Huawei路由安全配置基线解析Word文档下载推荐.docx

Huawei路由安全配置基线解析Word文档下载推荐.docx

《Huawei路由安全配置基线解析Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《Huawei路由安全配置基线解析Word文档下载推荐.docx（30页珍藏版）》请在冰豆网上搜索。

1.2目的5

1.3适用范围5

1.4适用版本5

1.5实施5

1.6例外条款5

第2章华为路由其设备配置安全要求6

2.1帐号管理6

2.1.1用户帐号分配*6

2.1.2删除无关的帐号*7

2.1.3限制具备管理员权限的用户远程登录7

2.2口令8

2.2.1口令复杂度8

2.2.2静态口令加密保存9

2.2.3根据用户的业务需要配置其所需最小权限10

2.2.4帐号、口令和授权的强制要求11

第3章日志配置13

3.1日志配置13

3.1.1记录用户操作13

3.1.2记录设备的安全事件14

3.1.3远程日志功能14

3.1.4保证日志功能记录的时间准确性15

3.1.5日志记录内容要求16

第4章IP协议17

4.1IP协议17

4.1.1远程维护的设备配置加密协议17

4.1.2动态路由协议口令要求配置MD5加密*18

4.1.3制定路由策略19

4.1.4关闭未使用的SNMP协议及未使用RW权限20

4.1.5Community默认通行字应符合口令强度要求20

4.1.6配置SNMPV2或以上版本21

4.1.7SNMP访问安全限制22

4.1.8ACL配置22

4.1.9配置URPF24

4.1.10打开LDP协议认证功能*24

第5章其他配置26

5.1其他配置26

5.1.1关闭未使用的端口*26

5.1.2配置定时账户自动登出26

5.1.3配置consol口密码保护功能27

5.1.4关闭网络设备不必要的服务*28

5.1.5系统远程管理服务只允许特定地址访问28

5.1.6端口与实际应用相符*29

5.1.7防ARP欺骗攻击30

第6章评审与修订31

第1章概述

1.1目的

1.2目的

本文档旨在指导系统管理人员进行Huawei路由器的安全配置。

1.3适用范围

本配置标准的使用者包括：

网络管理员、网络安全管理员、网络监控人员。

1.4适用版本

Huawei路由器。

1.5实施

1.6例外条款

第2章华为路由其设备配置安全要求

2.1帐号管理

2.1.1用户帐号分配*

安全基线项目名称

用户帐号分配安全基线要求项

安全基线编号

SBL-HuaweiRouter-02-01-01

安全基线项说明

应按照用户分配帐号。

避免不同用户间共享帐号。

避免用户帐号和设备间通信使用的帐号共享。

检测操作步骤

1、参考配置操作

aaa

local-useruser1passwordcipherPWD1

local-useruser1service-typetelnet

local-useruser2passwordcipherPWD2

local-useruser2service-typeftp

#

user-interfacevty04

authentication-modeaaa

2、补充说明

无。

基线符合性判定依据

1、判定条件

用配置中没有的用户名去登录，结果是不能登录

2、参考检测操作

displaycurrent-configurationconfigurationaaa）

3、补充说明

备注

需要手工检查，由管理员确认帐号分配关系。

2.1.2删除无关的帐号*

工作无关的帐号安全基线要求项

SBL-HuaweiRouter-02-01-02

应删除与设备运行、维护等工作无关的帐号

undolocal-usertest

配置中用户信息被删除。

displaycurrent-configurationconfigurationaaa

需要手工检查，由管理员判断是否存在无关帐号

2.1.3限制具备管理员权限的用户远程登录

限制具备管理员权限的用户远程登录安全基线要求项

SBL-HuaweiRouter-02-01-03

限制具备管理员权限的用户远程登录。

远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限帐号后执行相应操作。

superpasswordlevel3ciphersuperPWD

local-useruser1level2

authentication-modeaaa

用户用相应的操作权限登录设备后，不具有最高权限级别3，这时有些操作不能做，例如修改aaa的配置。

这时如果想使用管理员权限必须提高用户级别。

displaycurrent-configurationconfigurationaaa

2.2口令

2.2.1口令复杂度

静态口令长度安全基线要求项

SBL-HuaweiRouter-02-02-01

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

local-useruser1passwordcipherNumABC%$

查看用户的口令长度是否至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

对于加密的口令，通过登陆检测。

2.2.2静态口令加密保存

静态口令加密保存安全基线要求项

SBL-HuaweiRouter-02-02-02

静态口令必须使用不可逆加密算法加密后保存于配置文件中。

superpasswordlevel3cipherN`C55QK<

`=/Q=^Q`MAF4<

1!

!

local-user8011passwordcipherN`C55QK<

1.判定条件

用户的加密口令在buildrun中显示的密文。

2.参考检测操作

3.补充说明

2.2.3根据用户的业务需要配置其所需最小权限

根据用户的业务需要配置其所需最小权限安全基线要求项

SBL-HuaweiRouter-02-02-03

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限

local-user8011passwordcipher8011

local-user8011service-typetelnet

local-user8011level0

查看所有用户的级别都配置为其所需的最小权限。

1.参考检测操作

2.补充说明

2.2.4帐号、口令和授权的强制要求

帐号、口令和授权的强制要求安全基线要求项

SBL-HuaweiRouter-02-02-04

设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。

#对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证。

#认证服务器IP地址为129.7.66.66，无备用服务器，端口号为默认值1812。

#配置RADIUS服务器模板。

[Router]radius-servertemplateshiva

#配置RADIUS认证服务器IP地址和端口。

[Router-radius-shiva]radius-serverauthentication129.7.66.661812

#配置RADIUS服务器密钥、重传次数。

[Router-radius-shiva]radius-servershared-keyit-is-my-secret

[Router-radius-shiva]radius-serverretransmit2

[Router-radius-shiva]quit

#进入AAA视图。

[Router]aaa

#配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。

[Router–aaa]authentication-schemer-n

[Router-aaa-authen-r-n]authentication-moderadiusnone

[Router-aaa-authen-r-n]quit

#配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。

[Router-aaa]domaindefault

[Router-aaa-domain-default]authentication-schemer-n

[Router-aaa-domain-default]radius-servershiva

对远程登陆用户先用RADIUS服务器进行认证，非法用户不可以登录。

displaycurrent-configuration

第3章日志配置

3.1日志配置

3.1.1记录用户操作

记录用户操作安全基线要求项

SBL