Huawei網(wǎng)絡(luò)設(shè)備加固規(guī)范V01

1、Huawei網(wǎng)絡(luò)設(shè)備加固規(guī)范2021年11月 第12頁 共13頁目錄1帳號管理、認證授權(quán)21.1賬號管理21.1.1SHG-Huawei-01-01-0121.2登錄要求31.2.1SHG-Huawei-01-02-0131.2.2SHG-Huawei-01-02-0241.2.3SHG-Huawei-01-02-0341.3認證和授權(quán)51.3.1SHG-Huawei-01-03-0152日志配置62.1.1SHG-Huawei-02-01-0163通信協(xié)議73.1.1SHG-Huawei-03-01-0173.1.2SHG-Huawei-03-01-0283.1.3SHG-Huawei-03

2、-01-0393.1.4SHG-Huawei-03-01-0493.1.5SHG-Huawei-03-01-05103.1.6SHG-Huawei-03-01-06114設(shè)備其它安全要求114.1.1SHG-Huawei-04-01-01114.1.2SHG-Huawei-04-01-0212 1 帳號管理、認證授權(quán)1.1 賬號管理1.1.1 SHG-Huawei-01-01-01編號：SHG-Huawei-01-01-01名稱：無效帳戶清理實施目的：刪除與設(shè)備運行、維護等工作無關(guān)的賬號問題影響：賬號混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中帳號信息。實施

3、方案：1、 參考配置操作aaaundo local-user test 回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶實施風(fēng)險：低重要等級：實施風(fēng)險：低重要等級：1.2 登錄要求1.2.1 SHG-Huawei-01-02-01編號：Huawie-01-02-01名稱：遠程登錄加密傳輸實施目的：遠程登陸采用加密傳輸問題影響：泄露密碼系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中遠程登陸的配置狀態(tài)。實施方案：1、參考配置操作全局模式下配置如下命令：（1）R36xxE系列、R2631E系列#protocol inbound ssh x acl xxxx； #ssh

4、 user xxxx assign rsa-key xxxxxx；#ssh user xxxx authentication-type password | RSA | all （2）NE系列#local-user username password simple | cipher password#aaa enable#ssh user username authentication-type password#user-interface vty x#authentication-mode scheme default#protocol inbound ssh回退方案：還原系統(tǒng)配置文件。判

5、斷依據(jù)：查看備份的系統(tǒng)配置文件中遠程登陸的配置狀態(tài)。實施風(fēng)險：高重要等級：1.2.2 SHG-Huawei-01-02-02編號：SHG-Huawei-01-02-02名稱：加固AUX端口的管理實施目的：除非使用撥號接入時使用AUX端口，否則禁止這個端口。問題影響：用戶非法登陸系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于CON配置狀態(tài)。實施方案：1、參考配置操作# undo modem設(shè)置完成后無法通過AUX撥號接入路由器回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于CON配置狀態(tài)。實施風(fēng)險：中重要等級：1.2.3 SHG-Huawei-01-02-03編號：SHG-Huaw

6、ei-01-02-03名稱：遠程登陸源地址限制實施目的：對登錄用戶的源IP地址進行過濾，防止某些獲得登錄密碼的用戶從非法的地址登錄到設(shè)備上。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于登錄配置狀態(tài)。實施方案：1、 參考配置操作全局模式下配置如下命令：acl acl-number match config | auto;rule normal |special permit | deny source xxx xxx destination xxx xxx .回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于登錄配置狀態(tài)。實施風(fēng)險：中重要等級：1.3 認證和授權(quán)

7、1.3.1 SHG-Huawei-01-03-01編號：SHG-Huawei-01-03-01名稱：認證和授權(quán)設(shè)置實施目的：設(shè)備通過相關(guān)參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強制要求。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中相關(guān)配置。實施方案：1、 參考配置操作#對遠程登錄用戶先用RADIUS服務(wù)器進行認證，如果沒有響應(yīng)，則不認證。#認證服務(wù)器IP地址為6，無備用服務(wù)器，端口號為默認值1812。# 配置RADIUS服務(wù)器模板。Router radius-server template shiva# 配置RADIUS認證服務(wù)器IP地址和端口。Rou

8、ter-radius-shivaradius-server authentication 6 1812# 配置RADIUS服務(wù)器密鑰、重傳次數(shù)。Router-radius-shiva radius-server shared-key it-is-my-secretRouter-radius-shiva radius-server retransmit 2Router-radius-shiva quit# 進入AAA視圖。Router aaa# 配置認證方案r-n，認證方法為先RADIUS，如果沒有響應(yīng)，則不認證。Routeraaa authentication-scheme

9、 r-nRouter-aaa-authen-r-n authentication-mode radius noneRouter-aaa-authen-r-n quit# 配置default域，在域下采用r-n認證方案、缺省的計費方案（不計費），shiva的RADIUS模板。Router-aaa domain defaultRouter-aaa-domain-default authentication-scheme r-nRouter-aaa-domain-defaultradius-server shiva回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中相關(guān)配置。實施風(fēng)險：低重

10、要等級：2 日志配置2.1.1 SHG-Huawei-02-01-01編號：SHG-Huawei-02-01-01名稱：開啟日志功能實施目的：支持數(shù)據(jù)日志，可以記錄系統(tǒng)日志與用戶日志。系統(tǒng)日志指系統(tǒng)運行過程中記錄的相關(guān)信息，用以對運行情況、故障進行分析和定位，日志文件可以通過XModem、FTP、TFTP協(xié)議，遠程傳送到網(wǎng)管中心。判斷依據(jù)：無法對用戶的登陸進行日志記錄。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于日志功能的配置。實施方案：1、 參考配置操作#info-center enable；默認已啟動#info-center console；向控制臺輸出日志#info-center logb

11、uffer； 向路由器內(nèi)部緩沖器輸出日志#info-center loghost；向日志主機輸出日志#info-center monitor；向telnet終端或啞終端輸出日志回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于日志功能的配置。實施風(fēng)險：中重要等級：3 通信協(xié)議3.1.1 SHG-Huawei-03-01-01編號：SHG-Huawei-03-01-01名稱：SNMP服務(wù)配置實施目的：如不需要提供SNMP服務(wù)的，要求禁止SNMP協(xié)議服務(wù)，注意在禁止時刪除一些SNMP服務(wù)的默認配置。問題影響：對系統(tǒng)造成不安全影響。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服

12、務(wù)的配置。實施方案：1、 參考配置操作全局模式下配置如下命令：Undo snmp enableundo snmp-agent community RWuser關(guān)閉snmp的設(shè)備不能被網(wǎng)管檢測到，關(guān)閉寫權(quán)限的設(shè)備不能進行set操作?；赝朔桨福哼€原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實施風(fēng)險：中重要等級：3.1.2 SHG-Huawei-03-01-02編號：SHG-Huawei-03-01-02名稱：更改SNMP TRAP協(xié)議端口；實施目的：如開啟SNMP協(xié)議，要求更改SNMP trap協(xié)議的標(biāo)準(zhǔn)端口號，以增強其安全性。問題影響：容易引起拒絕服務(wù)攻擊。系統(tǒng)當(dāng)前

13、狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實施方案：（2） 參考配置操作全局模式下配置如下命令：（2） R36xxE系列、R2631E系列#snmp-agent#snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx#snmp-agent trap enable（2）NE系列#snmp-agent#snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname xxx udp-port xxx#snmp-

14、agent trap enable回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：Show SNMP實施風(fēng)險：高重要等級：3.1.3 SHG-Huawei-03-01-03編號：SHG-Huawei-03-01-03名稱：限制發(fā)起SNMP連接的源地址實施目的：如開啟SNMP協(xié)議，要求更改SNMP 連接的源地址，以增強其安全性。問題影響：被非法攻擊。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實施方案：1、參考配置操作全局模式下配置如下命令：#snmp-agent# snmp-agent community read | write XXXX acl xxxx【影響】：只有指定的網(wǎng)管網(wǎng)段

15、才能使用SNMP維護回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實施風(fēng)險：中重要等級：3.1.4 SHG-Huawei-03-01-04編號：SHG-Huawei-03-01-04名稱：設(shè)置SNMP密碼實施目的：如開啟SNMP協(xié)議，要求設(shè)置并定期更改SNMP Community（至少半年一次），以增強其安全性。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。問題影響：泄露密碼，引起非法登陸。實施方案：1、參考配置操作全局模式下配置如下命令：#snmp-agent# snmp-agent community read | write XXX

16、X（不建議打開write特性）回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實施風(fēng)險：中重要等級：3.1.5 SHG-Huawei-03-01-05編號：SHG-Huawei-03-01-05名稱：SNMP訪問安全限制實施目的：設(shè)置SNMP訪問安全限制，只允許特定主機通過SNMP訪問網(wǎng)絡(luò)設(shè)備。問題影響：非法登陸。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。實施方案：1、 參考配置操作#snmp-agent community read XXXX01 acl 2000回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看備份的系統(tǒng)配置文件中關(guān)于SNM

17、P服務(wù)的配置。實施風(fēng)險：中重要等級：3.1.6 SHG-Huawei-03-01-06編號：SHG-Huawei-03-01-06名稱：源地址路由檢查實施目的：為了防止利用IP Spoofing手段假冒源地址進行的攻擊對整個網(wǎng)絡(luò)造成的沖擊，要求在所有的邊緣路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源路由檢查。此外，該功能會對設(shè)備的轉(zhuǎn)發(fā)性能造成影響，所以它更適用于網(wǎng)絡(luò)接入層設(shè)備，匯聚層和核心層設(shè)備不建議使用。問題影響：會對設(shè)備負荷造成影響。系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于CEF 服務(wù)的配置。實施方案：1、 參考配置操作全局模式下配置如下命令：#urpf enable回退方案：還原系統(tǒng)配置文件。判斷依據(jù)：查看配置文件，核對參考配置操作實施風(fēng)險：高重要等級：4 設(shè)備其它安全要求4.1.1 SHG-Huawei-04-01-01編號：SHG-Huawei-04-01-01名稱：禁止未使用或空閑的端口實施目的：防止從空閑端口滲透到系統(tǒng)內(nèi)部問題影響：從空閑端口滲透到系統(tǒng)內(nèi)部系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于端口啟用的配置。實施方案：1、 參考配置操作在不使用的端口啟用如下命令：# shutdown回退方案：還原系統(tǒng)配置文件。