H3C交換機(jī)安全配置基線

1、 H3C 交換機(jī)安全配置基線第 0 頁(yè) 共 11 頁(yè)H3CH3C 交換機(jī)安全配置基線交換機(jī)安全配置基線 H3C 交換機(jī)安全配置基線第 1 頁(yè) 共 11 頁(yè)版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人V2.0創(chuàng)建2012 年 4 月備注：備注：1. 若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。 H3C 交換機(jī)安全配置基線第 2 頁(yè) 共 11 頁(yè)目目 錄錄第第 1 章章概述概述.11.1目的.11.2適用范圍.11.3適用版本.11.4實(shí)施.11.5例外條款.1第第 2 章章帳號(hào)管理、認(rèn)證授權(quán)安全要求帳號(hào)管理、認(rèn)證授權(quán)安全要求.22.1帳號(hào).2

2、2.1.1配置默認(rèn)級(jí)別*.22.2口令.32.2.1密碼認(rèn)證登錄.32.2.2設(shè)置訪問(wèn)級(jí)密碼.42.2.3加密口令.4第第 3 章章日志安全要求日志安全要求.63.1日志安全.63.1.1配置遠(yuǎn)程日志服務(wù)器.6第第 4 章章IP 協(xié)議安全要求協(xié)議安全要求 .74.1IP 協(xié)議.74.1.1使用SSH加密管理.74.1.2系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn).7第第 5 章章SNMP 安全要求安全要求.95.1SNMP 安全.95.1.1修改SNMP默認(rèn)通行字.95.1.2使用SNMPV2或以上版本.95.1.3SNMP訪問(wèn)控制.10第第 6 章章其他安全要求其他安全要求.126.1其他安全配置.

3、126.1.1關(guān)閉未使用的端口.126.1.2帳號(hào)登錄超時(shí).126.1.3關(guān)閉不需要的服務(wù)*.13第第 7 章章評(píng)審與修訂評(píng)審與修訂.15 H3C 交換機(jī)安全配置基線第 0 頁(yè) 共 11 頁(yè)第第 1 章章概述概述1.1 目的目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 H3C 交換機(jī)的安全配置。1.2 適用范圍適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3 適用版本適用版本H3C 交換機(jī)。1.4 實(shí)施實(shí)施1.5 例外條款例外條款 H3C 交換機(jī)安全配置基線第 1 頁(yè) 共 11 頁(yè)第第 2 章章帳號(hào)管理、認(rèn)證授權(quán)安全要求帳號(hào)管理、認(rèn)證授權(quán)安全要求2.1 帳號(hào)帳號(hào)2.1.1

4、 配置默認(rèn)級(jí)別配置默認(rèn)級(jí)別*安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱配置默認(rèn)級(jí)別安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-02-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 交換機(jī)命令級(jí)別共分為訪問(wèn)、監(jiān)控、系統(tǒng)、管理 4 個(gè)級(jí)別，分別對(duì)應(yīng)標(biāo)識(shí)0、1、2、3。配置登錄默認(rèn)級(jí)別為訪問(wèn)級(jí)（0-VISIT）檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作user-interface aux 0 8authentication-mode password user privilege level 0 set authentication password cipher xxxuse

5、r-interface vty 0 4authentication-mode password user privilege level 0 set authentication password cipher xxx2 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1 1、 判定條件判定條件用配置中沒(méi)有的用戶名去登錄，結(jié)果是不能登錄2 2、 參考檢測(cè)操作參考檢測(cè)操作display current-configuration3 3、 補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注手工檢查 H3C 交換機(jī)安全配置基線第 2 頁(yè) 共 11 頁(yè)2.2 口令口令2.2.1 密碼認(rèn)證登錄密碼認(rèn)證登錄安全基

6、線項(xiàng)安全基線項(xiàng)目名稱目名稱密碼認(rèn)證登錄安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-02-02-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 通過(guò)控制臺(tái)和遠(yuǎn)程終端，需要密碼才能登錄. 口令長(zhǎng)度至少 8 位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類中至少兩類。且 5 次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90 天進(jìn)行更換。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作user-interface aux 0 8authentication-mode passworduser privilege level 0 set authentication password c

7、ipher xxxuser-interface vty 0 4authentication-mode password /或 authentication-mode scheme user privilege level 0 set authentication password cipher xxx2 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明無(wú)。基線符合性基線符合性判定依據(jù)判定依據(jù)1 1、 判定條件判定條件用配置中沒(méi)有的用戶名去登錄，結(jié)果是不能登錄2 2、 參考檢測(cè)操作參考檢測(cè)操作display current-configuration3 3、 補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注 H3C 交換機(jī)安全配置基線第 3

8、 頁(yè) 共 11 頁(yè)2.2.2 設(shè)置訪問(wèn)級(jí)密碼設(shè)置訪問(wèn)級(jí)密碼安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱設(shè)置訪問(wèn)級(jí)密碼安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-02-02-02 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 用戶可以無(wú)條件切換到比當(dāng)前低的用戶級(jí)別，但是當(dāng)使用 AUX 或 VTY 用戶界面登錄，并且從低級(jí)別往高級(jí)別切換時(shí)，需要輸入級(jí)別切換密碼（級(jí)別切換密碼可以通過(guò) super password 命令設(shè)置） 。如果輸入的密碼錯(cuò)誤或者沒(méi)有配置級(jí)別切換密碼，切換操作失敗。因此，在進(jìn)行切換操作前，請(qǐng)先配置級(jí)別切換密碼。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作 system-v

9、iew Sysname super password level 1 cipher password1Sysname super password level 2 cipher password2Sysname super password level 3 cipher password32 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1 1、 判定條件判定條件Sysname display current-configuration 備注備注2.2.3 加密口令加密口令安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱加密口令安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-

10、02-02-03 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作user-interface aux 0 8 user privilege level 0 set authentication password cipher xxx H3C 交換機(jī)安全配置基線第 4 頁(yè) 共 11 頁(yè)user-interface vty 0 4 user privilege level 0 set authentication password cipher xxxsuper password level 1 cip

11、her password1super password level 2 cipher password2super password level 3 cipher password3基線符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件用戶的加密口令在 config 文件中顯示的密文。2.2.參考檢測(cè)操作參考檢測(cè)操作display current-configuration 備注備注 H3C 交換機(jī)安全配置基線第 5 頁(yè) 共 11 頁(yè)第第 3 章章日志安全要求日志安全要求3.1 日志安全日志安全3.1.1 配置遠(yuǎn)程日志服務(wù)器配置遠(yuǎn)程日志服務(wù)器安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱配置遠(yuǎn)程日志服

12、務(wù)器安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-03-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如 SYSLOG、FTP 等。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作h3c info-center enableh3c info-center loghost xxxxx channel loghost2 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明在系統(tǒng)模式下進(jìn)行操作。基線符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，

13、日志服務(wù)器正確記錄了日志信息。2.2.參考檢測(cè)操作參考檢測(cè)操作display current-configuration3.3.補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。建議核心設(shè)備必選，其它根據(jù)實(shí)際情況啟用 H3C 交換機(jī)安全配置基線第 6 頁(yè) 共 11 頁(yè)第第 4 章章IP 協(xié)議安全要求協(xié)議安全要求4.1 IP 協(xié)議協(xié)議4.1.1 使用使用 SSH 加密管理加密管理安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱使用 SSH 加密管理安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-04-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 對(duì)于使用 IP

14、 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議，關(guān)閉 TELNET 協(xié)議。檢測(cè)操作步檢測(cè)操作步驟驟1 1、 參考配置操作參考配置操作 # 設(shè)置用戶界面 VTY 0 到 VTY 4 支持 SSH 協(xié)議。 system-view Sysname user-interface vty 0 4 Sysname-ui-vty0-4 authentication-mode scheme Sysname-ui-vty0-4 protocol inbound ssh2 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1.1.參考檢測(cè)操作參考檢測(cè)操作2.2.補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備

15、注4.1.2 系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn)系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn)安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn)安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-04-01-02 H3C 交換機(jī)安全配置基線第 7 頁(yè) 共 11 頁(yè)安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET、SSH 默認(rèn)可以接受任何地址的連接，出于安全考慮，應(yīng)該只允許特定地址訪問(wèn)。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作Acl number 2000rule 1 permit source 55Use

16、r-interface vty 0 4acl 2000 inbound2 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件通過(guò)設(shè)定 acl，成功過(guò)濾非法的訪問(wèn)。2.2.參考檢測(cè)操作參考檢測(cè)操作display current-configuration 3.3.補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注 H3C 交換機(jī)安全配置基線第 8 頁(yè) 共 11 頁(yè)第第 5 章章SNMP 安全安全要求要求5.1 SNMP 安全安全5.1.1 修改修改 SNMP 默認(rèn)通行字默認(rèn)通行字安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱修改 SNMP 默認(rèn)通行字安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-

17、H3CSwitch-05-01-01 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 系統(tǒng)應(yīng)修改 SNMP 的 Community 默認(rèn)通行字，通行字應(yīng)符合口令強(qiáng)度要求。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作snmp-agent community read xxxsnmp-agent community write xxxx2 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件系統(tǒng)成功修改 SNMP 的 Community 為用戶定義口令，非常規(guī) private 或者public，并且符合口令強(qiáng)度要求。2.2.參考檢測(cè)操作參考檢測(cè)操作display cu

18、rrent-configuration3.3.補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注5.1.2 使用使用 SNMPV2 或以上版本或以上版本安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱SNMP 版本安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-05-01-02 H3C 交換機(jī)安全配置基線第 9 頁(yè) 共 11 頁(yè)安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 系統(tǒng)應(yīng)配置為 SNMPV2 或以上版本。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作snmp-agent sys-info version v32 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明 無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件成功使能

19、snmpv2c、和 v3 版本。2.2.參考檢測(cè)操作參考檢測(cè)操作display current-configuration3.3.補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注5.1.3 SNMP 訪問(wèn)控制訪問(wèn)控制安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱SNMP 訪問(wèn)控制安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-05-01-03 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 設(shè)置 SNMP 訪問(wèn)安全限制，只允許特定主機(jī)通過(guò) SNMP 訪問(wèn)網(wǎng)絡(luò)設(shè)備。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作snmp-agent community read XXXX01 acl 20002 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明

20、無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件通過(guò)設(shè)定 acl 來(lái)成功過(guò)濾特定的源才能進(jìn)行訪問(wèn)。2.2.參考檢測(cè)操作參考檢測(cè)操作display current-configuration3.3.補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注 H3C 交換機(jī)安全配置基線第 10 頁(yè) 共 11 頁(yè) H3C 交換機(jī)安全配置基線第 11 頁(yè) 共 11 頁(yè)第第 6 章章其他安全要求其他安全要求6.1 其他安全配置其他安全配置6.1.1 關(guān)閉未使用的端口關(guān)閉未使用的端口安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱關(guān)閉未使用的端口安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-06-01-01 安全基

21、線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 關(guān)閉未使用的端口。檢測(cè)操作步檢測(cè)操作步驟驟1 1、參考配置操作、參考配置操作HW-Ethernet3/0/0shutdown2 2、補(bǔ)充說(shuō)明、補(bǔ)充說(shuō)明無(wú)?；€符合性基線符合性判定依據(jù)判定依據(jù)1.1.判定條件判定條件未使用端口狀態(tài)為 admin down。2.2.參考檢測(cè)操作參考檢測(cè)操作Display interface3.3.補(bǔ)充說(shuō)明補(bǔ)充說(shuō)明無(wú)。備注備注6.1.2 帳號(hào)登錄超時(shí)帳號(hào)登錄超時(shí)安全基線項(xiàng)安全基線項(xiàng)目名稱目名稱帳號(hào)登錄超時(shí)安全基線要求項(xiàng)安全基線編安全基線編號(hào)號(hào)SBL-H3CSwitch-06-01-02 安全基線項(xiàng)安全基線項(xiàng)說(shuō)明說(shuō)明 配置定時(shí)帳號(hào)自動(dòng)登出，登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。設(shè)置超時(shí)時(shí)間為 5 分鐘. H3C 交換機(jī)安全配置基線第 12 頁(yè) 共 11 頁(yè)檢