interface

判定依据

1、全局配置下关闭cdp协议

2、所有未关闭的接口均已关闭cdp协议

以上两个条件满足其一则合规，否则不合规。

参考配置操作

1、Cisco(Config)#no cdp run

2、Cisco(Config)#interface <interface>    #<interface>表示接口名称。

3、Cisco(Config-if)# no cdp enable

4、Cisco(Config-if)#end

5、Cisco#write

6.关闭不必要的功能禁用-PROXYARP

检测方法

执行如下命令检测arp 代理状态

#show running-config interface <interface_name>

判定依据

arp 代理被禁用则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>     #<InterfaceName>  表示接口名称

2、Cisco(config-if)#no ip proxy-arp

3、Ciscoh(Config-if)#end

4、Cisco#write

7.关闭不必要的服务-禁用HTTP Server

检测方法

执行如下命令检测http server状态

#show running-config | include http

判定依据

已关闭http server则合规，否则不合规。

参考配置操作

1、Cisco(config)#no ip http server

2、Cisco(Config)#end

3、Cisco#write

8.关闭不必要的服务-禁用DNS查询服务

检测方法

执行如下命令检测是否禁用DNS查询服务

#show running-config | include domain-lookup

判定依据

已禁用DNS查询服务则合规，否则不合规。

参考配置操作

1、Cisco(config)#no ip domain-lookup

2、Cisco(Config-if)#end

3、Cisco#write

9.会话超时配置

检测方法

执行如下命令检测console口和所有vty端口的会话超时配置信息

#show running-config | begin line

判定依据

cisco交换机默认会话超时配置为10分钟

1、console口不存在如下配置         exec-timeout 0 0

2、所有vty端口不存在如下配置    exec-timeout 0 0

条件1和条件2均满足则合规，否则不合规。

参考配置操作

1、console口会话超时配置

（1）、Cisco(config)#line console 0

（2）、Cisco(config-line)#exec-timeout <mins> [<seconds>]    #<mins>单位为分，<seconds>单位为秒。

2、vty口会话超时配置

（1）、Cisco(config)#line vty <num1> [<num2>]     #<num1>，<num2>(可选)表示要配置的vty起止序号。

（2）、Cisco(config-line)#exec-timeout    <mins>    [<seconds>]

（3）、Cisco(config-line)#end

（4）、Cisco#write

10.关闭不必要的服务-禁用UDP Small服务

检测方法

执行如下命令检测UDP Small服务状态

#show running-config | include udp-small-servers

判定依据

已关闭UDP Small服务则合规，否则不合规。

参考配置操作

1、Cisco(config)#no service udp-small-servers

2、Cisco(Config-if)#end

3、Cisco#write

11.关闭不必要的服务-禁用Finger服务

检测方法

执行如下命令检测Finger服务状态

#show running-config | include finger

判定依据

已关闭Finger服务则合规，否则不合规。

参考配置操作

1、Cisco(config)#no ip finger

2、Cisco(Config)#end

3、Cisco#write

12.关闭不必要的功能-禁用IPUnreachables

检测方法

执行如下命令检测ip unreachable功能是否禁用

#show running-config | include unreachables

判定依据

接口已禁用unreachables功能则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>

2、Cisco(config-if)#no ip unreachables

3、Cisco(Config-if)#end

4、Cisco#write

13.关闭不必要的功能-禁用IP Redirects

检测方法

执行如下命令检测ICMP重定向功能

#show running-config interface <interface_name>

判定依据

ICMP重定向功能被禁用则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>   #<InterfaceName> 表示接口名称。

2、Cisco(config-if)#no ip redirects

3、Cisco(Config-if)#end

4、Cisco#write

14关闭不必要的功能-禁用IP source-route

检测方法

执行如下命令检测是否开启source-route服务

#show running-config | include source-route

判定依据

已关闭source-route服务则合规，否则不合规

参考配置操作

1、Cisco(config)#no ip source-route   #关闭source-route服务。

2、Cisco(config)#end

3、Cisco#write

15.关闭IP直接广播

检测方法

执行如下命令检测ip directed-broadcast配置

#show running-config | include directed-broadcast

判定依据

所有接口均关闭ip directed-broadcast则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>   关闭指定接口的ip directed-broadcast

2、Cisco(config-if)#no ip directed-broadcast

3、Cisco(config-if)#end

4、Cisco#write

16.限制NTP通信地址范围

检测方法

执行如下命令检测ntp配置

#show running-config | include ntp access-group

判定依据

已配置通过ACL限制NTP服务器和设备之间的通信则合规，否则不合规。

参考配置操作

1、Cisco(config)#ntp access-group peer <tag>   #<tag>表示access-list标号。

2、Ciscoh(config)#end

3、Cisco#write

17报文速率限制

检测方法

执行如下命令检测物理接口配置

#show running-config | begin interface

判定依据

所有处于未关闭状态的物理接口均配置广播/组播/未知单播报文速率限制则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>   #配置指定接口

2、Cisco(config-if)#storm-control broadcast level <threshold> #配置广播报文限制

3、Cisco(config)#interface <InterfaceName>   #配置指定接口

4、Ciscoh(config-if)#storm-control multicast level <threshold>  #配置组播报文限制

5、Cisco(config)#interface <InterfaceName>   # 配置指定接口

6、Cisco(config-if)#storm-control unicast level <threshold>     #配置单播报文限制

7、Cisco(config-if)#end

8、Cisco#write

18.开启STP功能

检测方法

执行如下命令检测STP模式

#show spanning-tree summary

判定依据

STP模式为pvst则合规，否则不合规。

1、Cisco(config)#spanning-tree mode pvst

2、Cisco(config-if)#end

3、Cisco#write

19.关闭未使用的管理口

检测方法

执行如下命令检测接口状态

#show interfaces | include protocol

判定依据

没有使用的接口都被关闭则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <接口>

2、Cisco(config-if)#shutdown    #关闭未使用的接口。

3、Cisco(config-if)#end

4、Cisco#write

20.配置端口安全防护

执行如下命令检测物理接口配置

#show running-config | begin interface

判定依据

所有处于未关闭状态的物理接口都指定 switchport 模式则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>    #配置指定物理接口的switchport模式

2、Cisco(config-if)#switchport mode <mode>  #<mode>接口类型为Access或者trunk

3、Cisco(config-if)#end

4、Cisco#write

21.配置MAC***防护

测方法

执行如下命令检测物理接口配置

#show running-config | begin interface

判定依据

所有处于未关闭状态且类型为access的物理接口都已配置允许最大的地址数目则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>     #配置指定接口允许的最大地址数。

2、Cisco(config-if)#switchport port-security maximum <num>  #<num>表示最大地址数。

3、Cisco(config-if)#end

4、Cisco#write

22.配置VLAN***防护

检测方法

执行如下命令检测物理接口配置

#show running-config | begin interface

判定依据

所有处于未关闭状态的 trunk 模式的物理接口都已配置允许的 VLAN id 则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>   #进入指定接口

2、Cisco(config-if)#switchport trunk allowed vlan <vlanid>   #配置trunk模式的接口允许的VLAN。

3、Cisco(config-if)#end

4、Cisco#write

23.限制非法数据流

检测方法

1、执行如下命令查看ACL配置信息

（1）、#show access-lists

2、执行如下命令检测 vlan 和物理接口配置信息

（1）、#show running-config | begin interface

判定依据

1、配置acl规则过滤非法流量数据

2、所有未关闭的物理接口均已下发ACL规则

以上两个条件同时满足时合规，否则不合规。

24.配置预防源地址伪造***(默认关闭)

检测方法

执行如下命令检测接口下是否启用uRPF

#show running-config | include ip verify

判定依据

所有未关闭的物理接口都已启用uRPF则合规，否则不合规。

参考配置操作

Cisco(config)#interface <InterfaceName>    #<InterfaceName>表示接口名称。

Cisco(config-if)#ip verify unicast source reachable-via any

Cisco(config-if)#end

Cisco#write

25.对设备引擎直接处理的流量进行控制

检测方法

1、执行如下命令检测 contro-plane下是否配置service-policy

（1）、#show running-config | include ^(control-plane|service-policy)

2、执行如下命令检测是否配置 ip receive access-list

（1）、#show running-config | include ip receive access-list

判定依据

1、contro-plane下已配置service-policy

2、已配置ip receive access-list

以上两个条件均满足则合规，否则不合规。

26.关闭不必要的协议-LACP

检测方法

执行如下命令检测接口配置信息

#show running-config | begin interface

判定依据

所有接口均已关闭 LACP 协议则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <interface>   接口名称

2、Cisco(config-if)# no lacp port-priority

3、Cisco(config-if)#end

4、Cisco#write

27.关闭不必要的协议-PAgP

检测方法

执行如下命令检测接口配置信息

#show running-config | begin interface

判定依据

所有接口均已关闭 PAGP 协议则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <interface>       #<interface>表示接口名称。

2、Cisco(config-if)#no pagp learn-method

3、Cisco(config-if)#end

4、Cisco#write

28.关闭不必要的协议-flowcontrol

检测方法

执行如下命令检测接口配置信息

#show running-config | begin interface

判定依据

所有接口均已关闭 flowcontrol 协议则合规，否则不合规。

参考配置操作

1、Cisco(Config)#interface <interface>     #<interface>表示接口名称。

2、Cisco(Config-if)#flowcontrol receive off

3、Cisco(Config-if)#end

4、Cisco#write

29.配置ARP***防护

检测方法

执行如下命令检测接口配置信息

#show running-config | begin interface

判定依据

所有类型为 access 的未关闭的物理接口都配置ARP***防护则合规，否则不合规。

参考配置操作

1、Cisco(config)#interface <InterfaceName>    #<InterfaceName> 表示接口名称

2、Cisco(config-if)#switchport port-security violation restrict

3、Cisco(Config-if)#end

4、Cisco#write

30.典型协议报文防护

检测方法

、执行如下命令查看是否配置HSRP报文防护

#show running-config | include standby

二、执行如下命令查看是否配置VRRP报文防护

#show running-config | include vrrp

判定依据:

1)配置了HSRP报文防护

2)配置了VRRP报文防护

以上两个条件同时满足则合规,否则不合规.

参考配置操作

1、配置HSRP报文防护

（1）、Cisco(config)#interface <InterfaceName>

（2）、Cisco(config-if)#standby 1 authentication md5 key-string <key>

2、配置VRRP报文防护

（1）、Cisco(config)#interface <InterfaceName>

（2）、Cisco(config-if)#vrrp 1 authentication md5 key-string <key>

（3）、Cisco(config-if)#end

（4）、Cisco#write

四、系统服务

总结：远程登录只能使用ssh，snmp的community在监控时不能为默认需要修改为public或者private，snmpv3开启（如果支持），snmp需要aaa认证审计

1.SNMP配置-修改SNMP的默认Community

检测方法

执行如下命令检测snmp团体名配置信息

#show running-config | include snmp-server community

判定依据

不存在名称为public、private的SNMP community，则合规，否则不合规。

参考配置操作

1、Cisco(config)#no snmp-server community public   删除名称为public的SNMP commnity

2、Cisco(config)#end

3、Cisco#write

2.远程管理通信安全-SSH

检测方法

1、执行如下命令检测ssh协议配置信息

（1）、#show ip ssh

2、执行如下命令查看vty接口配置信息

（1）、#show running-config | begin line vty

判定依据

1、已启用ssh加密协议

2、只允许使用ssh协议访问vty接口

3、以上条件需同时满足。

参考配置操作

1、Cisco(config)#ip domain-name <domain_name>    #配置域名 <domain_name>域名名称可自定义

2、Cisco(config)#aaa new-model

3、Cisco(config)#crypto key generate rsa

4、Cisco(config)#line vty 0 4

5、Cisco(config-line)#transport input ssh  #配置仅允许ssh远程登录

6、Cisco(config-line)#end

7、Cisco#write

3.SNMP服务读写权限管理

检测方法

执行如下命令检测snmp团体名配置信息

#show running-config | include snmp-server community

判定依据

所有SNMP community的权限均为ro，则合规，否则不合规。

参考配置操作

1、Cisco(config)#snmp-server community <name> <RO> [<tag>]   #<name>表示community名称，<RO/RW>表示分配的权限，<tag>表示access-list标号。

2、Cisco(config)#end

3、Cisco#write

4.VTY端口防护策略

检测方法

执行如下命令检测vty端口配置信息

#show running-config | begin line vty

判定依据

vty接口数量小于等于 15 则合规，否则不合规。

5.使用SNMP V3版本

检测方法

执行如下命令检测SNMP协议配置信息

#show running-config | include snmp-server host

判定依据

对于支持SNMP V3版本的设备，必须使用V3版本SNMP协议，对于不支持v3版本协议的设备建议通过自定义参数的方式修改其标准值为1或者2c。

参考配置操作

1、Cisco(config)#snmp-server host <ip> version 3 auth <username>  #其中<ip>表示IP，<username>表示用户名。

2、Cisco(config-line)#end

3、Cisco#write

6.使用认证服务器审计设备操作

检测方法

执行如下命令检测认证服务器审计行为

#show running-config | include aaa accounting

判定依据

已配置使用认证服务器对设备操作进行审计则合规，否则不合规。

参考配置操作

1、Cisco(config)#aaa accounting exec default start-stop group <server>  #<server>为认证服务器名称。

2、Cisco(config)#end

3、Cisco#write

四、账号管理

总结：远程登录有提示信息，两个以上用户名密码，密码加密存放，不存在平常不用的账号，console密码最好有

1.修改缺省BANNER，未配置banner login则合规，否则不合规。

#show running-config | include banner

参考配置操作

1、Cisco(config)#banner <options>  #<options>表示banner命令的参数

2、Cisco(config)#end

3、Cisco#write

2.配置console口密码保护,console口已配置密码则合规，否则不合规。

#show running-config | begin line con

参考配置操作

1、Cisco(config)#line console 0

2、Cisco(config-line)#login local

3、Cisco(config-line)#password  <password>  #<password>为console口密码

4、Cisco(config-line)#end

5、Cisco#write

3.避免共享账号

#show running-config | include username

参考配置操作

1、Cisco(config)# username <username> privilege <level> password <password>      #<username>用户名、<level>权限级别、<password>用户口令。

2、Cisco(config)# end

3、Cisco#write

4.禁止无关账号(人工确认)

5.管理默认账号与口令，不存在cisco默认账号则合规，否则不合规。

#show running-config | include username

6.口令加密

1、执行如下命令检测enable和用户口令是否加密存放

（1）、#show running-config | include ^(enable|username.*)

2、执行如下命令检测是否启用密码加密服务

#show running-config | include password-encryption

判定依据

1、启用密码加密服务

2、enable密码加密存放

3、用户口令加密存放

条件1必须满足，条件2和3满足其一则合规，否则不合规

后续将更新juniper防火墙、mysql数据库、linux服务器，请大家多多关注。