中国移动华为路由器安全配置规范V20.docx
《中国移动华为路由器安全配置规范V20.docx》由会员分享,可在线阅读,更多相关《中国移动华为路由器安全配置规范V20.docx(33页珍藏版)》请在冰豆网上搜索。
中国移动华为路由器安全配置规范V20
中国移动公司--华为路由器
安全配置规范
SpecificationforHUAWEIRouterConfigurationUsedinChinaMobile
版本号:
2.0.0
╳╳╳╳-╳╳-╳╳实施
╳╳╳╳-╳╳-╳╳发布
中国移动通信有限公司网络部
目录
1.范围3
2.规范性引用文件3
2.1.内部引用3
2.2.外部引用4
3.术语、定义和缩略语4
4.华为路由器设备配置安全要求4
4.1.账号管理及认证授权要求4
4.1.1.账号5
4.1.2.口令7
4.1.3.授权8
4.1.4.认证8
4.2.日志要求10
4.3.IP协议安全要求12
4.3.1.基本协议安全13
4.3.2.路由协议安全17
4.3.3.SNMP协议安全18
4.3.4.MPLS安全20
4.4.设备其他安全要求20
5.编制历史24
前言
为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。
有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。
本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。
本标准起草单位:
中国移动通信有限公司网络部、中国移动通信集团吉林有限公司。
本标准解释单位:
同提出单位。
本标准主要起草人:
王金星、常伟、陈敏时、周智、曹一生。
范围
本规范适用于中国移动通信网、业务系统和支撑系统的华为路由器。
本规范明确了华为路由器安全配置方面的基本要求。
本规范作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。
供中国移动内部和厂商共同使用。
规范性引用文件
1.1.内部引用
本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的华为路由器安全配置要求。
以下分项列出本规范对《通用规范》设备配置要求的修订情况。
编号
采纳意见
备注
安全要求-设备-通用-配置-1
增强要求
安全要求-设备-华为路由器-配置-1
安全要求-设备-通用-配置-2
增强要求
安全要求-设备-华为路由器-配置-2
安全要求-设备-通用-配置-3-可选
部分采纳
安全要求-设备-华为路由器-配置-20
安全要求-设备-通用-配置-4
完全采纳
安全要求-设备-通用-配置-5
不采纳
设备不支持
安全要求-设备-通用-配置-6-可选
不采纳
设备不支持
安全要求-设备-通用-配置-7-可选
不采纳
设备不支持
安全要求-设备-通用-配置-9
完全采纳
安全要求-设备-通用-配置-12
完全采纳
安全要求-设备-通用-配置-13-可选
部分采纳
安全要求-设备-华为路由器-配置-5
安全要求-设备-通用-配置-24-可选
完全采纳
安全要求-设备-通用-配置-14-可选
完全采纳
安全要求-设备-通用-配置-16-可选
完全采纳
安全要求-设备-通用-配置-17-可选
完全采纳
安全要求-设备-通用-配置-19
增强要求
安全要求-设备-华为路由器-配置-15
安全要求-设备-通用-配置-20-可选
不采纳
设备不具备
安全要求-设备-通用-配置-27
增强要求
安全要求-设备-华为路由器-配置-16
安全要求-设备-通用-配置-29-可选
不采纳
设备不支持
本规范新增的安全配置要求,如下:
分类
编号
口令
安全要求-设备-华为路由器-配置-3
认证
安全要求-设备-华为路由器-配置-4-可选
日志
安全要求-设备-华为路由器-配置-19-可选
IP基本协议
安全要求-设备-华为路由器-配置6-可选
IP基本协议
安全要求-设备-华为路由器-配置7-可选
IP路由协议
安全要求-设备-华为路由器-配置-8-可选
IP路由协议
安全要求-设备-华为路由器-配置-9-可选
IPSNMP协议
安全要求-设备-华为路由器-配置-10-可选
IPSNMP协议
安全要求-设备-华为路由器-配置-11
IPSNMP协议
安全要求-设备-华为路由器-配置-12-可选
IPSNMP协议
安全要求-设备-华为路由器-配置-13
MPLS
安全要求-设备-华为路由器-配置-20
其他
安全要求-设备-华为路由器-配置-14
其他
安全要求-设备-华为路由器-配置-17
其他
安全要求-设备-华为路由器-配置-18
其他
安全要求-设备-华为路由器-配置-21
其他
安全要求-设备-华为路由器-配置-22-可选
本规范还针对直接引用《通用规范》的配置要求,给出了在华为路由器上的具体配置方法和检测方法。
1.2.外部引用
《中国移动通用安全功能和配置规范》
术语、定义和缩略语
(对于规范出现的英文缩略语或符号在这里统一说明。
)
缩写
英文描述
中文描述
华为路由器设备配置安全要求
本规范提出的安全功能要求和安全配置要求,在未特别说明的情况下,均适用于华为路由器设备。
本规范从帐号管理及认证授权、日志、IP协议和其他四个方面提出安全配置要求。
1.3.账号管理及认证授权要求
认证功能用于确认登录系统的用户真实身份。
认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。
授权功能赋予系统账号的操作权限,并限制用户进行超越其账号权限的操作。
账号口令管理功能是实现正确认证和授权的基础。
对于存在字符或图形界面(WEB界面)的人机交互的设备,应提供账号管理及认证授权功能,并应满足以下各项要求。
账号
要求编号
安全要求-设备-华为路由器-配置-1
适用版本
要求内容
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
操作指南
1、参考配置操作
aaa
local-useruser1passwordcipherPWD1
local-useruser1service-typetelnet
local-useruser2passwordcipherPWD2
local-useruser2service-typeftp
#
user-interfacevty04
authentication-modeaaa
2、补充说明
无。
检测方法
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、参考检测操作
displaycurrent-configurationconfigurationaaa)
3、补充说明
无。
要求编号
安全要求-设备-华为路由器-配置-2
适用版本
要求内容
应删除与设备运行、维护等工作无关的账号。
操作指南
1、参考配置操作
aaa
undolocal-usertest
2、补充说明
无。
检测方法
1、判定条件
配置中用户信息被删除。
2、参考检测操作
displaycurrent-configurationconfigurationaaa
3、补充说明
无。
要求编号
安全要求-设备-华为路由器-配置-20
适用版本
要求内容
限制具备管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。
操作指南
1、参考配置操作
superpasswordlevel3ciphersuperPWD
aaa
local-useruser1passwordcipherPWD1
local-useruser1service-typetelnet
local-useruser1level2
#
user-interfacevty04
authentication-modeaaa
2、补充说明
无。
检测方法
1、判定条件
用户用相应的操作权限登录设备后,不具有最高权限级别3,这时有些操作不能做,例如修改aaa的配置。
这时如果想使用管理员权限必须提高用户级别。
2、参考检测操作
displaycurrent-configurationconfigurationaaa
3、补充说明
无。
口令
要求编号
安全要求-设备-通用-配置-4
适用版本
要求内容
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
操作指南
1、参考配置操作
aaa
local-useruser1passwordcipherNumABC%$
2、补充说明
无。
检测方法
1、判定条件
查看用户的口令长度是否至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
对于加密的口令,通过登陆检测。
2、参考检测操作
displaycurrent-configurationconfigurationaaa
3、补充说明
无。
要求编号
安全要求-设备-华为路由器-配置-3
适用版本
要求内容
静态口令必须使用不可逆加密算法加密后保存于配置文件中。
操作指南
1、参考配置操作
superpasswordlevel3cipherN`C55QK<`=/Q=^Q`MAF4<1!
!
local-user8011passwordcipherN`C55QK<`=/Q=^Q`MAF4<1!
!
2、补充说明
无。
检测方法
1.判定条件
用户的加密口令在buildrun中显示的密文。
2.参考检测操作
displaycurrent-configurationconfigurationaaa
3.补充说明
无。
授权
要求编号
安全要求-设备-通用-配置-9
适用版本
要求内容
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
操作指南
1、参考配置操作
aaa
local-user8011passwordcipher8011
local-user8011service-typetelnet
local-user8011level0
#
user-interfacevty04
authentication-modeaaa
2、补充说明
无。
检测方法
1.判定条件
查看所有用户的级别都配置为其所需的最小权限。
1.参考检测操作
displaycurrent-configurationconfigurationaaa
2.补充说明
无。
认证
要求编号
安全要求-设备-华为路由器-配置-4-可选
适用版本
要求内容
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
操作指南
1、参考配置操作
#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。
#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。
#配置RADIUS服务器模板。
[Router]radius-servertemplateshiva
#配置RADIUS认证服务器IP地址和端口。
[Router-radius-shiva]radius-serverauthentication129.7.66.661812
#配置RADIUS服务器密钥、重传次数。
[Router-radius-shiva]radius-servershared-keyit-is-my-secret
[Router-radius-shiva]radius-serverretransmit2
[Router-radius-shiva]quit
#进入AAA视图。
[Router]aaa
#配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。
[Router–aaa]authentication-schemer-n
[Router-aaa-authen-r-n]authentication-moderadiusnone
[Router-aaa-authen-r-n]quit
#配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。
[Router-aaa]domaindefault
[Router-aaa-domain-default]authentication-schemer-n
[Router-aaa-domain-default]radius-servershiva
2、补充说明
无。
检测方法
1.判定条件
对远程登陆用户先用RADIUS服务器进行认证,非法用户不可以登录。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
1.4.日志要求
本部分对华为路由器设备的日志功能提出要求,主要考察设备所具备的日志功能,确保发生安全事件后,设备日志能提供充足的信息进行安全事件定位。
根据这些要求,设备日志应能支持记录与设备相关的重要事件,包括违反安全策略的事件、设备部件发生故障或其存在环境异常等,以便通过审计分析工具,发现安全隐患。
如出现大量违反ACL规则的事件时,通过对日志的审计分析,能发现隐患,提高设备维护人员的警惕性,防止恶化
要求编号
安全要求-设备-通用-配置-12
适用版本
要求内容
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
操作指南
1、参考配置操作
info-centerconsolechannel0
2、补充说明
无。
检测方法
1.判定条件
在日志缓存上正确记录了日志信息。
2.参考检测操作
displaylogbuffer
3.补充说明
无。
要求编号
安全要求-设备-华为路由器-配置-5-可选
适用版本
要求内容
设备应配置日志功能,记录用户对设备的操作。
例如:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
操作指南
1、参考配置操作
info-centerlogbufferchannel4
2、补充说明
在系统模式下进行操作。
检测方法
1.判定条件
对设备的操作会记录在日志中。
2.参考检测操作
displaylogbuffer
3.补充说明
无。
要求编号
安全要求-设备-通用-配置-24-可选
适用版本
要求内容
设备应配置日志功能,记录对与设备相关的安全事件。
操作指南
1、参考配置操作
info-centerenable
2、补充说明
在系统模式下进行操作。
检测方法
1.判定条件
在日志缓存上正确记录了日志信息。
2.参考检测操作
displaylogbuffer
3.补充说明
无。
要求编号
安全要求-设备-通用-配置-14-可选
适用版本
要求内容
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。
操作指南
1、参考配置操作
info-centerloghost202.38.1.10facilitylocal4languageenglish
2、补充说明
在系统模式下进行操作。
检测方法
1.判定条件
是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
要求编号
安全要求-设备-华为路由器-配置-19-可选
适用版本
要求内容
开启NTP服务,保证日志功能记录的时间的准确性。
路由器与NTPSERVER之间要开启认证功能。
操作指南
1、参考配置操作
ntp-serviceauthentication-keyid1authentication-modemd5N`C55QK<`=/Q=^Q`MAF4<1!
!
ntp-serviceunicast-server2.2.2.2authentication-keyid1
2、补充说明
在系统模式下进行操作。
检测方法
1.判定条件
本地时钟与时钟源同步。
2.参考检测操作
dispntp-servicestatus
3.补充说明
无。
1.5.IP协议安全要求
IP协议安全分为基本协议安全、路由协议安全、SNMP协议安全、MPLS安全。
基本协议安全配置可防止非法访问,过滤不必要的数据流量。
路由协议安全配置主要针对各类动态路由协议,防止未认证设备将外来路由引入本地。
SNMP是目前路由器广泛应用的管理协议,SNMP安全配置可防止未许可的SNMP访问,避免设备信息的外泄
基本协议安全
要求编号
安全要求-设备-华为路由器-配置-6-可选
适用版本
要求内容
通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。
操作指南
1、参考配置操作
aclnumber20000
ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0source-porteqftp-datadestination-porteq30
trafficclassifierdd
if-matchacl20000
trafficbehaviordd
deny
trafficpolicydd
classifierddbehaviorddprecedence0
interfaceGigabitEthernet4/0/0
undoshutdown
ipaddress4.4.4.4255.255.255.0
traffic-policyddinbound
2、补充说明
如下配置为常见病毒防御
Aclnumber100
##用于控制Blaster蠕虫的传播
rule1denytcpsourceanydestionanydestinationeq4444
rule2denyudpsourceanydestionanydestinationeq69
##用于控制Blaster蠕虫的扫描和攻击
rule3denytcpsourceanydestionanydestinationeq135
rule4denyudpsourceanydestionanydestinationeq135
rule5denytcpsourceanydestionanydestinationeq139
rule6denyudpsourceanydestionanydestinationeq139
rule7denytcpsourceanydestionanydestinationeq445
rule8denyudpsourceanydestionanydestinationeq445
rule9denytcpsourceanydestionanydestinationeq593
rule10denyudpsourceanydestionanydestinationeq593
##用于控制Slammer蠕虫的传播
rule11denyudpsourceanydestionanydestinationeq1434
##用于控制震荡波的传播
rule12denytcpsourceanydestinationanydestination-porteq5554
rule13denytcpsourceanydestinationanydestination-porteq9995
rule14denytcpsourceanydestinationanydestination-porteq9996
##其他
rule15denyudpdestination-porteqnetbios-ns
rule16denyudpdestination-porteqnetbios-dgm
检测方法
1.判定条件
存在攻击流时,非法报文被过滤。
2.参考检测操作
displaytrafficpolic
3.补充说明
无。
要求编号
安全要求-设备-华为路由器-配置-7-可选
适用版本
要求内容
条件允许情况下,端口配置URPF(UnicastReversePathForwarding),即单播反向路径查找,其主要功能是防止基于源地址欺骗的网络攻击行为。
操作指南
1、参考配置操作
interfaceGigabitEthernet4/0/1
undoshutdown
ipaddress172.136.1.1255.255.255.0
ipurpfstrict
2、补充说明
接口模式下操作。
检测方法
1.判定条件
非法攻击报文被成功过滤。
2.参考检测操作
displaycurrent-configurationinterface
3.补充说明
无。
要求编号
安全要求-设备-通用-配置-16-可选
适用版本
要求内容
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
操作指南
1、参考配置操作
aclnumber20000
ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0source-porteqftp-datadestination-porteq30
trafficclassifierdd
if-matchacl20000
trafficbehaviordd
carcir2000cbs12288greenpassyel