H3C交换机安全配置基线.docx
《H3C交换机安全配置基线.docx》由会员分享,可在线阅读,更多相关《H3C交换机安全配置基线.docx(13页珍藏版)》请在冰豆网上搜索。
H3C交换机安全配置基线
H3C交换机安全配置基线
版本
版本控制信息
更新日期
更新人
审批人
V2.0
创建
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第1章概述
1.1目的
本文档旨在指导系统管理人员进行H3C交换机的安全配置。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
H3C交换机。
1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1
2.1.1配置默认级别*
安全基线项目名称
配置默认级别安全基线要求项
安全基线编号
SBL-H3CSwitch-02-01-01
安全基线项说明
交换机命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、1、2、3。
配置登录默认级别为访问级(0-VISIT)
检测操作步骤
1、参考配置操作
user-interfaceaux08
authentication-modepassword
userprivilegelevel0
setauthenticationpasswordcipherxxx
user-interfacevty04
authentication-modepassword
userprivilegelevel0
setauthenticationpasswordcipherxxx
2、补充说明
无。
基线符合性判定依据
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、参考检测操作
displaycurrent-configuration
3、补充说明
无。
备注
手工检查
2.2口令
2.2.1密码认证登录
安全基线项目名称
密码认证登录安全基线要求项
安全基线编号
SBL-H3CSwitch-02-02-01
安全基线项说明
通过控制台和远程终端,需要密码才能登录.口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1、参考配置操作
user-interfaceaux08
authentication-modepassword
userprivilegelevel0
setauthenticationpasswordcipherxxx
user-interfacevty04
authentication-modepassword
//或authentication-modescheme
userprivilegelevel0
setauthenticationpasswordcipherxxx
2、补充说明
无。
基线符合性判定依据
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、参考检测操作
displaycurrent-configuration
3、补充说明
无。
备注
2.2.2设置访问级密码
安全基线项目名称
设置访问级密码安全基线要求项
安全基线编号
SBL-H3CSwitch-02-02-02
安全基线项说明
用户可以无条件切换到比当前低的用户级别,但是当使用AUX或VTY用户界面登录,并且从低级别往高级别切换时,需要输入级别切换密码(级别切换密码可以通过superpassword命令设置)。
如果输入的密码错误或者没有配置级别切换密码,切换操作失败。
因此,在进行切换操作前,请先配置级别切换密码。
检测操作步骤
1、参考配置操作
system-view
[Sysname]superpasswordlevel1cipherpassword1
[Sysname]superpasswordlevel2cipherpassword2
[Sysname]superpasswordlevel3cipherpassword3
2、补充说明
无。
基线符合性判定依据
1、判定条件
[Sysname]displaycurrent-configuration
备注
2.2.3加密口令
安全基线项目名称
加密口令安全基线要求项
安全基线编号
SBL-H3CSwitch-02-02-03
安全基线项说明
静态口令必须使用不可逆加密算法加密后保存于配置文件中。
检测操作步骤
1、参考配置操作
user-interfaceaux08
userprivilegelevel0
setauthenticationpasswordcipherxxx
user-interfacevty04
userprivilegelevel0
setauthenticationpasswordcipherxxx
superpasswordlevel1cipherpassword1
superpasswordlevel2cipherpassword2
superpasswordlevel3cipherpassword3
基线符合性判定依据
1.判定条件
用户的加密口令在config文件中显示的密文。
2.参考检测操作
displaycurrent-configuration
备注
第3章日志安全要求
3.1日志安全
3.1.1配置远程日志服务器
安全基线项目名称
配置远程日志服务器安全基线要求项
安全基线编号
SBL-H3CSwitch-03-01-01
安全基线项说明
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。
检测操作步骤
1、参考配置操作
[h3c]info-centerenable
[h3c]info-centerloghostxxxxxchannelloghost
2、补充说明
在系统模式下进行操作。
基线符合性判定依据
1.判定条件
是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
建议核心设备必选,其它根据实际情况启用
第4章IP协议安全要求
4.1IP协议
4.1.1使用SSH加密管理
安全基线项目名称
使用SSH加密管理安全基线要求项
安全基线编号
SBL-H3CSwitch-04-01-01
安全基线项说明
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,关闭TELNET协议。
检测操作步骤
1、参考配置操作
#设置用户界面VTY0到VTY4支持SSH协议。
system-view
[Sysname]user-interfacevty04
[Sysname-ui-vty0-4]authentication-modescheme
[Sysname-ui-vty0-4]protocolinboundssh
2、补充说明
无。
基线符合性判定依据
1.参考检测操作
2.补充说明
无。
备注
4.1.2系统远程管理服务只允许特定地址访问
安全基线项目名称
系统远程管理服务只允许特定地址访问安全基线要求项
安全基线编号
SBL-H3CSwitch-04-01-02
安全基线项说明
系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。
检测操作步骤
1、参考配置操作
Aclnumber2000
rule1permitsource192.168.0.00.0.255.255
User-interfacevty04
acl2000inbound
2、补充说明
无。
基线符合性判定依据
1.判定条件
通过设定acl,成功过滤非法的访问。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
第5章SNMP安全要求
5.1SNMP安全
5.1.1修改SNMP默认通行字
安全基线项目名称
修改SNMP默认通行字安全基线要求项
安全基线编号
SBL-H3CSwitch-05-01-01
安全基线项说明
系统应修改SNMP的Community默认通行字,通行字应符合口令强度要求。
检测操作步骤
1、参考配置操作
snmp-agentcommunityreadxxx
snmp-agentcommunitywritexxxx
2、补充说明
无。
基线符合性判定依据
1.判定条件
系统成功修改SNMP的Community为用户定义口令,非常规private或者public,并且符合口令强度要求。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
5.1.2使用SNMPV2或以上版本
安全基线项目名称
SNMP版本安全基线要求项
安全基线编号
SBL-H3CSwitch-05-01-02
安全基线项说明
系统应配置为SNMPV2或以上版本。
检测操作步骤
1、参考配置操作
snmp-agentsys-infoversionv3
2、补充说明
无。
基线符合性判定依据
1.判定条件
成功使能snmpv2c、和v3版本。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
5.1.3SNMP访问控制
安全基线项目名称
SNMP访问控制安全基线要求项
安全基线编号
SBL-H3CSwitch-05-01-03
安全基线项说明
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。
检测操作步骤
1、参考配置操作
snmp-agentcommunityreadXXXX01acl2000
2、补充说明
无。
基线符合性判定依据
1.判定条件
通过设定acl来成功过滤特定的源才能进行访问。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
第6章其他安全要求
6.1其他安全配置
6.1.1关闭未使用的端口
安全基线项目名称
关闭未使用的端口安全基线要求项
安全基线编号
SBL-H3CSwitch-06-01-01
安全基线项说明
关闭未使用的端口。
检测操作步骤
1、参考配置操作
[HW-Ethernet3/0/0]shutdown
2、补充说明
无。
基线符合性判定依据
1.判定条件
未使用端口状态为admindown。
2.参考检测操作
Displayinterface
3.补充说明
无。
备注
6.1.2帐号登录超时
安全基线项目名称
帐号登录超时安全基线要求项
安全基线编号
SBL-H3CSwitch-06-01-02
安全基线项说明
配置定时帐号自动登出,登出后用户需再次登录才能进入系统。
设置超时时间为5分钟.
检测操作步骤
1、参考配置操作
设置超时时间为5分钟
system-view
[Sysname]user-interfaceconsole0
//Oruser-interfaceaux08
[Sysname-ui-console0]idle-timeout50
2、补充说明
无。
基线符合性判定依据
1.判定条件
在超出设定时间后,用户自动登出设备。
2.参考检测操作
displaycurrent-configurationconfigurationuser-interface
3.补充说明
无。
备注
6.1.3关闭不需要的服务*
安全基线项目名称
关闭不需要的服务安全基线要求项
安全基线编号
SBL-H3CSwitch-06-01-03
安全基线项说明
关闭网络设备不必要的服务,比如FTP、TFTP服务等。
检测操作步骤
1、参考配置操作
undoftpserver
2、补充说明
无。
基线符合性判定依据
1.判定条件
不能访问设备的ftp等服务。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。
第7章评审与修订
升级会员 