收藏
下载资源

H3C交换机设备安全基线.doc

上传人:一*** 文档编号:2738828 上传时间:2020-05-02 格式:DOC 页数:23 大小:30.05KB
返回 下载 相关 举报
H3C交换机设备安全基线.doc_第1页
第1页 / 共23页
H3C交换机设备安全基线.doc_第2页
第2页 / 共23页
点击查看更多>>
资源描述

《H3C交换机设备安全基线.doc》由会员分享,可在线阅读,更多相关《H3C交换机设备安全基线.doc(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。

1、/H3C设备安全配置基线目录第1章概述41.1目的41.2适用范围41.3适用版本4第2章帐号管理、认证授权安全要求62.1帐号管理62.1.1用户帐号分配*62.1.2删除无关的帐号*72.2口令82.2.1静态口令以密文形式存放82.2.2帐号、口令和授权92.2.3密码复杂度102.3授权112.3.1用IP协议进行远程维护的设备使用SSH等加密协议11第3章日志安全要求123.1日志安全123.1.1启用信息中心123.1.2开启NTP服务保证记录的时间的准确性133.1.3远程日志功能*14第4章IP协议安全要求154.1IP协议154.1.1VRRP认证154.1.2系统远程服务只

2、允许特定地址访问154.2功能配置164.2.1SNMP的Community默认通行字口令强度164.2.2只与特定主机进行SNMP协议交互174.2.3配置SNMPV2或以上版本184.2.4关闭未使用的SNMP协议及未使用write权限19第5章IP协议安全要求205.1其他安全配置205.1.1关闭未使用的接口205.1.2修改设备缺省BANNER语215.1.3配置定时账户自动登出215.1.4配置console口密码保护功能225.1.5端口与实际应用相符23第1章 概述1.1 目的规范配置H3C路由器、交换机设备,保证设备基本安全。1.2 适用范围本配置标准的使用者包括:网络管理员

3、、网络安全管理员、网络监控人员。1.3 适用版本comwareV7版本交换机、路由器。第2章 帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-H3C-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。4、参考配置操作:H3C local-user adminH3C-luser-manage-admin password hash adminmmu2H3C-luser-manage-admin authorization-attribute user

4、-role level-15H3C local-user userH3C-luser-network-user password hash usernhesaH3C-luser-network-user authorization-attribute user-role network-operator5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关系明确6、检测操作:使用命令dis cur命令查看:#local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsx

5、uoWQ= service-type ssh authorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type ssh authorization-attribute user-role network-operator#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。2.1.2 删除无关的帐号*1、安全基线名称:删除无关的账号2、安全基线编号:SBL-H3C-02-01-023、安全基线说明

6、:应删除与设备运行、维护等工作无关的账号。4、参考配置操作:H3Cundo local-user user class network5、安全判定条件:(1)配置文件存在多个账号(2)网络管理员确认账号与设备运行、维护等工作无关6、检测操作:使用dis cur | include local-user命令查看:H3Cdis cur | include local-userlocal-user admin class managelocal-user user1 class manage若不存在无用账号则说明符合安全要求。2.2 口令2.2.1 静态口令以密文形式存放1、安全基线名称:静态口令以

7、密文形式存放2、安全基线编号:SBL-H3C-02-02-013、安全基线说明:配置本地用户和super口令使用密文密码。4、参考配置操作:H3Clocal-user admin H3C-luser-manage-adminpassword hash /配置本地用户密文密码H3Csuper password hash /配置super密码使用密文加密5、安全判定条件:配置文件中没有明文密码字段。6、检测操作:使用dis cur显示本地用户账号和super密码为密文密码#local-user admin class manage password hash $h$6$mmu2MlqLkGMnNy

8、Ky$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCEUU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ= service-type ssh telnet authorization-attribute user-role level-15#local-user user1 class manage password hash $h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP

9、1/U0pwHGFQ= authorization-attribute user-role network-operator# super password role network-admin hash $h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySGYft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ=#2.2.2 帐号、口令和授权1、安全基线名称:账号、口令和授权安全基线2、安全基线编号:SBL-H3C-02-02-023、安全基线说明:通过认证系统,确认远程用户身份,判断

10、是否为合法的网络用户。4、参考配置操作:H3Clocal-user adminH3C-luser-manage-adminpassword hash pipaxingxiangyunH3C-luser-manage-admin authorization-attribute user-role level-15H3Cdomain adminH3C-isp-adminauthentication default local5、安全判定条件:账号和口令的配置,指定了认证的系统。6、检测操作:H3Cdis cur#domain admin#domain system# domain default

11、enable system#2.2.3 密码复杂度1、安全基线名称:密码复杂度2、安全基线编号:SBL-H3C-02-02-033、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。4、参考配置操作:H3Clocal-user adminH3C-luser-manage-adminpassword pipaxingxiangyun5、安全判定条件:密码强度符合要求,密码至少90天进行更换。2.3 授权2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议1、安全

12、基线名称:用IP协议进行远程维护设备2、安全基线编号:SBL-H3C-02-03-013、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。4、参考配置操作:H3Cssh server enableH3Clocal-user adminH3C-luser-manage-admin service-type ssh5、安全判定条件:配置文件中只允许SSH等加密协议连接。6、检测操作:使用dis cur | include ssh命令:H3Cdis cur | include ssh ssh server enable service-type ssh ssh 服务为en

13、able状态表明符合安全要求。第3章 日志安全要求3.1 日志安全3.1.1 启用信息中心1、安全基线名称:启用信息中心2、安全基线编号:SBL-H3C-03-01-013、安全基线说明:启用信息中心,记录与设备相关的事件。4、参考配置操作:H3Cinfo-center enable5、安全判定条件:(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。(2)记录用户登录设备后所进行的所有操作。6、检测操作:使用dis info-center有显示Information Center: Enabled类似信息,如:H

14、3Cdis info-center Information Center: EnabledConsole: EnabledMonitor: EnabledLog host: Enabled 10.1.0.20, port number: 514, host facility: local7 10.1.0.95, port number: 514, host facility: local7 10.1.0.99, port number: 514, host facility: local7Log buffer: Enabled Max buffer size 1024, current buf

15、fer size 512 Current messages 512, dropped messages 0, overwritten messages 3736Log file: EnabledSecurity log file: DisabledInformation timestamp format: Log host: Date Other output destination: Date3.1.2 开启NTP服务保证记录的时间的准确性1、安全基线名称:日志记录时间准确性2、安全基线编号:SBL-H3C-03-01-023、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。4

16、、参考配置操作:配置ntp客户端,服务器地址为192.168.1.1:H3Cntp-service enableH3Cntp-service unicast-server 192.168.1.15、安全判定条件:日志记录时间准确。6、检测操作:H3Cdis cur | include ntp ntp-service enable ntp-service unicast-server 192.168.1.13.1.3 远程日志功能*1、安全基线名称:远程日志功能2、安全基线编号:SBL-H3C-03-01-033、安全基线说明:配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。4、参考

17、配置操作:H3Cinfo-center loghost *.*.*.* /配置接收日志的服务器地址H3Cinfo-center source default loghost level emergency /配置发送的日志级别5、安全判定条件:日志服务器能够正确接收网络设备发送的日志。6、检测操作:使用命令dis cur | include info-center查看:H3Cdis cur | include info-center undo copyright-info enable info-center loghost 10.1.0.20 info-center loghost 10.1

18、.0.95 info-center loghost 10.1.0.99 info-center source default loghost level emergency第4章 IP协议安全要求4.1 IP协议4.1.1 VRRP认证1、安全基线名称:VRRP认证2、安全基线编号:SBL-H3C-04-01-013、安全基线说明:VRRP启用认证,防止非法设备加入到VRRP组中。4、安全判定条件:查看VRRP组,只存在正确的设备。5、检测操作:使用命令dis vrrp4.1.2 系统远程服务只允许特定地址访问1、安全基线名称:系统远程服务只允许特定地址访问2、安全基线编号:SBL-H3C-0

19、4-01-023、安全基线说明:设备以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置设备,只允许特定主机访问。4、参考配置操作:通过配置访问控制列表ACL,只允许特定的地址访问设备的服务,如:H3Cacl advanced 3000H3C-acl-ipv4-adv-3000 rule 0 permit tcp source 10.18.54.12 0 destination 10.1.0.50 0 destination-port eq 443H3C-acl-ipv4-adv-3000 rule

20、65534 deny ip5、安全判定条件:在相关端口上绑定相应的ACL。6、检测操作:使用dis cur命令查看:#interface Vlan-interface10 ip address 10.1.0.50 255.255.255.0 packet-filter 3000 inbound#4.2 功能配置4.2.1 SNMP的Community默认通行字口令强度1、安全基线名称:SNMP协议的community团体字2、安全基线编号:SBL-H3C-04-02-013、安全基线说明:修改SNMP的community默认团体字,字符串应符合口令强度要求。4、参考配置操作:H3Csnmp-a

21、gent community read H3C snmp-agent community write 5、安全判定条件:Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。6、检测操作:使用命令dis cur | include snmp查看:H3Cdis cur | include snmp snmp-agent snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun_readsnmp-agent community

22、write xiangyun_write snmp-agent sys-info version v3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp7、补充:若设备不需要使用SNMP协议应关闭SNMP功能,若需要用到应使用V2版本以上的SNMP协议。4.2.2 只与特定主机进行SNMP协议交互1、安全基线名称:只与特定主机进行SNMP协议交互2、安全基线编号:SBL-H3C-04-02-023、安全基线说明:设备只与特定主机进行SNMP协议交互4、参考配置操作:使用ACL限

23、制只与特定主机进行SNMP交互H3Cacl advanced name acl_snmpH3C-acl-ipv4-adv-acl_snmprule permit ip source 11.11.1.10 0H3C-acl-ipv4-adv-acl_snmprule deny ip source anyH3Csnmp-agent community read xiangyun acl name acl_snmp5、安全判定条件:Snmp绑定了acl6、检测操作:使用dis cur | include snmp命令查看:H3Cdis cur | include snmp snmp-agent sn

24、mp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun snmp-agent sys-info version 3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp snmp-agent community read xiangyun acl name acl_snmp4.2.3 配置SNMPV2或以上版本1、安全基线名称:配置SNMPv2或以上版本2、安

25、全基线编号:SBL-H3C-04-02-033、安全基线说明:系统应配置SNMPv2或以上版本4、参考配置操作:H3Csnmp-agent sys-info version v35、安全判定条件:系统可以成功使用snmpv2或v3版本协议。6、检测操作:使用dis cur | include snmp命令查看:H3Cdis cur | include snmp.snmp-agent sys-info version 3.4.2.4 关闭未使用的SNMP协议及未使用write权限1、安全基线名称:关闭未使用的SNMP协议及未使用write权限2、安全基线编号:SBL-H3C-04-02-043、

26、安全基线说明:系统应及时关闭未使用的SNMP协议及未使用write权限4、参考配置操作:H3Cundo snmp-agent community pipaxing5、安全判定条件:Snmp权限为read。6、检测操作:使用dis cur | include snmp命令查看,权限只有read:H3Cdis cur | include snmp.snmp-agent community read xiangyun.第5章 其他安全要求5.1 其他安全配置5.1.1 关闭未使用的接口1、安全基线名称:关闭未使用的接口2、安全基线编号:SBL-H3C-05-01-013、安全基线说明:关闭未使用的接

27、口4、参考配置操作:H3Cint g1/0/10H3C-GigabitEthernet1/0/10shutdown5、安全判定条件:未使用接口应该管理员down。6、检测操作:H3Cdis cur.# interface GigabitEthernet1/0/10 port link-mode bridge combo enable fiber shutdown#.5.1.2 修改设备缺省BANNER语1、安全基线名称:修改设备缺省BANNER语2、安全基线编号:SBL-H3C-05-01-023、安全基线说明:要修改设备缺省BANNER语,BANNER最好不要有系统平台或地址等有碍安全的信息

28、。4、参考配置操作:H3Cheader login Please input banner content, and quit with the character %.5、安全判定条件:欢迎界面、提示符等不包含敏感信息。6、检测操作:通过远程登录或console口登录查看设备提示信息。5.1.3 配置定时账户自动登出1、安全基线名称:配置账号定时自动退出 2、安全基线编号:SBL-H3C-05-01-033、安全基线说明:如Telnet、ssh、console登录连接超时退出4、参考配置操作:配置vty登录3分钟无操作自动退出:H3C user-interface vty 0 4H3C-li

29、ne-vty0-4idle-timeout 35、安全判定条件:每种登录方式均设备了超时退出时间。6、检测操作:使用dis cur查看:H3Cdis cur#line vty 0 4 authentication-mode scheme user-role level-4 idle-timeout 3 0#5.1.4 配置console口密码保护功能1、安全基线名称:配置console口密码保护2、安全基线编号:SBL-H3C-05-01-043、安全基线说明:配置console口密码保护4、参考配置操作:H3Cuser-interface aux 0H3C-line-aux0authenti

30、cation-mode passwordH3C-line-aux0set authentication password simple admin1235、安全判定条件:通过console口登录,确认需要密码。6、检测操作:使用命令dis cur查看:H3Cdis cur#line aux 0 authentication-mode password user-role network-admin set authentication password hash $h$6$QpooKvn4vB7WJP7u/J9oscewiEEVfvQ=#5.1.5 端口与实际应用相符1、安全基线名称:端口与实

31、际应用相符2、安全基线编号:SBL-H3C-05-01-053、安全基线说明:系统使用的端口默认无描述,安全事件处理及后期日志查询较为不变,出于安全考虑,应该将使用的端口添加符合实际应用的描述。4、参考配置操作:H3Cint g1/0/10H3C-GigabitEthernet1/0/10description shangxinag5、安全判定条件:正在使用的端口配置了相应的描述。6、检测操作:使用dis cur命令查看对应使用的端口是否有描述:H3Cdis cur.#interface GigabitEthernet1/0/10 port link-mode bridge description shangxinag combo enable fiber#

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 教案示例

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知得利文库网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号-8 |  经营许可证:黑B2-20190332号 |   黑公网安备:91230400333293403D

© 2020-2023 www.deliwenku.com 得利文库. All Rights Reserved 黑龙江转换宝科技有限公司 

黑龙江省互联网违法和不良信息举报
举报电话:0468-3380021 邮箱:hgswwxb@163.com