电信华为路由器安全配置规范v精编WORD版.docx
《电信华为路由器安全配置规范v精编WORD版.docx》由会员分享,可在线阅读,更多相关《电信华为路由器安全配置规范v精编WORD版.docx(50页珍藏版)》请在冰豆网上搜索。
电信华为路由器安全配置规范v精编WORD版
IBMsystemofficeroom【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】
电信华为路由器安全配置规范v精编WORD版
三
中国电信集团公司发布
目录I
前言II
1范围1
2规范性引用文件1
3缩略语1
4安全配置要求2
4.1管理平面安全配置2
4.1.1管理口防护2
4.1.2账号与口令2
4.1.3认证4
4.1.4授权5
4.1.5记账7
4.1.6远程管理9
4.1.7SNMP安全11
4.1.8系统日志13
4.1.9NTP15
4.1.10Banner信息16
4.1.11未使用的管理平面服务16
4.2数据转发平面安全配置17
4.2.1典型垃圾流量过滤17
4.3控制平面安全配置21
4.3.1ACL控制21
4.3.2路由安全防护21
4.3.3协议报文防护23
4.3.4引擎防护策略25
前言
为了在工程验收、运行维护、安全检查等环节,规范并落实安全配置要求,中国电信在2011年编制了一系列的安全配置规范,明确了操作系统、数据库、应用中间件在内的通用安全配置要求,在实际的运用中发挥了积极的作用。
本次针对2011版安全配置中发现的问题和不足,进行修订,提增加部分数据库、应用中间件、网络设备方面的安全配置要求。
本规范是中国电信安全配置系列规范之一。
该系列规范的结构及名称预计如下:
(1)Windows操作系统安全配置规范(本标准)
(2)AIX操作系统安全配置规范
(3)HP-UX操作系统安全配置规范
(4)Linux操作系统安全配置规范
(5)Solaris操作系统安全配置规范
(6)MSSQLserver数据库安全配置规范
(7)MySQL数据库安全配置规范
(8)Oracle数据库安全配置规范
(9)Sybase数据库安全配置规范
(10)Apache安全配置规范
(11)IIS安全配置规范
(12)Tomcat安全配置规范
(13)WebLogic安全配置规范
(14)Nginx安全配置规范
(15)Resin安全配置规范
(16)Cisco路由器安全配置规范
(17)Juniper路由器安全配置规范
(18)华为路由器安全配置规范
(19)华为交换机安全配置规范
(20)H3C交换机安全配置规范
(21)中兴交换机安全配置规范
(22)XXX防火墙安全配置规范
()……
本标准由中国电信集团公司提出并归口。
11 范围
适用于中国电信使用的华为路由器设备。
本规范明确了华为路由器设备在安全配置方面的基本要求,适用于所有的安全等级,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
12 规范性引用文件
本设备配置规范符合下列规范性文件:
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》
YD/T1732-2008《固定通信网安全防护要求》
YD/T1734-2008《移动通信网安全防护要求》
YD/T1736-2008《互联网安全防护要求》
YD/T1738-2008《增值业务网—消息网安全防护要求》
YD/T1740-2008《增值业务网—智能网安全防护要求》
YD/T1758-2008《非核心生产单元安全防护要求》
YD/T1742-2008《接入网安全防护要求》
YD/T1744-2008《传送网安全防护要求》
YD/T1746-2008《IP承载网安全防护要求》
YD/T1748-2008《信令网安全防护要求》
YD/T1750-2008《同步网安全防护要求》
YD/T1752-2008《支撑网安全防护要求》
YD/T1756-2008《电信网和互联网管理安全等级保护要求》
13 缩略语
下列缩略语适用于本标准:
14 安全配置要求
根据国内外运营商网络及结合中国电信的实际情况,可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面,每个平面的具体安全策略不同。
具体如下:
管理平面:
管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性,降低设备受到网络攻击或被入侵的可能性。
转发平面:
数据转发平面的主要安全策略是对异常流量进行控制,防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥,造成网络的拥塞或不可用。
控制平面:
控制平面的主要安全策略是保证设备系统资源的可用性,使得设备可以正常的实现数据转发、协议更新。
管理平面安全配置
管理口防护
配置console口密码保护
项目编号
配置说明
设备应配置console口密码保护
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图。
2.执行命令user-interfaceconsole0,进入Console用户界面视图。
3.执行命令authentication-modepassword,设置用户验证方式为密码验证。
4.执行命令setauthenticationpasswordcipherxxxxx,设置password验证的口令
检测方法
及
判定依据
1.执行命令displayuser-interfaceconsole0查看输出:
Auth为P
IdxTypeTx/RxModemPriviActualPriviAuthInt
+0CON09600-33P-
备注
账号与口令
避免共享账号
项目编号
配置说明
应对不同的用户分配不同的账号,避免不同用户间账号共享。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图。
2.执行命令aaa,进入AAA视图。
3.执行命令local-useruser-namepasswordcipherpassword,配置本地用户名和密码。
4.执行命令local-usertestaccess-limit1,配置本地用户同一时间的最大接入数目为1。
检测方法
及
判定依据
1.执行命令displaycurrent-configuration|includelocal-user查看有多个local-user、且有access-limit为1的配置
local-usertest1passwordcipherP/AN@/%E(##Q=^Q`MAF4<1!
!
local-usertest1access-limit1
local-usertest2passwordcipher=W6JJ`N_LBKQ=^Q`MAF4<1!
!
local-usertest2access-limit1
备注
口令加密
项目编号
配置说明
静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。
如使用enablesecret配置Enable密码,不使用enablepassword配置Enable密码。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图。
2.执行命令aaa,进入AAA视图。
3.执行命令local-useruser-namepasswordcipherpassword选择cipher
检测方法
及
判定依据
1.displaycurrent-configuration|includelocal-user查看到local-user的配置,有cipher关键字,并显示为密文:
local-usertest1passwordcipherP/AN@/%E(##Q=^Q`MAF4<1!
!
备注
账户锁定策略
项目编号
配置说明
应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图。
2.执行命令aaa,进入AAA视图。
3.执行命令local-useruser-namepasswordcipherXXXX,配置本地用户及密码。
4.执行命令local-useruser-namestateblockfail-timesXintervalX,配置本地用户登录失败X次后,暂时将用户阻塞:
X分钟。
检测方法
及
判定依据
执行命令:
discu|inlocal-user查看输出,检查是否有block关键字段,比如:
local-usertestpasswordsimpletest
local-userteststateblockfail-times5interval5
备注
支持的版本:
NE40E&80EV600R003C00SPCa00
NE40E&NE80EV600R005C00
认证
使用认证服务器认证
项目编号
配置说明
设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足帐号、口令和授权的要求。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图
2.执行命令hwtacacs-servertemplatetacacs,配置名字为tacacs的模板
3.执行命令hwtacacs-serverauthentication59.43.53.20,配置认证服务器地址。
4.执行命令hwtacacs-serversource-ipxxxx,配置发送报文的源地址,一般为loopback地址。
5.系统试图下执行命令aaa,进入aaa视图
6.执行命令authentication-schemedefault,配置认证模板default
7.执行命令authentication-modehwtacacs(或radius),配置认证模式为hwtacacs。
8.执行命令domaindefault,进入系统defalut域
9.执行命令hwtacacs-servertacacs,配置default域使用名为tacacs的HWTACACS服务器模板
检测方法
及
判定依据
1.执行命令:
displaycurrent-configurationconfigurationaaa:
查询认证配置方式,红色关键字:
#
aaa
authentication-schemedefault
authentication-modehwtacacs
#
domaindefault
hwtacacs-servertacacs
2.执行命令:
discuconfhwtacacs,查看模板为tacacs服务器的配置参数:
#
hwtacacs-servertemplatetacacs
hwtacacs-serverauthentication59.43.53.20
hwtacacs-serversource-ip5.5.5.5
备注
会话超时配置
项目编号
配置说明
配置定时账户自动登出。
如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图
2.执行命令user-interfacevty014,进入通过Telnet或SSH方式登录的用户界面
3.执行命令idle-timeoutX,设置断连的超时时间为X分钟,即用户没有输入命令的时间。
4.执行命令user-interfaceconsole0,进入console登录用户界面
5.执行命令idle-timeoutX
检测方法
及
判定依据
1.执行命令displaycuconfigurationuser-interface,查看输出信息中,con、vty接口下是否有关键字:
idle-timeout
#
user-interfacecon0
idle-timeout200
user-interfacevty04
idle-timeout200
备注
授权
分级权限控制
项目编号
配置说明
原则上应采用预定义级别的授权方法,实现对不同用户权限的控制。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图。
2.执行命令aaa,进入AAA视图。
3.执行命令local-useruser-namepasswordcipherXXXX,配置本地用户及密码。
4.执行命令local-useruser-namelevelx,配置用户的级别,x为0~3,分别代表参观(0)、监控
(1)、配置
(2)、管理(3),共4个级别。
检测方法
及
判定依据
5.执行命令:
displaycurrent-configurationconfigurationaaa|includelocal-user,查看输出的本地用户是否配置了关键字:
level
local-usertestpasswordcipher=W6JJ`N_LBKQ=^Q`MAF4<1!
!
local-usertestlevel3
备注
利用认证服务器进行权限控制
项目编号
配置说明
除本地采用预定义级别进行外,设备可通过与认证服务器(RADIUS服务器或TACACS服务器)联动的方式实现对用户的授权。
并建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图
2.执行命令hwtacacs-servertemplatetacacs,配置名字为tacacs的模板
3.执行命令hwtacacs-serverauthorization59.43.53.20,配置授权服务器地址。
4.执行命令hwtacacs-serversource-ipxxxx,配置发送报文的源地址,一般为loopback地址。
5.系统试图下执行命令aaa,进入aaa视图
6.执行命令authorization-schemedefault,配置授权模板default
7.执行命令authorization-modehwtacacs,配置授权模式为hwtacacs。
8.执行命令domaindefault,进入系统defalut域
9.执行命令hwtacacs-servertacacs,配置default域使用名为tacacs的hwtacacs服务器模板
检测方法
及
判定依据
1.执行命令:
displaycurrent-configurationconfigurationaaa:
查询认证配置方式,红色关键字:
#
aaa
authentication-schemedefault
authentication-modelocalhwtacacs
#
authorization-schemedefault
authorization-modehwtacacs
#
accounting-schemedefault
#
domaindefault
hwtacacs-servertacacs
2.执行命令:
displaycurrent-configurationconfigurationhwtacacs,查看模板为tacacs服务器的关键配置参数,红色字体:
#
hwtacacs-servertemplatetacacs
hwtacacs-serverauthentication59.43.53.20
hwtacacs-serverauthorization59.43.53.20
hwtacacs-serversource-ip5.5.5.5
备注
授权粒度控制
项目编号
配置说明
原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力。
安全要求
等级
配置指南
1.执行命令system-view,进入系统视图
2.执行命令command-privilegelevelXviewYxxxx,指定Y视图内的命令xxxx的级别为X,比如:
command-privilegelevel2viewsystemdisplaycurrent-configuration:
指定system视图内的displaycurrent-configuration命令的级别为2级
检测方法
及
判定依据
3.执行命令displaycurrent-configurationconfiguration|includecommand-privilege,查看针对哪些命令进行了相应级别的授权:
command-privilegelevel0viewsystemdisplaycurrent-configuration
备注
记账
记录用户登录日志
项目编号
配置说明
采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户登录日志的记录和审计。
记录和审计范围应包括但不限于:
用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。
安全要求
等级
配置指南
本地方式:
1.执行命令system-view,进入系统视图
2.执行命令info-centersourcedefaultchannel4loglevelinformational,指定别为notification或informational或dubugging的日志被记录到channel4(logbuffer)中
与TACACS联动方式:
1.执行命令system-view,进入系统视图
2.执行命令hwtacacs-servertemplatetacacs,配置名字为tacacs的模板
3.执行命令hwtacacs-serveraccounting59.43.53.20,配置记账服务器地址。
4.系统试图下执行命令aaa,进入aaa视图
5.执行命令recording-schemetacacs,配置一个记录方案tacacs
6.执行命令recording-modehwtacacstacacs,配置记录方法为关联的hwtacacs服务器模板tacacs
7.执行命令cmdrecording-schemetacacs,配置用户在路由器上所执行的命令的记录策略
检测方法
及
判定依据
本地方式:
1.执行命令displaylogbuffer,可查看到登录的信息:
Aug2201311:
08:
10-08:
00RT7-163core%%01SHELL/5/LOGIN(l)[22]:
VTYloginfrom192.168.1.33.
2.执行命令displaycurrent-configurationconfiguration|includeinfo-center,查看输出的信息中,是否有关键语句、关键字:
notification或informational或dubugging:
info-centersourcedefaultchannel4loglevelnotification
与tacacs服务器联动方式:
3.执行命令displaycurrent-configurationconfiguration|includerecording,查看输出的信息中,是否有关键信息:
recording-schemetacacs
recording-modehwtacacstacacs
cmdrecording-schemetacacs
4.执行命令:
displaycurrent-configurationconfigurationhwtacacs,查看模板为tacacs服务器的关键配置参数,红色字体:
#
hwtacacs-servertemplatetacacs
hwtacacs-serverauthentication59.43.53.20
hwtacacs-serverauthorization59.43.53.20
hwtacacs-serveraccounting59.43.53.20
备注
本地方式的场景,部分版本缺省就支持在logbuffer中记录了登录的信息。
记录用户操作行为日志
项目编号
配置说明
采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户操作行为的记录和审计,记录和审计范围应包括但不限于:
账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。
安全要求
等级
配置指南
本地方式:
1.执行命令system-view,进入系统视图
2.执行命令info-centersourcedefaultchannel4loglevelinformational,指定别为notification或informational或dubugging的日志被记录到channel4(logbuffer)中
与TACACS联动方式:
1.执行命令system-view,进入系统视图
2.执行命令hwtacacs-servertemplatetacacs,配置名字为tacacs的模板
3.执行命令hwtacacs-serveraccounting59.43.53.20,配置记账服务器地址。
4.系统试图下执行命令aaa,进入aaa视图
5.执行命令recording-schemetacacs,配置一个记录方案tacacs
6.执行命令recording-modehwtacacstacacs,配置记录方法为关联的hwtacacs服务器模板tacacs
执行命令cmdrecording-schemetacacs,配置用户在路由器上所执行的命令的记录策略
检测方法
及
判定依据
本地方式:
1.执行命令displaylogbuffer,可查看到登录的信息:
Aug2201311:
08:
10-08:
00RT7-163core%%01SHELL/5/LOGIN(l)[22]:
VTYloginfrom192.168.1.33.
2.执行命令displaycurrent-configurationconfiguration|includeinfo-center,查看输出的信息中,是否有关键语句、关键字:
n
升级会员 