XX銀行H3C互換機平安基線配置

XX銀行H3C互換機系列平安配置基線適用聲明適用人員IT部的網(wǎng)絡(luò)維護人員、安全評估人員、安全審計人員適用版本H3C同系列的網(wǎng)絡(luò)交換機適用等保一級項適用等保二級項適用等保三級項適用等保四級項參考依據(jù)《H3C交換機配置手冊》《GB/T20270-2006信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》《GB/T20011-2005信息安全技術(shù)路由器安全評估準則》《JR/T0068-2012網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》《GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》《GB/T25070-2010信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》《JR/T0071-2012金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》

訪問操縱1.1配置ACL規(guī)那么酉己置檢查項酉己置ACL規(guī)則適用等保級別等保一全四級檢查步驟進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查WACL匹配路由是否按照業(yè)務(wù)需求設(shè)置[H3C]discur|inacl[H3C]disthisacl配置步驟設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDP、目的甲地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置ACL列表[H3C]aclnumber2000[H3C-acl-basic-2000]ruletcpsourcedestination配置流分類，定義基于ACL的匹配規(guī)則。[H3C]trafficclassifiertc1[H3C-classifier-tc1]if-matchacl2000配置流行為[H3C]trafficbehaviortb1[H3C-behavior-tb1]deny定義流策略，將流分類與流行為關(guān)聯(lián)。[H3C]trafficpolicytp1[H3C-trafficpolicy-tp1]classifiertc1behaviortb1應(yīng)用流策略到接口。[H3C]interfacegigabitethernet0/0/1[H3C-GigabitEthernet0/0/1]traffic-policytp1inbound備注1.2配置常見的漏洞解決和病毒過濾功能酉己置/檢查項酉己置常見的漏洞攻擊和病毒過濾功能適用等保級別1.進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看ACL中是否匹配漏洞攻擊和病毒攻擊[H3C]discurrent-configuration|inacl設(shè)備應(yīng)配置ACL，通過ACL列表來過濾一些常見的漏洞攻擊和病毒攻擊。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置ACL列表[H3C]aclnumber2000[H3C-acl-basic-2000]ruletcpsourcedestination配置步驟source-porteqftp-data配置流分類，定義基于ACL的匹配規(guī)則。配置步驟[H3C]trafficclassifiertc1[H3C-classifier-tc1]if-matchacl2000配置流行為[H3C]trafficbehaviortb1[H3C-behavior-tb1]deny定義流策略，將流分類與流行為關(guān)聯(lián)。[H3C]trafficpolicytp1[H3C-trafficpolicy-tp1]classifiertc1behaviortb1應(yīng)用流策略到接口。

2平安審計2.1開啟設(shè)備的日記功能酉己置/檢查項配置設(shè)備的日志功能適用等保級別等?！了募?.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看日志功能是否按照需求配置[H3C]discur|ininfo-center配置步驟要求相關(guān)安全審計信息應(yīng)收集設(shè)備登錄信息日志和設(shè)備事件信息日志，同時提供SYSLOG月服務(wù)器的設(shè)置方式，所有的日志信息可以均可以遠程存儲到日志服務(wù)器。并且必須保證日志服務(wù)器的安全性。1.進入用戶視圖<H3C>2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.開啟日志功能[H3C]配置日志信息輸出到控制臺，用戶可以在控制臺上查看到日志信息，了解到設(shè)備的運行情況[H3C]consolechannel0配置日志信息輸出到日志緩沖區(qū)[H3C]logbufferchannel4酉己置日志信息輸出到日志服務(wù)器[H3C]info-centerloghost備注3入侵防范3.1配置防ARP欺騙解決

配置設(shè)備的防ARP欺騙攻擊功能，可以有效的減少備注3入侵防范3.1配置防ARP欺騙解決進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置防止ARP地址欺騙配置步驟[H3C]arpanti-attackentry-checkfixed-macenable適用于靜態(tài)配置IP地址，但網(wǎng)絡(luò)存在冗余鏈路的情況。當鏈路切換時，ARP表項中的接口信息可以快速改變配置步驟[H3C]arpanti-attackentry-checkfixed-allenable適用于靜態(tài)配置IP地址，網(wǎng)絡(luò)沒有冗余鏈路，同一IP地址用戶不會從不同接口接入S5300的情況[H3C]arpanti-attackentry-checksend-macenable適用于動態(tài)分配IP地址，有冗余鏈路的網(wǎng)絡(luò)配置防止ARP網(wǎng)關(guān)沖突[H3C]備注4網(wǎng)絡(luò)設(shè)備防護4.1配置/檢查項限制具備管理員權(quán)限的用戶遠程直接登錄適用等保級別檢查步驟配置步驟進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.檢查步驟配置步驟[H3C]查看是否存在高級別權(quán)限密碼[H3C]discur|inacl查看是否對于user用戶密碼進行配置[H3C]discur|inlocal-user遠程管理員應(yīng)先以普通權(quán)限用戶登錄后，再切換到管理員權(quán)限執(zhí)行相應(yīng)操作。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]設(shè)置用戶由低級別權(quán)限切換到高級別權(quán)限的密碼[H3C]superpasswordlevel3cipheranbang@123進入aaa視圖[H3C]aaa配置具備遠程登陸用戶user1的權(quán)限信息。

4.2

4.22.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.進入aaa視圖，配置用戶user1的超時時間為5分鐘。[H3C]aaa[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser1level1[H3C-aaa]local-useruser1idle-timeout5備注4.3遠程登岸加密傳輸酉己置檢查項遠程登陸加密傳輸適用等保級別等保一全四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看相關(guān)SSH配置[H3C]discur|inssh配置步驟如果通過遠程對交換機進行管理維護，特別是通過互聯(lián)網(wǎng)以及不安全的公共網(wǎng)絡(luò)，設(shè)備應(yīng)配置使用SSH加密協(xié)議。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]生成本地密鑰對[H3C]rsalocal-key-paircreate創(chuàng)建ssh用戶和密碼[H3C]user-interfacevty04[H3C-ui-vty0-4]authentication-modeaaa[H3C-ui-vty0-4]protocolinboundssh[H3C-ui-vty0-4]sshuserabcauthentication-typepassword[H3C]stelnetserverenable[H3C]sshuserabcservice-typestelnet[H3C]aaa[H3C-aaa]local-userabcpasswordsimpleabc[H3C-aaa]local-userabcservice-typessh使能stelnet服務(wù)[H3C]stelnetserverenable備注4.4酉己置console口密碼愛惜功能和連接超時4.54.5配置/檢查項按照用戶分配賬號適用等保級別檢查步驟進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看是否對于不同用戶配置權(quán)限信息[H3C]discur|inlocal-user配置步驟避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]備注[H3C]aaa4.為不同的用戶配置不同的權(quán)限信息。配置用戶userl具有telnet權(quán)限，user2具有ftp權(quán)限。[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser2passwordcipheranbang@1234[H3C-aaa]local-useruser1備注[H3C]aaa4.為不同的用戶配置不同的權(quán)限信息。配置用戶userl具有telnet權(quán)限，user2具有ftp權(quán)限。[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser2passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser2service-typeftp[H3C-aaa]local-useruser1level1[H3C-aaa]local-useruser2level14.6刪除設(shè)備中無用的閑置賬號配置/檢查項刪除設(shè)備中無用的閑置賬號適用等保級別等保二至四級[H3C]查看設(shè)備中是否存在限制的用戶賬號和信息[H3C]discur|inlocal-user定期檢查設(shè)備賬號配置，刪除與設(shè)備運行，維護等無關(guān)的賬號。配置步驟進入用戶視圖

4.7修改設(shè)備上存在的弱口令酉己置/檢查項修改設(shè)備上存在的弱口令適用等保級別等保—至四級檢查步驟進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看用戶的密碼信息[H3C]discur|inlocal-user配置步驟對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小與字母、大寫字母和特殊符號4類中至少2類，且用戶口令加密存儲。備注進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]進入aaa視圖，配置用戶user1的口令，并且口令加密存儲。[H3C]aaa[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser1level14.8配置和認證系統(tǒng)聯(lián)動功能配置/檢查項配置和認證系統(tǒng)聯(lián)動功能適用等保級別等保二至四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖<H3C>system-view檢查步驟Entersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看是否配置了認證服務(wù)系統(tǒng)[H3C]discur|inradius-server設(shè)備通過相關(guān)參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]酉己置RADIUS服務(wù)器模板test[H3C]radius-servertemplatetest配置RADIUS認證服務(wù)器的IP地址、端口。配置步驟[H3C-radius-test]radius-serverauthentication1812配置RADIUS服務(wù)器密鑰、重傳次數(shù)[H3C-radius-test]radius-servershared-keycipherhello[H3C-radius-test]radius-serverretransmit2則不認證配置認證方案1，認證模式為先RADIUS，如果沒有響應(yīng)，[H3C]aaa[H3C-aaa]authentication-scheme1[H3C-aaa]authentication-moderadiusnone7.配置合6域，在域下應(yīng)用認證方案1、RADIUS模板test[H3C-aaa]domainab[H3C-aaa-domain-ab]authentication-scheme1[H3C-aaa-domain-ab]radius-servertest

備注4.9配置NTP效勞配置/檢查項酉己置NTP服務(wù)適用等保級別等保二至四級配置步驟則不認證配置/檢查項酉己置NTP服務(wù)適用等保級別等保二至四級進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-view檢查步驟Entersystemview,returnuserviewwithCtrl+Z.[H3C]查看NTP相關(guān)配置是否正確[H3C]discur|inntp開啟NTP月艮務(wù)，保證日志功能記錄的時間的準確性，同時交換機和NTPSERVER之間要開啟認證功能。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖配置步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.配置步驟<H3C>system-view[H3C]3.在交換機上使能NTP功能，配置驗證密鑰并聲明該密鑰可信[H3C]ntp-serviceauthenticationenable[H3C]ntp-serviceauthentication-keyid1authentication-modemd5

4.10修改SNMP的community默許通行字酉己置/檢查項修改SNMP的community默認通行字，通行字應(yīng)符合口令強度要求適用等保級別等保—至四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看COMMUNITY是否存在默認通行字[H3C]discur|inacl應(yīng)修改SNMP的Community默認通行字，通行字應(yīng)符合口令強度要求。1.進入用戶視圖<H3C>配置步驟2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]

3.修改SNMP的默認通行字[H3C]snmp-agentcommunityread1234@abcd[H3C]snmp-agentcommunitywrite1234@abcd備注4.11利用SNMPV2或以上版本酉己置/檢查項使用SNMPV2或以上版本適用等保級別等?！了募?.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP的運行版本[H3C]discur|insnmp-agent應(yīng)配置SNMP使用SNMPv2或者以上版本，加強安全性。1.進入用戶視圖<H3C>配置步驟2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.配置SNMP版本。

4.12設(shè)置SNMP的訪問平安限制酉己置檢查項設(shè)置SNMP的訪問安全限制適用等保級別等?！了募?.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP的訪問安全限制[H3C]discur|insnmp-agent設(shè)置SNMP訪問安全限制，只允許特定主機通過SNMP訪問網(wǎng)絡(luò)設(shè)備。1.進入用戶視圖<H3C>2.由戶視圖切換到系統(tǒng)視圖配置步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.酉己置可以訪問交換機的ACL列表。[H3C]acl20014.

[H3C-acl-basic-2001]rule5permitsource應(yīng)用ACL到SNMP配置。[H3C]snmp-agentcommunitywrite1234@abcd[H3C]snmp-agentcommunityread1234@abcdacl2001acl2001備注4.13系統(tǒng)應(yīng)關(guān)閉未利用的SNMP協(xié)議及未利用RW權(quán)限酉己置檢查項關(guān)閉未使用的SNMP協(xié)議及未使用RW權(quán)限適用等保級別等?！了募?.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP協(xié)議的RW相關(guān)配置[H3C]discur|inRW如不需要提供SNMP服務(wù)的，要求禁止SNMP協(xié)議服務(wù)，注意在禁止時刪除一些SNMP服務(wù)的默認配置。1.進入用戶視圖配置步驟<H3C>2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuservieww