中国电信华为路由器安全配置规范v0.1.doc

YD/T 200三保密等级：公开发放中国电信集团公司 发布2013-XX实施2013-XX发布中国电信华为路由器安全配置规范Specification for Huawei Router Configuration Used in China Telecom Q/CT XXXX-2013中国电信集团公司技术标准1Q/CT XXXX-2013目 录目 录I前 言II1 范围12 规范性引用文件13 缩略语14 安全配置要求24.1 管理平面安全配置24.1.1 管理口防护24.1.2 账号与口令24.1.3 认证44.1.4 授权54.1.5 记账74.1.6 远程管理94.1.7 SNMP安全114.1.8 系统日志134.1.9 NTP154.1.10 Banner信息164.1.11 未使用的管理平面服务164.2 数据转发平面安全配置174.2.1 典型垃圾流量过滤174.3 控制平面安全配置214.3.1 ACL控制214.3.2 路由安全防护214.3.3 协议报文防护234.3.4 引擎防护策略25前 言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信在2011年编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求，在实际的运用中发挥了积极的作用。本次针对2011版安全配置中发现的问题和不足，进行修订，提增加部分数据库、应用中间件、网络设备方面的安全配置要求。本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下：（1）Windows 操作系统安全配置规范（本标准）（2）AIX操作系统安全配置规范（3）HP-UX操作系统安全配置规范（4）Linux操作系统安全配置规范（5）Solaris操作系统安全配置规范（6）MS SQL server数据库安全配置规范（7）MySQL数据库安全配置规范（8）Oracle数据库安全配置规范（9）Sybase数据库安全配置规范（10）Apache安全配置规范（11）IIS安全配置规范（12）Tomcat安全配置规范（13）WebLogic安全配置规范（14）Nginx安全配置规范（15）Resin安全配置规范（16）Cisco路由器安全配置规范（17）Juniper路由器安全配置规范（18）华为路由器安全配置规范（19）华为交换机安全配置规范（20）H3C交换机安全配置规范（21）中兴交换机安全配置规范（22）XXX防火墙安全配置规范（）本标准由中国电信集团公司提出并归口。I1 范围适用于中国电信使用的华为路由器设备。本规范明确了华为路由器设备在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。2 规范性引用文件本设备配置规范符合下列规范性文件：GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求YD/T 1732-2008固定通信网安全防护要求YD/T 1734-2008移动通信网安全防护要求YD/T 1736-2008互联网安全防护要求YD/T 1738-2008增值业务网消息网安全防护要求YD/T 1740-2008增值业务网智能网安全防护要求YD/T 1758-2008非核心生产单元安全防护要求YD/T 1742-2008接入网安全防护要求YD/T 1744-2008传送网安全防护要求YD/T 1746-2008IP承载网安全防护要求YD/T 1748-2008信令网安全防护要求YD/T 1750-2008同步网安全防护要求YD/T 1752-2008支撑网安全防护要求YD/T 1756-2008电信网和互联网管理安全等级保护要求3 缩略语下列缩略语适用于本标准：4 安全配置要求根据国内外运营商网络及结合中国电信的实际情况，可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面，每个平面的具体安全策略不同。具体如下： 管理平面：管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性，降低设备受到网络攻击或被入侵的可能性。 转发平面：数据转发平面的主要安全策略是对异常流量进行控制，防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥，造成网络的拥塞或不可用。 控制平面：控制平面的主要安全策略是保证设备系统资源的可用性，使得设备可以正常的实现数据转发、协议更新。4.1 管理平面安全配置4.1.1 管理口防护 配置console口密码保护项目编号配置说明设备应配置console口密码保护安全要求等级配置指南1. 执行命令system-view，进入系统视图。 2. 执行命令user-interface console 0，进入Console用户界面视图。 3. 执行命令authentication-mode password，设置用户验证方式为密码验证。4. 执行命令set authentication password cipher xxxxx，设置password验证的口令检测方法及判定依据1. 执行命令display user-interface console 0查看输出：Auth为PIdx Type Tx/Rx Modem Privi ActualPrivi Auth Int + 0 CON 0 9600 - 3 3 P - 备注4.1.2 账号与口令 避免共享账号项目编号配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。安全要求等级配置指南1. 执行命令system-view，进入系统视图。 2. 执行命令aaa，进入AAA视图。 3. 执行命令local-user user-name password cipher password，配置本地用户名和密码。 4. 执行命令local-user test access-limit 1，配置本地用户同一时间的最大接入数目为1。检测方法及判定依据1. 执行命令display current-configuration | include local-user查看有多个local-user、且有access-limit为1的配置local-user test1 password cipher P/AN/%E(#Q=QMAF41! local-user test1 access-limit 1 local-user test2 password cipher =W6JJN_LBKQ=QMAF41! local-user test2 access-limit 1 备注 口令加密项目编号配置说明静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。安全要求等级配置指南1. 执行命令system-view，进入系统视图。 2. 执行命令aaa，进入AAA视图。3. 执行命令local-user user-name password cipher password选择cipher检测方法及判定依据1. display current-configuration | include local-user查看到local-user的配置，有cipher关键字，并显示为密文：local-user test1 password cipher P/AN/%E(#Q=QMAF41!备注 账户锁定策略项目编号配置说明应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。安全要求等级配置指南1. 执行命令system-view，进入系统视图。 2. 执行命令aaa，进入AAA视图。3. 执行命令local-user user-name password cipher XXXX，配置本地用户及密码。4. 执行命令local-user user-name state block fail-times X interval X，配置本地用户登录失败X次后，暂时将用户阻塞：X分钟。检测方法及判定依据执行命令：dis cu | in local-user查看输出，检查是否有block关键字段，比如： local-user test password simple test local-user test state block fail-times 5 interval 5备注支持的版本：NE40E&80E V600R003C00SPCa00NE40E&NE80E V600R005C004.1.3 认证 使用认证服务器认证项目编号配置说明设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足帐号、口令和授权的要求。安全要求等级配置指南1. 执行命令system-view，进入系统视图2. 执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3. 执行命令hwtacacs-server authentication 0，配置认证服务器地址。4. 执行命令hwtacacs-server source-ip xxxx，配置发送报文的源地址，一般为loopback地址。5. 系统试图下执行命令aaa，进入aaa视图6. 执行命令authentication-scheme default，配置认证模板default7. 执行命令authentication-mode hwtacacs（或radius），配置认证模式为hwtacacs。8. 执行命令domain default，进入系统defalut域9. 执行命令hwtacacs-server tacacs，配置default域使用名为tacacs的HWTACACS服务器模板检测方法及判定依据1. 执行命令：display current-configuration configuration aaa：查询认证配置方式，红色关键字： # aaa authentication-scheme default authentication-mode hwtacacs #domain default hwtacacs-server tacacs 2. 执行命令：dis cu conf hwtacacs，查看模板为tacacs服务器的配置参数 ： # hwtacacs-server template tacacs hwtacacs-server authentication 0 hwtacacs-server source-ip 备注 会话超时配置项目编号配置说明配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。安全要求等级配置指南1. 执行命令system-view，进入系统视图2. 执行命令user-interface vty 0 14，进入通过Telnet或SSH方式登录的用户界面3. 执行命令idle-timeout X，设置断连的超时时间为X分钟，即用户没有输入命令的时间。4. 执行命令user-interface console 0，进入console登录用户界面5. 执行命令idle-timeout X检测方法及判定依据1. 执行命令display cu configuration user-interface，查看输出信息中，con、vty接口下是否有关键字：idle-timeout # user-interface con 0 idle-timeout 20 0 user-interface vty 0 4 idle-timeout 20 0 备注4.1.4 授权 分级权限控制项目编号配置说明原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。安全要求等级配置指南1. 执行命令system-view，进入系统视图。 2. 执行命令aaa，进入AAA视图。3. 执行命令local-user user-name password cipher XXXX，配置本地用户及密码。4. 执行命令local-user user-name level x，配置用户的级别，x为03，分别代表参观（0）、监控（1）、配置（2）、管理（3），共4个级别。检测方法及判定依据5. 执行命令：display current-configuration configuration aaa | include local-user，查看输出的本地用户是否配置了关键字：level local-user test password cipher =W6JJN_LBKQ=QMAF41! local-user test level 3 备注 利用认证服务器进行权限控制项目编号配置说明除本地采用预定义级别进行外，设备可通过与认证服务器（RADIUS服务器或TACACS服务器）联动的方式实现对用户的授权。并建议采用逐条授权的方式，尽量避免或减少使用一次性授权的方式。安全要求等级配置指南1. 执行命令system-view，进入系统视图2. 执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3. 执行命令hwtacacs-server authorization 0，配置授权服务器地址。4. 执行命令hwtacacs-server source-ip xxxx，配置发送报文的源地址，一般为loopback地址。5. 系统试图下执行命令aaa，进入aaa视图6. 执行命令authorization-scheme default，配置授权模板default7. 执行命令authorization-mode hwtacacs，配置授权模式为hwtacacs。8. 执行命令domain default，进入系统defalut域9. 执行命令hwtacacs-server tacacs，配置default域使用名为tacacs的hwtacacs服务器模板检测方法及判定依据1. 执行命令：display current-configuration configuration aaa：查询认证配置方式，红色关键字：# aaa authentication-scheme default authentication-mode local hwtacacs # authorization-scheme default authorization-mode hwtacacs # accounting-scheme default # domain default hwtacacs-server tacacs 2. 执行命令：display current-configuration configuration hwtacacs，查看模板为tacacs服务器的关键配置参数，红色字体 ： # hwtacacs-server template tacacs hwtacacs-server authentication 0 hwtacacs-server authorization 0 hwtacacs-server source-ip 备注 授权粒度控制项目编号配置说明原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力。安全要求等级配置指南1. 执行命令system-view，进入系统视图2. 执行命令command-privilege level X view Y xxxx，指定Y视图内的命令xxxx的级别为X，比如：command-privilege level 2 view system display current-configuration：指定system视图内的display current-configuration命令的级别为2级检测方法及判定依据3. 执行命令display current-configuration configuration | include command-privilege，查看针对哪些命令进行了相应级别的授权：command-privilege level 0 view system display current-configuration备注4.1.5 记账 记录用户登录日志项目编号配置说明采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。安全要求等级配置指南本地方式：1. 执行命令system-view，进入系统视图2. 执行命令info-center source default channel 4 log level informational，指定别为notification或informational或dubugging的日志被记录到channel 4（logbuffer）中与TACACS联动方式：1. 执行命令system-view，进入系统视图2. 执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3. 执行命令hwtacacs-server accounting 0，配置记账服务器地址。4. 系统试图下执行命令aaa，进入aaa视图5. 执行命令recording-scheme tacacs，配置一个记录方案tacacs6. 执行命令recording-mode hwtacacs tacacs，配置记录方法为关联的hwtacacs服务器模板tacacs7. 执行命令cmd recording-scheme tacacs，配置用户在路由器上所执行的命令的记录策略检测方法及判定依据本地方式：1. 执行命令display logbuffer，可查看到登录的信息：Aug 2 2013 11:08:10-08:00 RT7-163core %01SHELL/5/LOGIN(l)22:VTY login from 3. 2. 执行命令display current-configuration configuration | include info-center，查看输出的信息中，是否有关键语句、关键字：notification或informational或dubugging：info-center source default channel 4 log level notification与tacacs服务器联动方式：3. 执行命令display current-configuration configuration | include recording，查看输出的信息中，是否有关键信息：recording-scheme tacacs recording-mode hwtacacs tacacs cmd recording-scheme tacacs 4. 执行命令：display current-configuration configuration hwtacacs，查看模板为tacacs服务器的关键配置参数，红色字体 ： # hwtacacs-server template tacacs hwtacacs-server authentication 0 hwtacacs-server authorization 0 hwtacacs-server accounting 0 备注本地方式的场景，部分版本缺省就支持在logbuffer中记录了登录的信息。 记录用户操作行为日志项目编号配置说明采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号创建、删除和权限修改，口令修改，设备配置修改，执行操作的行为和操作结果等。安全要求等级配置指南本地方式：1. 执行命令system-view，进入系统视图2. 执行命令info-center source default channel 4 log level informational，指定别为notification或informational或dubugging的日志被记录到channel 4（logbuffer）中与TACACS联动方式：1. 执行命令system-view，进入系统视图2. 执行命令hwtacacs-server template tacacs，配置名字为tacacs的模板3. 执行命令hwtacacs-server accounting 0，配置记账服务器地址。4. 系统试图下执行命令aaa，进入aaa视图5. 执行命令recording-scheme tacacs，配置一个记录方案tacacs6. 执行命令recording-mode hwtacacs tacacs，配置记录方法为关联的hwtacacs服务器模板tacacs执行命令cmd recording-scheme tacacs，配置用户在路由器上所执行的命令的记录策略检测方法及判定依据本地方式：1. 执行命令display logbuffer，可查看到登录的信息：Aug 2 2013 11:08:10-08:00 RT7-163core %01SHELL/5/LOGIN(l)22:VTY login from 3. 2. 执行命令display current-configuration configuration | include info-center，查看输出的信息中，是否有关键语句、关键字：notification或informational或dubugging：info-center source default channel 4 log level notification与tacacs服务器联动方式：3. 执行命令display current-configuration configuration | include recording，查看输出的信息中，是否有关键信息：recording-scheme tacacs recording-mode hwtacacs tacacs cmd recording-scheme tacacs 4. 执行命令：display current-configuration configuration hwtacacs，查看模板为tacacs服务器的关键配置参数，红色字体 ： # hwtacacs-server template tacacs hwtacacs-server authentication 0 hwtacacs-server authorization 0 hwtacacs-server accounting 0备注本地方式的场景，部分版本缺省就支持在logbuffer中记录了操作行为的信息4.1.6 远程管理 VTY端口防护策略项目编号配置说明应限制VTY口的数量，通常情况下VTY口数量不超过16个。应设定VTY口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。（如：网管系统尽量采用snmp方式对设备进行操作，避免使用对设备CPU负载较大的telnet方式。）安全要求等级配置指南1. 执行命令system-view，进入系统视图2. 执行命令user-interface maximum-vty 10，配置VTY口最大个数检测方法及判定依据1. 执行命令display current-configuration configuration user-interface，参看输出的关键信息，如红色关键字：user-interface maximum-vty 10 备注 VTY端口访问的认证项目编号配置说明对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。安全要求等级配置指南1. 执行命令system-view，进入系统视图。 2. 执行命令user-interface vty 0 14，进入vty用户界面视图。 3. 执行命令authentication-mode aaa，配置登录用户界面的验证方式为aaa。4. 系统视图下，执行命令aaa进入aaa视图，5. 执行命令authentication-scheme default6. 执行命令authentication-mode local hwtacacs，配置认证模式为先local后hwtacacs检测方法及判定依据1. 执行命令display current-configuration configuration user-interface，查看输出信息中的关键字段，如红色字体： user-interface vty 0 4 authentication-mode aaa 2. 执行命令display current-configuration configuration aaa | include authentication，查看关键字段，如红色字体：authentication-scheme default authentication-mode local hwtacacs备注系统缺省是先local后radius。 远程主机IP地址段限制项目编号配置说明应通过ACL限制可远程管理设备的IP地址段安全要求等级配置指南1. 执行命令system-view，进入系统视图。2. 执行命令acl number 2999，配置acl3. 执行命令rule 5 permit source 55，配置限制的IP地址段4. 系统视图下，执行命令user-interface vty 0 14，进入vty用户视图5. 执行命令acl 2999 inbound，限制登录的远程主机IP地址段。检测方法及判定依据1. 执行命令：display current-configuration configuration user-interface 查看输出的信息中包含关键字段： # user-interface vty 0 4 acl 2999 inbound 2. 执行命令display current-configuration configuration acl-basic # acl number 2999 rule 5 permit source 55备注 远程管理通信安全项目编号配置说明使用SSH或带SSH的telnet等加密的远程管理方式。安全要求等级配置指南1. 执行命令system-view，进入系统视图。2. 执行命令rsa local-key-pair create，生成本地RSA主机密钥对和服务器密钥对。3. 执行命令stelnet server enable，使能SSH服务器端的STelnet服务。4. 执行命令ssh authentication-type default password，配置SSH认证缺省采用密码认证5. 执行命令使能ssh client first-time enable ，使能SSH客户端首次认证，当STelnet/SFTP客户端第一次登录SSH服务器时，不对SSH服务器的RSA公钥进行有效性检查，因为此时STelnet/SFTP客户端还没有保存SSH服务器的RSA公钥。检测方法及判定依据1. 执行命令display rsa local-key-pair public，查看是否有rsa的key code。2. 执行命令display current-configuration configuration | include stelnet，查看是否有关键信息： stelnet server enable 3. 执行命令display current-configuration configuration | include ssh ，查看是否有关键信息： ssh authentication-type default password ssh client first-time enable 备注4.1.7 SNMP安全 使用SNMP V3版本项目编号配置说明对于支持SNMP V3版本的设备，必须使用V3版本SNMP协议。安全要求等级配置指南1. 执行命令system-view，进入系统视图。2. 执行命令snmp-agent sys-info version V3，设置系统启用的snmp版本号为V3。3. 执行命令snmp-agent group v3 huawei_group，配置snmp v3的组名为huawei_group4. 执行命令snmp-agent usm-user v3 huawei_user huawei_group，为huawei_group组增加一个用户huawei_user。网管采用配置的用户名登录即可检测方法及判定依据1. 执行命令display current-configuration configuration | include snmp，查看输出中有关键信息：snmp-agentsnmp-agent sys-info version v3 snmp-agent group v3 huawei_group snmp-agent usm-user v3 huawei_user huawei_group备注 访问IP地址范围限制项目编号配置说明应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。安全要求等级配置指南1. 执行命令system-view，进入系统视图。2. 执行命令acl 20013. 执行命令rule 5 permit source ，限制源地址4. 执行命令snmp-agent community write adminnms11 acl 2001或者snmp-agent community read adminnms22 acl 2001，配置community的读或写权限关联acl 2001检测方法及判定依据1. 执行命令display current-configuration configuration | include snmp，查看输出中有关键信息：snmp-agent community write adminnms11 acl 2001备注 SNMP服务读写权限管理项目编号配置说明应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。安全要求等级配置指南1. 执行命令system-view，进入系统视图。2. 执行命令snmp-agent community read adminnms22 acl 2001，配置只有读权限。检测方法及判定依据1. 执行命令display current-configuration configuration | include snmp，查看输出中有关键信息：snmp-agent community read adminnms22 acl 2001备注 修改SNMP默认的Community字符串项目编号配置说明应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。安全要求等级配置指南1. 执行命令system-view，进入系统视图。2. 执行命令snmp-agent community write adminnms22 acl 2001，配置community复杂的字符串。检测方法及判定依据1. 执行命令display current-configuration configuration | include snmp，查看输出中有关键信息：snmp-agent community read adminnms22 acl 2001备注 Community字符串加密项目编号配置说明建议支持对SNMP协议RO、RW的Community字符串的加密存放。安全要求等级配置指南1. 执行命令system-view，进入系统视图2. 执行命令snmp-agent community read cipher adminnms22，配置r