XX银行H3C交换机安全基线配置.docx
《XX银行H3C交换机安全基线配置.docx》由会员分享,可在线阅读,更多相关《XX银行H3C交换机安全基线配置.docx(27页珍藏版)》请在冰豆网上搜索。
XX银行H3C交换机安全基线配置
XX银行H3C交换机系列安全配置基线
(V1.0)
1
适用声明
适用人员
IT部的网络维护人员、安全评估人员、安全审计人员
适用版本
H3C同系列的网络交换机
适用等保一级
项
适用等保二级
项
适用等保三级
项
适用等保四级
项
参考依据
《H3C交换机配置手册》
《GB/T20270-2006信息安全技术网络基础安全技术要求》
《GB/T20011-2005信息安全技术路由器安全评估准则》
《JR/T0068-2012网上银行系统信息安全通用规范》
《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》
《GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求》
《JR/T0071-2012金融行业信息系统信息安全等级保护实施指引》
2
访问控制
2.1配置ACL规则
配置/检查项
配置ACL规则
适用等保级别
等保一至四级
检查步骤
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看ACL匹配路由是否按照业务需求设置
[H3C]discur|inacl
[H3C]disthisacl
配置步骤
设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.配置ACL列表
[H3C]aclnumber2000
[H3C-acl-basic-2000]ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0
4.配置流分类,定义基于ACL的匹配规则。
[H3C]trafficclassifiertc1
[H3C-classifier-tc1]if-matchacl2000
5.配置流行为
[H3C]trafficbehaviortb1
[H3C-behavior-tb1]deny
6.定义流策略,将流分类与流行为关联。
[H3C]trafficpolicytp1
[H3C-trafficpolicy-tp1]classifiertc1behaviortb1
7.应用流策略到接口。
[H3C]interfacegigabitethernet0/0/1
[H3C-GigabitEthernet0/0/1]traffic-policytp1inbound
备注
2.2配置常见的漏洞攻击和病毒过滤功能
配置/检查项
配置常见的漏洞攻击和病毒过滤功能
适用等保级别
检查步骤
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看ACL中是否匹配漏洞攻击和病毒攻击
[H3C]discurrent-configuration|inacl
配置步骤
设备应配置ACL,通过ACL列表来过滤一些常见的漏洞攻击和病毒攻击。
4.进入用户视图
5.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
6.配置ACL列表
[H3C]aclnumber2000
[H3C-acl-basic-2000]ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0source-porteqftp-data
7.配置流分类,定义基于ACL的匹配规则。
[H3C]trafficclassifiertc1
[H3C-classifier-tc1]if-matchacl2000
8.配置流行为
[H3C]trafficbehaviortb1
[H3C-behavior-tb1]deny
9.定义流策略,将流分类与流行为关联。
[H3C]trafficpolicytp1
[H3C-trafficpolicy-tp1]classifiertc1behaviortb1
10.应用流策略到接口。
[H3C]interfacegigabitethernet0/0/1
[H3C-GigabitEthernet0/0/1]traffic-policytp1inbound
备注
3安全审计
3.1开启设备的日志功能
配置/检查项
配置设备的日志功能
适用等保级别
等保二至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看日志功能是否按照需求配置
[H3C]discur|ininfo-center
配置步骤
要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式,所有的日志信息可以均可以远程存储到日志服务器。
并且必须保证日志服务器的安全性。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.开启日志功能
[H3C]info-centerenable
4.配置日志信息输出到控制台,用户可以在控制台上查看到日志信息,了解到设备的运行情况
[H3C]info-centerconsolechannel0
5.配置日志信息输出到日志缓冲区
[H3C]info-centerlogbufferchannel4
6.配置日志信息输出到日志服务器
[H3C]info-centerloghost1.1.1.1
备注
4入侵防范
4.1配置防ARP欺骗攻击
配置/检查项
配置防ARP欺骗攻击
适用等保级别
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看ARP地址欺骗
[H3C]discurrent-configuration|inanti-attack
配置步骤
配置设备的防ARP欺骗攻击功能,可以有效的减少ARP攻击对网络造成的影响。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.配置防止ARP地址欺骗
[H3C]arpanti-attackentry-checkfixed-macenable适用于静态配置IP地址,但网络存在冗余链路的情况。
当链路切换时,ARP表项中的接口信息可以快速改变
[H3C]arpanti-attackentry-checkfixed-allenable适用于静态配置IP地址,网络没有冗余链路,同一IP地址用户不会从不同接口接入S5300的情况
[H3C]arpanti-attackentry-checksend-macenable适用于动态分配IP地址,有冗余链路的网络
4.配置防止ARP网关冲突
[H3C]arp anti-attack gateway-duplicate enable
备注
5网络设备防护
5.1限制管理员远程直接登录
配置/检查项
限制具备管理员权限的用户远程直接登录
适用等保级别
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否存在高级别权限密码
[H3C]discur|inacl
4.查看是否对于user用户密码进行配置
[H3C]discur|inlocal-user
配置步骤
远程管理员应先以普通权限用户登录后,再切换到管理员权限执行相应操作。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.设置用户由低级别权限切换到高级别权限的密码
[H3C]superpasswordlevel3cipheranbang@123
4.进入aaa视图
[H3C]aaa
5.配置具备远程登陆用户user1的权限信息。
配置用户user1权限等级为Level1,具有telnet服务。
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser1level1
6.配置远程登陆用户的认证方式为aaa认证
[H3C]user-interfacevty04
[H3C-ui-vty0-4]authentication-modeaaa
备注
5.2连接空闲时间设定
配置/检查项
设置用户登录设备的空闲时间
适用等保级别
等保一至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看AAA下是否有相关的用户口令配置
[H3C]discur|inaaa
配置步骤
用户登录交换机后,如果在设定的时间内没有任何操作,则断开连接,用户如果需要继续操作,则需要重新输入口令。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.进入aaa视图,配置用户user1的超时时间为5分钟。
[H3C]aaa
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser1level1
[H3C-aaa]local-useruser1idle-timeout5
备注
5.3远程登陆加密传输
配置/检查项
远程登陆加密传输
适用等保级别
等保一至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看相关SSH配置
[H3C]discur|inssh
配置步骤
如果通过远程对交换机进行管理维护,特别是通过互联网以及不安全的公共网络,设备应配置使用SSH加密协议。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.生成本地密钥对
[H3C]rsa local-key-pair create
4.创建ssh用户和密码
[H3C]user-interface vty 0 4
[H3C-ui-vty0-4]authentication-mode aaa
[H3C-ui-vty0-4]protocol inbound ssh
[H3C-ui-vty0-4]ssh user abc authentication-type password
[H3C]stelnet server enable
[H3C]ssh user abc service-type stelnet
[H3C]aaa
[H3C-aaa]local-user abc password simple abc
[H3C-aaa]local-user abc service-type ssh
5.使能stelnet服务
[H3C]stelnet server enable
备注
5.4配置console口密码保护功能和连接超时
配置/检查项
设置用户通过console口登录交换机时的密码
适用等保级别
等保一至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否存在对CONSOLE口的口令配置
[H3C]discur|inuser-interface
配置步骤
用户通过console口登录交换机时,需要输入密码,并且用户登录交换机后,如果在设定的时间内没有任何操作,则断开连接,用户如果需要继续操作,则需要重新输入口令。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.配置登录console口时的口令和超时时间
[H3C]user-interfaceconsole0
[H3C-ui-console0]authentication-modepassword
[H3C-ui-console0]setauthenticationpasswordcipheranbang@123
[H3C-ui-console0]idle-timeout5
备注
5.5按照用户分配账号
配置/检查项
按照用户分配账号
适用等保级别
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否对于不同用户配置权限信息
[H3C]discur|inlocal-user
配置步骤
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.进入aaa视图
[H3C]aaa
4.为不同的用户配置不同的权限信息。
配置用户user1具有telnet权限,user2具有ftp权限。
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser2passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser2service-typeftp
[H3C-aaa]local-useruser1level1
[H3C-aaa]local-useruser2level1
备注
5.6删除设备中无用的闲置账号
配置/检查项
删除设备中无用的闲置账号
适用等保级别
等保二至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看设备中是否存在限制的用户账号和信息
[H3C]discur|inlocal-user
配置步骤
定期检查设备账号配置,删除与设备运行,维护等无关的账号。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.进入aaa视图
[H3C]aaa
4.删除设备中无用的账号。
[H3C-aaa]undolocal-useruser1
备注
5.7修改设备上存在的弱口令
配置/检查项
修改设备上存在的弱口令
适用等保级别
等保二至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看用户的密码信息
[H3C]discur|inlocal-user
配置步骤
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类,且用户口令加密存储。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.进入aaa视图,配置用户user1的口令,并且口令加密存储。
[H3C]aaa
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser1level1
备注
5.8配置和认证系统联动功能
配置/检查项
配置和认证系统联动功能
适用等保级别
等保二至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否配置了认证服务系统
[H3C]discur|inradius-server
配置步骤
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.配置RADIUS服务器模板test
[H3C]radius-servertemplatetest
4.配置RADIUS认证服务器的IP地址、端口。
[H3C-radius-test]radius-serverauthentication1.1.1.11812
5.配置RADIUS服务器密钥、重传次数
[H3C-radius-test]radius-servershared-keycipherhello
[H3C-radius-test]radius-serverretransmit2
6.配置认证方案1,认证模式为先RADIUS,如果没有响应,则不认证
[H3C]aaa
[H3C-aaa]authentication-scheme1
[H3C-aaa]authentication-moderadiusnone
7.配置ab域,在域下应用认证方案1、RADIUS模板test
[H3C-aaa]domainab
[H3C-aaa-domain-ab]authentication-scheme1
[H3C-aaa-domain-ab]radius-servertest
备注
5.9配置NTP服务
配置/检查项
配置NTP服务
适用等保级别
等保二至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看NTP相关配置是否正确
[H3C]discur|inntp
配置步骤
开启NTP服务,保证日志功能记录的时间的准确性,同时交换机和NTPSERVER之间要开启认证功能。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.在交换机上使能NTP功能,配置验证密钥并声明该密钥可信
[H3C]ntp-serviceauthenticationenable
[H3C]ntp-serviceauthentication-keyid1authentication-modemd5Hello
[H3C]ntp-servicereliableauthentication-keyid1
4.配置NTP服务器,并使用已配置的验证密钥。
[H3C]ntp-serviceunicast-server2.2.2.2authentication-keyid1
备注
5.10修改SNMP的community默认通行字
配置/检查项
修改SNMP的community默认通行字,通行