收藏
下载资源下载资源 加入VIP,免费下载

华为交换机安全基线.docx

上传人:b****2 文档编号:609094 上传时间:2022-10-11 格式:DOCX 页数:15 大小:19.58KB
下载 相关 举报
华为交换机安全基线.docx_第1页
第1页 / 共15页
华为交换机安全基线.docx_第2页
第2页 / 共15页
华为交换机安全基线.docx_第3页
第3页 / 共15页
华为交换机安全基线.docx_第4页
第4页 / 共15页
华为交换机安全基线.docx_第5页
第5页 / 共15页
点击查看更多>>
下载资源
资源描述

华为交换机安全基线.docx

《华为交换机安全基线.docx》由会员分享,可在线阅读,更多相关《华为交换机安全基线.docx(15页珍藏版)》请在冰豆网上搜索。

华为交换机安全基线.docx

华为交换机安全基线

 

华为设备安全配置基线

 

第1章概述

1.1目的

规范配置华为路由器、交换机设备,保证设备基本安全。

1.2适用范围

本配置标准的使用者包括:

网络管理员、网络安全管理员、网络监控人员。

1.3适用版本

华为交换机、路由器。

第2章帐号管理、认证授权安全要求

2.1帐号管理

2.1.1用户帐号分配*

1、安全基线名称:

用户帐号分配安全

2、安全基线编号:

SBL-HUAWEI-02-01-01

3、安全基线说明:

应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作:

[Huawei]aaa

[Huawei-aaa]local-useradminpasswordcipheradmin123

[Huawei-aaa]local-useradminprivilegelevel15

[Huawei-aaa]local-useradminservice-typessh

[Huawei-aaa]local-useruserpasswordcipheruser123

[Huawei-aaa]local-useruserprivilegelevel4

[Huawei-aaa]local-useruserservice-typessh

5、安全判定条件:

(1)配置文件中,存在不同的账号分配

(2)网络管理员确认用户与账号分配关系明确

6、检测操作:

使用命令discur命令查看:

#

aaa

authentication-schemedefault

authorization-schemedefault

accounting-schemedefault

domaindefault

domaindefault_admin

local-useradminpasswordcipher"=LP!

6$^-IYNZPO3JBXBHA!

!

local-useradminprivilegelevel15

local-useradminservice-typessh

local-useruserpasswordcipher"=LP!

6$^-IYNZP

local-useruserprivilegelevel4

local-useruserservice-typessh

#

对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。

2.1.2删除无关的帐号*

1、安全基线名称:

删除无关的账号

2、安全基线编号:

SBL-HUAWEI-02-01-02

3、安全基线说明:

应删除与设备运行、维护等工作无关的账号。

4、参考配置操作:

[Huawei]aaa

[Huawei-aaa]undolocal-useruser

5、安全判定条件:

(1)配置文件存在多个账号

(2)网络管理员确认账号与设备运行、维护等工作无关

6、检测操作:

使用discur|includelocal-user命令查看:

[Huawei]discur|includelocal-user

local-useradminpasswordcipher"=LP!

6$^-IYNZPO3JBXBHA!

!

local-useradminprivilegelevel15

local-useradminservice-typessh

若不存在无用账号则说明符合安全要求。

2.2口令

2.2.1静态口令以密文形式存放

1、安全基线名称:

静态口令以密文形式存放

2、安全基线编号:

SBL-HUAWEI-02-02-01

3、安全基线说明:

配置本地用户和super口令使用密文密码。

4、参考配置操作:

[Huawei]aaa

[Huawei-aaa]local-useradminpasswordcipheradmin123

[Huawei]superpasswordcipheradmin123

5、安全判定条件:

配置文件中没有明文密码字段。

6、检测操作:

查看本地用户密码:

[Huawei]discur|includelocal-user

local-useradminpasswordcipher"=LP!

6$^-IYNZPO3JBXBHA!

!

local-useradminprivilegelevel15

local-useradminservice-typessh

查看super密码:

[Huawei]discur|includesuper

superpasswordlevel3ciphermPZr=2!

Z<@u:

|l#3M^#3Icf##

2.2.2密码复杂度

1、安全基线名称:

密码复杂度

2、安全基线编号:

SBL-HUAWEI-02-02-02

3、安全基线说明:

对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

4、参考配置操作:

[Huawei]aaa

[Huawei-aaa]local-useradminpasswordcipheradmin@xiangyun

5、安全判定条件:

密码强度符合要求,密码至少90天进行更换。

2.3授权

2.3.1用IP协议进行远程维护的设备使用SSH等加密协议

1、安全基线名称:

用IP协议进行远程维护设备

2、安全基线编号:

SBL-HUAWEI-02-03-01

3、安全基线说明:

使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。

4、参考配置操作:

[Huawei]aaa

[Huawei-aaa]local-useradminpasswordcipheradmin123

[Huawei-aaa]local-useradminprivilegelevel15

[Huawei-aaa]local-useradminservice-typessh

[Huawei]rsalocal-key-paircreate

[Huawei]stelnetserverenable

[Huawei]sshuseradminservice-typestelnet

[Huawei]sshuseradminauthentication-typepassword

[Huawei]user-interfacevty04

[Huawei-ui-vty0-4]protocolinboundssh

5、安全判定条件:

配置文件中只允许SSH等加密协议连接。

6、检测操作:

使用discur|includessh命令:

[Huawei]discur|includessh

local-useradminservice-typessh

sshuseradmin

sshuseradminauthentication-typepassword

sshuseradminservice-typestelnet

第3章日志安全要求

3.1日志安全

3.1.1启用信息中心

1、安全基线名称:

启用信息中心

2、安全基线编号:

SBL-HUAWEI-03-01-01

3、安全基线说明:

启用信息中心,记录与设备相关的事件。

4、参考配置操作:

[HUAWEI]info-centerenable

5、安全判定条件:

(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。

(2)记录用户登录设备后所进行的所有操作。

6、检测操作:

使用disinfo-center有显示InformationCenter:

Enabled类似信息,如:

[Huawei]disinfo-center

InformationCenter:

enabled

Loghost:

Console:

channelnumber:

0,channelname:

console

Monitor:

channelnumber:

1,channelname:

monitor

SNMPAgent:

channelnumber:

5,channelname:

snmpagent

Logbuffer:

enabled,maxbuffersize1024,currentbuffersize512,

currentmessages56,channelnumber:

4,channelname:

logbuffer

droppedmessages0,overwrittenmessages0

Trapbuffer:

enabled,maxbuffersize1024,currentbuffersize256,

currentmessages4,channelnumber:

3,channelname:

trapbuffer

droppedmessages0,overwrittenmessages0

Informationtimestampsetting:

log-date,trap-date,debug-datemillisecond

Sentmessages=1227,Receivedmessages=1226

IORegmessages=0IOSentmessages=0

3.1.2开启NTP服务保证记录的时间的准确性

1、安全基线名称:

日志记录时间准确性

2、安全基线编号:

SBL-HUAWEI-03-01-02

3、安全基线说明:

开启NTP服务,保证日志功能记录的时间的准确性。

4、参考配置操作:

配置ntp客户端,服务器地址为192.168.1.1:

[Huawei]ntp-serviceauthenticationenable

[Huawei]ntp-serviceunicast-server192.168.1.1

5、安全判定条件:

日志记录时间准确。

6、检测操作:

[Huawei]discur|includentp

ntp-serviceauthenticationenable

ntp-serviceunicast-server192.168.1.1

3.1.3远程日志功能*

1、安全基线名称:

远程日志功能

2、安全基线编号:

SBL-HUAWEI-03-01-03

3、安全基线说明:

配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。

4、参考配置操作:

[HUAWEI]info-centerloghost*.*.*.*//配置接收日志的服务器地址

[Huawei]info-centersourcedefaultchannelloghostloglevelemergencies//配置发送的日志级别

5、安全判定条件:

日志服务器能够正确接收网络设备发送的日志。

6、检测操作:

使用命令discur|includeinfo-center查看:

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 总结汇报 > 学习总结

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1