Huawei路由安全配置基線.doc

Huawei 路由器安全配置基線 第 0 頁 共 27 頁 HuaweiHuawei 路由器安全配置基線路由器安全配置基線 Huawei 路由器安全配置基線 第 1 頁 共 27 頁 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人審批人審批人 V1 0創(chuàng)建2009 年 1 月 V2 0更新2012 年 4 月 備注 備注 1 若此文檔需要日后更新 請創(chuàng)建人填寫版本控制表格 否則刪除版本控制表格 Huawei 路由器安全配置基線 第 2 頁 共 27 頁 目目 錄錄 第第 1 章章概述概述 5 1 1目的 5 1 2目的 5 1 3適用范圍 5 1 4適用版本 5 1 5實(shí)施 5 1 6例外條款 5 第第 2 章章華為路由其設(shè)備配置安全要求華為路由其設(shè)備配置安全要求 6 2 1帳號管理 6 2 1 1用戶帳號分配 6 2 1 2刪除無關(guān)的帳號 7 2 1 3限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄 7 2 2口令 8 2 2 1口令復(fù)雜度 8 2 2 2靜態(tài)口令加密保存 9 2 2 3根據(jù)用戶的業(yè)務(wù)需要配置其所需最小權(quán)限 10 2 2 4帳號 口令和授權(quán)的強(qiáng)制要求 11 第第 3 章章日志配置日志配置 13 3 1日志配置 13 3 1 1記錄用戶操作 13 3 1 2記錄設(shè)備的安全事件 14 3 1 3遠(yuǎn)程日志功能 14 3 1 4保證日志功能記錄的時(shí)間準(zhǔn)確性 15 3 1 5日志記錄內(nèi)容要求 16 第第 4 章章IP 協(xié)議協(xié)議 17 4 1IP 協(xié)議 17 4 1 1遠(yuǎn)程維護(hù)的設(shè)備配置加密協(xié)議 17 4 1 2動態(tài)路由協(xié)議口令要求配置MD5加密 18 4 1 3制定路由策略 19 4 1 4關(guān)閉未使用的SNMP協(xié)議及未使用RW權(quán)限 20 4 1 5Community默認(rèn)通行字應(yīng)符合口令強(qiáng)度要求 20 4 1 6配置SNMPV2或以上版本 21 4 1 7SNMP訪問安全限制 22 4 1 8ACL配置 22 4 1 9配置URPF 24 4 1 10打開LDP協(xié)議認(rèn)證功能 24 第第 5 章章其他配置其他配置 26 5 1其他配置 26 Huawei 路由器安全配置基線 第 3 頁 共 27 頁 5 1 1關(guān)閉未使用的端口 26 5 1 2配置定時(shí)賬戶自動登出 26 5 1 3配置consol口密碼保護(hù)功能 27 5 1 4關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù) 28 5 1 5系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問 28 5 1 6端口與實(shí)際應(yīng)用相符 29 5 1 7防ARP欺騙攻擊 30 第第 6 章章評審與修訂評審與修訂 31 Huawei 路由器安全配置基線 第 4 頁 共 27 頁 第第 1 章章概述概述 1 1 目的目的 1 2 目的目的 本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行 Huawei 路由器的安全配置 1 3 適用范圍適用范圍 本配置標(biāo)準(zhǔn)的使用者包括 網(wǎng)絡(luò)管理員 網(wǎng)絡(luò)安全管理員 網(wǎng)絡(luò)監(jiān)控人員 1 4 適用版本適用版本 Huawei 路由器 1 5 實(shí)施實(shí)施 1 6 例外條款例外條款 Huawei 路由器安全配置基線 第 5 頁 共 27 頁 第第 2 章章華為路由其設(shè)備配置安全要求華為路由其設(shè)備配置安全要求 2 1 帳號管理帳號管理 2 1 1 用戶帳號分配用戶帳號分配 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 用戶帳號分配安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 02 01 01 安全基線項(xiàng)安全基線項(xiàng) 說明說明 應(yīng)按照用戶分配帳號 避免不同用戶間共享帳號 避免用戶帳號和設(shè)備間通 信使用的帳號共享 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 aaa local user user1 password cipher PWD1 local user user1 service type telnet local user user2 password cipher PWD2 local user user2 service type ftp user interface vty 0 4 authentication mode aaa 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 用配置中沒有的用戶名去登錄 結(jié)果是不能登錄 2 2 參考檢測操作參考檢測操作 display current configuration configuration aaa 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 需要手工檢查 由管理員確認(rèn)帳號分配關(guān)系 Huawei 路由器安全配置基線 第 6 頁 共 27 頁 2 1 2 刪除無關(guān)的帳號刪除無關(guān)的帳號 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 工作無關(guān)的帳號安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 02 01 02 安全基線項(xiàng)安全基線項(xiàng) 說明說明 應(yīng)刪除與設(shè)備運(yùn)行 維護(hù)等工作無關(guān)的帳號 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 aaa undo local user test 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 配置中用戶信息被刪除 2 2 參考檢測操作參考檢測操作 display current configuration configuration aaa 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 需要手工檢查 由管理員判斷是否存在無關(guān)帳號 2 1 3 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 02 01 03 安全基線項(xiàng)安全基線項(xiàng) 說明說明 限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄 遠(yuǎn)程執(zhí)行管理員權(quán)限操作 應(yīng)先以普 通權(quán)限用戶遠(yuǎn)程登錄后 再切換到管理員權(quán)限帳號后執(zhí)行相應(yīng)操作 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 super password level 3 cipher superPWD Huawei 路由器安全配置基線 第 7 頁 共 27 頁 aaa local user user1 password cipher PWD1 local user user1 service type telnet local user user1 level 2 user interface vty 0 4 authentication mode aaa 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 用戶用相應(yīng)的操作權(quán)限登錄設(shè)備后 不具有最高權(quán)限級別 3 這時(shí)有些操作 不能做 例如修改 aaa 的配置 這時(shí)如果想使用管理員權(quán)限必須提高用戶級 別 2 2 參考檢測操作參考檢測操作 display current configuration configuration aaa 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 2 2 口令口令 2 2 1 口令復(fù)雜度口令復(fù)雜度 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 靜態(tài)口令長度安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 02 02 01 安全基線項(xiàng)安全基線項(xiàng) 說明說明 對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備 口令長度至少 8 位 并包括數(shù)字 小寫 字母 大寫字母和特殊符號四類中至少兩類 且 5 次以內(nèi)不得設(shè)置相同的口 令 密碼應(yīng)至少每 90 天進(jìn)行更換 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 aaa Huawei 路由器安全配置基線 第 8 頁 共 27 頁 local user user1 password cipher NumABC 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 查看用戶的口令長度是否至少 8 位 并包括數(shù)字 小寫字母 大寫字母和特 殊符號 4 類中至少 2 類 對于加密的口令 通過登陸檢測 2 2 參考檢測操作參考檢測操作 display current configuration configuration aaa 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 2 2 2 靜態(tài)口令加密保存靜態(tài)口令加密保存 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 靜態(tài)口令加密保存安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 02 02 02 安全基線項(xiàng)安全基線項(xiàng) 說明說明 靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 super password level 3 cipher N C55QK Q Q MAF4 1 local user 8011 password cipher N C55QK Q Q MAF4 1 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 用戶的加密口令在 buildrun 中顯示的密文 2 2 參考檢測操作參考檢測操作 display current configuration configuration aaa Huawei 路由器安全配置基線 第 9 頁 共 27 頁 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 2 2 3 根據(jù)用戶的業(yè)務(wù)需要配置其所需最小權(quán)限根據(jù)用戶的業(yè)務(wù)需要配置其所需最小權(quán)限 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 根據(jù)用戶的業(yè)務(wù)需要配置其所需最小權(quán)限安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 02 02 03 安全基線項(xiàng)安全基線項(xiàng) 說明說明 在設(shè)備權(quán)限配置能力內(nèi) 根據(jù)用戶的業(yè)務(wù)需要 配置其所需的最小權(quán)限 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 aaa local user 8011 password cipher 8011 local user 8011 service type telnet local user 8011 level 0 user interface vty 0 4 authentication mode aaa 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 查看所有用戶的級別都配置為其所需的最小權(quán)限 1 1 參考檢測操作參考檢測操作 display current configuration configuration aaa 2 2 補(bǔ)充說明補(bǔ)充說明 無 備注備注 Huawei 路由器安全配置基線 第 10 頁 共 27 頁 2 2 4 帳號 口令和授權(quán)的強(qiáng)制要求帳號 口令和授權(quán)的強(qiáng)制要求 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 帳號 口令和授權(quán)的強(qiáng)制要求安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 02 02 04 安全基線項(xiàng)安全基線項(xiàng) 說明說明 設(shè)備通過相關(guān)參數(shù)配置 與認(rèn)證系統(tǒng)聯(lián)動 滿足帳號 口令和授權(quán)的強(qiáng)制要 求 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 對遠(yuǎn)程登錄用戶先用RADIUS服務(wù)器進(jìn)行認(rèn)證 如果沒有響應(yīng) 則不認(rèn)證 認(rèn)證服務(wù)器IP地址為129 7 66 66 無備用服務(wù)器 端口號為默認(rèn)值1812 配置 RADIUS 服務(wù)器模板 Router radius server template shiva 配置 RADIUS 認(rèn)證服務(wù)器 IP 地址和端口 Router radius shiva radius server authentication 129 7 66 66 1812 配置 RADIUS 服務(wù)器密鑰 重傳次數(shù) Router radius shiva radius server shared key it is my secret Router radius shiva radius server retransmit 2 Router radius shiva quitquit 進(jìn)入 AAA 視圖 Router aaaaaa 配置認(rèn)證方案 r n 認(rèn)證方法為先 RADIUS 如果沒有響應(yīng) 則不認(rèn)證 Router aaa authentication scheme r n Router aaa authen r n authentication mode radius none Router aaa authen r n quitquit 配置 default 域 在域下采用 r n 認(rèn)證方案 缺省的計(jì)費(fèi)方案 不計(jì)費(fèi) shiva 的 RADIUS 模板 Router aaa domain default Router aaa domain default authentication scheme r n Router aaa domain default radius serverradius server shivashiva 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 對遠(yuǎn)程登陸用戶先用 RADIUS 服務(wù)器進(jìn)行認(rèn)證 非法用戶不可以登錄 2 2 參考檢測操作參考檢測操作 Huawei 路由器安全配置基線 第 11 頁 共 27 頁 display current configuration 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 Huawei 路由器安全配置基線 第 12 頁 共 27 頁 第第 3 章章日志配置日志配置 3 1 日志配置日志配置 3 1 1 記錄用戶操作記錄用戶操作 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 記錄用戶操作安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 03 01 01 安全基線項(xiàng)安全基線項(xiàng) 說明說明 設(shè)備應(yīng)配置日志功能 記錄用戶對設(shè)備的操作 例如 帳號創(chuàng)建 刪除和權(quán) 限修改 口令修改 讀取和修改設(shè)備配置 讀取和修改業(yè)務(wù)用戶的計(jì)費(fèi)數(shù)據(jù) 身份數(shù)據(jù) 涉及通信隱私數(shù)據(jù) 記錄需要包含用戶帳號 操作時(shí)間 操作內(nèi) 容以及操作結(jié)果 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 info center logbuffer channel 4 2 2 補(bǔ)充說明 補(bǔ)充說明 在系統(tǒng)模式下進(jìn)行操作 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 對設(shè)備的操作會記錄在日志中 2 2 參考檢測操作參考檢測操作 display logbuffer 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 Huawei 路由器安全配置基線 第 13 頁 共 27 頁 3 1 2 記錄設(shè)備記錄設(shè)備的安全事件的安全事件 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 記錄設(shè)備的安全事件安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 03 01 02 安全基線項(xiàng)安全基線項(xiàng) 說明說明 設(shè)備應(yīng)配置日志功能 記錄對與設(shè)備相關(guān)的安全事件 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 info center enable 2 2 補(bǔ)充說明 補(bǔ)充說明 在系統(tǒng)模式下進(jìn)行操作 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 在日志緩存上正確記錄了日志信息 2 2 參考檢測操作參考檢測操作 display logbuffer 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 3 1 3 遠(yuǎn)程日志功能遠(yuǎn)程日志功能 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 遠(yuǎn)程日志功能安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 03 01 03 安全基線項(xiàng)安全基線項(xiàng) 說明說明 設(shè)備應(yīng)支持遠(yuǎn)程日志功能 所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩?服務(wù)器 設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口 如 SYSLOG FTP 等 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 info center loghost 202 38 1 10 facility local4 language english Huawei 路由器安全配置基線 第 14 頁 共 27 頁 2 2 補(bǔ)充說明 補(bǔ)充說明 在系統(tǒng)模式下進(jìn)行操作 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 是否正確配置了相應(yīng)的日志服務(wù)器地址 日志服務(wù)器正確記錄了日志信息 2 2 參考檢測操作參考檢測操作 display current configuration 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 建議核心設(shè)備必選 其它根據(jù)實(shí)際情況啟用 3 1 4 保證日志功能記錄的時(shí)間準(zhǔn)確性保證日志功能記錄的時(shí)間準(zhǔn)確性 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 保證日志功能記錄的時(shí)間準(zhǔn)確性安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 03 01 04 安全基線項(xiàng)安全基線項(xiàng) 說明說明 開啟 NTP 服務(wù) 保證日志功能記錄的時(shí)間的準(zhǔn)確性 路由器與 NTP SERVER 之間要開啟認(rèn)證功能 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 ntp service authentication keyid 1 authentication mode md5 N C55QK Q Q MAF4 1 ntp service unicast server 2 2 2 2 authentication keyid 1 2 2 補(bǔ)充說明 補(bǔ)充說明 在系統(tǒng)模式下進(jìn)行操作 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 本地時(shí)鐘與時(shí)鐘源同步 2 2 參考檢測操作參考檢測操作 disp ntp service status 3 3 補(bǔ)充說明補(bǔ)充說明 Huawei 路由器安全配置基線 第 15 頁 共 27 頁 無 備注備注 3 1 5 日志記錄內(nèi)容要求日志記錄內(nèi)容要求 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 日志記錄內(nèi)容安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 03 01 05 安全基線項(xiàng)安全基線項(xiàng) 說明說明 設(shè)備應(yīng)配置日志功能 對用戶登錄進(jìn)行記錄 記錄內(nèi)容包括用戶登錄使用的 帳號 登錄是否成功 登錄時(shí)間 以及遠(yuǎn)程登錄時(shí) 用戶使用的 IP 地址 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 info center console channel 0 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 在日志緩存上正確記錄了日志信息 2 2 參考檢測操作參考檢測操作 display logbuffer 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 Huawei 路由器安全配置基線 第 16 頁 共 27 頁 第第 4 章章IP 協(xié)議協(xié)議 4 1 IP 協(xié)議協(xié)議 4 1 1 遠(yuǎn)程維護(hù)的設(shè)備配置加密協(xié)議遠(yuǎn)程維護(hù)的設(shè)備配置加密協(xié)議 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 遠(yuǎn)程維護(hù)的設(shè)備配置加密協(xié)議安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 01 安全基線項(xiàng)安全基線項(xiàng) 說明說明 對于使用 IP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備 設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 rsa peer public key quidway002 public key code begin 308186028180739A291ABDA704F5D93DC8FDF84C427463199 1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9 C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0 E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8 28D55A36F1CDDC4BB45504F020125 public key code end peer public key end aaa local user client001 password simple huawei local user client002 password simple quidway authentication scheme default authorization scheme default accounting scheme default domain default ssh user client002 assign rsa key quidway002 ssh user client001 authentication type password Huawei 路由器安全配置基線 第 17 頁 共 27 頁 ssh user client002 authentication type RSA user interface con 0 user interface vty 0 4 authentication mode aaa protocol inbound ssh 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 通過抓包確定 ssh 登錄的信息為加密信息 2 2 參考檢測操作參考檢測操作 disp current configuration begin ssh 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 4 1 2 動態(tài)路由協(xié)議口令要求配置動態(tài)路由協(xié)議口令要求配置 MD5 加密加密 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 動態(tài)路由協(xié)議口令要求配置 MD5 加密安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 02 安全基線項(xiàng)安全基線項(xiàng) 說明說明 動態(tài)路由協(xié)議口令要求配置 MD5 加密 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 ospf 2 area 0 0 0 0 authentication mode md5 1 cipher N C55QK Q Q MAF4 1 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 Md5 驗(yàn)證不通過的 ospf 鄰居建立部不成功 Huawei 路由器安全配置基線 第 18 頁 共 27 頁 2 2 參考檢測操作參考檢測操作 display current configuration configuration ospf 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 手工檢查 4 1 3 制定路由策略制定路由策略 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 制定路由策略安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 03 安全基線項(xiàng)安全基線項(xiàng) 說明說明 制定路由策略 禁止發(fā)布或接收不安全的路由信息 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 acl number 2000 rule 5 permit source 2 2 2 2 0 route policy dd permit node 0 if match acl 2000 ospf 2 area 0 0 0 0 authentication mode md5 1 cipher N C55QK Q Q MAF4 1 filter route policy dd import 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 被禁止接收和發(fā)布的路由成功 2 2 參考檢測操作參考檢測操作 display current configuration configuration ospf display route policy 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 Huawei 路由器安全配置基線 第 19 頁 共 27 頁 4 1 4 關(guān)閉未使用的關(guān)閉未使用的 SNMP 協(xié)議及未使用協(xié)議及未使用 RW 權(quán)限權(quán)限 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 關(guān)閉未使用的 SNMP 協(xié)議及未使用 RW 權(quán)限安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 04 安全基線項(xiàng)安全基線項(xiàng) 說明說明 系統(tǒng)應(yīng)關(guān)閉未使用的 SNMP 協(xié)議及未使用 RW 權(quán)限 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 Undo snmp enable undo snmp agent community RWuser 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 關(guān)閉 snmp 的設(shè)備不能被網(wǎng)管檢測到 關(guān)閉寫權(quán)限的設(shè)備不能進(jìn)行 set 操作 2 2 參考檢測操作參考檢測操作 display current configuration 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 4 1 5 Community 默認(rèn)通行字應(yīng)符合口令強(qiáng)度要求默認(rèn)通行字應(yīng)符合口令強(qiáng)度要求 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 SNMP 的 Community 默認(rèn)通行字應(yīng)符合口令強(qiáng)度要求安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 05 安全基線項(xiàng)安全基線項(xiàng) 說明說明 系統(tǒng)應(yīng)修改 SNMP 的 Community 默認(rèn)通行字 通行字應(yīng)符合口令強(qiáng)度要求 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 snmp agent community read XXXX01 Huawei 路由器安全配置基線 第 20 頁 共 27 頁 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 系統(tǒng)成功修改 SNMP 的 Community 為用戶定義口令 非常規(guī) private 或者 public 并且符合口令強(qiáng)度要求 2 2 參考檢測操作參考檢測操作 display current configuration 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 4 1 6 配置配置 SNMPV2 或以上版本或以上版本 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 配置 SNMPV2 或以上版本安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 06 安全基線項(xiàng)安全基線項(xiàng) 說明說明 系統(tǒng)應(yīng)配置為 SNMPV2 或以上版本 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 snmp agent sys info version v3 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 成功使能 snmpv2c 和 v3 版本 2 2 參考檢測操作參考檢測操作 display current configuration 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 Huawei 路由器安全配置基線 第 21 頁 共 27 頁 4 1 7 SNMP 訪問安全限制訪問安全限制 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 設(shè)置 SNMP 訪問安全限制安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 07 安全基線項(xiàng)安全基線項(xiàng) 說明說明 設(shè)置 SNMP 訪問安全限制 只允許特定主機(jī)通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 snmp agent community read XXXX01 acl 2000 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 通過設(shè)定 acl 來成功過濾特定的源才能進(jìn)行訪問 2 2 參考檢測操作參考檢測操作 display current configuration 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 4 1 8 ACL 配置配置 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 通過 ACL 配置對常見的漏洞攻擊及病毒報(bào)文進(jìn)行過濾安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 08 安全基線項(xiàng)安全基線項(xiàng) 說明說明 通過 ACL 配置對常見的漏洞攻擊及病毒報(bào)文進(jìn)行過濾 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 acl number 20000 rule tcp source 1 1 1 1 0 0 0 0 destination 2 2 2 2 0 0 0 0 source port eq ftp data destination port eq 30 traffic classifier dd if match acl 20000 traffic behavior dd Huawei 路由器安全配置基線 第 22 頁 共 27 頁 deny traffic policy dd classifier dd behavior dd precedence 0 interface GigabitEthernet4 0 0 undo shutdown ip address 4 4 4 4 255 255 255 0 traffic policy dd inbound 2 2 補(bǔ)充說明 補(bǔ)充說明 如下配置為常見病毒防御 Acl number 100 用于控制 Blaster 蠕蟲的傳播 rule 1 deny tcp source any destion any destination eq 4444 rule 2 deny udp source any destion any destination eq 69 用于控制 Blaster 蠕蟲的掃描和攻擊 rule 3 deny tcp source any destion any destination eq 135 rule 4 deny udp source any destion any destination eq 135 rule 5 deny tcp source any destion any destination eq 139 rule 6 deny udp source any destion any destination eq 139 rule 7 deny tcp source any destion any destination eq 445 rule 8 deny udp source any destion any destination eq 445 rule 9 deny tcp source any destion any destination eq 593 rule 10 deny udp source any destion any destination eq 593 用于控制 Slammer 蠕蟲的傳播 rule 11 deny udp source any destion any destination eq 1434 用于控制震蕩波的傳播 rule 12 deny tcp source any destination any destination port eq 5554 rule 13 deny tcp source any destination any destination port eq 9995 rule 14 deny tcp source any destination any destination port eq 9996 其他 rule 15 deny udp destination port eq netbios ns rule 16 deny udp destination port eq netbios dgm 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 存在攻擊流時(shí) 非法報(bào)文被過濾 2 2 參考檢測操作參考檢測操作 display traffic polic 3 3 補(bǔ)充說明補(bǔ)充說明 Huawei 路由器安全配置基線 第 23 頁 共 27 頁 無 備注備注 4 1 9 配置配置 URPF 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 配置 URPF 防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 09 安全基線項(xiàng)安全基線項(xiàng) 說明說明 條件允許情況下 端口配置 URPF Unicast Reverse Path Forwarding 即單 播反向路徑查找 其主要功能是防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 interface GigabitEthernet4 0 1 undo shutdown ip address 172 136 1 1 255 255 255 0 ip urpf strict 2 2 補(bǔ)充說明 補(bǔ)充說明 接口模式下操作 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 非法攻擊報(bào)文被成功過濾 2 2 參考檢測操作參考檢測操作 display current configuration interface 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 4 1 10打開打開 LDP 協(xié)議認(rèn)證功能協(xié)議認(rèn)證功能 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 打開 LDP 協(xié)議認(rèn)證功能安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 04 01 10 安全基線項(xiàng)安全基線項(xiàng) 說明說明 啟用 LDP 標(biāo)簽分發(fā)協(xié)議時(shí) 打開 LDP 協(xié)議認(rèn)證功能 如 MD5 加密 確保 與可信方進(jìn)行 LDP 協(xié)議交互 Huawei 路由器安全配置基線 第 24 頁 共 27 頁 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 Mpls ldp md5 password chiper LDPpwdMd5 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 認(rèn)證不匹配的 ldp 鄰居不能成功建立 2 2 參考檢測操作參考檢測操作 display current configuration configuration mpls 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注根據(jù)應(yīng)用場景的不同 如部署場景需開啟此功能 則強(qiáng)制要求此項(xiàng) Huawei 路由器安全配置基線 第 25 頁 共 27 頁 第第 5 章章其他配置其他配置 5 1 其他配置其他配置 5 1 1 關(guān)閉未使用的端口關(guān)閉未使用的端口 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 關(guān)閉未使用的端口安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 05 01 01 安全基線項(xiàng)安全基線項(xiàng) 說明說明 關(guān)閉未使用的端口 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 HW Ethernet3 0 0 shutdown 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 未使用端口狀態(tài)為 admin down 2 2 參考檢測操作參考檢測操作 Display interface 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注手工檢查 5 1 2 配置定時(shí)賬戶自動登出配置定時(shí)賬戶自動登出 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 配置定時(shí)賬戶自動登出安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 05 01 02 安全基線項(xiàng)安全基線項(xiàng) 配置定時(shí)賬戶自動登出 登出后用戶需再次登錄才能進(jìn)入系統(tǒng) Huawei 路由器安全配置基線 第 26 頁 共 27 頁 說明說明 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 user interface vty 0 4 idle timeout 5 0 user interface con 0 idle timeout 5 0 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 在超出設(shè)定時(shí)間后 用戶自動登出設(shè)備 2 2 參考檢測操作參考檢測操作 display current configuration configuration user interface 3 3 補(bǔ)充說明補(bǔ)充說明 無 備注備注 5 1 3 配置配置 consol 口密碼保護(hù)功能口密碼保護(hù)功能 安全基線項(xiàng)安全基線項(xiàng) 目名稱目名稱 consol 口密碼保護(hù)功能安全基線要求項(xiàng) 安全基線編安全基線編 號號 SBL HuaweiRouter 05 01 03 安全基線項(xiàng)安全基線項(xiàng) 說明說明 配置 consol 口密碼保護(hù)功能 檢測操作步檢測操作步 驟驟 1 1 參考配置操作 參考配置操作 user interface con 0 set authentication password cipher consolPWD 2 2 補(bǔ)充說明 補(bǔ)充說明 無 基線符合性基線符合性 判定依據(jù)判定依據(jù) 1 1 判定條件判定條件 用 consol 口登錄 密碼輸入錯誤 不能登錄 Huawei 路由器安全配置基線 第 27 頁 共 27 頁 2 2 參考檢測操作參考檢測操作 display current configuration configuration user interface 3