1. Для соединений, которые начаты из Интернета должен использоваться нормально закрытый файрвол, а для соединений, которые начаты из локальной сети или с самого маршрутизатора должен использоваться нормально открытый файрвол.
2. Должны быть разрешены только следующие виды входящих соединений: ICMP, L2TP/IPSec, SSH, WinBox.
3. Доступ по WinBox и SSH извне должен быть разрешен только для доверенных IP-адресов.
4. Все DNS-запросы должны обрабатываться только через DNS-сервер, указанный на маршрутизаторе, даже если в настройках компьютера указан другой DNS-сервер. При этом компьютер должен думать, что ему отвечает сервер, указанный в настройках.
5. У каждой из линий технической поддержки должен быть свой минимально необходимый набор прав, для того чтобы использовать следующие возможности:
♦ У 1-й линии ТП должны быть только следующие права:
○ доступ только через WebFig с использованием индивидуального скина;
○ использование командной строки, доступной в WebFig;
○ использование тестовых утилит;
○ перезагрузка устройства.
♦ У 2-й линии ТП должны быть все права, кроме прав на:
○ управление учетными записями пользователей маршрутизатора;
○ обмен файлами между локальным компьютером и маршрутизатором;
○ изменение конфигурации.
♦ У 3-й линии ТП должны быть все права, кроме прав на:
○ управление учетными записями пользователей маршрутизатора;
○ обмен файлами между локальным компьютером и маршрутизатором;
○ доступ к системе мониторинга Dude.
6. Прочее:
♦ обнаружение соседей должно быть доступно только из внутренней сети 192.168.100.0/24;
♦ не должны использоваться службы telnet, ftp, www, api и api-ssl;
♦ подключение по MAC-WinBox и MAC-telnet должно быть доступно только из внутренней сети 192.168.100.0/24;
♦ использование MAC-ping должно быть запрещено.