Huawei路由安全配置基线.doc

Huawei 路由器安全配置基线 第 0 页 共 27 页 HuaweiHuawei 路由器安全配置基线路由器安全配置基线 Huawei 路由器安全配置基线 第 1 页 共 27 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 V2 0更新2012 年 4 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Huawei 路由器安全配置基线 第 2 页 共 27 页 目目 录录 第第 1 章章概述概述 5 1 1目的 5 1 2目的 5 1 3适用范围 5 1 4适用版本 5 1 5实施 5 1 6例外条款 5 第第 2 章章华为路由其设备配置安全要求华为路由其设备配置安全要求 6 2 1帐号管理 6 2 1 1用户帐号分配 6 2 1 2删除无关的帐号 7 2 1 3限制具备管理员权限的用户远程登录 7 2 2口令 8 2 2 1口令复杂度 8 2 2 2静态口令加密保存 9 2 2 3根据用户的业务需要配置其所需最小权限 10 2 2 4帐号 口令和授权的强制要求 11 第第 3 章章日志配置日志配置 13 3 1日志配置 13 3 1 1记录用户操作 13 3 1 2记录设备的安全事件 14 3 1 3远程日志功能 14 3 1 4保证日志功能记录的时间准确性 15 3 1 5日志记录内容要求 16 第第 4 章章IP 协议协议 17 4 1IP 协议 17 4 1 1远程维护的设备配置加密协议 17 4 1 2动态路由协议口令要求配置MD5加密 18 4 1 3制定路由策略 19 4 1 4关闭未使用的SNMP协议及未使用RW权限 20 4 1 5Community默认通行字应符合口令强度要求 20 4 1 6配置SNMPV2或以上版本 21 4 1 7SNMP访问安全限制 22 4 1 8ACL配置 22 4 1 9配置URPF 24 4 1 10打开LDP协议认证功能 24 第第 5 章章其他配置其他配置 26 5 1其他配置 26 Huawei 路由器安全配置基线 第 3 页 共 27 页 5 1 1关闭未使用的端口 26 5 1 2配置定时账户自动登出 26 5 1 3配置consol口密码保护功能 27 5 1 4关闭网络设备不必要的服务 28 5 1 5系统远程管理服务只允许特定地址访问 28 5 1 6端口与实际应用相符 29 5 1 7防ARP欺骗攻击 30 第第 6 章章评审与修订评审与修订 31 Huawei 路由器安全配置基线 第 4 页 共 27 页 第第 1 章章概述概述 1 1 目的目的 1 2 目的目的 本文档旨在指导系统管理人员进行 Huawei 路由器的安全配置 1 3 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 1 4 适用版本适用版本 Huawei 路由器 1 5 实施实施 1 6 例外条款例外条款 Huawei 路由器安全配置基线 第 5 页 共 27 页 第第 2 章章华为路由其设备配置安全要求华为路由其设备配置安全要求 2 1 帐号管理帐号管理 2 1 1 用户帐号分配用户帐号分配 安全基线项安全基线项 目名称目名称 用户帐号分配安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配帐号 避免不同用户间共享帐号 避免用户帐号和设备间通 信使用的帐号共享 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 aaa local user user1 password cipher PWD1 local user user1 service type telnet local user user2 password cipher PWD2 local user user2 service type ftp user interface vty 0 4 authentication mode aaa 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 用配置中没有的用户名去登录 结果是不能登录 2 2 参考检测操作参考检测操作 display current configuration configuration aaa 3 3 补充说明补充说明 无 备注备注 需要手工检查 由管理员确认帐号分配关系 Huawei 路由器安全配置基线 第 6 页 共 27 页 2 1 2 删除无关的帐号删除无关的帐号 安全基线项安全基线项 目名称目名称 工作无关的帐号安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 01 02 安全基线项安全基线项 说明说明 应删除与设备运行 维护等工作无关的帐号 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 aaa undo local user test 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 配置中用户信息被删除 2 2 参考检测操作参考检测操作 display current configuration configuration aaa 3 3 补充说明补充说明 无 备注备注 需要手工检查 由管理员判断是否存在无关帐号 2 1 3 限制具备管理员权限的用户远程登录限制具备管理员权限的用户远程登录 安全基线项安全基线项 目名称目名称 限制具备管理员权限的用户远程登录安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 01 03 安全基线项安全基线项 说明说明 限制具备管理员权限的用户远程登录 远程执行管理员权限操作 应先以普 通权限用户远程登录后 再切换到管理员权限帐号后执行相应操作 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 super password level 3 cipher superPWD Huawei 路由器安全配置基线 第 7 页 共 27 页 aaa local user user1 password cipher PWD1 local user user1 service type telnet local user user1 level 2 user interface vty 0 4 authentication mode aaa 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 用户用相应的操作权限登录设备后 不具有最高权限级别 3 这时有些操作 不能做 例如修改 aaa 的配置 这时如果想使用管理员权限必须提高用户级 别 2 2 参考检测操作参考检测操作 display current configuration configuration aaa 3 3 补充说明补充说明 无 备注备注 2 2 口令口令 2 2 1 口令复杂度口令复杂度 安全基线项安全基线项 目名称目名称 静态口令长度安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 8 位 并包括数字 小写 字母 大写字母和特殊符号四类中至少两类 且 5 次以内不得设置相同的口 令 密码应至少每 90 天进行更换 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 aaa Huawei 路由器安全配置基线 第 8 页 共 27 页 local user user1 password cipher NumABC 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 查看用户的口令长度是否至少 8 位 并包括数字 小写字母 大写字母和特 殊符号 4 类中至少 2 类 对于加密的口令 通过登陆检测 2 2 参考检测操作参考检测操作 display current configuration configuration aaa 3 3 补充说明补充说明 无 备注备注 2 2 2 静态口令加密保存静态口令加密保存 安全基线项安全基线项 目名称目名称 静态口令加密保存安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 02 安全基线项安全基线项 说明说明 静态口令必须使用不可逆加密算法加密后保存于配置文件中 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 super password level 3 cipher N C55QK Q Q MAF4 1 local user 8011 password cipher N C55QK Q Q MAF4 1 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 用户的加密口令在 buildrun 中显示的密文 2 2 参考检测操作参考检测操作 display current configuration configuration aaa Huawei 路由器安全配置基线 第 9 页 共 27 页 3 3 补充说明补充说明 无 备注备注 2 2 3 根据用户的业务需要配置其所需最小权限根据用户的业务需要配置其所需最小权限 安全基线项安全基线项 目名称目名称 根据用户的业务需要配置其所需最小权限安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 03 安全基线项安全基线项 说明说明 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小权限 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 aaa local user 8011 password cipher 8011 local user 8011 service type telnet local user 8011 level 0 user interface vty 0 4 authentication mode aaa 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 查看所有用户的级别都配置为其所需的最小权限 1 1 参考检测操作参考检测操作 display current configuration configuration aaa 2 2 补充说明补充说明 无 备注备注 Huawei 路由器安全配置基线 第 10 页 共 27 页 2 2 4 帐号 口令和授权的强制要求帐号 口令和授权的强制要求 安全基线项安全基线项 目名称目名称 帐号 口令和授权的强制要求安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 04 安全基线项安全基线项 说明说明 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强制要 求 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 对远程登录用户先用RADIUS服务器进行认证 如果没有响应 则不认证 认证服务器IP地址为129 7 66 66 无备用服务器 端口号为默认值1812 配置 RADIUS 服务器模板 Router radius server template shiva 配置 RADIUS 认证服务器 IP 地址和端口 Router radius shiva radius server authentication 129 7 66 66 1812 配置 RADIUS 服务器密钥 重传次数 Router radius shiva radius server shared key it is my secret Router radius shiva radius server retransmit 2 Router radius shiva quitquit 进入 AAA 视图 Router aaaaaa 配置认证方案 r n 认证方法为先 RADIUS 如果没有响应 则不认证 Router aaa authentication scheme r n Router aaa authen r n authentication mode radius none Router aaa authen r n quitquit 配置 default 域 在域下采用 r n 认证方案 缺省的计费方案 不计费 shiva 的 RADIUS 模板 Router aaa domain default Router aaa domain default authentication scheme r n Router aaa domain default radius serverradius server shivashiva 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 对远程登陆用户先用 RADIUS 服务器进行认证 非法用户不可以登录 2 2 参考检测操作参考检测操作 Huawei 路由器安全配置基线 第 11 页 共 27 页 display current configuration 3 3 补充说明补充说明 无 备注备注 Huawei 路由器安全配置基线 第 12 页 共 27 页 第第 3 章章日志配置日志配置 3 1 日志配置日志配置 3 1 1 记录用户操作记录用户操作 安全基线项安全基线项 目名称目名称 记录用户操作安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 03 01 01 安全基线项安全基线项 说明说明 设备应配置日志功能 记录用户对设备的操作 例如 帐号创建 删除和权 限修改 口令修改 读取和修改设备配置 读取和修改业务用户的计费数据 身份数据 涉及通信隐私数据 记录需要包含用户帐号 操作时间 操作内 容以及操作结果 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 info center logbuffer channel 4 2 2 补充说明 补充说明 在系统模式下进行操作 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 对设备的操作会记录在日志中 2 2 参考检测操作参考检测操作 display logbuffer 3 3 补充说明补充说明 无 备注备注 Huawei 路由器安全配置基线 第 13 页 共 27 页 3 1 2 记录设备记录设备的安全事件的安全事件 安全基线项安全基线项 目名称目名称 记录设备的安全事件安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 03 01 02 安全基线项安全基线项 说明说明 设备应配置日志功能 记录对与设备相关的安全事件 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 info center enable 2 2 补充说明 补充说明 在系统模式下进行操作 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在日志缓存上正确记录了日志信息 2 2 参考检测操作参考检测操作 display logbuffer 3 3 补充说明补充说明 无 备注备注 3 1 3 远程日志功能远程日志功能 安全基线项安全基线项 目名称目名称 远程日志功能安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 03 01 03 安全基线项安全基线项 说明说明 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到日志 服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 info center loghost 202 38 1 10 facility local4 language english Huawei 路由器安全配置基线 第 14 页 共 27 页 2 2 补充说明 补充说明 在系统模式下进行操作 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 是否正确配置了相应的日志服务器地址 日志服务器正确记录了日志信息 2 2 参考检测操作参考检测操作 display current configuration 3 3 补充说明补充说明 无 备注备注 建议核心设备必选 其它根据实际情况启用 3 1 4 保证日志功能记录的时间准确性保证日志功能记录的时间准确性 安全基线项安全基线项 目名称目名称 保证日志功能记录的时间准确性安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 03 01 04 安全基线项安全基线项 说明说明 开启 NTP 服务 保证日志功能记录的时间的准确性 路由器与 NTP SERVER 之间要开启认证功能 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 ntp service authentication keyid 1 authentication mode md5 N C55QK Q Q MAF4 1 ntp service unicast server 2 2 2 2 authentication keyid 1 2 2 补充说明 补充说明 在系统模式下进行操作 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 本地时钟与时钟源同步 2 2 参考检测操作参考检测操作 disp ntp service status 3 3 补充说明补充说明 Huawei 路由器安全配置基线 第 15 页 共 27 页 无 备注备注 3 1 5 日志记录内容要求日志记录内容要求 安全基线项安全基线项 目名称目名称 日志记录内容安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 03 01 05 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 帐号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 info center console channel 0 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在日志缓存上正确记录了日志信息 2 2 参考检测操作参考检测操作 display logbuffer 3 3 补充说明补充说明 无 备注备注 Huawei 路由器安全配置基线 第 16 页 共 27 页 第第 4 章章IP 协议协议 4 1 IP 协议协议 4 1 1 远程维护的设备配置加密协议远程维护的设备配置加密协议 安全基线项安全基线项 目名称目名称 远程维护的设备配置加密协议安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 rsa peer public key quidway002 public key code begin 308186028180739A291ABDA704F5D93DC8FDF84C427463199 1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9 C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0 E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8 28D55A36F1CDDC4BB45504F020125 public key code end peer public key end aaa local user client001 password simple huawei local user client002 password simple quidway authentication scheme default authorization scheme default accounting scheme default domain default ssh user client002 assign rsa key quidway002 ssh user client001 authentication type password Huawei 路由器安全配置基线 第 17 页 共 27 页 ssh user client002 authentication type RSA user interface con 0 user interface vty 0 4 authentication mode aaa protocol inbound ssh 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 通过抓包确定 ssh 登录的信息为加密信息 2 2 参考检测操作参考检测操作 disp current configuration begin ssh 3 3 补充说明补充说明 无 备注备注 4 1 2 动态路由协议口令要求配置动态路由协议口令要求配置 MD5 加密加密 安全基线项安全基线项 目名称目名称 动态路由协议口令要求配置 MD5 加密安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 02 安全基线项安全基线项 说明说明 动态路由协议口令要求配置 MD5 加密 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 ospf 2 area 0 0 0 0 authentication mode md5 1 cipher N C55QK Q Q MAF4 1 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 Md5 验证不通过的 ospf 邻居建立部不成功 Huawei 路由器安全配置基线 第 18 页 共 27 页 2 2 参考检测操作参考检测操作 display current configuration configuration ospf 3 3 补充说明补充说明 无 备注备注 手工检查 4 1 3 制定路由策略制定路由策略 安全基线项安全基线项 目名称目名称 制定路由策略安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 03 安全基线项安全基线项 说明说明 制定路由策略 禁止发布或接收不安全的路由信息 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 acl number 2000 rule 5 permit source 2 2 2 2 0 route policy dd permit node 0 if match acl 2000 ospf 2 area 0 0 0 0 authentication mode md5 1 cipher N C55QK Q Q MAF4 1 filter route policy dd import 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 被禁止接收和发布的路由成功 2 2 参考检测操作参考检测操作 display current configuration configuration ospf display route policy 3 3 补充说明补充说明 无 备注备注 Huawei 路由器安全配置基线 第 19 页 共 27 页 4 1 4 关闭未使用的关闭未使用的 SNMP 协议及未使用协议及未使用 RW 权限权限 安全基线项安全基线项 目名称目名称 关闭未使用的 SNMP 协议及未使用 RW 权限安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 04 安全基线项安全基线项 说明说明 系统应关闭未使用的 SNMP 协议及未使用 RW 权限 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 Undo snmp enable undo snmp agent community RWuser 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 关闭 snmp 的设备不能被网管检测到 关闭写权限的设备不能进行 set 操作 2 2 参考检测操作参考检测操作 display current configuration 3 3 补充说明补充说明 无 备注备注 4 1 5 Community 默认通行字应符合口令强度要求默认通行字应符合口令强度要求 安全基线项安全基线项 目名称目名称 SNMP 的 Community 默认通行字应符合口令强度要求安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 05 安全基线项安全基线项 说明说明 系统应修改 SNMP 的 Community 默认通行字 通行字应符合口令强度要求 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 snmp agent community read XXXX01 Huawei 路由器安全配置基线 第 20 页 共 27 页 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 系统成功修改 SNMP 的 Community 为用户定义口令 非常规 private 或者 public 并且符合口令强度要求 2 2 参考检测操作参考检测操作 display current configuration 3 3 补充说明补充说明 无 备注备注 4 1 6 配置配置 SNMPV2 或以上版本或以上版本 安全基线项安全基线项 目名称目名称 配置 SNMPV2 或以上版本安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 06 安全基线项安全基线项 说明说明 系统应配置为 SNMPV2 或以上版本 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 snmp agent sys info version v3 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 成功使能 snmpv2c 和 v3 版本 2 2 参考检测操作参考检测操作 display current configuration 3 3 补充说明补充说明 无 备注备注 Huawei 路由器安全配置基线 第 21 页 共 27 页 4 1 7 SNMP 访问安全限制访问安全限制 安全基线项安全基线项 目名称目名称 设置 SNMP 访问安全限制安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 07 安全基线项安全基线项 说明说明 设置 SNMP 访问安全限制 只允许特定主机通过 SNMP 访问网络设备 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 snmp agent community read XXXX01 acl 2000 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 通过设定 acl 来成功过滤特定的源才能进行访问 2 2 参考检测操作参考检测操作 display current configuration 3 3 补充说明补充说明 无 备注备注 4 1 8 ACL 配置配置 安全基线项安全基线项 目名称目名称 通过 ACL 配置对常见的漏洞攻击及病毒报文进行过滤安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 08 安全基线项安全基线项 说明说明 通过 ACL 配置对常见的漏洞攻击及病毒报文进行过滤 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 acl number 20000 rule tcp source 1 1 1 1 0 0 0 0 destination 2 2 2 2 0 0 0 0 source port eq ftp data destination port eq 30 traffic classifier dd if match acl 20000 traffic behavior dd Huawei 路由器安全配置基线 第 22 页 共 27 页 deny traffic policy dd classifier dd behavior dd precedence 0 interface GigabitEthernet4 0 0 undo shutdown ip address 4 4 4 4 255 255 255 0 traffic policy dd inbound 2 2 补充说明 补充说明 如下配置为常见病毒防御 Acl number 100 用于控制 Blaster 蠕虫的传播 rule 1 deny tcp source any destion any destination eq 4444 rule 2 deny udp source any destion any destination eq 69 用于控制 Blaster 蠕虫的扫描和攻击 rule 3 deny tcp source any destion any destination eq 135 rule 4 deny udp source any destion any destination eq 135 rule 5 deny tcp source any destion any destination eq 139 rule 6 deny udp source any destion any destination eq 139 rule 7 deny tcp source any destion any destination eq 445 rule 8 deny udp source any destion any destination eq 445 rule 9 deny tcp source any destion any destination eq 593 rule 10 deny udp source any destion any destination eq 593 用于控制 Slammer 蠕虫的传播 rule 11 deny udp source any destion any destination eq 1434 用于控制震荡波的传播 rule 12 deny tcp source any destination any destination port eq 5554 rule 13 deny tcp source any destination any destination port eq 9995 rule 14 deny tcp source any destination any destination port eq 9996 其他 rule 15 deny udp destination port eq netbios ns rule 16 deny udp destination port eq netbios dgm 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 存在攻击流时 非法报文被过滤 2 2 参考检测操作参考检测操作 display traffic polic 3 3 补充说明补充说明 Huawei 路由器安全配置基线 第 23 页 共 27 页 无 备注备注 4 1 9 配置配置 URPF 安全基线项安全基线项 目名称目名称 配置 URPF 防止基于源地址欺骗的网络攻击行为安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 09 安全基线项安全基线项 说明说明 条件允许情况下 端口配置 URPF Unicast Reverse Path Forwarding 即单 播反向路径查找 其主要功能是防止基于源地址欺骗的网络攻击行为 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 interface GigabitEthernet4 0 1 undo shutdown ip address 172 136 1 1 255 255 255 0 ip urpf strict 2 2 补充说明 补充说明 接口模式下操作 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 非法攻击报文被成功过滤 2 2 参考检测操作参考检测操作 display current configuration interface 3 3 补充说明补充说明 无 备注备注 4 1 10打开打开 LDP 协议认证功能协议认证功能 安全基线项安全基线项 目名称目名称 打开 LDP 协议认证功能安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 04 01 10 安全基线项安全基线项 说明说明 启用 LDP 标签分发协议时 打开 LDP 协议认证功能 如 MD5 加密 确保 与可信方进行 LDP 协议交互 Huawei 路由器安全配置基线 第 24 页 共 27 页 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 Mpls ldp md5 password chiper LDPpwdMd5 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 认证不匹配的 ldp 邻居不能成功建立 2 2 参考检测操作参考检测操作 display current configuration configuration mpls 3 3 补充说明补充说明 无 备注备注根据应用场景的不同 如部署场景需开启此功能 则强制要求此项 Huawei 路由器安全配置基线 第 25 页 共 27 页 第第 5 章章其他配置其他配置 5 1 其他配置其他配置 5 1 1 关闭未使用的端口关闭未使用的端口 安全基线项安全基线项 目名称目名称 关闭未使用的端口安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 05 01 01 安全基线项安全基线项 说明说明 关闭未使用的端口 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 HW Ethernet3 0 0 shutdown 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 未使用端口状态为 admin down 2 2 参考检测操作参考检测操作 Display interface 3 3 补充说明补充说明 无 备注备注手工检查 5 1 2 配置定时账户自动登出配置定时账户自动登出 安全基线项安全基线项 目名称目名称 配置定时账户自动登出安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 05 01 02 安全基线项安全基线项 配置定时账户自动登出 登出后用户需再次登录才能进入系统 Huawei 路由器安全配置基线 第 26 页 共 27 页 说明说明 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 user interface vty 0 4 idle timeout 5 0 user interface con 0 idle timeout 5 0 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 在超出设定时间后 用户自动登出设备 2 2 参考检测操作参考检测操作 display current configuration configuration user interface 3 3 补充说明补充说明 无 备注备注 5 1 3 配置配置 consol 口密码保护功能口密码保护功能 安全基线项安全基线项 目名称目名称 consol 口密码保护功能安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 05 01 03 安全基线项安全基线项 说明说明 配置 consol 口密码保护功能 检测操作步检测操作步 骤骤 1 1 参考配置操作 参考配置操作 user interface con 0 set authentication password cipher consolPWD 2 2 补充说明 补充说明 无 基线符合性基线符合性 判定依据判定依据 1 1 判定条件判定条件 用 consol 口登录 密码输入错误 不能登录 Huawei 路由器安全配置基线 第 27 页 共 27 页 2 2 参考检测操作参考检测操作 display current configuration configuration user interface 3