試議huawei網(wǎng)絡(luò)設(shè)備加固規(guī)范

n更多企業(yè)學(xué)院： 中小企業(yè)管理全能版183套講座+89700份資料總經(jīng)理、高層管理49套講座+16388份資料中層管理學(xué)院46套講座+6020份資料國學(xué)智慧、易經(jīng)46套講座人力資源學(xué)院56套講座+27123份資料各階段員工培訓(xùn)學(xué)院77套講座+ 324份資料員工管理企業(yè)學(xué)院67套講座+ 8720份資料工廠生產(chǎn)管理學(xué)院52套講座+ 13920份資料財(cái)務(wù)管理學(xué)院53套講座+ 17945份資料銷售經(jīng)理學(xué)院56套講座+ 14350份資料銷售人員培訓(xùn)學(xué)院72套講座+ 4879份資料Huawei網(wǎng)絡(luò)設(shè)備加固規(guī)范2019年6月文檔由本人精心搜集和整理，喜歡大家用得上，非常感謝你的瀏覽與下載。凡本廠職工應(yīng)熱愛電廠、熱愛崗位、熱愛本職工作，發(fā)揚(yáng)“團(tuán)結(jié)務(wù)實(shí)、爭創(chuàng)一流，立足崗位，愛廠敬業(yè)，盡職盡責(zé)，不斷提高工作質(zhì)量和工作效率，圓滿完成各項(xiàng)生產(chǎn)和工作任務(wù)，為華能的建設(shè)和發(fā)展作出貢獻(xiàn)2019整理的各行業(yè)企管，經(jīng)濟(jì)，房產(chǎn)，策劃，方案等工作范文，希望你用得上，不足之處請(qǐng)指正目錄 1 帳號(hào)管理、認(rèn)證授權(quán)1.1 賬號(hào)管理1.1.1 SHG-Huawei-01-01-01編號(hào)：SHG-Huawei-01-01-01名稱：無效帳戶清理實(shí)施目的：刪除與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號(hào)問題影響：賬號(hào)混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中帳號(hào)信息。實(shí)施方案：1、 參考配置操作aaaundo local-user test 回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：1.2 登錄要求1.2.1 SHG-Huawei-01-02-01編號(hào)：Huawie-01-02-01名稱：遠(yuǎn)程登錄加密傳輸實(shí)施目的：遠(yuǎn)程登陸采用加密傳輸問題影響：泄露密碼系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中遠(yuǎn)程登陸的配置狀態(tài)。實(shí)施方案：1、參考配置操作全局模式下配置如下命令：（1）R36xxE系列、R2631E系列#protocol inbound ssh x acl xxxx； #ssh user xxxx assign rsa-key xxxxxx；#ssh user xxxx authentication-type password | RSA | all （2）NE系列#local-user username password simple | cipher password#aaa enable#ssh user username authentication-type password#user-interface vty x#authentication-mode scheme default#protocol inbound ssh回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中遠(yuǎn)程登陸的配置狀態(tài)。實(shí)施風(fēng)險(xiǎn)：高重要等級(jí)：1.2.2 SHG-Huawei-01-02-02編號(hào)：SHG-Huawei-01-02-02名稱：加固AUX端口的管理實(shí)施目的：除非使用撥號(hào)接入時(shí)使用AUX端口，否則禁止這個(gè)端口。問題影響：用戶非法登陸系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于CON配置狀態(tài)。實(shí)施方案：1、參考配置操作# undo modem設(shè)置完成后無法通過AUX撥號(hào)接入路由器回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于CON配置狀態(tài)。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：1.2.3 SHG-Huawei-01-02-03編號(hào)：SHG-Huawei-01-02-03名稱：遠(yuǎn)程登陸源地址限制實(shí)施目的：對(duì)登錄用戶的源IP地址進(jìn)行過濾，防止某些獲得登錄密碼的用戶從非法的地址登錄到設(shè)備上。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于登錄配置狀態(tài)。實(shí)施方案：1、 參考配置操作全局模式下配置如下命令：acl acl-number match config | auto;rule normal |special permit | deny source xxx xxx destination xxx xxx .回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于登錄配置狀態(tài)。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：1.3 認(rèn)證和授權(quán)1.3.1 SHG-Huawei-01-03-01編號(hào)：SHG-Huawei-01-03-01名稱：認(rèn)證和授權(quán)設(shè)置實(shí)施目的：設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動(dòng)，滿足帳號(hào)、口令和授權(quán)的強(qiáng)制要求。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中相關(guān)配置。實(shí)施方案：1、 參考配置操作#對(duì)遠(yuǎn)程登錄用戶先用RADIUS服務(wù)器進(jìn)行認(rèn)證，如果沒有響應(yīng)，則不認(rèn)證。#認(rèn)證服務(wù)器IP地址為6，無備用服務(wù)器，端口號(hào)為默認(rèn)值1812。# 配置RADIUS服務(wù)器模板。Router radius-server template shiva# 配置RADIUS認(rèn)證服務(wù)器IP地址和端口。Router-radius-shivaradius-server authentication 6 1812# 配置RADIUS服務(wù)器密鑰、重傳次數(shù)。Router-radius-shiva radius-server shared-key it-is-my-secretRouter-radius-shiva radius-server retransmit 2Router-radius-shiva quit# 進(jìn)入AAA視圖。Router aaa# 配置認(rèn)證方案r-n，認(rèn)證方法為先RADIUS，如果沒有響應(yīng)，則不認(rèn)證。Routeraaa authentication-scheme r-nRouter-aaa-authen-r-n authentication-mode radius noneRouter-aaa-authen-r-n quit# 配置default域，在域下采用r-n認(rèn)證方案、缺省的計(jì)費(fèi)方案（不計(jì)費(fèi)），shiva的RADIUS模板。Router-aaa domain defaultRouter-aaa-domain-default authentication-scheme r-nRouter-aaa-domain-defaultradius-server shiva回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中相關(guān)配置。實(shí)施風(fēng)險(xiǎn)：低重要等級(jí)：2 日志配置2.1.1 SHG-Huawei-02-01-01編號(hào)：SHG-Huawei-02-01-01名稱：開啟日志功能實(shí)施目的：支持?jǐn)?shù)據(jù)日志，可以記錄系統(tǒng)日志與用戶日志。系統(tǒng)日志指系統(tǒng)運(yùn)行過程中記錄的相關(guān)信息，用以對(duì)運(yùn)行情況、故障進(jìn)行分析和定位，日志文件可以通過XModem、FTP、TFTP協(xié)議，遠(yuǎn)程傳送到網(wǎng)管中心。判斷依據(jù)：無法對(duì)用戶的登陸進(jìn)行日志記錄。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于日志功能的配置。實(shí)施方案：1、 參考配置操作#info-center enable；默認(rèn)已啟動(dòng)#info-center console；向控制臺(tái)輸出日志#info-center logbuffer； 向路由器內(nèi)部緩沖器輸出日志#info-center loghost；向日志主機(jī)輸出日志#info-center monitor；向telnet終端或啞終端輸出日志回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于日志功能的配置。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：3 通信協(xié)議3.1.1 SHG-Huawei-03-01-01編號(hào)：SHG-Huawei-03-01-01名稱：SNMP服務(wù)配置實(shí)施目的：如不需要提供SNMP服務(wù)的，要求禁止SNMP協(xié)議服務(wù)，注意在禁止時(shí)刪除一些SNMP服務(wù)的默認(rèn)配置。問題影響：對(duì)系統(tǒng)造成不安全影響。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施方案：1、 參考配置操作全局模式下配置如下命令：Undo snmp enableundo snmp-agent community RWuser關(guān)閉snmp的設(shè)備不能被網(wǎng)管檢測(cè)到，關(guān)閉寫權(quán)限的設(shè)備不能進(jìn)行set操作?；赝朔桨福哼€原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：3.1.2 SHG-Huawei-03-01-02編號(hào)：SHG-Huawei-03-01-02名稱：更改SNMP TRAP協(xié)議端口；實(shí)施目的：如開啟SNMP協(xié)議，要求更改SNMP trap協(xié)議的標(biāo)準(zhǔn)端口號(hào)，以增強(qiáng)其安全性。問題影響：容易引起拒絕服務(wù)攻擊。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施方案：（2） 參考配置操作全局模式下配置如下命令：（2） R36xxE系列、R2631E系列#snmp-agent#snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx#snmp-agent trap enable（2）NE系列#snmp-agent#snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname xxx udp-port xxx#snmp-agent trap enable回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：Show SNMP實(shí)施風(fēng)險(xiǎn)：高重要等級(jí)：3.1.3 SHG-Huawei-03-01-03編號(hào)：SHG-Huawei-03-01-03名稱：限制發(fā)起SNMP連接的源地址實(shí)施目的：如開啟SNMP協(xié)議，要求更改SNMP 連接的源地址，以增強(qiáng)其安全性。問題影響：被非法攻擊。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施方案：1、參考配置操作全局模式下配置如下命令：#snmp-agent# snmp-agent community read | write XXXX acl xxxx【影響】：只有指定的網(wǎng)管網(wǎng)段才能使用SNMP維護(hù)回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：3.1.4 SHG-Huawei-03-01-04編號(hào)：SHG-Huawei-03-01-04名稱：設(shè)置SNMP密碼實(shí)施目的：如開啟SNMP協(xié)議，要求設(shè)置并定期更改SNMP Community（至少半年一次），以增強(qiáng)其安全性。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。問題影響：泄露密碼，引起非法登陸。實(shí)施方案：1、參考配置操作全局模式下配置如下命令：#snmp-agent# snmp-agent community read | write XXXX（不建議打開write特性）回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：3.1.5 SHG-Huawei-03-01-05編號(hào)：SHG-Huawei-03-01-05名稱：SNMP訪問安全限制實(shí)施目的：設(shè)置SNMP訪問安全限制，只允許特定主機(jī)通過SNMP訪問網(wǎng)絡(luò)設(shè)備。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施方案：1、 參考配置操作#snmp-agent community read XXXX01 acl 2000回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實(shí)施風(fēng)險(xiǎn)：中重要等級(jí)：3.1.6 SHG-Huawei-03-01-06編號(hào)：SHG-Huawei-03-01-06名稱：源地址路由檢查實(shí)施目的：為了防止利用IP Spoofing手段假冒源地址進(jìn)行的攻擊對(duì)整個(gè)網(wǎng)絡(luò)造成的沖擊，要求在所有的邊緣路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源路由檢查。此外，該功能會(huì)對(duì)設(shè)備的轉(zhuǎn)發(fā)性能造成影響，所以它更適用于網(wǎng)絡(luò)接入層設(shè)備，匯聚層和核心層設(shè)備不建議使用。問題影響：會(huì)對(duì)設(shè)備負(fù)荷造成影響。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于CEF 服務(wù)的配置。實(shí)施方案：1、 參考配置操作全局模式下配置如下命令：#urpf enable回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看配置文件，核對(duì)參考配置操作實(shí)施風(fēng)險(xiǎn)：高重要等級(jí)：4 設(shè)備其它安全要求4.1.1 SHG-Huawei-04-01-01編號(hào)：SHG-Huawei-04-01-01名稱：禁止未使用或空閑的端口實(shí)施目的：防止從空閑端口滲透到系統(tǒng)內(nèi)部問題影響：從空閑端口滲透到系統(tǒng)內(nèi)部系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于端口啟用的配置。實(shí)施方案：1、 參考配置操作在不使用的端口啟用如下命令：# shutdown回退方案：還原系統(tǒng)配置文件。判