华为设备交换机安全配置基线.docx

1、华为设备交换机安全配置基线华为设备（交换机）安全配置基线 第1章 概述 . 4 1.1 目的 . 4 1.2 适用范围 . 4 1.3 适用版本 . 4 第2章 帐号管理、认证授权安全要求 . 5 2.1 帐号管理 . 5 2.1.1 用户帐号分配* . 5 2.1.2 删除无关的帐号* . 6 2.2 口令 . 7 2.2.1 静态口令以密文形式存放 . 7 2.2.2 帐号、口令和授权 . 错误！未定义书签。 2.2.3 密码复杂度 . 8 2.3 授权 . 8 2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 . 8 第3章 日志安全要求 . 10 3.1 日志安全 . 10

2、 3.1.1 启用信息中心 . 10 3.1.2 开启NTP服务保证记录的时间的准确性 . 11 3.1.3 远程日志功能* . 12 第4章 IP协议安全要求 . 13 4.1 IP协议 . 13 4.1.1 VRRP认证 . 13 4.1.2 系统远程服务只允许特定地址访问 . 13 4.2 功能配置 . 15 4.2.1 SNMP的Community默认通行字口令强度 . 15 4.2.2 只与特定主机进行SNMP协议交互 . 16 4.2.3 配置SNMPV2或以上版本 . 17 4.2.4 关闭未使用的SNMP协议及未使用write权限 . 18 第5章 IP协议安全要求 . 19

3、5.1 其他安全配置 . 19 5.1.1 关闭未使用的接口 . 19 5.1.2 修改设备缺省BANNER语 . 20 5.1.3 配置定时账户自动登出 . 20 5.1.4 配置console口密码保护功能 . 21 5.1.5 端口与实际应用相符 . 22 第1章 概述 1.1 目的 规范配置华为路由器、交换机设备，保证设备基本安全。 1.2 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 1.3 适用版本 华为交换机、路由器。 第2章 帐号管理、认证授权安全要求 2.1 帐号管理 2.1.1 用户帐号分配* 1、安全基线名称：用户帐号分配安全 2、安全基线

4、编号：SBL-HUAWEI-02-01-01 3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作： Huaweiaaa Huawei-aaalocal-user admin password cipher admin123 Huawei-aaalocal-user admin privilege level 15 Huawei-aaalocal-user admin service-type ssh Huawei-aaalocal-user user password cipheruser123 Huawei-aaalocal-user user privilege level 4 Huawei-aaalocal-user user service-type ssh 5、安全判定条件： （1）配置文件中，存在不同的账号分配 （2）网络管理员确认用户与账号分配关系明确 6、检测操作： 使用命令dis cur命令查看： # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domaindefault_admin local-user ad