H3C交换机安全配置基线文档格式.docx
《H3C交换机安全配置基线文档格式.docx》由会员分享,可在线阅读,更多相关《H3C交换机安全配置基线文档格式.docx(13页珍藏版)》请在冰豆网上搜索。
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
H3C交换机。
1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1帐号
2.1.1配置默认级别*
安全基线项目名称
配置默认级别安全基线要求项
安全基线编号
SBL-H3CSwitch-02-01-01
安全基线项说明
交换机命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3。
配置登录默认级别为访问级(0-VISIT)
检测操作步骤
1、参考配置操作
user-interfaceaux08
authentication-modepassword
userprivilegelevel0
setauthenticationpasswordcipherxxx
user-interfacevty04
2、补充说明
无。
基线符合性判定依据
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、参考检测操作
<
H3C>
displaycurrent-configuration
3、补充说明
备注
手工检查
2.2口令
2.2.1密码认证登录
密码认证登录安全基线要求项
SBL-H3CSwitch-02-02-01
通过控制台和远程终端,需要密码才能登录.口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
userprivilegelevel0
authentication-modepassword
//或authentication-modescheme
2.2.2设置访问级密码
设置访问级密码安全基线要求项
SBL-H3CSwitch-02-02-02
用户可以无条件切换到比当前低的用户级别,但是当使用AUX或VTY用户界面登录,并且从低级别往高级别切换时,需要输入级别切换密码(级别切换密码可以通过superpassword命令设置)。
如果输入的密码错误或者没有配置级别切换密码,切换操作失败。
因此,在进行切换操作前,请先配置级别切换密码。
Sysname>
system-view
[Sysname]superpasswordlevel1cipherpassword1
[Sysname]superpasswordlevel2cipherpassword2
[Sysname]superpasswordlevel3cipherpassword3
[Sysname]displaycurrent-configuration
2.2.3加密口令
加密口令安全基线要求项
SBL-H3CSwitch-02-02-03
静态口令必须使用不可逆加密算法加密后保存于配置文件中。
superpasswordlevel1cipherpassword1
superpasswordlevel2cipherpassword2
superpasswordlevel3cipherpassword3
1.判定条件
用户的加密口令在config文件中显示的密文。
2.参考检测操作
displaycurrent-configuration
第3章日志安全要求
3.1日志安全
3.1.1配置远程日志服务器
配置远程日志服务器安全基线要求项
SBL-H3CSwitch-03-01-01
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。
[h3c]info-centerenable
[h3c]info-centerloghostxxxxxchannelloghost
在系统模式下进行操作。
是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
3.补充说明
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
建议核心设备必选,其它根据实际情况启用
第4章IP协议安全要求
4.1IP协议
4.1.1使用SSH加密管理
使用SSH加密管理安全基线要求项
SBL-H3CSwitch-04-01-01
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,关闭TELNET协议。
1、参考配置操作
#设置用户界面VTY0到VTY4支持SSH协议。
<
[Sysname]user-interfacevty04
[Sysname-ui-vty0-4]authentication-modescheme
[Sysname-ui-vty0-4]protocolinboundssh
1.参考检测操作
2.补充说明
4.1.2系统远程管理服务只允许特定地址访问
系统远程管理服务只允许特定地址访问安全基线要求项
SBL-H3CSwitch-04-01-02
系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。
Aclnumber2000
rule1permitsource192.168.0.00.0.255.255
User-interfacevty04
acl2000inbound
通过设定acl,成功过滤非法的访问。
第5章SNMP安全要求
5.1SNMP安全
5.1.1修改SNMP默认通行字
修改SNMP默认通行字安全基线要求项
SBL-H3CSwitch-05-01-01
系统应修改SNMP的Community默认通行字,通行字应符合口令强度要求。
snmp-agentcommunityreadxxx
snmp-agentcommunitywritexxxx
系统成功修改SNMP的Community为用户定义口令,非常规private或者public,并且符合口令强度要求。
5.1.2使用SNMPV2或以上版本
SNMP版本安全基线要求项
SBL-H3CSwitch-05-01-02
系统应配置为SNMPV2或以上版本。
snmp-agentsys-infoversionv3
2、补充说明
成功使能snmpv2c、和v3版本。
5.1.3SNMP访问控制
SNMP访问控制安全基线要求项
SBL-H3CSwitch-05-01-03
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。
snmp-agentcommunityreadXXXX01acl2000
通过设定acl来成功过滤特定的源才能进行访问。
第6章其他安全要求
6.1其他安全配置
6.1.1关闭未使用的端口
关闭未使用的端口安全基线要求项
SBL-H3CSwitch-06-01-01
关闭未使用的端口。
[HW-Ethernet3/0/0]shutdown
未使用端口状态为admindown。
Displayinterface
6.1.2帐号登录超时
帐号登录超时安全基线要求项
SBL-H3CSwitch-06-01-02
配置定时帐号自动登出,登出后用户需再次登录才能进入系统。
设置超时时间为5分钟.
设置超时时间为5分钟
[Sysname]user-interfaceconsole0
//Oruser-interfaceaux08
[Sysname-ui-console0]idle-timeout50
在超出设定时间后,用户自动登出设备。
displaycurrent-configurationconfigurationuser-interface
6.1.3关闭不需要的服务*
关闭不需要的服务安全基线要求项
SBL-H3CSwitch-06-01-03
关闭网络设备不必要的服务,比如FTP、TFTP服务等。
undoftpserver
不能访问设备的ftp等服务。
第7章评审与修订
升级会员 