設(shè)備安全配置指南(基線)

1、 網(wǎng)絡(luò)設(shè)備基線配置2009-07-24發(fā)布2009-07-24實(shí)施中國(guó)聯(lián)通公司發(fā)布 中國(guó)聯(lián)通內(nèi)網(wǎng)華為路由/交換設(shè)備安全配置指南目 錄1范圍12安全配置要求12.1password的加密12.2Super 密碼的使用12.3用戶口令設(shè)置12.4用戶權(quán)限設(shè)置12.5VTY的數(shù)量限制22.6VTY的訪問(wèn)限制22.7禁用Telnet方式訪問(wèn)系統(tǒng)22.8SSH的使用32.9SNMP服務(wù)設(shè)置32.10SNMP服務(wù)的共同體字符串設(shè)置32.11SNMP服務(wù)的訪問(wèn)控制設(shè)置32.12登錄超時(shí)設(shè)置42.13禁用不使用的端口42.14禁用FTP服務(wù)42.15日志審計(jì)44 中國(guó)聯(lián)通內(nèi)網(wǎng)華為路由/交換設(shè)備安全配置指南1

2、范圍本文檔規(guī)定了財(cái)務(wù)公司范圍內(nèi)安裝的華為路由交換設(shè)備應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行華為路由交換設(shè)備的安全配置。2 安全配置要求2.1 password的加密配置項(xiàng)名稱啟用password加密功能操作步驟查看是否進(jìn)行了如下配置：Password * cipher安全建議建議對(duì)password進(jìn)行加密，配置：Password * cipher備 注Password的加密（密文）2.2 Super 密碼的使用配置項(xiàng)名稱super密碼的使用操作步驟查看是否進(jìn)行了如下配置：Super password * cipher安全建議建議設(shè)置super的密碼用戶登錄設(shè)備以后，為

3、了獲得設(shè)備設(shè)置的權(quán)限必須進(jìn)入super模式，如果未設(shè)置，則登錄設(shè)備的用戶直接就獲得了配置設(shè)備的權(quán)限。命令為：Super Password * cipher備 注Super加密密文2.3 用戶口令設(shè)置配置項(xiàng)名稱用戶口令設(shè)置操作步驟詢問(wèn)管理員是否存在如下類似的簡(jiǎn)單用戶密碼配置，比如：Test、admin、root1234安全建議檢查用戶口令的設(shè)置情況，檢查是否存在簡(jiǎn)單密碼。要求密碼長(zhǎng)度最少為8位，包含大小寫字母、數(shù)字和特殊符號(hào)，密碼變更周期。如果滿足，則符合安全要求；如果不滿足，則低于安全要求。備 注2.4 用戶權(quán)限設(shè)置配置項(xiàng)名稱用戶權(quán)限設(shè)置操作步驟查看用戶的權(quán)限設(shè)置。service-type l

4、an-accessservice-type telnet level 1service-type ftp安全建議本著最小化的原則，應(yīng)該只給用戶賦予最小的權(quán)限，其他權(quán)限應(yīng)該在需要時(shí)開(kāi)啟。備 注2.5 VTY的數(shù)量限制配置項(xiàng)名稱VTY數(shù)量限制操作步驟查看是否作了如下的類似配置：user-interface vty 0 4建議為line vty 0 1安全建議建議對(duì)VTY的數(shù)量進(jìn)行合理的限制。設(shè)置為0 1即可。備 注2.6 VTY的訪問(wèn)限制配置項(xiàng)名稱VTY的訪問(wèn)限制操作步驟查看是否作了如下的類似配置：access-list 12 permit * *line vty 0 1acl class 12

5、Inbound安全建議建議對(duì)VTY的訪問(wèn)源地址進(jìn)行合理的限制備 注2.7 禁用Telnet方式訪問(wèn)系統(tǒng)配置項(xiàng)名稱禁用telent方式訪問(wèn)系統(tǒng)操作步驟查看配置文件中是否存在Switch(config)# line vty 0 4 Switch(config-line)# login inSwitch(config-line)# passwordSwitch(config-line)# exit如果存在，則低于安全要求；如果不存在，則符合安全要求。安全建議禁用Telnet方式遠(yuǎn)程訪問(wèn)系統(tǒng)。備 注2.8 SSH的使用配置項(xiàng)名稱檢查是否采用SSH登錄方式操作步驟執(zhí)行：dis cu是否存在SSH配置如果

6、存在，則符合安全要求；如果不存在，則低于安全要求。安全建議 建議如下配置，使用SSH 替代Telent的訪問(wèn)方式： 備 注2.9 SNMP服務(wù)設(shè)置配置項(xiàng)名稱查看是否開(kāi)啟了SNMP服務(wù)操作步驟查看配置中關(guān)于SNMP服務(wù)的設(shè)置情況： Quidway snmp-agent trap enable安全建議如果用戶不采用SNMP方式管理網(wǎng)絡(luò)設(shè)備，則應(yīng)關(guān)閉SNMP服務(wù)。命令為：Quidway undo snmp-agent備 注簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的使用2.10 SNMP服務(wù)的共同體字符串設(shè)置配置項(xiàng)名稱檢查SNMP服務(wù)的共同體字符串設(shè)置操作步驟查看配置中關(guān)于SNMP服務(wù)的共同體字符串設(shè)置情況：Quidway

7、snmp-agent community read *Quidway snmp-agent community write *安全建議設(shè)置復(fù)雜一些的字符串：命令為：Quidway # snmp-server community read *備 注在開(kāi)啟了SNMP服務(wù)的前提下，檢查SNMP服務(wù)的共同體字符串設(shè)置情況，應(yīng)該取消使用默認(rèn)的public和private，如果不使用snmp配置設(shè)備，則不要設(shè)置write的共同體字符串。2.11 登錄超時(shí)設(shè)置配置項(xiàng)名稱查看是否進(jìn)行了登錄超時(shí)設(shè)置操作步驟查看是否對(duì)VTY/CON/AUX等作了如下類似配置：idle-timeout 0項(xiàng)目描述查看是否進(jìn)行了登錄

8、超時(shí)設(shè)置(缺省設(shè)置為10分鐘)安全建議登錄超時(shí)設(shè)置(缺省設(shè)置為10分鐘)建議對(duì)VTY/CON/AUX等做登錄超時(shí)設(shè)置，配置如下：以配置AUX的exec-timeout為2分15秒為例： Quidway-ui-aux0 idle-timeout 2 15備 注登錄超時(shí)的設(shè)置2.12 禁用不使用的端口配置項(xiàng)名稱查看是否禁用了不使用的端口操作步驟查看是否對(duì)端口做了如下類似配置： Quidway-Ethernet2/1/1 shutdown安全建議建議禁用不使用的端口，配置如下：Quidway-Ethernet2/1/1 shutdown備 注關(guān)閉端口2.13 禁用FTP服務(wù)配置項(xiàng)名稱禁用FTP方式訪問(wèn)系統(tǒng)操作步驟查看配置文件，是否有類似內(nèi)容：undo ftp-server enable安全建議禁用FTP方式遠(yuǎn)程訪問(wèn)系統(tǒng)。配置命令：undo ftp-server enable備 注 不使用ftp 禁用2.14 日志審計(jì)配置項(xiàng)名稱日志審計(jì)操作步驟檢查配置文件中是否存在如下配置：info-center enable i