華為交換機安全基線_第1頁
華為交換機安全基線_第2頁
華為交換機安全基線_第3頁
華為交換機安全基線_第4頁
華為交換機安全基線_第5頁
已閱讀5頁,還剩15頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

華為交換機安全基線華為交換機安全基線華為交換機安全基線V:1.0精細(xì)整理,僅供參考華為交換機安全基線日期:20xx年X月華為設(shè)備安全配置基線

目錄第1章 概述 4 目的 4 適用范圍 4 適用版本 4第2章 帳號管理、認(rèn)證授權(quán)安全要求 6 帳號管理 6 用戶帳號分配* 6 刪除無關(guān)的帳號* 7 口令 8 靜態(tài)口令以密文形式存放 8 帳號、口令和授權(quán) 9 密碼復(fù)雜度 10 授權(quán) 11 用IP協(xié)議進行遠(yuǎn)程維護的設(shè)備使用SSH等加密協(xié)議 11第3章 日志安全要求 12 日志安全 12 啟用信息中心 12 開啟NTP服務(wù)保證記錄的時間的準(zhǔn)確性 13 遠(yuǎn)程日志功能* 14第4章 IP協(xié)議安全要求 15 IP協(xié)議 15 VRRP認(rèn)證 15 系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問 15 功能配置 16 SNMP的Community默認(rèn)通行字口令強度 16 只與特定主機進行SNMP協(xié)議交互 17 配置SNMPV2或以上版本 18 關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限 19第5章 IP協(xié)議安全要求 20 其他安全配置 20 關(guān)閉未使用的接口 20 修改設(shè)備缺省BANNER語 21 配置定時賬戶自動登出 21 配置console口密碼保護功能 22 端口與實際應(yīng)用相符 23

概述目的規(guī)范配置華為路由器、交換機設(shè)備,保證設(shè)備基本安全。適用范圍本配置標(biāo)準(zhǔn)的使用者包括:網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本華為交換機、路由器。帳號管理、認(rèn)證授權(quán)安全要求帳號管理用戶帳號分配*1、安全基線名稱:用戶帳號分配安全2、安全基線編號:SBL-HUAWEI-02-01-013、安全基線說明:應(yīng)按照用戶分配帳號,避免不同用戶間共享帳號,避免用戶帳號和設(shè)備間通信使用的帳號共享。4、參考配置操作:[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei-aaa]local-useradminprivilegelevel15[Huawei-aaa]local-useradminservice-typessh[Huawei-aaa]local-useruserpasswordcipheruser123[Huawei-aaa]local-useruserprivilegelevel4[Huawei-aaa]local-useruserservice-typessh5、安全判定條件:(1)配置文件中,存在不同的賬號分配(2)網(wǎng)絡(luò)管理員確認(rèn)用戶與賬號分配關(guān)系明確6、檢測操作:使用命令discur命令查看:…#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipher"=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typesshlocal-useruserpasswordcipher"=LP!6$^-IYNZPlocal-useruserprivilegelevel4local-useruserservice-typessh#對比命令顯示結(jié)果與運維人員名單,如果運維人員之間不存在共享賬號,表明符合安全要求。刪除無關(guān)的帳號*1、安全基線名稱:刪除無關(guān)的賬號2、安全基線編號:SBL-HUAWEI-02-01-023、安全基線說明:應(yīng)刪除與設(shè)備運行、維護等工作無關(guān)的賬號。4、參考配置操作:[Huawei]aaa[Huawei-aaa]undolocal-useruser5、安全判定條件:(1)配置文件存在多個賬號(2)網(wǎng)絡(luò)管理員確認(rèn)賬號與設(shè)備運行、維護等工作無關(guān)6、檢測操作:使用discur|includelocal-user命令查看:[Huawei]discur|includelocal-userlocal-useradminpasswordcipher"=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typessh若不存在無用賬號則說明符合安全要求??诹铎o態(tài)口令以密文形式存放1、安全基線名稱:靜態(tài)口令以密文形式存放2、安全基線編號:SBL-HUAWEI-02-02-013、安全基線說明:配置本地用戶和super口令使用密文密碼。4、參考配置操作:[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei]superpasswordcipheradmin1235、安全判定條件:配置文件中沒有明文密碼字段。6、檢測操作:查看本地用戶密碼:[Huawei]discur|includelocal-userlocal-useradminpasswordcipher"=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typessh查看super密碼:[Huawei]discur|includesupersuperpasswordlevel3ciphermPZr=2!Z<@u:|l#3M^#3Icf##密碼復(fù)雜度1、安全基線名稱:密碼復(fù)雜度2、安全基線編號:SBL-HUAWEI-02-02-023、安全基線說明:對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備,口令長度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。4、參考配置操作:[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin@xiangyun5、安全判定條件:密碼強度符合要求,密碼至少90天進行更換。授權(quán)用IP協(xié)議進行遠(yuǎn)程維護的設(shè)備使用SSH等加密協(xié)議1、安全基線名稱:用IP協(xié)議進行遠(yuǎn)程維護設(shè)備2、安全基線編號:SBL-HUAWEI-02-03-013、安全基線說明:使用IP協(xié)議進行遠(yuǎn)程維護設(shè)備,應(yīng)配置使用SSH等加密協(xié)議連接。4、參考配置操作:[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei-aaa]local-useradminprivilegelevel15[Huawei-aaa]local-useradminservice-typessh[Huawei]rsalocal-key-paircreate[Huawei]stelnetserverenable[Huawei]sshuseradminservice-typestelnet[Huawei]sshuseradminauthentication-typepassword[Huawei]user-interfacevty04[Huawei-ui-vty0-4]protocolinboundssh5、安全判定條件:配置文件中只允許SSH等加密協(xié)議連接。6、檢測操作:使用discur|includessh命令:[Huawei]discur|includesshlocal-useradminservice-typesshsshuseradminsshuseradminauthentication-typepasswordsshuseradminservice-typestelnet日志安全要求日志安全啟用信息中心1、安全基線名稱:啟用信息中心2、安全基線編號:SBL-HUAWEI-03-01-013、安全基線說明:啟用信息中心,記錄與設(shè)備相關(guān)的事件。4、參考配置操作:[HUAWEI]info-centerenable5、安全判定條件:(1)設(shè)備應(yīng)配置日志功能,能對用戶登錄進行記錄,記錄內(nèi)容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠(yuǎn)程登錄使用的IP地址。(2)記錄用戶登錄設(shè)備后所進行的所有操作。6、檢測操作:使用disinfo-center有顯示InformationCenter:Enabled類似信息,如:[Huawei]disinfo-centerInformationCenter:enabledLoghost:Console:channelnumber:0,channelname:consoleMonitor:channelnumber:1,channelname:monitorSNMPAgent:channelnumber:5,channelname:snmpagentLogbuffer:enabled,maxbuffersize1024,currentbuffersize512,currentmessages56,channelnumber:4,channelname:logbufferdroppedmessages0,overwrittenmessages0Trapbuffer:enabled,maxbuffersize1024,currentbuffersize256,currentmessages4,channelnumber:3,channelname:trapbufferdroppedmessages0,overwrittenmessages0Informationtimestampsetting:log-date,trap-date,debug-datemillisecondSentmessages=1227,Receivedmessages=1226IORegmessages=0IOSentmessages=0開啟NTP服務(wù)保證記錄的時間的準(zhǔn)確性1、安全基線名稱:日志記錄時間準(zhǔn)確性2、安全基線編號:SBL-HUAWEI-03-01-023、安全基線說明:開啟NTP服務(wù),保證日志功能記錄的時間的準(zhǔn)確性。4、參考配置操作:配置ntp客戶端,服務(wù)器地址為:[Huawei]ntp-serviceauthenticationenable[Huawei]ntp-serviceunicast-server5、安全判定條件:日志記錄時間準(zhǔn)確。6、檢測操作:[Huawei]discur|includentpntp-serviceauthenticationenablentp-serviceunicast-server遠(yuǎn)程日志功能*1、安全基線名稱:遠(yuǎn)程日志功能2、安全基線編號:SBL-HUAWEI-03-01-033、安全基線說明:配置遠(yuǎn)程日志功能,使設(shè)備能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。4、參考配置操作:[HUAWEI]info-centerloghost*.*.*.*snmp-agentsys-infoversion3…..關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限1、安全基線名稱:關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限2、安全基線編號:SBL-HUAWEI-04-02-043、安全基線說明:系統(tǒng)應(yīng)及時關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限4、參考配置操作:[Huawei]undosnmp-agentcommunitywritepipaxing5、安全判定條件:Snmp權(quán)限為read。6、檢測操作:使用discur|includesnmp命令查看,權(quán)限只有read:[HUAWEI]discur|includesnmp…..snmp-agentcommunityreadxiangyun…..IP協(xié)議安全要求其他安全配置關(guān)閉未使用的接口1、安全基線名稱:關(guān)閉未使用的接口2、安全基線編號:SBL-HUAWEI-05-01-013、安全基線說明:關(guān)閉未使用的接口4、參考配置操作:[HUAWEI]intg1/0/10[HUAWEI-GigabitEthernet1/0/10]shutdown5、安全判定條件:未使用接口應(yīng)該管理員down。6、檢測操作:[HUAWEI]discur….#interfaceGigabitEthernet1/0/10portlink-modebridgecomboenablefibershutdown#….修改設(shè)備缺省BANNER語1、安全基線名稱:修改設(shè)備缺省BANNER語2、安全基線編號:SBL-HUAWEI-05-01-023、安全基線說明:要修改設(shè)備缺省BANNER語,BANNER最好不要有系統(tǒng)平臺或地址等有礙安全的信息。4、參考配置操作:[Huawei]headerlogininformation{需要顯示的登錄信息}5、安全判定條件:歡迎界面、提示符等不包含敏感信息。6、檢測操作:通過遠(yuǎn)程登錄或console口登錄查看設(shè)備提示信息。配置定時賬戶自動登出1、安全基線名稱:配置賬號定時自動退出2、安全基線編號:SBL-HUAWEI-05-01-033、安全基線說明:如Telnet、ssh、console登錄連接超時退出4、參考配置操作:配置vty登錄3分鐘無操作自動退出:[HUAWEI]user-interfacevty04[HUAWEI-line-vty0-4]idle-timeout35、安全判定條件:每種登錄方式均設(shè)備了超時退出時間。6、檢測操作:使用discur查看:[HUAWEI]dis

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論