H3C交換機(jī)安全配置基線

...wd......wd......wd...H3C交換機(jī)安全配置基線版本版本控制信息更新日期更新人審批人V2.0創(chuàng)立2012年4月備注：假設(shè)此文檔需要日后更新，請創(chuàng)立人填寫版本控制表格，否那么刪除版本控制表格。目錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實(shí)施11.5例外條款1第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求22.1帳號(hào)22.1.1配置默認(rèn)級(jí)別*22.2口令32.2.1密碼認(rèn)證登錄32.2.2設(shè)置訪問級(jí)密碼42.2.3加密口令4第3章日志安全要求63.1日志安全63.1.1配置遠(yuǎn)程日志服務(wù)器6第4章IP協(xié)議安全要求74.1IP協(xié)議74.1.1使用SSH加密管理74.1.2系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問7第5章SNMP安全要求95.1SNMP安全95.1.1修改SNMP默認(rèn)通行字95.1.2使用SNMPV2或以上版本95.1.3SNMP訪問控制10第6章其他安全要求126.1其他安全配置126.1.1關(guān)閉未使用的端口126.1.2帳號(hào)登錄超時(shí)126.1.3關(guān)閉不需要的服務(wù)*13第7章評(píng)審與修訂15概述目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)展H3C交換機(jī)的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本H3C交換機(jī)。實(shí)施例外條款帳號(hào)管理、認(rèn)證授權(quán)安全要求帳號(hào)配置默認(rèn)級(jí)別*安全基線工程名稱配置默認(rèn)級(jí)別安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-01-01安全基線項(xiàng)說明交換機(jī)命令級(jí)別共分為訪問、監(jiān)控、系統(tǒng)、管理4個(gè)級(jí)別，分別對應(yīng)標(biāo)識(shí)0、1、2、3。配置登錄默認(rèn)級(jí)別為訪問級(jí)〔0-VISIT〕檢測操作步驟1、參考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄參考檢測操作<H3C>displaycurrent-configuration補(bǔ)充說明無。備注手工檢查口令密碼認(rèn)證登錄安全基線工程名稱密碼認(rèn)證登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-01安全基線項(xiàng)說明通過控制臺(tái)和遠(yuǎn)程終端，需要密碼才能登錄.口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置一樣的口令。密碼應(yīng)至少每90天進(jìn)展更換。檢測操作步驟1、參考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassword//或authentication-modeschemeuserprivilegelevel0setauthenticationpasswordcipherxxx2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄參考檢測操作<H3C>displaycurrent-configuration補(bǔ)充說明無。備注設(shè)置訪問級(jí)密碼安全基線工程名稱設(shè)置訪問級(jí)密碼安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-02安全基線項(xiàng)說明用戶可以無條件切換到比當(dāng)前低的用戶級(jí)別，但是當(dāng)使用AUX或VTY用戶界面登錄，并且從低級(jí)別往高級(jí)別切換時(shí)，需要輸入級(jí)別切換密碼〔級(jí)別切換密碼可以通過superpassword命令設(shè)置〕。如果輸入的密碼錯(cuò)誤或者沒有配置級(jí)別切換密碼，切換操作失敗。因此，在進(jìn)展切換操作前，請先配置級(jí)別切換密碼。檢測操作步驟1、參考配置操作<Sysname>system-view

[Sysname]superpasswordlevel1cipherpassword1[Sysname]superpasswordlevel2cipherpassword2[Sysname]superpasswordlevel3cipherpassword32、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件[Sysname]displaycurrent-configuration備注加密口令安全基線工程名稱加密口令安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-03安全基線項(xiàng)說明靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測操作步驟1、參考配置操作user-interfaceaux08userprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04userprivilegelevel0setauthenticationpasswordcipherxxxsuperpasswordlevel1cipherpassword1superpasswordlevel2cipherpassword2superpasswordlevel3cipherpassword3基線符合性判定依據(jù)判定條件用戶的加密口令在config文件中顯示的密文。參考檢測操作displaycurrent-configuration備注日志安全要求日志安全配置遠(yuǎn)程日志服務(wù)器安全基線工程名稱配置遠(yuǎn)程日志服務(wù)器安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-03-01-01安全基線項(xiàng)說明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測操作步驟1、參考配置操作[h3c]info-centerenable[h3c]info-centerloghostxxxxxchannelloghost2、補(bǔ)充說明在系統(tǒng)模式下進(jìn)展操作?；€符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，日志服務(wù)器正確記錄了日志信息。參考檢測操作displaycurrent-configuration補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同，如部署場景需開啟此功能，那么強(qiáng)制要求此項(xiàng)。建議核心設(shè)備必選，其它根據(jù)實(shí)際情況啟用IP協(xié)議安全要求IP協(xié)議使用SSH加密管理安全基線工程名稱使用SSH加密管理安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-04-01-01安全基線項(xiàng)說明對于使用IP協(xié)議進(jìn)展遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，關(guān)閉TELNET協(xié)議。檢測操作步驟參考配置操作#設(shè)置用戶界面VTY0到VTY4支持SSH協(xié)議。

<Sysname>system-view

[Sysname]user-interfacevty04

[Sysname-ui-vty0-4]authentication-modescheme

[Sysname-ui-vty0-4]protocolinboundssh2、補(bǔ)充說明無?；€符合性判定依據(jù)參考檢測操作補(bǔ)充說明無。備注系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線工程名稱系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-04-01-02安全基線項(xiàng)說明系統(tǒng)遠(yuǎn)程管理服務(wù)TELNET、SSH默認(rèn)可以承受任何地址的連接，出于安全考慮，應(yīng)該只允許特定地址訪問。檢測操作步驟1、參考配置操作Aclnumber2000rule1permitsource55User-interfacevty04acl2000inbound2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件通過設(shè)定acl，成功過濾非法的訪問。參考檢測操作displaycurrent-configuration補(bǔ)充說明無。備注SNMP安全要求SNMP安全修改SNMP默認(rèn)通行字安全基線工程名稱修改SNMP默認(rèn)通行字安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-01安全基線項(xiàng)說明系統(tǒng)應(yīng)修改SNMP的Community默認(rèn)通行字，通行字應(yīng)符合口令強(qiáng)度要求。檢測操作步驟1、參考配置操作snmp-agentcommunityreadxxxsnmp-agentcommunitywritexxxx2、補(bǔ)充說明無。基線符合性判定依據(jù)判定條件系統(tǒng)成功修改SNMP的Community為用戶定義口令，非常規(guī)private或者public，并且符合口令強(qiáng)度要求。參考檢測操作displaycurrent-configuration補(bǔ)充說明無。備注使用SNMPV2或以上版本安全基線工程名稱SNMP版本安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-02安全基線項(xiàng)說明系統(tǒng)應(yīng)配置為SNMPV2或以上版本。檢測操作步驟1、參考配置操作snmp-agentsys-infoversionv32、補(bǔ)充說明無。基線符合性判定依據(jù)判定條件成功使能snmpv2c、和v3版本。參考檢測操作displaycurrent-configuration補(bǔ)充說明無。備注SNMP訪問控制安全基線工程名稱SNMP訪問控制安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-03安全基線項(xiàng)說明設(shè)置SNMP訪問安全限制，只允許特定主機(jī)通過SNMP訪問網(wǎng)絡(luò)設(shè)備。檢測操作步驟1、參考配置操作snmp-agentcommunityreadXXXX01acl20002、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件通過設(shè)定acl來成功過濾特定的源才能進(jìn)展訪問。參考檢測操作displaycurrent-configuration補(bǔ)充說明無。備注其他安全要求其他安全配置關(guān)閉未使用的端口安全基線工程名稱關(guān)閉未使用的端口安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-06-01-01安全基線項(xiàng)說明關(guān)閉未使用的端口。檢測操作步驟1、參考配置操作[HW-Ethernet3/0/0]shutdown2、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件未使用端口狀態(tài)為admindown。參考檢測操作Displayinterface補(bǔ)充說明無。備注帳號(hào)登錄超時(shí)安全基線工程名稱帳號(hào)登錄超時(shí)安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-06-01-02安全基線項(xiàng)說明配置定時(shí)帳號(hào)自動(dòng)登出，登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。設(shè)置超時(shí)時(shí)間為5分鐘.檢測操作步驟參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘<Sysname>system-view[Sysname]user-interfaceconsole0//Oruser-interfaceaux08[Sysname-ui-console0]idle-timeout502、補(bǔ)充說明無?；€符合性判定依據(jù)判定條件在超出設(shè)定時(shí)間后，用戶自動(dòng)登出設(shè)備。參考檢測操作displaycurrent-configurationconfiguration