XX銀行H3C互換機平安基線配置

XX銀行H3C互換機系列平安配置基線適用聲明適用人員IT部的網絡維護人員、安全評估人員、安全審計人員適用版本H3C同系列的網絡交換機適用等保一級項適用等保二級項適用等保三級項適用等保四級項參考依據《H3C交換機配置手冊》《GB/T20270-2006信息安全技術網絡基礎安全技術要求》《GB/T20011-2005信息安全技術路由器安全評估準則》《JR/T0068-2012網上銀行系統(tǒng)信息安全通用規(guī)范》《GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求》《GB/T25070-2010信息安全技術信息系統(tǒng)等級保護安全設計技術要求》《JR/T0071-2012金融行業(yè)信息系統(tǒng)信息安全等級保護實施指引》

訪問操縱1.1配置ACL規(guī)那么酉己置檢查項酉己置ACL規(guī)則適用等保級別等保一全四級檢查步驟進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查WACL匹配路由是否按照業(yè)務需求設置[H3C]discur|inacl[H3C]disthisacl配置步驟設備應根據業(yè)務需要，配置基于源IP地址、通信協(xié)議TCP或UDP、目的甲地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務不相關的流量。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置ACL列表[H3C]aclnumber2000[H3C-acl-basic-2000]ruletcpsourcedestination配置流分類，定義基于ACL的匹配規(guī)則。[H3C]trafficclassifiertc1[H3C-classifier-tc1]if-matchacl2000配置流行為[H3C]trafficbehaviortb1[H3C-behavior-tb1]deny定義流策略，將流分類與流行為關聯。[H3C]trafficpolicytp1[H3C-trafficpolicy-tp1]classifiertc1behaviortb1應用流策略到接口。[H3C]interfacegigabitethernet0/0/1[H3C-GigabitEthernet0/0/1]traffic-policytp1inbound備注1.2配置常見的漏洞解決和病毒過濾功能酉己置/檢查項酉己置常見的漏洞攻擊和病毒過濾功能適用等保級別1.進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看ACL中是否匹配漏洞攻擊和病毒攻擊[H3C]discurrent-configuration|inacl設備應配置ACL，通過ACL列表來過濾一些常見的漏洞攻擊和病毒攻擊。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置ACL列表[H3C]aclnumber2000[H3C-acl-basic-2000]ruletcpsourcedestination配置步驟source-porteqftp-data配置流分類，定義基于ACL的匹配規(guī)則。配置步驟[H3C]trafficclassifiertc1[H3C-classifier-tc1]if-matchacl2000配置流行為[H3C]trafficbehaviortb1[H3C-behavior-tb1]deny定義流策略，將流分類與流行為關聯。[H3C]trafficpolicytp1[H3C-trafficpolicy-tp1]classifiertc1behaviortb1應用流策略到接口。

2平安審計2.1開啟設備的日記功能酉己置/檢查項配置設備的日志功能適用等保級別等?！了募?.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看日志功能是否按照需求配置[H3C]discur|ininfo-center配置步驟要求相關安全審計信息應收集設備登錄信息日志和設備事件信息日志，同時提供SYSLOG月服務器的設置方式，所有的日志信息可以均可以遠程存儲到日志服務器。并且必須保證日志服務器的安全性。1.進入用戶視圖<H3C>2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.開啟日志功能[H3C]配置日志信息輸出到控制臺，用戶可以在控制臺上查看到日志信息，了解到設備的運行情況[H3C]consolechannel0配置日志信息輸出到日志緩沖區(qū)[H3C]logbufferchannel4酉己置日志信息輸出到日志服務器[H3C]info-centerloghost備注3入侵防范3.1配置防ARP欺騙解決

配置設備的防ARP欺騙攻擊功能，可以有效的減少備注3入侵防范3.1配置防ARP欺騙解決進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置防止ARP地址欺騙配置步驟[H3C]arpanti-attackentry-checkfixed-macenable適用于靜態(tài)配置IP地址，但網絡存在冗余鏈路的情況。當鏈路切換時，ARP表項中的接口信息可以快速改變配置步驟[H3C]arpanti-attackentry-checkfixed-allenable適用于靜態(tài)配置IP地址，網絡沒有冗余鏈路，同一IP地址用戶不會從不同接口接入S5300的情況[H3C]arpanti-attackentry-checksend-macenable適用于動態(tài)分配IP地址，有冗余鏈路的網絡配置防止ARP網關沖突[H3C]備注4網絡設備防護4.1配置/檢查項限制具備管理員權限的用戶遠程直接登錄適用等保級別檢查步驟配置步驟進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.檢查步驟配置步驟[H3C]查看是否存在高級別權限密碼[H3C]discur|inacl查看是否對于user用戶密碼進行配置[H3C]discur|inlocal-user遠程管理員應先以普通權限用戶登錄后，再切換到管理員權限執(zhí)行相應操作。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]設置用戶由低級別權限切換到高級別權限的密碼[H3C]superpasswordlevel3cipheranbang@123進入aaa視圖[H3C]aaa配置具備遠程登陸用戶user1的權限信息。

4.2

4.22.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.進入aaa視圖，配置用戶user1的超時時間為5分鐘。[H3C]aaa[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser1level1[H3C-aaa]local-useruser1idle-timeout5備注4.3遠程登岸加密傳輸酉己置檢查項遠程登陸加密傳輸適用等保級別等保一全四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看相關SSH配置[H3C]discur|inssh配置步驟如果通過遠程對交換機進行管理維護，特別是通過互聯網以及不安全的公共網絡，設備應配置使用SSH加密協(xié)議。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]生成本地密鑰對[H3C]rsalocal-key-paircreate創(chuàng)建ssh用戶和密碼[H3C]user-interfacevty04[H3C-ui-vty0-4]authentication-modeaaa[H3C-ui-vty0-4]protocolinboundssh[H3C-ui-vty0-4]sshuserabcauthentication-typepassword[H3C]stelnetserverenable[H3C]sshuserabcservice-typestelnet[H3C]aaa[H3C-aaa]local-userabcpasswordsimpleabc[H3C-aaa]local-userabcservice-typessh使能stelnet服務[H3C]stelnetserverenable備注4.4酉己置console口密碼愛惜功能和連接超時4.54.5配置/檢查項按照用戶分配賬號適用等保級別檢查步驟進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看是否對于不同用戶配置權限信息[H3C]discur|inlocal-user配置步驟避免不同用戶間共享賬號。避免用戶賬號和設備間通信使用的賬號共享。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]備注[H3C]aaa4.為不同的用戶配置不同的權限信息。配置用戶userl具有telnet權限，user2具有ftp權限。[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser2passwordcipheranbang@1234[H3C-aaa]local-useruser1備注[H3C]aaa4.為不同的用戶配置不同的權限信息。配置用戶userl具有telnet權限，user2具有ftp權限。[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser2passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser2service-typeftp[H3C-aaa]local-useruser1level1[H3C-aaa]local-useruser2level14.6刪除設備中無用的閑置賬號配置/檢查項刪除設備中無用的閑置賬號適用等保級別等保二至四級[H3C]查看設備中是否存在限制的用戶賬號和信息[H3C]discur|inlocal-user定期檢查設備賬號配置，刪除與設備運行，維護等無關的賬號。配置步驟進入用戶視圖

4.7修改設備上存在的弱口令酉己置/檢查項修改設備上存在的弱口令適用等保級別等保—至四級檢查步驟進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看用戶的密碼信息[H3C]discur|inlocal-user配置步驟對于采用靜態(tài)口令認證技術的設備，口令長度至少8位，并包括數字、小與字母、大寫字母和特殊符號4類中至少2類，且用戶口令加密存儲。備注進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]進入aaa視圖，配置用戶user1的口令，并且口令加密存儲。[H3C]aaa[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser1level14.8配置和認證系統(tǒng)聯動功能配置/檢查項配置和認證系統(tǒng)聯動功能適用等保級別等保二至四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖<H3C>system-view檢查步驟Entersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看是否配置了認證服務系統(tǒng)[H3C]discur|inradius-server設備通過相關參數配置，與認證系統(tǒng)聯動，滿足帳號、口令和授權的強制要求。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]酉己置RADIUS服務器模板test[H3C]radius-servertemplatetest配置RADIUS認證服務器的IP地址、端口。配置步驟[H3C-radius-test]radius-serverauthentication1812配置RADIUS服務器密鑰、重傳次數[H3C-radius-test]radius-servershared-keycipherhello[H3C-radius-test]radius-serverretransmit2則不認證配置認證方案1，認證模式為先RADIUS，如果沒有響應，[H3C]aaa[H3C-aaa]authentication-scheme1[H3C-aaa]authentication-moderadiusnone7.配置合6域，在域下應用認證方案1、RADIUS模板test[H3C-aaa]domainab[H3C-aaa-domain-ab]authentication-scheme1[H3C-aaa-domain-ab]radius-servertest

備注4.9配置NTP效勞配置/檢查項酉己置NTP服務適用等保級別等保二至四級配置步驟則不認證配置/檢查項酉己置NTP服務適用等保級別等保二至四級進入用戶視圖<H3C>用戶視圖切換到系統(tǒng)視圖<H3C>system-view檢查步驟Entersystemview,returnuserviewwithCtrl+Z.[H3C]查看NTP相關配置是否正確[H3C]discur|inntp開啟NTP月艮務，保證日志功能記錄的時間的準確性，同時交換機和NTPSERVER之間要開啟認證功能。進入用戶視圖<H3C>由戶視圖切換到系統(tǒng)視圖配置步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.配置步驟<H3C>system-view[H3C]3.在交換機上使能NTP功能，配置驗證密鑰并聲明該密鑰可信[H3C]ntp-serviceauthenticationenable[H3C]ntp-serviceauthentication-keyid1authentication-modemd5

4.10修改SNMP的community默許通行字酉己置/檢查項修改SNMP的community默認通行字，通行字應符合口令強度要求適用等保級別等保—至四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看COMMUNITY是否存在默認通行字[H3C]discur|inacl應修改SNMP的Community默認通行字，通行字應符合口令強度要求。1.進入用戶視圖<H3C>配置步驟2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]

3.修改SNMP的默認通行字[H3C]snmp-agentcommunityread1234@abcd[H3C]snmp-agentcommunitywrite1234@abcd備注4.11利用SNMPV2或以上版本酉己置/檢查項使用SNMPV2或以上版本適用等保級別等?！了募?.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP的運行版本[H3C]discur|insnmp-agent應配置SNMP使用SNMPv2或者以上版本，加強安全性。1.進入用戶視圖<H3C>配置步驟2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.配置SNMP版本。

4.12設置SNMP的訪問平安限制酉己置檢查項設置SNMP的訪問安全限制適用等保級別等保—至四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP的訪問安全限制[H3C]discur|insnmp-agent設置SNMP訪問安全限制，只允許特定主機通過SNMP訪問網絡設備。1.進入用戶視圖<H3C>2.由戶視圖切換到系統(tǒng)視圖配置步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.酉己置可以訪問交換機的ACL列表。[H3C]acl20014.

[H3C-acl-basic-2001]rule5permitsource應用ACL到SNMP配置。[H3C]snmp-agentcommunitywrite1234@abcd[H3C]snmp-agentcommunityread1234@abcdacl2001acl2001備注4.13系統(tǒng)應關閉未利用的SNMP協(xié)議及未利用RW權限酉己置檢查項關閉未使用的SNMP協(xié)議及未使用RW權限適用等保級別等保—至四級1.進入用戶視圖<H3C>2.用戶視圖切換到系統(tǒng)視圖檢查步驟<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP協(xié)議的RW相關配置[H3C]discur|inRW如不需要提供SNMP服務的，要求禁止SNMP協(xié)議服務，注意在禁止時刪除一些SNMP服務的默認配置。1.進入用戶視圖配置步驟<H3C>2.由戶視圖切換到系統(tǒng)視圖<H3C>system-viewEntersystemview,returnuservieww