XX銀行H3C交換機安全基線配置

1、XXXXXX 銀行銀行銀行 H3CH3CH3C 交換機系列安全配置基線交換機系列安全配置基線交換機系列安全配置基線(V1.0)(V1.0)(V1.0)XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 1 頁目 錄1適用聲明適用聲明.22訪問控制訪問控制.32.1遠程連接源地址限制.213安全審計安全審計.33.1開啟設備的日志功能.64入侵防范入侵防范.74.1配置防 ARP 欺騙攻擊.74.2配置常見的漏洞攻擊和病毒過濾功能.44.3配置 ACL 規(guī)則.35網(wǎng)絡設備防護網(wǎng)絡設備防護.85.1限制管理員遠程直接登錄.85.2連接空閑時間設定.95.3遠程登陸加密傳輸.105.4配置C

2、ONSOLE口密碼保護功能和連接超時.115.5按照用戶分配賬號.125.6刪除設備中無用的閑置賬號.135.7修改設備上存在的弱口令.135.8配置和認證系統(tǒng)聯(lián)動功能.14配置和認證系統(tǒng)聯(lián)動功能.145.9配置 NTP 服務 .155.10修改 SNMP 的COMMUNITY默認通行字.165.11使用 SNMPV2 或以上版本.175.12設置 SNMP 的訪問安全限制.185.13系統(tǒng)應關閉未使用的 SNMP 協(xié)議及未使用 RW 權限.195.14關閉不必要的服務.195.15配置防源地址欺騙攻擊.205.16禁止設備未使用或者空閑的端口.21XX 銀行科技安全室H3C 交換機安全基線配

3、置與檢查列表第 2 頁1適用聲明適用人員適用人員IT 部的網(wǎng)絡維護人員、安全評估人員、安全審計人員適用版本適用版本H3C 同系列的網(wǎng)絡交換機適用等保一級適用等保一級項適用等保二級適用等保二級項適用等保三級適用等保三級項適用等保四級適用等保四級項參考依據(jù)參考依據(jù)H3C 交換機配置手冊GB/T 20270-2006 信息安全技術 網(wǎng)絡基礎安全技術要求GB/T 20011-2005 信息安全技術 路由器安全評估準則JR/T 0068-2012 網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范GB/T 22239-2008 信息安全技術 信息系統(tǒng)安全等級保護基本要求GB/T 25070-2010 信息安全技術 信息系統(tǒng)等

4、級保護安全設計技術要求JR/T 0071-2012 金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 3 頁2訪問控制2.1配置 ACL 規(guī)則配置/檢查項配置ACL規(guī)則適用等保級別 等保一至四級檢查步驟1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 ACL 匹配路由是否按照業(yè)務需求設置H3Cdis cur | in aclH3Cdis this acl配置步驟設備應根據(jù)業(yè)務需要，配置基于源 IP 地址、通信協(xié)議 TC

5、P 或 UDP、目的IP 地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務不相關的流量。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置 ACL 列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source destination 4.配置流分類，定義基于 ACL 的匹配規(guī)則。H3Ctraffic classifier tc1H3C-classifier-tc

6、1 if-match acl 20005.配置流行為H3C traffic behavior tb1XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 4 頁H3C-behavior-tb1 deny6.定義流策略，將流分類與流行為關聯(lián)。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb17.應用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound備注2.2配置常見

7、的漏洞攻擊和病毒過濾功能配置/檢查項配置常見的漏洞攻擊和病毒過濾功能適用等保級別檢查步驟1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看ACL中是否匹配漏洞攻擊和病毒攻擊H3Cdis current-configuration | in acl配置步驟設備應配置 ACL，通過 ACL 列表來過濾一些常見的漏洞攻擊和病毒攻擊。4.進入用戶視圖5.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with

8、 Ctrl+Z.H3C6.配置 ACL 列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source destination source-port eq ftp-data XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 5 頁7.配置流分類，定義基于 ACL 的匹配規(guī)則。H3Ctraffic classifier tc1H3C-classifier-tc1 if-match acl 20008.配置流行為H3C traffic behavior tb1H3C-behavi

9、or-tb1 deny9.定義流策略，將流分類與流行為關聯(lián)。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb110. 應用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound備注XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 6 頁3安全審計3.1開啟設備的日志功能配置/檢查項配置設備的日志功能適用等保級別 等保二至四級檢查步驟1.進入用戶視圖2.用戶視圖切換

10、到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看日志功能是否按照需求配置H3Cdis cur | in info-center配置步驟要求相關安全審計信息應收集設備登錄信息日志和設備事件信息日志，同時提供 SYSLOG 服務器的設置方式，所有的日志信息可以均可以遠程存儲到日志服務器。并且必須保證日志服務器的安全性。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.開啟日志功能H3

11、C info-center enable4.配置日志信息輸出到控制臺，用戶可以在控制臺上查看到日志信息，了解到設備的運行情況H3C info-center console channel 05.配置日志信息輸出到日志緩沖區(qū)H3C info-center logbuffer channel 46.配置日志信息輸出到日志服務器H3C info-center loghost XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 7 頁備注4入侵防范4.1配置防 ARP 欺騙攻擊配置/檢查項配置防ARP欺騙攻擊適用等保級別檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 syst

12、em-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 ARP 地址欺騙 H3Cdis current-configuration | in anti-attack配置步驟配置設備的防 ARP 欺騙攻擊功能，可以有效的減少 ARP 攻擊對網(wǎng)絡造成的影響。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置防止 ARP 地址欺騙H3C arp anti-attack entry-check fixed-m

13、ac enable 適用于靜態(tài)配置IP 地址，但網(wǎng)絡存在冗余鏈路的情況。當鏈路切換時，ARP 表項中的接口信息可以快速改變H3C arp anti-attack entry-check fixed-all enable 適用于靜態(tài)配置 IP地址，網(wǎng)絡沒有冗余鏈路，同一 IP 地址用戶不會從不同接口接入 S5300 的情況H3C arp anti-attack entry-check send-mac enable 適用于動態(tài)分配IP 地址，有冗余鏈路的網(wǎng)絡XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 8 頁4.配置防止 ARP 網(wǎng)關沖突H3C arp anti-attack ga

14、teway-duplicate enable 備注5網(wǎng)絡設備防護5.1限制管理員遠程直接登錄配置/檢查項限制具備管理員權限的用戶遠程直接登錄適用等保級別檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否存在高級別權限密碼H3Cdis cur | in acl4.查看是否對于 user 用戶密碼進行配置H3Cdis cur | in local-user配置步驟遠程管理員應先以普通權限用戶登錄后，再切換到管理員權限執(zhí)行相應操作。1.進入用戶視圖2.由戶視圖切換

15、到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.設置用戶由低級別權限切換到高級別權限的密碼H3C super password level 3 cipher anbang1234.進入 aaa 視圖H3Caaa5.配置具備遠程登陸用戶 user1 的權限信息。XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 9 頁配置用戶 user1 權限等級為 Level 1,具有 telnet 服務。H3C-aaa local-user user1 password cipher anbang1234H3

16、C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 16.配置遠程登陸用戶的認證方式為 aaa 認證H3C user-interface vty0 4H3C-ui-vty0-4 authentication-mode aaa備注5.2連接空閑時間設定配置/檢查項設置用戶登錄設備的空閑時間適用等保級別 等保一至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 AAA

17、 下是否有相關的用戶口令配置H3Cdis cur | in aaa配置步驟用戶登錄交換機后，如果在設定的時間內(nèi)沒有任何操作，則斷開連接，用戶如果需要繼續(xù)操作，則需要重新輸入口令。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進入 aaa 視圖，配置用戶 user1 的超時時間為 5 分鐘。H3CaaaH3C-aaa local-user user1 password cipher anbang1234XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 10 頁H

18、3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1H3C-aaa local-user user1 idle-timeout 5 備注5.3遠程登陸加密傳輸配置/檢查項遠程登陸加密傳輸適用等保級別 等保一至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看相關 SSH 配置H3Cdis cur | in ssh配置步驟如果通過遠程對交換機進行管理維護，特別是通

19、過互聯(lián)網(wǎng)以及不安全的公共網(wǎng)絡，設備應配置使用 SSH 加密協(xié)議。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.生成本地密鑰對H3C rsa local-key-pair create4.創(chuàng)建 ssh 用戶和密碼H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode aaaH3C-ui-vty0-4 protocol inbound sshH3C-ui-vty0-4 ssh user abc authenti

20、cation-type passwordXX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 11 頁H3Cstelnet server enableH3Cssh user abc service-type stelnetH3CaaaH3C-aaa local-user abc password simple abcH3C-aaa local-user abc service-type ssh5.使能 stelnet 服務 H3Cstelnet server enable備注5.4配置 console 口密碼保護功能和連接超時配置/檢查項設置用戶通過console口登錄交換機時的密碼適用

21、等保級別 等保一至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否存在對 CONSOLE 口的口令配置H3Cdis cur | in user-interface配置步驟用戶通過 console 口登錄交換機時，需要輸入密碼，并且用戶登錄交換機后，如果在設定的時間內(nèi)沒有任何操作，則斷開連接，用戶如果需要繼續(xù)操作，則需要重新輸入口令。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return us

22、er view with Ctrl+Z.H3C3.配置登錄 console 口時的口令和超時時間 H3C user-interface console 0XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 12 頁H3C-ui-console0 authentication-mode passwordH3C-ui-console0 set authentication password cipher anbang123H3C-ui-console0 idle-timeout 5 備注5.5按照用戶分配賬號配置/檢查項按照用戶分配賬號適用等保級別檢查步驟1.進入用戶視圖2.用戶視圖切換到

23、系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否對于不同用戶配置權限信息H3Cdis cur | in local-user配置步驟避免不同用戶間共享賬號。避免用戶賬號和設備間通信使用的賬號共享。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進入 aaa 視圖H3Caaa4.為不同的用戶配置不同的權限信息。 配置用戶 user1 具有 telnet 權限，user2 具有

24、ftp 權限。H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user2 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user2 service-type ftpXX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 13 頁H3C-aaa local-user user1 level 1H3C-aaa local-user user2 level 1備注5.6刪除設

25、備中無用的閑置賬號配置/檢查項刪除設備中無用的閑置賬號適用等保級別等保二至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看設備中是否存在限制的用戶賬號和信息H3Cdis cur | in local-user配置步驟定期檢查設備賬號配置，刪除與設備運行，維護等無關的賬號。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進入 aaa 視

26、圖H3Caaa4.刪除設備中無用的賬號。H3C-aaa undo local-user user1備注5.7修改設備上存在的弱口令配置/檢查項修改設備上存在的弱口令適用等保級別 等保二至四級檢查步驟1.進入用戶視圖XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 14 頁2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看用戶的密碼信息H3Cdis cur | in local-user配置步驟對于采用靜態(tài)口令認證技術的設備，口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母

27、和特殊符號 4 類中至少 2 類，且用戶口令加密存儲。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進入 aaa 視圖，配置用戶 user1 的口令，并且口令加密存儲。H3Caaa H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1備注5.8配置和認證系統(tǒng)聯(lián)動功能配置/

28、檢查項配置和認證系統(tǒng)聯(lián)動功能適用等保級別 等保二至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3CXX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 15 頁3.查看是否配置了認證服務系統(tǒng)H3Cdis cur | in radius-server配置步驟設備通過相關參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權的強制要求。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view

29、 with Ctrl+Z.H3C3.配置 RADIUS 服務器模板 testH3Cradius-server template test4.配置 RADIUS 認證服務器的 IP 地址、端口。H3C-radius-testradius-server authentication 18125.配置 RADIUS 服務器密鑰、重傳次數(shù)H3C-radius-testradius-server shared-key cipher helloH3C-radius-testradius-server retransmit 26.配置認證方案 1，認證模式為先 RADIUS，如果沒有響應，則

30、不認證H3CaaaH3C-aaaauthentication-scheme 1H3C-aaaauthentication-mode radius none7.配置 ab 域，在域下應用認證方案 1、RADIUS 模板 testH3C-aaa domain abH3C-aaa-domain-abauthentication-scheme 1H3C-aaa-domain-abradius-server test備注5.9配置 NTP 服務配置/檢查項配置NTP服務適用等保級別 等保二至四級檢查步驟1.進入用戶視圖XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 16 頁2.用戶視圖切換到

31、系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 NTP 相關配置是否正確H3Cdis cur | in ntp配置步驟開啟 NTP 服務，保證日志功能記錄的時間的準確性，同時交換機和 NTP SERVER 之間要開啟認證功能。1 進入用戶視圖2由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3在交換機上使能 NTP 功能，配置驗證密鑰并聲明該密鑰可信 H3C ntp-service authentic

32、ation enableH3C ntp-service authentication-keyid 1 authentication-mode md5 HelloH3C ntp-service reliable authentication-keyid 14 配置 NTP 服務器，并使用已配置的驗證密鑰。H3C ntp-service unicast-server authentication-keyid 1備注5.10 修改 SNMP 的 community 默認通行字配置/檢查項修改SNMP的community默認通行字，通行字應符合口令強度要求適用等保級別 等保二至四級檢查

33、步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewXX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 17 頁Enter system view, return user view with Ctrl+Z.H3C3.查看 COMMUNITY 是否存在默認通行字H3Cdis cur | in acl配置步驟應修改 SNMP 的 Community 默認通行字，通行字應符合口令強度要求。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.修改 SNMP

34、 的默認通行字H3C snmp-agent community read 1234abcdH3C snmp-agent community write 1234abcd備注5.11使用 SNMPV2 或以上版本配置/檢查項使用SNMPV2或以上版本適用等保級別 等保二至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 SNMP 的運行版本H3Cdis cur | in snmp-agent配置步驟應配置 SNMP 使用 SNMPv2 或者以上版本，加強安全

35、性。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 18 頁 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置 SNMP 版本。H3C snmp-agent sys-info version v3備注5.12 設置 SNMP 的訪問安全限制配置/檢查項設置SNMP的訪問安全限制適用等保級別 等保二至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with C

36、trl+Z.H3C3.查看 SNMP 的訪問安全限制H3Cdis cur | in snmp-agent配置步驟設置 SNMP 訪問安全限制，只允許特定主機通過 SNMP 訪問網(wǎng)絡設備。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置可以訪問交換機的 ACL 列表。H3C acl 2001H3C-acl-basic-2001 rule 5 permit source 4.應用 ACL 到 SNMP 配置。H3C snmp-agent co

37、mmunity write 1234abcd acl 2001H3C snmp-agent community read 1234abcd acl 2001XX 銀行科技安全室H3C 交換機安全基線配置與檢查列表第 19 頁備注5.13 系統(tǒng)應關閉未使用的 SNMP 協(xié)議及未使用 RW 權限配置/檢查項關閉未使用的SNMP協(xié)議及未使用RW權限適用等保級別 等保二至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 SNMP 協(xié)議的 RW 相關配置H3Cdis

38、 cur | in RW配置步驟如不需要提供 SNMP 服務的，要求禁止 SNMP 協(xié)議服務，注意在禁止時刪除一些 SNMP 服務的默認配置。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置可以訪問交換機的 ACL 列表。H3C Undo snmp enableH3Cundo snmp-agent community RWuser備注5.14 關閉不必要的服務配置/檢查項關閉不必要的服務適用等保級別 等保二至四級檢查步驟1.進入用戶視圖2.用戶視圖切換到系統(tǒng)視圖XX

39、銀行科技安全室H3C 交換機安全基線配置與檢查列表第 20 頁 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看存在哪些協(xié)議如:FTP,HTTP,DHCP 等。H3Cdis cur配置步驟關閉網(wǎng)絡設備不必要的服務，如:FTP,HTTP,DHCP SERVER 等。1.進入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.關閉設備的 ftp 服務。H3C undo ftp server備注5.15 配置防源地址欺騙攻擊配置/檢查項配置防源地址欺騙攻擊適用等保級別檢查步驟1.進入用戶視圖2.