H3C交換機(jī)安全配置基線_第1頁
H3C交換機(jī)安全配置基線_第2頁
已閱讀5頁,還剩14頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、H3C 交換機(jī)安全配置基線第1頁共 11 頁H3C交換機(jī)安全配置基線H3C 交換機(jī)安全配置基線第2頁共 11 頁版本版本控制信息|更新日期更新人審批人V2.0創(chuàng)建2012 年 4 月備注:1.若此文檔需要日后更新,請創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。H3C 交換機(jī)安全配置基線第3頁共 11 頁第 1 1 章概述. 1 11.1目的.11.2適用范圍.11.3適用版本. 11.4實(shí)施.11.5例外條款.1第 2 2 章帳號管理、認(rèn)證授權(quán)安全要求 . 2 22.1帳號.22.1.1配置默認(rèn)級別*.22.2口令.32.2.1密碼認(rèn)證登錄.32.2.2設(shè)置訪問級密碼 .42.2.3加密口令

2、.4第 3 3 章日志安全要求.6 63.1日志安全.63.1.1配置遠(yuǎn)程日志服務(wù)器 .6第 4 4 章 IPIP 協(xié)議安全要求 . 7 74.1IP 協(xié)議.74.1.1使用SSH加密管理 .74.1.2系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問 .7第 5 5 章SNMPSNMP 安全要求. 9 95.1SNMP 安全.95.1.1修改SNMP默認(rèn)通行字.95.1.2使用SNMPV2或以上版本.95.1.3SNMP訪問控制 .10第 6 6 章其他安全要求 . 12126.1其他安全配置 . 126.1.1關(guān)閉未使用的端口 .126.1.2帳號登錄超時(shí) .12H3C 交換機(jī)安全配置基線第4頁共 11

3、 頁6.1.3關(guān)閉不需要的服務(wù)*.13第 7 7 章評審與修訂.1515H3C 交換機(jī)安全配置基線第1頁共 11 頁第 1 章概述1.1 目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行H3C 交換機(jī)的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括:網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3 適用版本H3C 交換機(jī)。1.4 實(shí)施1.5 例外條款H3C 交換機(jī)安全配置基線第2頁共 11 頁第 2 章帳號管理、認(rèn)證授權(quán)安全要求2.1 帳號2.1.1 配置默認(rèn)級別*安全基線項(xiàng) 目名稱配置默認(rèn)級別安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-02-01-01安全基線項(xiàng) 說明交換機(jī)命令級別共分為訪問

4、、監(jiān)控、系統(tǒng)、管理 4 個(gè)級別,分別對應(yīng)標(biāo)識 0、1、2、3。配置登錄默認(rèn)級別為訪問級(0-VISIT)檢測操作步 驟1、參考配置操作user- in terface aux 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx user- in terface vty 0 4authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher x

5、xx2、補(bǔ)充說明無。基線符合性 判定依據(jù)1、 判定條件用配置中沒有的用戶名去登錄,結(jié)果是不能登錄2、 參考檢測操作display current-configuration3、 補(bǔ)充說明無。備注手工檢查H3C 交換機(jī)安全配置基線第3頁共 11 頁2.2 口令2.2.1 密碼認(rèn)證登錄安全基線項(xiàng) 目名稱密碼認(rèn)證登錄安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-02-02-01安全基線項(xiàng) 說明通過控制臺和遠(yuǎn)程終端,需要密碼才能登錄 .口令長度至少 8 位,并包括數(shù) 子、小與子母、大與子母和特殊符號四類中至少兩類。且5 次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90 天進(jìn)行更換。檢測操作步 驟

6、1、參考配置操作user- in terface aux 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx user- in terface vty 0 4authe nticati on-m ode password / 或 authentication-mode schemeuser privilege level 0set authe nticati on password cipher xxx2、補(bǔ)充說明無?;€符合性 判定依據(jù)1、 判定條件用

7、配置中沒有的用戶名去登錄,結(jié)果是不能登錄2、 參考檢測操作display current-configuration3、 補(bǔ)充說明無。備注H3C 交換機(jī)安全配置基線第4頁共 11 頁222設(shè)置訪問級密碼安全基線項(xiàng) 目名稱設(shè)置訪問級密碼安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-02-02-02安全基線項(xiàng) 說明用戶可以無條件切換到比當(dāng)前低的用戶級別,但是當(dāng)使用 AUX 或 VTY 用戶界面登錄,并且從低級別往高級別切換時(shí),需要輸入級別切換密碼(級別切換 密碼可以通過 super password 命令設(shè)置)。如果輸入的密碼錯(cuò)誤或者沒有配 置級別切換密碼,切換操作失敗。因此,在進(jìn)行切換

8、操作前,請先配置級別 切換密碼。檢測操作步 驟1、參考配置操作Sys namesystem-viewSys name super password level 1 cipher passwordl Sys name super password level2 cipher password2 Sys name super password level 3 cipher password32、補(bǔ)充說明無?;€符合性 判定依據(jù)1、判定條件Sysname display current-configuration備注2.2.3 力口密口令安全基線項(xiàng) 目名稱加密口令安全基線要求項(xiàng)安全基線編 號SBL-

9、H3CSwitch-02-02-03安全基線項(xiàng) 說明靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測操作步 驟1、參考配置操作user- in terface aux 0 8user privilege level 0set authentication passwordcipher xxxH3C 交換機(jī)安全配置基線第5頁共 11 頁user- in terface vty 0 4user privilege level 0set authentication passwordcipher xxxsuper password level 1cipher password1super

10、password level 2cipher password2super password level 3cipher password3基線符合性 判定依據(jù)1.判定條件用戶的加密口令在 config 文件中顯示的密文。2.參考檢測操作display curre nt-con figurati on備注H3C 交換機(jī)安全配置基線第6頁共 11 頁第 3 章日志安全要求3.1 日志安全3.1.1 配置遠(yuǎn)程日志服務(wù)器安全基線項(xiàng) 目名稱配置遠(yuǎn)程日志服務(wù)器安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-03-01-01安全基線項(xiàng) 說明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳

11、輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口,如 SYSLOG FTP 等。檢測操作步 驟1、參考配置操作h3c in fo-ce nter en ableh3c info-center loghost xxxxx channel loghost2、補(bǔ)充說明在系統(tǒng)模式下進(jìn)行操作?;€符合性 判定依據(jù)1.判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址,日志服務(wù)器正確記錄了日志信息。2.參考檢測操作display curre nt-con figurati on3.補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不冋, 如部署場景需開啟此功能, 則強(qiáng)制要求此項(xiàng)。 建議核 心設(shè)備必選,其它根據(jù)實(shí)際情況啟用H3

12、C 交換機(jī)安全配置基線第7頁共 11 頁第 4 章 IP 協(xié)議安全要求4.1 IP 協(xié)議4.1.1 使用 SSH 加密管理安全基線項(xiàng) 目名稱使用 SSH 加密管理安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-04-01-01安全基線項(xiàng) 說明對于使用 IP 協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備,設(shè)備應(yīng)配置使用 SSH 等加密協(xié)議,關(guān)閉 TELNET 協(xié)議。檢測操作步 驟1、 參考配置操作#設(shè)置用戶界面 VTY 0 到 VTY 4 支持 SSH 協(xié)議。 Sys namesystem-viewSys name user- in terface vty 0 4Sys name-ui-vtyO-4 auth

13、e nticati on-m ode scheme Sys name-ui-vtyO-4protocol inbound ssh2、補(bǔ)充說明無?;€符合性 判定依據(jù)1.參考檢測操作2.補(bǔ)充說明無。備注4.1.2 系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線項(xiàng) 目名稱系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-04-01-02H3C 交換機(jī)安全配置基線第8頁共 11 頁安全基線項(xiàng) 說明系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET SSH 默認(rèn)可以接受任何地址的連接,出于安全考 慮,應(yīng)該只允許特定地址訪問。檢測操作步 驟1、參考配置操作Acl number 2000r

14、ule 1 permit source 55User-i nteface vty 0 4acl 2000 in bou nd2、補(bǔ)充說明無。基線符合性 判定依據(jù)1.判定條件通過設(shè)定 acl,成功過濾非法的訪問。2.參考檢測操作display curre nt-con figurati on3.補(bǔ)充說明無。備注H3C 交換機(jī)安全配置基線第9頁共 11 頁第 5 章 SNMP 安全要求5.1 SNMP 安全5.1.1 修改 SNMP 默認(rèn)通行字安全基線項(xiàng) 目名稱修改 SNMP 默認(rèn)通行字安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-05-01-0

15、1安全基線項(xiàng) 說明系統(tǒng)應(yīng)修改 SNMP 勺 Community 默認(rèn)通仃字,通仃字應(yīng)符合口令強(qiáng)度要求。檢測操作步 驟1、參考配置操作sn mp-age nt com mun ity read xxx sn mp-age nt com mun ity write xxxx2、補(bǔ)充說明無。基線符合性 判定依據(jù)1.判定條件系統(tǒng)成功修改SNMP 的 Community 為用戶定義口令,非常規(guī)private 或者public,并且符合口令強(qiáng)度要求。2.參考檢測操作display curre nt-con figurati on3.補(bǔ)充說明無。備注5.1.2 使用 SNMPV2 或以上版本安全基線項(xiàng) 目名

16、稱SNMP 版本安全基線要求項(xiàng)H3C 交換機(jī)安全配置基線第10頁共 11 頁安全基線編 號SBL-H3CSwitch-05-01-02H3C 交換機(jī)安全配置基線第 io 頁共 ii 頁安全基線項(xiàng) 說明系統(tǒng)應(yīng)配置為 SNMPV 或以上版本。檢測操作步 驟1、參考配置操作sn mp-age nt sys-i nfo vers ion v32、補(bǔ)充說明無。基線符合性 判定依據(jù)1.判定條件成功使能 snmpv2c、和 v3 版本。2.參考檢測操作display curre nt-con figurati on3.補(bǔ)充說明無。備注5.1.3 SNMP 訪問控制安全基線項(xiàng) 目名稱SNMP 訪問控制安全基線

17、要求項(xiàng)安全基線編 號SBL-H3CSwitch-05-01-03安全基線項(xiàng) 說明設(shè)置 SNM 肪問安全限制,只允許特定主機(jī)通過SNM 訪問網(wǎng)絡(luò)設(shè)備。檢測操作步 驟1、參考配置操作sn mp-age nt commu nity read XXXX01 acl 20002、補(bǔ)充說明無?;€符合性 判定依據(jù)1.判定條件通過設(shè)定 acl 來成功過濾特定的源才能進(jìn)行訪問。2.參考檢測操作display curre nt-con figurati on3.補(bǔ)充說明無。備注H3C 交換機(jī)安全配置基線第12頁共 11 頁第 6 章其他安全要求6.1 其他安全配置6.1.1 關(guān)閉未使用的端口安全基線項(xiàng) 目名稱關(guān)

18、閉未使用的端口安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-06-01-01安全基線項(xiàng) 說明關(guān)閉未使用的端口。檢測操作步 驟1、參考配置操作HW-Ethernet3/0/0shutdow n2、補(bǔ)充說明無?;€符合性 判定依據(jù)1.判定條件未使用端口狀態(tài)為 admin down。2.參考檢測操作Display in terface3.補(bǔ)充說明無。備注6.1.2 帳號登錄超時(shí)安全基線項(xiàng) 目名稱帳號登錄超時(shí)安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-06-01-02安全基線項(xiàng) 說明配置定時(shí)帳號自動(dòng)登出,登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。設(shè)置超時(shí)時(shí) 間為 5 分鐘.H3C 交換機(jī)安全配置

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論