HC交換機(jī)設(shè)備安全基線_第1頁(yè)
HC交換機(jī)設(shè)備安全基線_第2頁(yè)
HC交換機(jī)設(shè)備安全基線_第3頁(yè)
免費(fèi)預(yù)覽已結(jié)束,剩余9頁(yè)可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、H3C設(shè)備安全配置基線目錄第1章概述41.1 目的41.2 適用范圍4適用版本4第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求52.1 帳號(hào)管理52.1.1 用戶帳號(hào)分配*52.1.2 刪除無(wú)關(guān)的帳號(hào)*62.2 口令72.2.1 靜態(tài)口令以密文形式存放72.2.2 帳號(hào)、口令和授權(quán)82.2.3 密碼復(fù)雜度92.3 授權(quán)10用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備使用SSH等加密協(xié)議10第3章日志安全要求113.1 日志安全113.1.1 啟用信息中心113.1.2 開啟NTP服務(wù)保證記錄的時(shí)間的準(zhǔn)確性12遠(yuǎn)程日志功能*13第4章IP協(xié)議安全要求144.1 IP協(xié)議144.1.1 VRRPU證144.1.2 系統(tǒng)遠(yuǎn)程服務(wù)

2、只允許特定地址訪問144.2 功能配置154.2.1 SNMP的Community默認(rèn)通行字口令強(qiáng)度154.2.2 只與特定主機(jī)進(jìn)行SNMP協(xié)議交互164.2.3 配置SNMPV2或以上版本17關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限18第5章IP協(xié)議安全要求195.1.1 關(guān)閉未使用的接口195.1.2 修改設(shè)備缺省BANNER205.1.3 配置定時(shí)賬戶自動(dòng)登出205.1.4 配置console口密碼保護(hù)功能215.1.5 端口與實(shí)際應(yīng)用相符22第1章概述1.1目的規(guī)范配置H3C路由器、交換機(jī)設(shè)備,保證設(shè)備基本安全。1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括:網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)

3、絡(luò)監(jiān)控人員1.3適用版本comwareV7版本交換機(jī)、路由器。第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求2.1帳號(hào)管理2.1.1用戶帳號(hào)分配*1、安全基線名稱:用戶帳號(hào)分配安全2、安全基線編號(hào):SBL-H3C-02-01-013、安全基線說明:應(yīng)按照用戶分配帳號(hào),避免不同用戶間共享帳號(hào),避免用戶帳號(hào)和設(shè)備間通信使用的帳號(hào)共享。4、參考配置操作:H3Clocal-useradminH3C-luser-manage-adminpasswordhashadminmmu2H3C-luser-manage-adminauthorization-attributeuser-rolelevel-15H3Clocal-

4、useruserH3C-luser-network-userpasswordhashusernhesaH3C-luser-network-userauthorization-attributeuser-rolenetwork-operator5、安全判定條件:(1) 配置文件中,存在不同的賬號(hào)分配網(wǎng)絡(luò)管理員確認(rèn)用戶與賬號(hào)分配關(guān)系明確6、檢測(cè)操作:使用命令discur命令查看:#local-useradminclassmanagepasswordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ=service-typesshauthorization-attri

5、buteuser-rolelevel-15#local-useruserclassnetworkpasswordhash$h$6$mmu2MlqLkGMnNyservice-typesshauthorization-attributeuser-rolenetwork-operator#對(duì)比命令顯示結(jié)果與運(yùn)維人員名單,如果運(yùn)維人員之間不存在共享賬號(hào),表明符合安全要求。2.1.2刪除無(wú)關(guān)的帳號(hào)*1、安全基線名稱:刪除無(wú)關(guān)的賬號(hào)2、安全基線編號(hào):SBL-H3C-02-01-023、安全基線說明:應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的賬號(hào)。4、參考配置操作:H3Cundolocal-userusercla

6、ssnetwork5、安全判定條件:(1) 配置文件存在多個(gè)賬號(hào)網(wǎng)絡(luò)管理員確認(rèn)賬號(hào)與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)6、檢測(cè)操作:使用discur|includelocal-user#令查看:H3Cdiscur|includelocal-userlocal-useradminclassmanagelocal-useruserlclassmanage若不存在無(wú)用賬號(hào)則說明符合安全要求。2.2口令2.2.1靜態(tài)口令以密文形式存放1、安全基線名稱:靜態(tài)口令以密文形式存放2、安全基線編號(hào):SBL-H3C-02-02-013、安全基線說明:配置本地用戶和super口令使用密文密碼。4、參考配置操作:H3Cloc

7、al-useradminH3C-luser-manage-adminpasswordhash密文password>/U己置本地用戶密文密碼H3Csuperpasswordhash裾文password>/如置super密碼使用密文加密5、安全判定條件:配置文件中沒有明文密碼字段。6、檢測(cè)操作:使用discur顯示本地用戶賬號(hào)和super密碼為密文密碼#local-useradminclassmanagepasswordhash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCEUU13fGSGCqkVojcHv

8、n8a6u8gcHLXVWaCgq4/VI0sxuoWQ=service-typesshtelnetauthorization-attributeuser-rolelevel-15#local-useruser1classmanagepasswordhash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ=authorization-attributeuser-rolenetwork-operator#superpassword

9、rolenetwork-adminhash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySGYft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ=#2.2.2帳號(hào)、口令和授權(quán)1、安全基線名稱:賬號(hào)、口令和授權(quán)安全基線2、安全基線編號(hào):SBL-H3C-02-02-023、安全基線說明:通過認(rèn)證系統(tǒng),確認(rèn)遠(yuǎn)程用戶身份,判斷是否為合法的網(wǎng)絡(luò)用戶。4、參考配置操作:H3Clocal-useradminH3C-luser-manage-adminpasswordhashpipaxingxia

10、ngyunH3C-luser-manage-adminauthorization-attributeuser-rolelevel-15H3CdomainadminH3C-isp-adminauthenticationdefaultlocal5、安全判定條件:賬號(hào)和口令的配置,指定了認(rèn)證的系統(tǒng)6、檢測(cè)操作:H3Cdiscur#domainadmin#domainsystem#domaindefaultenablesystem#2.2.3密碼復(fù)雜度1、安全基線名稱:密碼復(fù)雜度2、安全基線編號(hào):SBL-H3C-02-02-033、安全基線說明:對(duì)丁采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長(zhǎng)度至少8位,并包括

11、數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。4、參考配置操作:H3Clocal-useradminH3C-luser-manage-adminpasswordpipaxingxiangyun5、安全判定條件:密碼強(qiáng)度符合要求,密碼至少90天進(jìn)行更換。2.3授權(quán)2.3.1用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備使用SSH等加密協(xié)議1、安全基線名稱:用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)設(shè)備2、安全基線編號(hào):SBL-H3C-02-03-013、安全基線說明:使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)設(shè)備,應(yīng)配置使用SSH等加密協(xié)議連接。4、參考配置操作:H3Csshservere

12、nableH3Clocal-useradminH3C-luser-manage-adminservice-typessh5、安全判定條件:配置文件中只允許SSH等加密協(xié)議連接。6、檢測(cè)操作:使用discur|includessh令:H3Cdiscur|includesshsshserverenableservice-typesshssh服務(wù)為enable狀態(tài)表明符合安全要求。第3章日志安全要求3.1日志安全3.1.1啟用信息中心1、安全基線名稱:?jiǎn)⒂眯畔⒅行?、安全基線編號(hào):SBL-H3C-03-01-013、安全基線說明:?jiǎn)⒂眯畔⒅行?,記錄與設(shè)備相關(guān)的事件。4、參考配置操作:H3Cinfo-

13、centerenable5、安全判定條件:設(shè)備應(yīng)配置日志功能,能對(duì)用戶登錄進(jìn)行記錄,記錄內(nèi)容包括用戶登錄使用的賬號(hào),登錄是否成功,登錄時(shí)間,以及遠(yuǎn)程登錄使用的IP地址。(1) 記錄用戶登錄設(shè)備后所進(jìn)行的所有操作。6、檢測(cè)操作:使用disinfo-center有顯示InformationCenter:Enabled類似信息,如:H3Cdisinfo-centerInformationCenter:EnabledConsole:EnabledMonitor:EnabledLoghost:Enabled0,portnumber:514,hostfacility:local710.1.

14、0.95,portnumber:514,hostfacility:local79,portnumber:514,hostfacility:local7Logbuffer:EnabledMaxbuffersize1024,currentbuffersize512Currentmessages512,droppedmessages0,overwrittenmessages3736Logfile:EnabledSecuritylogfile:DisabledInformationtimestampformat:Loghost:DateOtheroutputdestination:Da

15、te3.1.2開啟NTP服務(wù)保證記錄的時(shí)間的準(zhǔn)確性1、安全基線名稱:日志記錄時(shí)間準(zhǔn)確性2、安全基線編號(hào):SBL-H3C-03-01-023、安全基線說明:開啟NTP服務(wù),保證日志功能記錄的時(shí)間的準(zhǔn)確性。4、參考配置操作:配置ntp客戶端,服務(wù)器地址為:H3Cntp-serviceenableH3Cntp-serviceunicast-server5、安全判定條件:日志記錄時(shí)間準(zhǔn)確。6、檢測(cè)操作:H3Cdiscur|includentpntp-serviceenablentp-serviceunicast-server3.1.3遠(yuǎn)

16、程日志功能*1、安全基線名稱:遠(yuǎn)程日志功能2、安全基線編號(hào):SBL-H3C-03-01-033、安全基線說明:配置遠(yuǎn)程日志功能,使設(shè)備能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。4、參考配置操作:H3Cinfo-centerloghost*.*.*/配置接收日志的服務(wù)器地址H3Cinfo-centersourcedefaultloghostlevelemergency/配置發(fā)送的日志級(jí)別5、安全判定條件:日志服務(wù)器能夠正確接收網(wǎng)絡(luò)設(shè)備發(fā)送的日志。6、檢測(cè)操作:使用命令discur|includeinfo-center查看:H3Cdiscur|includeinfo-centerundocopyrigh

17、t-infoenableinfo-centerloghost0info-centerloghost5info-centerloghost9info-centersourcedefaultloghostlevelemergency第4章IP協(xié)議安全要求IP協(xié)議VRRP認(rèn)證1、安全基線名稱:VRRP認(rèn)證2、安全基線編號(hào):SBL-H3C-04-01-013、安全基線說明:VRRP啟用認(rèn)證,防止非法設(shè)備加入到VRRP組中。4、安全判定條件:查看VRRP組,只存在正確的設(shè)備。5、檢測(cè)操作:使用命令disvrrp4.1.2系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問1、安

18、全基線名稱:系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問2、安全基線編號(hào):SBL-H3C-04-01-023、安全基線說明:設(shè)備以UDP/TC初議對(duì)外提供服務(wù),供外部主機(jī)進(jìn)行訪問,如作為NTP服務(wù)器、TELNE"®務(wù)器、TFTP服務(wù)器、FTP服務(wù)器、SSH®務(wù)器等,應(yīng)配置設(shè)備,只允許特定主機(jī)訪問。4、參考配置操作:通過配置訪問控制列表ACL,只允許特定的地址訪問設(shè)備的服務(wù),如:H3Cacladvanced3000H3C-acl-ipv4-adv-3000rule0permittcpsource20destination00destinatio

19、n-porteq443H3C-acl-ipv4-adv-3000rule65534denyip5、安全判定條件:在相關(guān)端口上綁定相應(yīng)的ACL。6、檢測(cè)操作:使用discur命令查看:#interfaceVlan-interface10ipaddress0packet-filter3000inbound#4.2功能配置4.2.1SNMP的Community默認(rèn)通行字口令強(qiáng)度1、安全基線名稱:SNMP協(xié)議的community團(tuán)體字2、安全基線編號(hào):SBL-H3C-04-02-013、安全基線說明:修改SNMP的community默認(rèn)團(tuán)體字,字符申應(yīng)符合口令

20、強(qiáng)度要求。4、參考配置操作:H3Csnmp-agentcommunityread<community團(tuán)體字>H3Csnmp-agentcommunitywrite<community團(tuán)體字>5、安全判定條件:Community非默認(rèn),口令長(zhǎng)度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)4類中至少2類。6、檢測(cè)操作:使用命令discur|includesnmp查看:H3Cdiscur|includesnmpsnmp-agentsnmp-agentlocal-engineid800063A280A4F25325010000000001snmp-agentcommuni

21、tyreadxiangyun_readsnmp-agentcommunitywritexiangyun_writesnmp-agentsys-infoversionv3snmp-agenttrapenablearpsnmp-agenttrapenableradiussnmp-agenttrapenablestp7、補(bǔ)充:若設(shè)備不需要使用SNMP協(xié)議應(yīng)關(guān)閉SNMP功能,若需要用到應(yīng)使用V2版本以上的SNMP協(xié)議。4.2.2只與特定主機(jī)進(jìn)行SNMP協(xié)議交互1、安全基線名稱:只與特定主機(jī)進(jìn)行SNMP協(xié)議交互2、安全基線編號(hào):SBL-H3C-04-02-023、安全基線說明:設(shè)備只與特定主機(jī)進(jìn)行SNM

22、P協(xié)議交互4、參考配置操作:使用ACL限制只與特定主機(jī)進(jìn)行SNMP交互H3Cacladvancednameacl_snmpH3C-acl-ipv4-adv-acl_snmprulepermitipsource00H3C-acl-ipv4-adv-acl_snmpruledenyipsourceanyH3Csnmp-agentcommunityreadxiangyunaclnameacl_snmp5、安全判定條件:Snmp綁定了acl6、檢測(cè)操作:使用discur|includesnmp命令查看:H3Cdiscur|includesnmpsnmp-agentsnmp-agent

23、local-engineid800063A280A4F25325010000000001snmp-agentcommunityreadxiangyunsnmp-agentsys-infoversion3snmp-agenttrapenablearpsnmp-agenttrapenableradiussnmp-agenttrapenablestpsnmp-agentcommunityreadxiangyunaclnameacl_snmp4.2.3配置SNMPV2或以上版本1、安全基線名稱:配置SNMPv2或以上版本2、安全基線編號(hào):SBL-H3C-04-02-033、安全基線說明:系統(tǒng)應(yīng)配置SN

24、MPv2或以上版本4、參考配置操作:H3Csnmp-agentsys-infoversionv35、安全判定條件:系統(tǒng)可以成功使用snmpv2或v3版本協(xié)議。6、檢測(cè)操作:使用discur|includesnmp命令查看:H3Cdiscur|includesnmp.snmp-agentsys-infoversion關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限1、安全基線名稱:關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限2、安全基線編號(hào):SBL-H3C-04-02-043、安全基線說明:系統(tǒng)應(yīng)及時(shí)關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限4、參考配置操作:H3Cundosn

25、mp-agentcommunitypipaxing5、安全判定條件:Snmp權(quán)限為reado6、檢測(cè)操作:使用discur|includesnmp命令查看,權(quán)限只有read:H3Cdiscur|includesnmp.snmp-agentcommunityreadxiangyun第5章其他安全要求5.1其他安全配置5.1.1關(guān)閉未使用的接口1、安全基線名稱:關(guān)閉未使用的接口2、安全基線編號(hào):SBL-H3C-05-01-013、安全基線說明:關(guān)閉未使用的接口4、參考配置操作:H3Cintg1/0/10H3C-GigabitEthernet1/0/10shutdown5、安全判定條件:未使用接口應(yīng)

26、該管理員down。6、檢測(cè)操作:H3Cdiscur.#interfaceGigabitEthernet1/0/10portlink-modebridgecomboenablefibershutdown5.1.2修改設(shè)備缺省BANNER語(yǔ)1、安全基線名稱:修改設(shè)備缺省BANNER語(yǔ)2、安全基線編號(hào):SBL-H3C-05-01-023、安全基線說明:要修改設(shè)備缺省BANNED,BANNER好不要有系統(tǒng)平臺(tái)或地址等有礙安全的信息。4、參考配置操作:H3CheaderloginPleaseinputbannercontent,andquitwiththecharacter'%'.5、安全判定條件:歡迎界面、提示符等不包含敏感信息。6、檢測(cè)操作:通過遠(yuǎn)程登錄或console口登錄查看設(shè)備提示信息。5.1.3配置定時(shí)賬戶自動(dòng)登出1、安全基線名稱:配置賬號(hào)定時(shí)自動(dòng)退出2、安全基線編號(hào):SBL-H3C-05-01-033、安全基線說明:如Telnet、sshconsole登錄連接超時(shí)退出4、參考配置操作:配置vty登錄3分鐘無(wú)操作自動(dòng)退出:H3Cuser-interfacevty04H3

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論