ImageVerifierCode 换一换
格式:DOCX , 页数:17 ,大小:46.66KB ,
资源ID:25301707      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/25301707.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(华为交换机安全基线.docx)为本站会员(b****9)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

华为交换机安全基线.docx

1、华为交换机安全基线华为交换机安全基线华为设备安全配置基线第1章 概述1.1 目的规范配置华为路由器、交换机设备,保证设备基本安全。1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。1.3 适用版本华为交换机、路由器。第2章 帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。4、参考配置操作:HuaweiaaaHuawei-aaa local-user ad

2、min password cipher admin123Huawei-aaa local-user admin privilege level 15Huawei-aaa local-user admin service-type sshHuawei-aaa local-user user password cipher user123Huawei-aaa local-user user privilege level 4Huawei-aaa local-user user service-type ssh5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关

3、系明确6、检测操作:使用命令dis cur命令查看:#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type sshlocal-user user password

4、 cipher =LP!6$-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。2.1.2 删除无关的帐号*1、安全基线名称:删除无关的账号2、安全基线编号:SBL-HUAWEI-02-01-023、安全基线说明:应删除与设备运行、维护等工作无关的账号。4、参考配置操作:HuaweiaaaHuawei-aaaundo local-user user5、安全判定条件:(1)配置文件存在多个账号(2)网络管理员确认账号与设备运

5、行、维护等工作无关6、检测操作:使用dis cur | include local-user命令查看:Huaweidis cur | include local-user local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type ssh若不存在无用账号则说明符合安全要求。2.2 口令2.2.1 静态口令以密文形式存放1、安全基线名称:静态口令以密文形式存放2、安全基线编号:SBL-HUAWEI-02-02-013

6、、安全基线说明:配置本地用户和super口令使用密文密码。4、参考配置操作:Huaweiaaa Huawei-aaalocal-user admin password cipher admin123Huaweisuper password cipher admin1235、安全判定条件:配置文件中没有明文密码字段。6、检测操作:查看本地用户密码:Huaweidis cur | include local-user local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15

7、local-user admin service-type ssh查看super密码:Huaweidis cur | include supersuper password level 3 cipher mPZr=2!Zu:|l#3M#3Icf# #2.2.2 密码复杂度1、安全基线名称:密码复杂度2、安全基线编号:SBL-HUAWEI-02-02-023、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。4、参考配置操作:Huaweiaaa Huawei-aaalo

8、cal-user admin password cipher adminxiangyun5、安全判定条件:密码强度符合要求,密码至少90天进行更换。2.3 授权2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称:用IP协议进行远程维护设备2、安全基线编号:SBL-HUAWEI-02-03-013、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。4、参考配置操作:HuaweiaaaHuawei-aaa local-user admin password cipher admin123Huawei-aaa local-user admin pr

9、ivilege level 15Huawei-aaa local-user admin service-type sshHuaweirsa local-key-pair createHuaweistelnet server enable Huaweissh user admin service-type stelnet Huaweissh user admin authentication-type passwordHuaweiuser-interface vty 0 4Huawei-ui-vty0-4protocol inbound ssh5、安全判定条件:配置文件中只允许SSH等加密协议连

10、接。6、检测操作:使用dis cur | include ssh命令:Huaweidis cur | include ssh local-user admin service-type sshssh user adminssh user admin authentication-type passwordssh user admin service-type stelnet第3章 日志安全要求3.1 日志安全3.1.1 启用信息中心1、安全基线名称:启用信息中心2、安全基线编号:SBL-HUAWEI-03-01-013、安全基线说明:启用信息中心,记录与设备相关的事件。4、参考配置操作:HUA

11、WEIinfo-center enable5、安全判定条件:(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。(2)记录用户登录设备后所进行的所有操作。6、检测操作:使用dis info-center有显示Information Center: Enabled类似信息,如:Huaweidis info-center Information Center:enabledLog host:Console: channel number : 0, channel name : console Monitor: chan

12、nel number : 1, channel name : monitor SNMP Agent: channel number : 5, channel name : snmpagent Log buffer: enabled,max buffer size 1024, current buffer size 512,current messages 56, channel number : 4, channel name : logbufferdropped messages 0, overwritten messages 0 Trap buffer: enabled,max buffe

13、r size 1024, current buffer size 256,current messages 4, channel number:3, channel name:trapbufferdropped messages 0, overwritten messages 0 Information timestamp setting: log - date, trap - date, debug - date millisecond Sent messages = 1227, Received messages = 1226 IO Reg messages = 0 IO Sent mes

14、sages = 03.1.2 开启NTP服务保证记录的时间的准确性1、安全基线名称:日志记录时间准确性2、安全基线编号:SBL-HUAWEI-03-01-023、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。4、参考配置操作:配置ntp客户端,服务器地址为192.168.1.1:Huaweintp-service authentication enable Huaweintp-service unicast-server 192.168.1.15、安全判定条件:日志记录时间准确。6、检测操作:Huaweidis cur | include ntpntp-service auth

15、entication enablentp-service unicast-server 192.168.1.13.1.3 远程日志功能*1、安全基线名称:远程日志功能2、安全基线编号:SBL-HUAWEI-03-01-033、安全基线说明:配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。4、参考配置操作:HUAWEIinfo-center loghost *.*.*.* /配置接收日志的服务器地址Huaweiinfo-center source default channel loghost log level emergencies /配置发送的日志级别5、安全判定条件:日志服务

16、器能够正确接收网络设备发送的日志。6、检测操作:使用命令dis cur | include info-center查看:Huaweidis cur | include info-centerinfo-center source default channel 2 log level emergencies第4章 IP协议安全要求4.1 IP协议4.1.1 VRRP认证1、安全基线名称:VRRP认证2、安全基线编号:SBL-HUAWEI-04-01-013、安全基线说明:VRRP启用认证,防止非法设备加入到VRRP组中。4、安全判定条件:查看VRRP组,只存在正确的设备。5、检测操作:使用命令d

17、is vrrp4.1.2 系统远程服务只允许特定地址访问1、安全基线名称:系统远程服务只允许特定地址访问2、安全基线编号:SBL-HUAWEI-04-01-023、安全基线说明:设备以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置设备,只允许特定主机访问。4、参考配置操作:通过配置访问控制列表ACL,只允许特定的地址访问设备的服务,如:HUAWEIacl number 3000HUAWEI-acl-adv-3000 rule 0 permit tcp source 10.18.54.12 0 de

18、stination 10.1.0.50 0 destination-port eq 443HUAWEI-acl-adv-3000 rule 65534 deny ipHuaweitraffic behavior 1Huawei-behavior-1permitHuaweitraffic policy 1Huawei-classifier-1if-match acl 3000 Huaweitraffic policy 1Huawei-trafficpolicy-1classifier 1 behavior 1Huaweivlan 20Huawei-vlan20traffic-policy 1 i

19、nbound5、安全判定条件:在相关端口上绑定相应的ACL。6、检测操作:使用dis cur命令查看:#acl number 3000 rule 5 permit tcp source 10.18.1.1 0#traffic classifier 1 operator and if-match acl 3000#traffic behavior 1 permit#traffic policy 1 classifier 1 behavior 1#drop-profile default#vlan 20 traffic-policy 1 inbound#4.2 功能配置4.2.1 SNMP的Com

20、munity默认通行字口令强度1、安全基线名称:SNMP协议的community团体字2、安全基线编号:SBL-HUAWEI-04-02-013、安全基线说明:修改SNMP的community默认团体字,字符串应符合口令强度要求。4、参考配置操作:HUAWEIsnmp-agent community read HUAWEI snmp-agent community write 5、安全判定条件:Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。6、检测操作:使用命令dis cur | include snmp查看:HUAWEIdis cur |

21、 include snmp snmp-agent snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun_readsnmp-agent community write xiangyun_write snmp-agent sys-info version v3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp7、补充:若设备不需要使用SNMP协议应关闭S

22、NMP功能,若需要用到应使用V2版本以上的SNMP协议。4.2.2 只与特定主机进行SNMP协议交互1、安全基线名称:只与特定主机进行SNMP协议交互2、安全基线编号:SBL-HUAWEI-04-02-023、安全基线说明:设备只与特定主机进行SNMP协议交互4、参考配置操作:使用ACL限制只与特定主机进行SNMP交互HUAWEIacl number 2000HUAWEI-acl-adv-2000 rule 0 permit ip source 10.18.54.12 0 HUAWEI-acl-adv-2000 rule 65534 deny ip HUAWEIsnmp-agent commu

23、nity read xiangyun acl 20005、安全判定条件:Snmp绑定了acl6、检测操作:使用dis cur | include snmp命令查看:HUAWEIdis cur | include snmp snmp-agent snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun snmp-agent sys-info version 3 snmp-agent trap enable arp snmp-agent trap enable radius

24、 snmp-agent trap enable stp snmp-agent community read xiangyun acl 20004.2.3 配置SNMPV2或以上版本1、安全基线名称:配置SNMPv2或以上版本2、安全基线编号:SBL-HUAWEI-04-02-033、安全基线说明:系统应配置SNMPv2或以上版本4、参考配置操作:HUAWEIsnmp-agent sys-info version v35、安全判定条件:系统可以成功使用snmpv2或v3版本协议。6、检测操作:使用dis cur | include snmp命令查看:HUAWEIdis cur | include

25、 snmp.snmp-agent sys-info version 3.4.2.4 关闭未使用的SNMP协议及未使用write权限1、安全基线名称:关闭未使用的SNMP协议及未使用write权限2、安全基线编号:SBL-HUAWEI-04-02-043、安全基线说明:系统应及时关闭未使用的SNMP协议及未使用write权限4、参考配置操作:Huaweiundo snmp-agent community write pipaxing5、安全判定条件:Snmp权限为read。6、检测操作:使用dis cur | include snmp命令查看,权限只有read:HUAWEIdis cur | i

26、nclude snmp.snmp-agent community read xiangyun.第5章 IP协议安全要求5.1 其他安全配置5.1.1 关闭未使用的接口1、安全基线名称:关闭未使用的接口2、安全基线编号:SBL-HUAWEI-05-01-013、安全基线说明:关闭未使用的接口4、参考配置操作:HUAWEIint g1/0/10HUAWEI-GigabitEthernet1/0/10shutdown5、安全判定条件:未使用接口应该管理员down。6、检测操作:HUAWEIdis cur.# interface GigabitEthernet1/0/10 port link-mode

27、 bridge combo enable fiber shutdown#.5.1.2 修改设备缺省BANNER语1、安全基线名称:修改设备缺省BANNER语2、安全基线编号:SBL-HUAWEI-05-01-023、安全基线说明:要修改设备缺省BANNER语,BANNER最好不要有系统平台或地址等有碍安全的信息。4、参考配置操作:Huaweiheader login information 需要显示的登录信息5、安全判定条件:欢迎界面、提示符等不包含敏感信息。6、检测操作:通过远程登录或console口登录查看设备提示信息。5.1.3 配置定时账户自动登出1、安全基线名称:配置账号定时自动退出

28、 2、安全基线编号:SBL-HUAWEI-05-01-033、安全基线说明:如Telnet、ssh、console登录连接超时退出4、参考配置操作:配置vty登录3分钟无操作自动退出:HUAWEI user-interface vty 0 4HUAWEI-line-vty0-4idle-timeout 35、安全判定条件:每种登录方式均设备了超时退出时间。6、检测操作:使用dis cur查看:HUAWEIdis cur#line vty 0 4 authentication-mode scheme user-role level-4 idle-timeout 3 0#5.1.4 配置conso

29、le口密码保护功能1、安全基线名称:配置console口密码保护2、安全基线编号:SBL-HUAWEI-05-01-043、安全基线说明:配置console口密码保护4、参考配置操作:Huaweiuser-interface console 0Huawei-ui-console0authentication-mode passwordHuawei-ui-console0set authentication password cipher admin1235、安全判定条件:通过console口登录,确认需要密码。6、检测操作:使用命令dis cur查看:HUAWEIdis cur#user-in

30、terface con 0 authentication-mode password set authentication password cipher t(e+hKEBi%Tn/.IV8e#5.1.5 端口与实际应用相符1、安全基线名称:端口与实际应用相符2、安全基线编号:SBL-HUAWEI-05-01-053、安全基线说明:系统使用的端口默认无描述,安全事件处理及后期日志查询较为不变,出于安全考虑,应该将使用的端口添加符合实际应用的描述。4、参考配置操作:HUAWEIint g1/0/10HUAWEI-GigabitEthernet1/0/10description shangxinag

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1