HC交換機(jī)安全配置基線_第1頁
HC交換機(jī)安全配置基線_第2頁
HC交換機(jī)安全配置基線_第3頁
HC交換機(jī)安全配置基線_第4頁
HC交換機(jī)安全配置基線_第5頁
已閱讀5頁,還剩13頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、H3C交換機(jī)安全配置基線版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注:1. 若此文檔需要日后更新,請(qǐng)創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。目 錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實(shí)施11.5例外條款1第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求22.1帳號(hào)2配置默認(rèn)級(jí)別*22.2口令3密碼認(rèn)證登錄3設(shè)置訪問級(jí)密碼4加密口令4第3章日志安全要求63.1日志安全6配置遠(yuǎn)程日志服務(wù)器6第4章IP協(xié)議安全要求74.1IP協(xié)議7使用SSH加密管理7系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問7第5章SNMP安全要求95.1SNMP安全9修改SNMP默認(rèn)通行字9使用SN

2、MPV2或以上版本9SNMP訪問控制10第6章其他安全要求126.1其他安全配置12關(guān)閉未使用的端口12帳號(hào)登錄超時(shí)12關(guān)閉不需要的服務(wù)*13第7章評(píng)審與修訂15第1章 概述1.1 目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行H3C交換機(jī)的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括:網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3 適用版本H3C交換機(jī)。1.4 實(shí)施1.5 例外條款第2章 帳號(hào)管理、認(rèn)證授權(quán)安全要求2.1 帳號(hào)2.1.1 配置默認(rèn)級(jí)別*安全基線項(xiàng)目名稱配置默認(rèn)級(jí)別安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-01-01 安全基線項(xiàng)說明 交換機(jī)命令級(jí)別共分為訪問、監(jiān)控、

3、系統(tǒng)、管理4 個(gè)級(jí)別,分別對(duì)應(yīng)標(biāo)識(shí)0、1、2、3。配置登錄默認(rèn)級(jí)別為訪問級(jí)(0-VISIT)檢測(cè)操作步驟1、參考配置操作user-interface aux 0 8authentication-mode password user privilege level 0 set authentication password cipher xxxuser-interface vty 0 4authentication-mode password user privilege level 0 set authentication password cipher xxx2、補(bǔ)充說明無?;€符合性判定依

4、據(jù)1、 判定條件用配置中沒有的用戶名去登錄,結(jié)果是不能登錄2、 參考檢測(cè)操作<H3C>display current-configuration3、 補(bǔ)充說明無。備注手工檢查2.2 口令2.2.1 密碼認(rèn)證登錄安全基線項(xiàng)目名稱密碼認(rèn)證登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-01 安全基線項(xiàng)說明 通過控制臺(tái)和遠(yuǎn)程終端,需要密碼才能登錄. 口令長度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟1、參考配置操作user-interface aux 0 8authenti

5、cation-mode passworduser privilege level 0 set authentication password cipher xxxuser-interface vty 0 4authentication-mode password /或authentication-mode scheme user privilege level 0 set authentication password cipher xxx2、補(bǔ)充說明無?;€符合性判定依據(jù)1、 判定條件用配置中沒有的用戶名去登錄,結(jié)果是不能登錄2、 參考檢測(cè)操作<H3C>display curre

6、nt-configuration3、 補(bǔ)充說明無。備注2.2.2 設(shè)置訪問級(jí)密碼安全基線項(xiàng)目名稱設(shè)置訪問級(jí)密碼安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-02 安全基線項(xiàng)說明 用戶可以無條件切換到比當(dāng)前低的用戶級(jí)別,但是當(dāng)使用AUX 或VTY 用戶界面登錄,并且從低級(jí)別往高級(jí)別切換時(shí),需要輸入級(jí)別切換密碼(級(jí)別切換密碼可以通過 super password 命令設(shè)置)。如果輸入的密碼錯(cuò)誤或者沒有配置級(jí)別切換密碼,切換操作失敗。因此,在進(jìn)行切換操作前,請(qǐng)先配置級(jí)別切換密碼。檢測(cè)操作步驟1、參考配置操作<Sysname> system-view Sysname s

7、uper password level 1 cipher password1Sysname super password level 2 cipher password2Sysname super password level 3 cipher password32、補(bǔ)充說明無?;€符合性判定依據(jù)1、 判定條件Sysname display current-configuration 備注2.2.3 加密口令安全基線項(xiàng)目名稱加密口令安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-03 安全基線項(xiàng)說明 靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測(cè)操作步驟1、參考配

8、置操作user-interface aux 0 8 user privilege level 0 set authentication password cipher xxxuser-interface vty 0 4 user privilege level 0 set authentication password cipher xxxsuper password level 1 cipher password1super password level 2 cipher password2super password level 3 cipher password3基線符合性判定依據(jù)1.

9、判定條件用戶的加密口令在config文件中顯示的密文。2. 參考檢測(cè)操作display current-configuration 備注第3章 日志安全要求3.1 日志安全3.1.1 配置遠(yuǎn)程日志服務(wù)器安全基線項(xiàng)目名稱配置遠(yuǎn)程日志服務(wù)器安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-03-01-01 安全基線項(xiàng)說明 設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口,如SYSLOG、FTP等。檢測(cè)操作步驟1、參考配置操作h3c info-center enableh3c info-center loghost xxxxx c

10、hannel loghost2、補(bǔ)充說明在系統(tǒng)模式下進(jìn)行操作?;€符合性判定依據(jù)1. 判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址,日志服務(wù)器正確記錄了日志信息。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不同,如部署場景需開啟此功能,則強(qiáng)制要求此項(xiàng)。建議核心設(shè)備必選,其它根據(jù)實(shí)際情況啟用第4章 IP協(xié)議安全要求4.1 IP協(xié)議4.1.1 使用SSH加密管理安全基線項(xiàng)目名稱使用SSH加密管理安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-04-01-01 安全基線項(xiàng)說明 對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,設(shè)備應(yīng)配置使用S

11、SH等加密協(xié)議,關(guān)閉TELNET協(xié)議。檢測(cè)操作步驟1、 參考配置操作 # 設(shè)置用戶界面VTY 0 到VTY 4 支持SSH 協(xié)議。 <Sysname> system-view Sysname user-interface vty 0 4 Sysname-ui-vty0-4 authentication-mode scheme Sysname-ui-vty0-4 protocol inbound ssh2、補(bǔ)充說明無?;€符合性判定依據(jù)1. 參考檢測(cè)操作2. 補(bǔ)充說明無。備注4.1.2 系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線項(xiàng)目名稱系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線要求項(xiàng)

12、安全基線編號(hào)SBL-H3CSwitch-04-01-02 安全基線項(xiàng)說明 系統(tǒng)遠(yuǎn)程管理服務(wù)TELNET、SSH默認(rèn)可以接受任何地址的連接,出于安全考慮,應(yīng)該只允許特定地址訪問。檢測(cè)操作步驟1、參考配置操作Acl number 2000User-interface vty 0 4acl 2000 inbound2、補(bǔ)充說明無?;€符合性判定依據(jù)1. 判定條件通過設(shè)定acl,成功過濾非法的訪問。2. 參考檢測(cè)操作display current-configuration 3. 補(bǔ)充說明無。備注第5章 SNMP安全要求5.1 SNMP安全5.1.1 修改SNMP默認(rèn)通行字安全基線項(xiàng)目名稱修改SNMP

13、默認(rèn)通行字安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-01 安全基線項(xiàng)說明 系統(tǒng)應(yīng)修改SNMP的Community默認(rèn)通行字,通行字應(yīng)符合口令強(qiáng)度要求。檢測(cè)操作步驟1、參考配置操作snmp-agent community read xxxsnmp-agent community write xxxx2、補(bǔ)充說明無?;€符合性判定依據(jù)1. 判定條件系統(tǒng)成功修改SNMP的Community為用戶定義口令,非常規(guī)private或者public,并且符合口令強(qiáng)度要求。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說明無。備注5.1.2 使用

14、SNMPV2或以上版本安全基線項(xiàng)目名稱SNMP版本安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-02 安全基線項(xiàng)說明 系統(tǒng)應(yīng)配置為SNMPV2或以上版本。檢測(cè)操作步驟1、參考配置操作snmp-agent sys-info version v32、補(bǔ)充說明 無?;€符合性判定依據(jù)1. 判定條件成功使能snmpv2c、和v3版本。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說明無。備注5.1.3 SNMP訪問控制安全基線項(xiàng)目名稱SNMP訪問控制安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-03 安全基線項(xiàng)說明 設(shè)置S

15、NMP訪問安全限制,只允許特定主機(jī)通過SNMP訪問網(wǎng)絡(luò)設(shè)備。檢測(cè)操作步驟1、參考配置操作snmp-agent community read XXXX01 acl 20002、補(bǔ)充說明無?;€符合性判定依據(jù)1. 判定條件通過設(shè)定acl來成功過濾特定的源才能進(jìn)行訪問。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說明無。備注第6章 其他安全要求6.1 其他安全配置6.1.1 關(guān)閉未使用的端口安全基線項(xiàng)目名稱關(guān)閉未使用的端口安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-06-01-01 安全基線項(xiàng)說明 關(guān)閉未使用的端口。檢測(cè)操作步驟1、參考配置操作HW

16、-Ethernet3/0/0shutdown2、補(bǔ)充說明無?;€符合性判定依據(jù)1. 判定條件未使用端口狀態(tài)為admin down。2. 參考檢測(cè)操作Display interface3. 補(bǔ)充說明無。備注6.1.2 帳號(hào)登錄超時(shí)安全基線項(xiàng)目名稱帳號(hào)登錄超時(shí)安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-06-01-02 安全基線項(xiàng)說明 配置定時(shí)帳號(hào)自動(dòng)登出,登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。設(shè)置超時(shí)時(shí)間為5分鐘.檢測(cè)操作步驟1、 參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘<Sysname> system-view Sysname user-interface console 0 /Or user-interface aux 0 8Sysname-ui-console0 idle-timeout 5 02、補(bǔ)充說明無?;€符合性判定依據(jù)1. 判定條件在超出設(shè)定時(shí)間后,用戶自動(dòng)登出設(shè)備。2. 參考檢測(cè)操作display current-configuration configuration user-interface3. 補(bǔ)充說明無

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論