設(shè)備安全配置指南基線

1、 網(wǎng)絡(luò)設(shè)備基線配置2009-07-24發(fā)布2009-07-24實(shí)施中國聯(lián)通公司發(fā)布目 錄1范圍12安全配置要求12.1password的加密12.2Super 密碼的使用12.3用戶口令設(shè)置12.4用戶權(quán)限設(shè)置12.5VTY的數(shù)量限制22.6VTY的訪問限制22.7禁用Telnet方式訪問系統(tǒng)22.8SSH的使用32.9SNMP服務(wù)設(shè)置32.10SNMP服務(wù)的共同體字符串設(shè)置32.11SNMP服務(wù)的訪問控制設(shè)置32.12登錄超時(shí)設(shè)置42.13禁用不使用的端口42.14禁用FTP服務(wù)42.15日志審計(jì)41 范圍本文檔規(guī)定了財(cái)務(wù)公司范圍內(nèi)安裝的華為路由交換設(shè)備應(yīng)當(dāng)遵循的操作系統(tǒng)安全性設(shè)置標(biāo)準(zhǔn)，本文

2、檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行華為路由交換設(shè)備的安全配置。2 安全配置要求2.1 password的加密配置項(xiàng)名稱啟用password加密功能操作步驟查看是否進(jìn)行了如下配置：Password * cipher安全建議建議對password進(jìn)行加密，配置：Password * cipher備 注Password的加密（密文）2.2 Super 密碼的使用配置項(xiàng)名稱super密碼的使用操作步驟查看是否進(jìn)行了如下配置：Super password * cipher安全建議建議設(shè)置super的密碼用戶登錄設(shè)備以后，為了獲得設(shè)備設(shè)置的權(quán)限必須進(jìn)入super模式，如果未設(shè)置，則登錄設(shè)備的用戶直接就獲得了配置設(shè)

3、備的權(quán)限。命令為：Super Password * cipher備 注Super加密密文2.3 用戶口令設(shè)置配置項(xiàng)名稱用戶口令設(shè)置操作步驟詢問管理員是否存在如下類似的簡單用戶密碼配置，比如：Test、admin、root1234安全建議檢查用戶口令的設(shè)置情況，檢查是否存在簡單密碼。要求密碼長度最少為8位，包含大小寫字母、數(shù)字和特殊符號，密碼變更周期。如果滿足，則符合安全要求；如果不滿足，則低于安全要求。備 注2.4 用戶權(quán)限設(shè)置配置項(xiàng)名稱用戶權(quán)限設(shè)置操作步驟查看用戶的權(quán)限設(shè)置。service-type lan-accessservice-type telnet level 1service-t

4、ype ftp安全建議本著最小化的原則，應(yīng)該只給用戶賦予最小的權(quán)限，其他權(quán)限應(yīng)該在需要時(shí)開啟。備 注2.5 VTY的數(shù)量限制配置項(xiàng)名稱VTY數(shù)量限制操作步驟查看是否作了如下的類似配置：user-interface vty 0 4建議為line vty 0 1安全建議建議對VTY的數(shù)量進(jìn)行合理的限制。設(shè)置為0 1即可。備 注2.6 VTY的訪問限制配置項(xiàng)名稱VTY的訪問限制操作步驟查看是否作了如下的類似配置：access-list 12 permit * *line vty 0 1acl class 12 Inbound安全建議建議對VTY的訪問源地址進(jìn)行合理的限制備 注2.7 禁用Telnet

5、方式訪問系統(tǒng)配置項(xiàng)名稱禁用telent方式訪問系統(tǒng)操作步驟查看配置文件中是否存在Switch(config)# line vty 0 4 Switch(config-line)# login inSwitch(config-line)# passwordSwitch(config-line)# exit如果存在，則低于安全要求；如果不存在，則符合安全要求。安全建議禁用Telnet方式遠(yuǎn)程訪問系統(tǒng)。備 注2.8 SSH的使用配置項(xiàng)名稱檢查是否采用SSH登錄方式操作步驟執(zhí)行：dis cu是否存在SSH配置如果存在，則符合安全要求；如果不存在，則低于安全要求。安全建議 建議如下配置，使用SSH 替代

6、Telent的訪問方式： 備 注2.9 SNMP服務(wù)設(shè)置配置項(xiàng)名稱查看是否開啟了SNMP服務(wù)操作步驟查看配置中關(guān)于SNMP服務(wù)的設(shè)置情況： Quidway snmp-agent trap enable安全建議如果用戶不采用SNMP方式管理網(wǎng)絡(luò)設(shè)備，則應(yīng)關(guān)閉SNMP服務(wù)。命令為：Quidway undo snmp-agent備 注簡單網(wǎng)絡(luò)管理協(xié)議的使用2.10 SNMP服務(wù)的共同體字符串設(shè)置配置項(xiàng)名稱檢查SNMP服務(wù)的共同體字符串設(shè)置操作步驟查看配置中關(guān)于SNMP服務(wù)的共同體字符串設(shè)置情況：Quidway snmp-agent community read *Quidway snmp-agent

7、 community write *安全建議設(shè)置復(fù)雜一些的字符串：命令為：Quidway # snmp-server community read *備 注在開啟了SNMP服務(wù)的前提下，檢查SNMP服務(wù)的共同體字符串設(shè)置情況，應(yīng)該取消使用默認(rèn)的public和private，如果不使用snmp配置設(shè)備，則不要設(shè)置write的共同體字符串。2.11 登錄超時(shí)設(shè)置配置項(xiàng)名稱查看是否進(jìn)行了登錄超時(shí)設(shè)置操作步驟查看是否對VTY/CON/AUX等作了如下類似配置：idle-timeout 0項(xiàng)目描述查看是否進(jìn)行了登錄超時(shí)設(shè)置(缺省設(shè)置為10分鐘)安全建議登錄超時(shí)設(shè)置(缺省設(shè)置為10分鐘)建議對VTY/CO

8、N/AUX等做登錄超時(shí)設(shè)置，配置如下：以配置AUX的exec-timeout為2分15秒為例： Quidway-ui-aux0 idle-timeout 2 15備 注登錄超時(shí)的設(shè)置2.12 禁用不使用的端口配置項(xiàng)名稱查看是否禁用了不使用的端口操作步驟查看是否對端口做了如下類似配置： Quidway-Ethernet2/1/1 shutdown安全建議建議禁用不使用的端口，配置如下：Quidway-Ethernet2/1/1 shutdown備 注關(guān)閉端口2.13 禁用FTP服務(wù)配置項(xiàng)名稱禁用FTP方式訪問系統(tǒng)操作步驟查看配置文件，是否有類似內(nèi)容：undo ftp-server enable安全建議禁用FTP方式遠(yuǎn)程訪問系統(tǒng)。配置命令：undo ftp-server enable備 注 不使用ftp 禁用2.14 日志審計(jì)配置項(xiàng)名稱日志審計(jì)操作步驟檢查配置文件中是否存在如下配置：info-center enable inf