电信华为路由器安全配置规范v精编WORD版.docx

1、电信华为路由器安全配置规范v精编WORD版 IBM system office room 【A0816H-A0912AAAHH-GX8Q8-GNTHHJ8】电信华为路由器安全配置规范v精编WORD版三中国电信集团公司 发布目 录 I前 言 II1 范围 12 规范性引用文件 13 缩略语 14 安全配置要求 24.1 管理平面安全配置 24.1.1 管理口防护 24.1.2 账号与口令 24.1.3 认证 44.1.4 授权 54.1.5 记账 74.1.6 远程管理 94.1.7 SNMP安全 114.1.8 系统日志 134.1.9 NTP 154.1.10 Banner信息 164.1.

2、11 未使用的管理平面服务 164.2 数据转发平面安全配置 174.2.1 典型垃圾流量过滤 174.3 控制平面安全配置 214.3.1 ACL控制 214.3.2 路由安全防护 214.3.3 协议报文防护 234.3.4 引擎防护策略 25前 言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信在2011年编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求，在实际的运用中发挥了积极的作用。本次针对2011版安全配置中发现的问题和不足，进行修订，提增加部分数据库、应用中间件、网络设备方面的安全配置要求。本规范是中国电信安全配置系列

3、规范之一。该系列规范的结构及名称预计如下：（1）Windows 操作系统安全配置规范（本标准）（2）AIX操作系统安全配置规范（3）HP-UX操作系统安全配置规范（4）Linux操作系统安全配置规范（5）Solaris操作系统安全配置规范（6）MS SQL server数据库安全配置规范（7）MySQL数据库安全配置规范（8）Oracle数据库安全配置规范（9）Sybase数据库安全配置规范（10）Apache安全配置规范（11）IIS安全配置规范（12）Tomcat安全配置规范（13）WebLogic安全配置规范（14）Nginx安全配置规范（15）Resin安全配置规范（16）Cisco路

4、由器安全配置规范（17）Juniper路由器安全配置规范（18）华为路由器安全配置规范（19）华为交换机安全配置规范（20）H3C交换机安全配置规范（21）中兴交换机安全配置规范（22）XXX防火墙安全配置规范（）本标准由中国电信集团公司提出并归口。11范围适用于中国电信使用的华为路由器设备。本规范明确了华为路由器设备在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。12规范性引用文件本设备配置规范符合下列规范性文件：GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求YD/T 1732-2008固定通信网安全防护要求

5、YD/T 1734-2008移动通信网安全防护要求YD/T 1736-2008互联网安全防护要求YD/T 1738-2008增值业务网消息网安全防护要求YD/T 1740-2008增值业务网智能网安全防护要求YD/T 1758-2008非核心生产单元安全防护要求YD/T 1742-2008接入网安全防护要求YD/T 1744-2008传送网安全防护要求YD/T 1746-2008IP承载网安全防护要求YD/T 1748-2008信令网安全防护要求YD/T 1750-2008同步网安全防护要求YD/T 1752-2008支撑网安全防护要求YD/T 1756-2008电信网和互联网管理安全等级保护

6、要求13缩略语下列缩略语适用于本标准：14安全配置要求根据国内外运营商网络及结合中国电信的实际情况，可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面，每个平面的具体安全策略不同。具体如下： 管理平面：管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性，降低设备受到网络攻击或被入侵的可能性。 转发平面：数据转发平面的主要安全策略是对异常流量进行控制，防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥，造成网络的拥塞或不可用。 控制平面：控制平面的主要安全策略是保证设备系统资源的可用性，使得设备可以正常的实现数据转发、协议更新。管理平面安全配置管理口防护配置con

7、sole口密码保护项目编号配置说明设备应配置console口密码保护安全要求等级配置指南1.执行命令system-view，进入系统视图。 2.执行命令user-interface console 0，进入Console用户界面视图。 3.执行命令authentication-mode password，设置用户验证方式为密码验证。4.执行命令set authentication password cipher xxxxx，设置password验证的口令检测方法及判定依据1.执行命令display user-interface console 0查看输出：Auth为PIdx Type Tx/R

8、x Modem Privi ActualPrivi Auth Int + 0 CON 0 9600 - 3 3 P - 备注账号与口令避免共享账号项目编号配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。安全要求等级配置指南1.执行命令system-view，进入系统视图。 2.执行命令aaa，进入AAA视图。 3.执行命令local-user user-name password cipher password，配置本地用户名和密码。 4.执行命令local-user test access-limit 1，配置本地用户同一时间的最大接入数目为1。检测方法及判定依据1.执行命令d

9、isplay current-configuration | include local-user查看有多个local-user、且有access-limit为1的配置local-user test1 password cipher P/AN/%E(#Q=QMAF41! local-user test1 access-limit 1 local-user test2 password cipher =W6JJN_LBKQ=QMAF41! local-user test2 access-limit 1 备注口令加密项目编号配置说明静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进

10、行加密，并以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。安全要求等级配置指南1.执行命令system-view，进入系统视图。 2.执行命令aaa，进入AAA视图。3.执行命令local-user user-name password cipher password选择cipher检测方法及判定依据1.display current-configuration | include local-user查看到local-user的配置，有cipher关键字，并显示为密文：local-user test1 passw

11、ord cipher P/AN/%E(#Q=QMAF41!备注账户锁定策略项目编号配置说明应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。安全要求等级配置指南1.执行命令system-view，进入系统视图。 2.执行命令aaa，进入AAA视图。3.执行命令local-user user-name password cipher XXXX，配置本地用户及密码。4.执行命令local-user user-name state block fail-times X interval X，配置本地用户登录失

12、败X次后，暂时将用户阻塞：X分钟。检测方法及判定依据执行命令：dis cu | in local-user查看输出，检查是否有block关键字段，比如： local-user test password simple test local-user test state block fail-times 5 interval 5备注支持的版本：NE40E&80E V600R003C00SPCa00NE40E&NE80E V600R005C00认证使用认证服务器认证项目编号配置说明设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足帐号、口令

13、和授权的要求。安全要求等级配置指南1.执行命令system-view，进入系统视图2.执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3.执行命令hwtacacs-server authentication 59.43.53.20，配置认证服务器地址。4.执行命令hwtacacs-server source-ip xxxx，配置发送报文的源地址，一般为loopback地址。5.系统试图下执行命令aaa，进入aaa视图6.执行命令authentication-scheme default，配置认证模板default7.执行命令authentic

14、ation-mode hwtacacs（或radius），配置认证模式为hwtacacs。8.执行命令domain default，进入系统defalut域9.执行命令hwtacacs-server tacacs，配置default域使用名为tacacs的HWTACACS服务器模板检测方法及判定依据1.执行命令：display current-configuration configuration aaa：查询认证配置方式，红色关键字： # aaa authentication-scheme default authentication-mode hwtacacs #domain defaul

15、t hwtacacs-server tacacs 2.执行命令：dis cu conf hwtacacs，查看模板为tacacs服务器的配置参数 ： # hwtacacs-server template tacacs hwtacacs-server authentication 59.43.53.20 hwtacacs-server source-ip 5.5.5.5备注会话超时配置项目编号配置说明配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。安全要求等级配置指南1.执行命令system-view，进入系统视图2.执行命令user-interfa

16、ce vty 0 14，进入通过Telnet或SSH方式登录的用户界面3.执行命令idle-timeout X，设置断连的超时时间为X分钟，即用户没有输入命令的时间。4.执行命令user-interface console 0，进入console登录用户界面5.执行命令idle-timeout X检测方法及判定依据1.执行命令display cu configuration user-interface，查看输出信息中，con、vty接口下是否有关键字：idle-timeout # user-interface con 0 idle-timeout 20 0 user-interface vt

17、y 0 4 idle-timeout 20 0 备注授权分级权限控制项目编号配置说明原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。安全要求等级配置指南1.执行命令system-view，进入系统视图。 2.执行命令aaa，进入AAA视图。3.执行命令local-user user-name password cipher XXXX，配置本地用户及密码。4.执行命令local-user user-name level x，配置用户的级别，x为03，分别代表参观（0）、监控（1）、配置（2）、管理（3），共4个级别。检测方法及判定依据5.执行命令：display current-co

18、nfiguration configuration aaa | include local-user，查看输出的本地用户是否配置了关键字：level local-user test password cipher =W6JJN_LBKQ=QMAF41! local-user test level 3 备注利用认证服务器进行权限控制项目编号配置说明除本地采用预定义级别进行外，设备可通过与认证服务器（RADIUS服务器或TACACS服务器）联动的方式实现对用户的授权。并建议采用逐条授权的方式，尽量避免或减少使用一次性授权的方式。安全要求等级配置指南1.执行命令system-view，进入系统视图2

19、.执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3.执行命令hwtacacs-server authorization 59.43.53.20，配置授权服务器地址。4.执行命令hwtacacs-server source-ip xxxx，配置发送报文的源地址，一般为loopback地址。5.系统试图下执行命令aaa，进入aaa视图6.执行命令authorization-scheme default，配置授权模板default7.执行命令authorization-mode hwtacacs，配置授权模式为hwtacacs。8.执行命令dom

20、ain default，进入系统defalut域9.执行命令hwtacacs-server tacacs，配置default域使用名为tacacs的hwtacacs服务器模板检测方法及判定依据1.执行命令：display current-configuration configuration aaa：查询认证配置方式，红色关键字：# aaa authentication-scheme default authentication-mode local hwtacacs # authorization-scheme default authorization-mode hwtacacs # ac

21、counting-scheme default # domain default hwtacacs-server tacacs 2.执行命令：display current-configuration configuration hwtacacs，查看模板为tacacs服务器的关键配置参数，红色字体 ： # hwtacacs-server template tacacs hwtacacs-server authentication 59.43.53.20 hwtacacs-server authorization 59.43.53.20 hwtacacs-server source-ip 5.

22、5.5.5备注授权粒度控制项目编号配置说明原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力。安全要求等级配置指南1.执行命令system-view，进入系统视图2.执行命令command-privilege level X view Y xxxx，指定Y视图内的命令xxxx的级别为X，比如：command-privilege level 2 view system display current-configuration：指定system视图内的display current-configuration命令的级别为2级检测方法及判定依据3.执行命令display c

23、urrent-configuration configuration | include command-privilege，查看针对哪些命令进行了相应级别的授权：command-privilege level 0 view system display current-configuration备注记账记录用户登录日志项目编号配置说明采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。安全要求等级配置指南本地

24、方式：1.执行命令system-view，进入系统视图2.执行命令info-center source default channel 4 log level informational，指定别为notification或informational或dubugging的日志被记录到channel 4（logbuffer）中与TACACS联动方式：1.执行命令system-view，进入系统视图2.执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3.执行命令hwtacacs-server accounting 59.43.53.20，配置记账服

25、务器地址。4.系统试图下执行命令aaa，进入aaa视图5.执行命令recording-scheme tacacs，配置一个记录方案tacacs6.执行命令recording-mode hwtacacs tacacs，配置记录方法为关联的hwtacacs服务器模板tacacs7.执行命令cmd recording-scheme tacacs，配置用户在路由器上所执行的命令的记录策略检测方法及判定依据本地方式：1.执行命令display logbuffer，可查看到登录的信息：Aug 2 2013 11:08:10-08:00 RT7-163core %01SHELL/5/LOGIN(l)22:V

26、TY login from 192.168.1.33. 2.执行命令display current-configuration configuration | include info-center，查看输出的信息中，是否有关键语句、关键字：notification或informational或dubugging：info-center source default channel 4 log level notification与tacacs服务器联动方式：3.执行命令display current-configuration configuration | include recordin

27、g，查看输出的信息中，是否有关键信息：recording-scheme tacacs recording-mode hwtacacs tacacs cmd recording-scheme tacacs 4.执行命令：display current-configuration configuration hwtacacs，查看模板为tacacs服务器的关键配置参数，红色字体 ： # hwtacacs-server template tacacs hwtacacs-server authentication 59.43.53.20 hwtacacs-server authorization 59

28、.43.53.20 hwtacacs-server accounting 59.43.53.20 备注本地方式的场景，部分版本缺省就支持在logbuffer中记录了登录的信息。记录用户操作行为日志项目编号配置说明采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号创建、删除和权限修改，口令修改，设备配置修改，执行操作的行为和操作结果等。安全要求等级配置指南本地方式：1.执行命令system-view，进入系统视图2.执行命令info-center source default channel

29、4 log level informational，指定别为notification或informational或dubugging的日志被记录到channel 4（logbuffer）中与TACACS联动方式：1.执行命令system-view，进入系统视图2.执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3.执行命令hwtacacs-server accounting 59.43.53.20，配置记账服务器地址。4.系统试图下执行命令aaa，进入aaa视图5.执行命令recording-scheme tacacs，配置一个记录方案tac

30、acs6.执行命令recording-mode hwtacacs tacacs，配置记录方法为关联的hwtacacs服务器模板tacacs执行命令cmd recording-scheme tacacs，配置用户在路由器上所执行的命令的记录策略检测方法及判定依据本地方式：1.执行命令display logbuffer，可查看到登录的信息：Aug 2 2013 11:08:10-08:00 RT7-163core %01SHELL/5/LOGIN(l)22:VTY login from 192.168.1.33. 2.执行命令display current-configuration configuration | include info-center，查看输出的信息中，是否有关键语句、关键字：n