H3C三层交换机安全配置规范.docx

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护关闭未使用的管理口项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明 设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。重要等级 高配置指南 1、参考配置操作# interface Ten-GigabitEthernet0/1 /进入端口视图shutdown /执行shutdown命令，关闭端口#检测方法及判定依据 1、符合性判定依据端口关闭，不能使用。2、参考检测方法通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。备注 配置console口密码保护项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明 设备应配置console口密码保护重要等级 高配置指南 1、参考配置操作H3Cuser-interface console 0 H3C-ui-console0 authentication-mode password H3C-ui-console0 set authentication password cipher xxxxxxxx检测方法及判定依据 1、 符合性判定依据通过console口，只有输入正确密码才能进入配置试图2、 参考检测方法PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。备注 4.1.2账号与口令避免共享账号项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明 应对不同的用户分配不同的账号，避免不同用户间账号共享。重要等级 中配置指南 1、参考配置操作#local-user user1service-type telnet user privilede level 2#local-user user2service-type ftp user privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写手机号码；2、避免使用h3c、admin等简单易猜的账号名称；检测方法及判定依据 1、符合性判定依据各账号都可以正常使用，不同用户有不同的账号。2、参考检测方法（1）用display current-configuration configuration luser命令查看配置是否正确（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用（3）使用配置中没有的账号无法登录3、补充说明每个账号都有对应的使用人员，确保没有多余账号备注 禁止无关账号项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-02-v1配置说明 应禁止配置与设备运行、维护等工作无关的账号；重要等级 高配置指南 如有无关账号，参考如下配置进行删除#undo local-user username#检测方法及判定依据 1、 符合性判定依据不存在工作无关账号2、 参考检测方法通过display local-user来查看是否存在无关账号备注 管理默认账号与口令项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-03-v1配置说明 应删除或锁定默认或缺省账号与口令。重要等级 高配置指南 #undo local-user username#检测方法及判定依据 1、 符合性判定依据密码强度和策略符合安全要求2、 参考检测方法通过display password来看密码策略通过telnet方式登录设备，输入密码来检测密码安全性备注 口令长度和复杂度项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-04-v1配置说明 对于采用静态口令认证技术的设备：应支持口令长度及复杂度验证机制（强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成，自动拒绝用户设置不符合复杂度要求的口令。）；重要等级 高配置指南 1、参考配置操作对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类，每类多余4个。password-control enablepassword-control length 8password-control composition type-number 3 type-length 4检测方法及判定依据 1、 符合性判定依据密码强度和策略符合安全要求2、 参考检测方法通过display password来看密码策略通过telnet方式登录设备，输入密码来检测密码安全性备注 口令加密项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-05-v1配置说明 静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。重要等级 高配置指南 1、参考配置操作#local-user adminpassword cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU#检测方法及判定依据 1、 符合性判定依据密码以密文形式存在设备配置中2、 参考检测方法通过display current-configuration命令查看账号密码以密文形式显示备注 口令变更周期项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-06-v1配置说明 口令定期更改，最长不得超过90天。重要等级 高配置指南 1、参考配置操作对于采用静态口令认证技术的设备，账户口令的生存期不长于90天，提前7天告警。password-control enablepassword-control aging 90password-control alert-before-expire 7检测方法及判定依据 1、 符合性判定依据口令更改周期为90天，提前7天会自动告警2、 参考检测方法通过display password-control来查看密码策略备注 账户锁定策略项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-07-v1配置说明 应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。重要等级 高配置指南 1、参考配置操作password-control login-attempt 5 exceed lock-time 60一般设置为5次。检测方法及判定依据 1、 符合性判定依据账号密码输入连续多次错误，账号被锁定。2、 参考检测方法模拟登录测试，连续输5次密码，该账号被锁定。备注 4.1.3认证使用认证服务器认证项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-01-v1配置说明 设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求。重要等级 中配置指南 1、参考配置操作FW radius scheme rad# 配置主、备认证服务器的IP地址为，认证端口号为1812。FW-radius-rad primary authentication 1812FW-radius-rad secondary authentication 1812# 配置与认证服务器交互报文时的共享密钥为expert。FW-radius-rad key authentication expert# 配置向RADIUS服务器发送的用户名携带域名。FW-radius-rad user-name-format with-domain# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。FW-radius-rad server-type extendedFW-radius-rad quit# 配置ISP域的AAA方法。FW domain bbbFW-isp-bbb authentication login radius-scheme radFW-isp-bbb quit2、补充操作说明（1）、配置认证方式，可通过radius和本地认证；（2）、0和是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；（3）、port 1812是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；（4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。检测方法及判定依据 1、符合性判定依据（1）、可以正常ping通 Radius服务器的IP地址；（2）、用户可以登录为正常；（3）、如果要让Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。2、参考检测方法用户发起TELNET连接，在TELNET客户端按照提示输入用户名hellobbb及正确的密码后，可成功进入用户界面，并可以使用级别为0、1、2、3的命令。# 可以通过如下命令查看到AAA用户的连接信息。FW display connectionIndex=1 ,Username=hellobbbIP=8IPv6=N/ATotal 1 connection(s) matched.备注 会话超时配置项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-02-v1配置说明 配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。重要等级 高配置指南 1、参考配置操作#user-interface con 0idle-timeout 5 0user-interface aux 0idle-timeout 5 0user-interface vty 0 4idle-timeout 5 0# save2、补充操作说明以上配置是系统在5分钟没有管理流量就让用户自动退出。超时时间一般设置为5-10分钟。检测方法及判定依据 1、符合性判定依据当闲置时间超时（这里设了5分钟），用户会自动退出设备2、参考检测方法1)、使用display current-configuration configuration user-interface查看配置结果2)、在终端上用telnet方式登录,输入用户名密码3)、让用户处于空闲状态，查看当时间超时是否自动登出备注 4.1.4授权分级权限控制项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-01-v1配置说明 原则上应采用预定义级别的授权方法，实现对不同用户权限的控制，满足用户最小授权的要求。重要等级 中配置指南 1、参考配置操作#local-user user1service-type telnet user privilede level 2#local-user user2service-type ftp user privilede level 3#检测方法及判定依据 1、符合性判定依据各账号都可以正常使用，且能够输入的命令权限不同2、参考检测方法（1）用display current-configuration configuration luser命令查看配置是否正确（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令备注 利用认证服务器进行权限控制项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-02-v1配置说明 除本地采用预定义级别进行外，设备可通过与认证服务器（RADIUS服务器或TACACS服务器）联动的方式实现对用户的授权。并建议采用逐条授权的方式，尽量避免或减少使用一次性授权的方式。重要等级 中配置指南 1、参考配置操作FW radius scheme rad# 配置主、备授权服务器的IP地址为，认证端口号为1812。FW-radius-rad primary authentication 1812FW-radius-rad secondary authentication 1812# 配置与授权服务器交互报文时的共享密钥为expert。FW-radius-rad key authentication expert# 配置向RADIUS服务器发送的用户名携带域名。FW-radius-rad user-name-format with-domain# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。FW-radius-rad server-type extendedFW-radius-rad quit# 配置ISP域的AAA方法。FW domain bbbFW-isp-bbb authorization login radius-scheme radFW-isp-bbb quit2、Radius服务器向发送用户授权信息，需要在Radius服务器上装字典文件并做相应配置。检测方法及判定依据 1、符合性判定依据（1）、用户可以登录为正常；（2）、用户只能够配置Radius服务器规定的命令2、参考检测方法用户发起TELNET连接，在TELNET客户端按照提示输入用户名hellobbb及正确的密码后，可成功进入用户界面，并可以使用级别为0、1、2、3的命令。# 可以通过如下命令查看到AAA用户的连接信息。FW display connectionIndex=1 ,Username=hellobbbIP=8IPv6=N/ATotal 1 connection(s) matched.备注 授权粒度控制项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-03-v1配置说明 原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力，满足用户最小授权的要求。重要等级 中配置指南 1、参考配置操作FW radius scheme rad# 配置主、备授权服务器的IP地址为，认证端口号为1812。FW-radius-rad primary authentication 1812FW-radius-rad secondary authentication 1812# 配置与授权服务器交互报文时的共享密钥为expert。FW-radius-rad key authentication expert# 配置向RADIUS服务器发送的用户名携带域名。FW-radius-rad user-name-format with-domain# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。FW-radius-rad server-type extendedFW-radius-rad quit# 配置ISP域的AAA方法。FW domain bbbFW-isp-bbb authorization login radius-scheme radFW-isp-bbb quit2、Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。检测方法及判定依据 1、 符合性判定依据通过账号登录测试，每个账号的权限不同2、 参考检测方法通过radius服务器，查看每个账号的权限备注 4.1.5记账记录用户登录日志项目编号 NOMD-2013-SC-H3C(L3SW)-01-05-01-v1配置说明 采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。重要等级 高配置指南 1、参考配置操作设备缺省就对用户登录实施日志。如果修改了缺省配置不对用户登录实施日志的话，请增加以下配置：#info-center enableinfo-center source default channel logbuffer log level informational state on#save检测方法及判定依据 1、符合性判定依据可以在informational级别日志中查看到用户名、登录时间和源IP等内容。2、参考检测方法（1）使用display current-configuration | begin info-center命令查看配置；（2）在终端上使用tetlnet方式登录,输入用户名密码；（3）使用display logbuffer 命令查看日志。备注 记录用户操作行为日志项目编号 NOMD-2013-SC-H3C(L3SW)-01-05-02-v1配置说明 采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号创建、删除和权限修改，口令修改，设备配置修改，执行操作的行为和操作结果等。重要等级 高配置指南 1、参考配置操作缺省就对用户修改配置实施日志。如果修改了缺省配置不对实施日志的话，请增加以下配置：info-center source default channel console log level informational state on save2、补充操作说明缺省方式日志输出输出方向的缺省输出规则输出方向 允许输出的模块 LOG TRAP DEBUG 开关 级别 开关 级别 开关 级别控制台 default（所有模块） 开 informational 开 debugging 开 debugging监视终端 default（所有模块） 开 informational 开 debugging 开 debugging日志主机 default（所有模块） 开 informational 开 debugging 关 debugging告警缓冲区 default（所有模块） 关 informational 开 informational 关 debugging日志缓冲区 default（所有模块） 开 informational 关 debugging 关 debuggingSNMP模块 default（所有模块） 关 debugging 开 informational 关 debuggingWeb页面 default（所有模块） 开 debugging 开 debugging 关 debugging日志文件 default（所有模块） 开 debugging 开 debugging 关 debugging检测方法及判定依据 1、符合性判定依据可以使用display logbuffer 命令查看日志。2、检测操作（1）使用display current-configuration | begin info-center命令查看配置；（2）在终端上使用tetlnet方式登录,输入用户名密码；（3）使用display logbuffer 命令查看日志。备注 4.1.6远程管理VTY端口防护策略项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-01-v1配置说明 应限制VTY口的数量，通常情况下VTY口数量不超过16个。应设定VTY口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。（如：网管系统尽量采用snmp方式对设备进行操作，避免使用对设备CPU负载较大的telnet方式。）重要等级 高配置指南 1、 参考配置操作user-interface vty 0 4authentication-mode scheme2、补充操作说明设置访问密码，避免非法访问检测方法及判定依据 1、符合性判定依据对vty口的数量不超过5个，其对起进行了访问限制。2、参考检测方法1) Display current-configuration2) 通过登录测试，只有输入密码才能访问设备超出在线用户数限制，则无法通过vty口访问设备备注 VTY端口访问的认证项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-02-v1配置说明 对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。重要等级 高配置指南 1、参考配置操作user-interface vty 0 4authentication-mode scheme#2、补充操作说明以上配置是对VTY口访问采用服务器认证或本地认证的方式。检测方法及判定依据 1、 符合性判定依据通过telnet登录，只能通过用户名、密码本地或远程登录。2、 参考检测方法登录设备，查看是否需要用户名、密码进行认证。备注 远程主机IP地址段限制项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-03-v1配置说明 应通过ACL限制可远程管理设备的IP地址段重要等级 高配置指南 1、参考配置操作Acl number 2000rule 1 permit source 55rule 2 permit source 2:1 0 /匹配某个地址的用户 -Ipv6User-interface vty 0 4acl 2000 inbound检测方法及判定依据 1、 符合性判定依据通过设定acl，成功过滤非法的访问。2、 参考检测方法display current-configuration 通过模拟账号登录设备，如果不是ACL所允许的IP地址，则无法登录。备注 远程管理通信安全项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-04-v1配置说明 使用SSH或带SSH的telnet等加密的远程管理方式。重要等级 高配置指南 1、参考配置操作# 设置用户界面VTY 0 到VTY 4 支持SSH 协议。 system-view Sysname user-interface vty 0 4 Sysname-ui-vty0-4 authentication-mode scheme Sysname-ui-vty0-4 protocol inbound ssh检测方法及判定依据 1、符合性判定依据通过telnet无法登录，只能以SSH方式登录2、参考检测方法通过SSH方式登录设备，成功。Telnet登录，则失败。备注 4.1.7SNMP安全使用SNMP V3版本项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-01-v1配置说明 对于支持SNMP V3版本的设备，必须使用V3版本SNMP协议。重要等级 高配置指南 1、参考配置操作snmp-agent sys-info version v3检测方法及判定依据 1. 符合性判定依据成功使能snmpv2c、和v3版本。2. 参考检测操作display current-configuration备注 访问IP地址范围限制项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-02-v1配置说明 应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。重要等级 高配置指南 1、参考配置操作snmp-agent community rea