XX银行H3C交换机安全基线配置Word文档下载推荐.docx
《XX银行H3C交换机安全基线配置Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《XX银行H3C交换机安全基线配置Word文档下载推荐.docx(27页珍藏版)》请在冰豆网上搜索。
适用等保三级
适用等保四级
参考依据
《H3C交换机配置手册》
《GB/T20270-2006信息安全技术网络基础安全技术要求》
《GB/T20011-2005信息安全技术路由器安全评估准则》
《JR/T0068-2012网上银行系统信息安全通用规范》
《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》
《GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求》
《JR/T0071-2012金融行业信息系统信息安全等级保护实施指引》
2
访问控制
2.1配置ACL规则
配置/检查项
配置ACL规则
适用等保级别
等保一至四级
检查步骤
1.进入用户视图
<
H3C>
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看ACL匹配路由是否按照业务需求设置
[H3C]discur|inacl
[H3C]disthisacl
配置步骤
设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
3.配置ACL列表
[H3C]aclnumber2000
[H3C-acl-basic-2000]ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0
4.配置流分类,定义基于ACL的匹配规则。
[H3C]trafficclassifiertc1
[H3C-classifier-tc1]if-matchacl2000
5.配置流行为
[H3C]trafficbehaviortb1
[H3C-behavior-tb1]deny
6.定义流策略,将流分类与流行为关联。
[H3C]trafficpolicytp1
[H3C-trafficpolicy-tp1]classifiertc1behaviortb1
7.应用流策略到接口。
[H3C]interfacegigabitethernet0/0/1
[H3C-GigabitEthernet0/0/1]traffic-policytp1inbound
备注
2.2配置常见的漏洞攻击和病毒过滤功能
配置常见的漏洞攻击和病毒过滤功能
3.查看ACL中是否匹配漏洞攻击和病毒攻击
[H3C]discurrent-configuration|inacl
设备应配置ACL,通过ACL列表来过滤一些常见的漏洞攻击和病毒攻击。
4.进入用户视图
5.由户视图切换到系统视图
6.配置ACL列表
[H3C-acl-basic-2000]ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0source-porteqftp-data
7.配置流分类,定义基于ACL的匹配规则。
8.配置流行为
9.定义流策略,将流分类与流行为关联。
10.应用流策略到接口。
3安全审计
3.1开启设备的日志功能
配置设备的日志功能
等保二至四级
2.用户视图切换到系统视图
3.查看日志功能是否按照需求配置
[H3C]discur|ininfo-center
要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式,所有的日志信息可以均可以远程存储到日志服务器。
并且必须保证日志服务器的安全性。
3.开启日志功能
[H3C]info-centerenable
4.配置日志信息输出到控制台,用户可以在控制台上查看到日志信息,了解到设备的运行情况
[H3C]info-centerconsolechannel0
5.配置日志信息输出到日志缓冲区
[H3C]info-centerlogbufferchannel4
6.配置日志信息输出到日志服务器
[H3C]info-centerloghost1.1.1.1
4入侵防范
4.1配置防ARP欺骗攻击
配置防ARP欺骗攻击
3.查看ARP地址欺骗
[H3C]discurrent-configuration|inanti-attack
配置设备的防ARP欺骗攻击功能,可以有效的减少ARP攻击对网络造成的影响。
3.配置防止ARP地址欺骗
[H3C]arpanti-attackentry-checkfixed-macenable适用于静态配置IP地址,但网络存在冗余链路的情况。
当链路切换时,ARP表项中的接口信息可以快速改变
[H3C]arpanti-attackentry-checkfixed-allenable适用于静态配置IP地址,网络没有冗余链路,同一IP地址用户不会从不同接口接入S5300的情况
[H3C]arpanti-attackentry-checksend-macenable适用于动态分配IP地址,有冗余链路的网络
4.配置防止ARP网关冲突
[H3C]arp
anti-attack
gateway-duplicate
enable
5网络设备防护
5.1限制管理员远程直接登录
限制具备管理员权限的用户远程直接登录
3.查看是否存在高级别权限密码
4.查看是否对于user用户密码进行配置
[H3C]discur|inlocal-user
远程管理员应先以普通权限用户登录后,再切换到管理员权限执行相应操作。
3.设置用户由低级别权限切换到高级别权限的密码
[H3C]superpasswordlevel3cipheranbang@123
4.进入aaa视图
[H3C]aaa
5.配置具备远程登陆用户user1的权限信息。
配置用户user1权限等级为Level1,具有telnet服务。
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser1level1
6.配置远程登陆用户的认证方式为aaa认证
[H3C]user-interfacevty04
[H3C-ui-vty0-4]authentication-modeaaa
5.2连接空闲时间设定
设置用户登录设备的空闲时间
3.查看AAA下是否有相关的用户口令配置
[H3C]discur|inaaa
用户登录交换机后,如果在设定的时间内没有任何操作,则断开连接,用户如果需要继续操作,则需要重新输入口令。
3.进入aaa视图,配置用户user1的超时时间为5分钟。
[H3C-aaa]local-useruser1service
升级会员 