H3C交換機(jī)安全配置基線

1、H3C 交換機(jī)安全配置基線第1頁(yè)共 11 頁(yè)H3C交換機(jī)安全配置基線H3C 交換機(jī)安全配置基線第2頁(yè)共 11 頁(yè)版本版本控制信息|更新日期更新人審批人V2.0創(chuàng)建2012 年 4 月備注：1.若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。H3C 交換機(jī)安全配置基線第3頁(yè)共 11 頁(yè)第 1 1 章概述. 1 11.1目的.11.2適用范圍.11.3適用版本. 11.4實(shí)施.11.5例外條款.1第 2 2 章帳號(hào)管理、認(rèn)證授權(quán)安全要求 . 2 22.1帳號(hào).22.1.1配置默認(rèn)級(jí)別*.22.2口令.32.2.1密碼認(rèn)證登錄.32.2.2設(shè)置訪問(wèn)級(jí)密碼 .42.2.3加密口令

2、.4第 3 3 章日志安全要求.6 63.1日志安全.63.1.1配置遠(yuǎn)程日志服務(wù)器 .6第 4 4 章 IPIP 協(xié)議安全要求 . 7 71.IP 協(xié)議.71.使用SSH加密管理 .72.系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn) .7第 5 5 章SNMPSNMP 安全要求. 9 91.SNMP 安全.91.修改SNMP默認(rèn)通行字.92.使用SNMPV2或以上版本.93.SNMP訪問(wèn)控制 .10第 6 6 章其他安全要求 . 12121.其他安全配置 . 121.關(guān)閉未使用的端口 .122.帳號(hào)登錄超時(shí) .12H3C 交換機(jī)安全配置基線第4頁(yè)共 11 頁(yè)3.關(guān)閉不需要的服務(wù)*.13第 7 7 章評(píng)

3、審與修訂.1515H3C 交換機(jī)安全配置基線第1頁(yè)共 11 頁(yè)第 1 章概述1.1 目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行H3C 交換機(jī)的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3 適用版本H3C 交換機(jī)。1.4 實(shí)施1.5 例外條款H3C 交換機(jī)安全配置基線第2頁(yè)共 11 頁(yè)第 2 章帳號(hào)管理、認(rèn)證授權(quán)安全要求2.1 帳號(hào)2.1.1 配置默認(rèn)級(jí)別*安全基線項(xiàng) 目名稱(chēng)配置默認(rèn)級(jí)別安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-02-01-01安全基線項(xiàng) 說(shuō)明交換機(jī)命令級(jí)別共分為訪問(wèn)、監(jiān)控、系統(tǒng)、管理 4 個(gè)級(jí)別，分別對(duì)應(yīng)標(biāo)識(shí) 0、1、

4、2、3。配置登錄默認(rèn)級(jí)別為訪問(wèn)級(jí)（0-VISIT）檢測(cè)操作步 驟1、參考配置操作user- in terface aux 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx user- in terface vty 0 4authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx2、補(bǔ)充說(shuō)明無(wú)。基線符合性 判定依據(jù)1、 判定條件

5、用配置中沒(méi)有的用戶(hù)名去登錄，結(jié)果是不能登錄2、 參考檢測(cè)操作display current-configuration3、 補(bǔ)充說(shuō)明無(wú)。備注手工檢查H3C 交換機(jī)安全配置基線第3頁(yè)共 11 頁(yè)2.2 口令2.2.1 密碼認(rèn)證登錄安全基線項(xiàng) 目名稱(chēng)密碼認(rèn)證登錄安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-02-02-01安全基線項(xiàng) 說(shuō)明通過(guò)控制臺(tái)和遠(yuǎn)程終端，需要密碼才能登錄 .口令長(zhǎng)度至少 8 位，并包括數(shù) 子、小與子母、大與子母和特殊符號(hào)四類(lèi)中至少兩類(lèi)。且5 次以?xún)?nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90 天進(jìn)行更換。檢測(cè)操作步 驟1、參考配置操作user- in terface au

6、x 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx user- in terface vty 0 4authe nticati on-m ode password / 或 authentication-mode schemeuser privilege level 0set authe nticati on password cipher xxx2、補(bǔ)充說(shuō)明無(wú)。基線符合性 判定依據(jù)1、 判定條件用配置中沒(méi)有的用戶(hù)名去登錄，結(jié)果是不能登錄2、 參考檢測(cè)

7、操作display current-configuration3、 補(bǔ)充說(shuō)明無(wú)。備注H3C 交換機(jī)安全配置基線第4頁(yè)共 11 頁(yè)222設(shè)置訪問(wèn)級(jí)密碼安全基線項(xiàng) 目名稱(chēng)設(shè)置訪問(wèn)級(jí)密碼安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-02-02-02安全基線項(xiàng) 說(shuō)明用戶(hù)可以無(wú)條件切換到比當(dāng)前低的用戶(hù)級(jí)別，但是當(dāng)使用 AUX 或 VTY 用戶(hù)界面登錄，并且從低級(jí)別往高級(jí)別切換時(shí)，需要輸入級(jí)別切換密碼（級(jí)別切換 密碼可以通過(guò) super password 命令設(shè)置）。如果輸入的密碼錯(cuò)誤或者沒(méi)有配 置級(jí)別切換密碼，切換操作失敗。因此，在進(jìn)行切換操作前，請(qǐng)先配置級(jí)別 切換密碼。檢測(cè)操作步 驟1、參考

8、配置操作Sys namesystem-viewSys name super password level 1 cipher passwordl Sys name super password level2 cipher password2 Sys name super password level 3 cipher password32、補(bǔ)充說(shuō)明無(wú)。基線符合性 判定依據(jù)1、判定條件Sysname display current-configuration備注2.2.3 力口密口令安全基線項(xiàng) 目名稱(chēng)加密口令安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-02-02-03安全基線項(xiàng) 說(shuō)明靜

9、態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測(cè)操作步 驟1、參考配置操作user- in terface aux 0 8user privilege level 0set authentication passwordcipher xxxH3C 交換機(jī)安全配置基線第5頁(yè)共 11 頁(yè)user- in terface vty 0 4user privilege level 0set authentication passwordcipher xxxsuper password level 1cipher password1super password level 2cipher pass

10、word2super password level 3cipher password3基線符合性 判定依據(jù)1.判定條件用戶(hù)的加密口令在 config 文件中顯示的密文。2.參考檢測(cè)操作display curre nt-con figurati on備注H3C 交換機(jī)安全配置基線第6頁(yè)共 11 頁(yè)第 3 章日志安全要求3.1 日志安全3.1.1 配置遠(yuǎn)程日志服務(wù)器安全基線項(xiàng) 目名稱(chēng)配置遠(yuǎn)程日志服務(wù)器安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-03-01-01安全基線項(xiàng) 說(shuō)明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接

11、口，如 SYSLOG FTP 等。檢測(cè)操作步 驟1、參考配置操作h3c in fo-ce nter en ableh3c info-center loghost xxxxx channel loghost2、補(bǔ)充說(shuō)明在系統(tǒng)模式下進(jìn)行操作?；€符合性 判定依據(jù)1.判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，日志服務(wù)器正確記錄了日志信息。2.參考檢測(cè)操作display curre nt-con figurati on3.補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不冋， 如部署場(chǎng)景需開(kāi)啟此功能， 則強(qiáng)制要求此項(xiàng)。 建議核 心設(shè)備必選，其它根據(jù)實(shí)際情況啟用H3C 交換機(jī)安全配置基線第7頁(yè)共 11 頁(yè)第 4 章 I

12、P 協(xié)議安全要求4.1 IP 協(xié)議4.1.1 使用 SSH 加密管理安全基線項(xiàng) 目名稱(chēng)使用 SSH 加密管理安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-04-01-01安全基線項(xiàng) 說(shuō)明對(duì)于使用 IP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議，關(guān)閉 TELNET 協(xié)議。檢測(cè)操作步 驟1、 參考配置操作#設(shè)置用戶(hù)界面 VTY 0 到 VTY 4 支持 SSH 協(xié)議。 Sys namesystem-viewSys name user- in terface vty 0 4Sys name-ui-vtyO-4 authe nticati on-m ode scheme S

13、ys name-ui-vtyO-4protocol inbound ssh2、補(bǔ)充說(shuō)明無(wú)?；€符合性 判定依據(jù)1.參考檢測(cè)操作2.補(bǔ)充說(shuō)明無(wú)。備注4.1.2 系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn)安全基線項(xiàng) 目名稱(chēng)系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn)安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-04-01-02H3C 交換機(jī)安全配置基線第8頁(yè)共 11 頁(yè)安全基線項(xiàng) 說(shuō)明系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET SSH 默認(rèn)可以接受任何地址的連接，出于安全考 慮，應(yīng)該只允許特定地址訪問(wèn)。檢測(cè)操作步 驟1、參考配置操作Acl number 2000rule 1 permit source 192.168

14、.0.0 55User-i nteface vty 0 4acl 2000 in bou nd2、補(bǔ)充說(shuō)明無(wú)?；€符合性 判定依據(jù)1.判定條件通過(guò)設(shè)定 acl，成功過(guò)濾非法的訪問(wèn)。2.參考檢測(cè)操作display curre nt-con figurati on3.補(bǔ)充說(shuō)明無(wú)。備注H3C 交換機(jī)安全配置基線第9頁(yè)共 11 頁(yè)第 5 章 SNMP 安全要求5.1 SNMP 安全5.1.1 修改 SNMP 默認(rèn)通行字安全基線項(xiàng) 目名稱(chēng)修改 SNMP 默認(rèn)通行字安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-05-01-01安全基線項(xiàng) 說(shuō)明系統(tǒng)應(yīng)修改 SNMP 勺 Commu

15、nity 默認(rèn)通仃字，通仃字應(yīng)符合口令強(qiáng)度要求。檢測(cè)操作步 驟1、參考配置操作sn mp-age nt com mun ity read xxx sn mp-age nt com mun ity write xxxx2、補(bǔ)充說(shuō)明無(wú)?；€符合性 判定依據(jù)判定條件系統(tǒng)成功修改SNMP 的 Community 為用戶(hù)定義口令，非常規(guī)private 或者public，并且符合口令強(qiáng)度要求。參考檢測(cè)操作display curre nt-con figurati on補(bǔ)充說(shuō)明無(wú)。備注5.1.2 使用 SNMPV2 或以上版本安全基線項(xiàng) 目名稱(chēng)SNMP 版本安全基線要求項(xiàng)H3C 交換機(jī)安全配置基線第10頁(yè)共

16、 11 頁(yè)安全基線編 號(hào)SBL-H3CSwitch-05-01-02H3C 交換機(jī)安全配置基線第 io 頁(yè)共 ii 頁(yè)安全基線項(xiàng) 說(shuō)明系統(tǒng)應(yīng)配置為 SNMPV 或以上版本。檢測(cè)操作步 驟1、參考配置操作sn mp-age nt sys-i nfo vers ion v32、補(bǔ)充說(shuō)明無(wú)?；€符合性 判定依據(jù)判定條件成功使能 snmpv2c、和 v3 版本。參考檢測(cè)操作display curre nt-con figurati on補(bǔ)充說(shuō)明無(wú)。備注5.1.3 SNMP 訪問(wèn)控制安全基線項(xiàng) 目名稱(chēng)SNMP 訪問(wèn)控制安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-05-01-03安全基線項(xiàng) 說(shuō)

17、明設(shè)置 SNM 肪問(wèn)安全限制，只允許特定主機(jī)通過(guò)SNM 訪問(wèn)網(wǎng)絡(luò)設(shè)備。檢測(cè)操作步 驟1、參考配置操作sn mp-age nt commu nity read XXXX01 acl 20002、補(bǔ)充說(shuō)明無(wú)?；€符合性 判定依據(jù)判定條件通過(guò)設(shè)定 acl 來(lái)成功過(guò)濾特定的源才能進(jìn)行訪問(wèn)。參考檢測(cè)操作display curre nt-con figurati on補(bǔ)充說(shuō)明無(wú)。備注H3C 交換機(jī)安全配置基線第12頁(yè)共 11 頁(yè)第 6 章其他安全要求6.1 其他安全配置6.1.1 關(guān)閉未使用的端口安全基線項(xiàng) 目名稱(chēng)關(guān)閉未使用的端口安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-06-01-01安全

18、基線項(xiàng) 說(shuō)明關(guān)閉未使用的端口。檢測(cè)操作步 驟1、參考配置操作HW-Ethernet3/0/0shutdow n2、補(bǔ)充說(shuō)明無(wú)?；€符合性 判定依據(jù)判定條件未使用端口狀態(tài)為 admin down。參考檢測(cè)操作Display in terface補(bǔ)充說(shuō)明無(wú)。備注6.1.2 帳號(hào)登錄超時(shí)安全基線項(xiàng) 目名稱(chēng)帳號(hào)登錄超時(shí)安全基線要求項(xiàng)安全基線編 號(hào)SBL-H3CSwitch-06-01-02安全基線項(xiàng) 說(shuō)明配置定時(shí)帳號(hào)自動(dòng)登出，登出后用戶(hù)需再次登錄才能進(jìn)入系統(tǒng)。設(shè)置超時(shí)時(shí) 間為 5 分鐘.H3C 交換機(jī)安全配置基線第13頁(yè)共 11 頁(yè)檢測(cè)操作步 驟1、 參考配置操作設(shè)置超時(shí)時(shí)間為 5 分鐘Sys namesystem-viewSys name user- in terface con sole 0/Or user- in terface aux 0 8Sys name-ui-c on soleO idle-timeout 5 02、補(bǔ)充說(shuō)明無(wú)?；€符合性 判定依據(jù)判定條件在超出設(shè)定時(shí)間后，用戶(hù)自動(dòng)登出設(shè)備。參考檢測(cè)操作display curre nt-c on figurati on con figurati on user- in terface補(bǔ)充說(shuō)明無(wú)。備注6.1.3 關(guān)閉不