Huawei路由安全配置基线解析Word文档下载推荐.docx

1、1.2 目的 51.3 适用范围 51.4 适用版本 51.5 实施 51.6 例外条款 5第2章 华为路由其设备配置安全要求 62.1 帐号管理 62.1.1 用户帐号分配* 62.1.2 删除无关的帐号* 72.1.3 限制具备管理员权限的用户远程登录 72.2 口令 82.2.1 口令复杂度 82.2.2 静态口令加密保存 92.2.3 根据用户的业务需要配置其所需最小权限 102.2.4 帐号、口令和授权的强制要求 11第3章 日志配置 133.1 日志配置 133.1.1 记录用户操作 133.1.2 记录设备的安全事件 143.1.3 远程日志功能 143.1.4 保证日志功能记录

2、的时间准确性 153.1.5 日志记录内容要求 16第4章 IP协议 174.1 IP协议 174.1.1 远程维护的设备配置加密协议 174.1.2 动态路由协议口令要求配置MD5加密* 184.1.3 制定路由策略 194.1.4 关闭未使用的SNMP协议及未使用RW权限 204.1.5 Community默认通行字应符合口令强度要求 204.1.6 配置SNMPV2或以上版本 214.1.7 SNMP访问安全限制 224.1.8 ACL配置 224.1.9 配置URPF 244.1.10 打开LDP协议认证功能* 24第5章 其他配置 265.1 其他配置 265.1.1 关闭未使用的端

3、口* 265.1.2 配置定时账户自动登出 265.1.3 配置consol口密码保护功能 275.1.4 关闭网络设备不必要的服务* 285.1.5 系统远程管理服务只允许特定地址访问 285.1.6 端口与实际应用相符* 295.1.7 防ARP欺骗攻击 30第6章 评审与修订 31第1章概述1.1 目的1.2目的本文档旨在指导系统管理人员进行Huawei路由器的安全配置。1.3适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.4适用版本Huawei路由器。1.5实施1.6例外条款第2章华为路由其设备配置安全要求2.1帐号管理2.1.1用户帐号分配*安全基线项目

4、名称用户帐号分配安全基线要求项安全基线编号SBL-HuaweiRouter-02-01-01 安全基线项说明 应按照用户分配帐号。避免不同用户间共享帐号。避免用户帐号和设备间通信使用的帐号共享。检测操作步骤1、参考配置操作aaalocal-user user1 password cipher PWD1local-user user1 service-type telnetlocal-user user2 password cipher PWD2local-user user2 service-type ftp#user-interface vty 0 4authentication-mode

5、aaa 2、补充说明无。基线符合性判定依据1、判定条件用配置中没有的用户名去登录，结果是不能登录2、参考检测操作display current-configuration configuration aaa）3、补充说明备注需要手工检查，由管理员确认帐号分配关系。2.1.2删除无关的帐号*工作无关的帐号安全基线要求项SBL- HuaweiRouter -02-01-02 应删除与设备运行、维护等工作无关的帐号undo local-user test 配置中用户信息被删除。display current-configuration configuration aaa需要手工检查，由管理员判断是否

6、存在无关帐号2.1.3限制具备管理员权限的用户远程登录限制具备管理员权限的用户远程登录安全基线要求项SBL- HuaweiRouter -02-01-03 限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限帐号后执行相应操作。super password level 3 cipher superPWD local-user user1 level 2authentication-mode aaa用户用相应的操作权限登录设备后，不具有最高权限级别3，这时有些操作不能做，例如修改aaa的配置。这时如果想使用管理员权限必须提高用户级别。disp

7、lay current-configuration configuration aaa 2.2口令2.2.1口令复杂度静态口令长度安全基线要求项SBL- HuaweiRouter -02-02-01 对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 local-user user1 password cipher NumABC%$查看用户的口令长度是否至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。对于加密的口令，通过登陆检测。2.2.2静态口令加密保存静态口令

8、加密保存安全基线要求项SBL- HuaweiRouter -02-02-02 静态口令必须使用不可逆加密算法加密后保存于配置文件中。super password level 3 cipher NC55QK=/Q=QMAF41!local-user 8011 password cipher NC55QK1.判定条件用户的加密口令在buildrun中显示的密文。2.参考检测操作3.补充说明2.2.3根据用户的业务需要配置其所需最小权限根据用户的业务需要配置其所需最小权限安全基线要求项SBL- HuaweiRouter -02-02-03 在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权

9、限local-user 8011 password cipher 8011local-user 8011 service-type telnetlocal-user 8011 level 0查看所有用户的级别都配置为其所需的最小权限。1.参考检测操作2.补充说明2.2.4帐号、口令和授权的强制要求帐号、口令和授权的强制要求安全基线要求项SBL- HuaweiRouter -02-02-04 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。#对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证。#认证服务器IP地址为129.7.66.66，无备用服务器，端口

10、号为默认值1812。# 配置RADIUS服务器模板。Router radius-server template shiva# 配置RADIUS认证服务器IP地址和端口。Router-radius-shivaradius-server authentication 129.7.66.66 1812# 配置RADIUS服务器密钥、重传次数。Router-radius-shiva radius-server shared-key it-is-my-secretRouter-radius-shiva radius-server retransmit 2Router-radius-shiva quit#

11、 进入AAA视图。Router aaa# 配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。Routeraaa authentication-scheme r-nRouter-aaa-authen-r-n authentication-mode radius noneRouter-aaa-authen-r-n quit# 配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。Router-aaa domain defaultRouter-aaa-domain-default authentication-scheme r-nRouter-aaa-domain-defaultradius-server shiva对远程登陆用户先用RADIUS服务器进行认证，非法用户不可以登录。display current-configuration 第3章日志配置3.1日志配置3.1.1记录用户操作记录用户操作安全基线要求项SBL