Huawei路由安全配置基线.doc

Huawei 路由器安全配置基线 中国移动集团公司第 1 页 共 15 页 HuaweiHuawei 路由器安全配置基线路由器安全配置基线 中国移动通信有限公司中国移动通信有限公司 管理信息系统部管理信息系统部 2009 年 03 月 Huawei 路由器安全配置基线 中国移动集团公司第 2 页 共 15 页 版本版本版本控制信息版本控制信息更新日期更新日期更新人更新人审批人审批人 V1 0创建2009 年 1 月 备注 备注 1 若此文档需要日后更新 请创建人填写版本控制表格 否则删除版本控制表格 Huawei 路由器安全配置基线 中国移动集团公司第 3 页 共 15 页 目目 录录 第第 1 章章概述概述 1 1 1目的 1 1 2目的 1 1 3适用范围 1 1 4适用版本 1 1 5实施 1 1 6例外条款 1 第第 2 章章华为路由其设备配置安全要求华为路由其设备配置安全要求 2 2 1账号管理 2 2 1 1管理缺省账户 2 2 1 2删除与设备运行 维护等工作无关的账号 2 2 1 3限制具备管理员权限的用户远程登录 2 2 2口令 3 2 2 1静态口令长度 3 2 2 2静态口令加密保存 3 2 2 3根据用户的业务需要配置其所需最小权限 4 2 2 4根据用户的业务需要配置其所需的最小权限 4 2 2 5帐号 口令和授权的强制要求 4 2 3日志配置 5 2 3 1记录用户操作 5 2 3 2记录设备的安全事件 5 2 3 3远程日志功能 6 2 3 4保证日志功能记录的时间准确性 6 2 4IP 协议 7 2 4 1远程维护的设备配置加密协议 7 2 4 2动态路由协议口令要求配置MD5加密 7 2 4 3制定路由策略 7 2 4 4关闭未使用的SNMP协议及未使用RW权限 8 2 4 5Community默认通行字应符合口令强度要求 8 2 4 6配置SNMPV2或以上版本 8 2 4 7SNMP访问安全限制 9 2 5其他配置 9 2 5 1关闭未使用的端口 9 2 5 2配置定时账户自动登出 10 2 5 3配置consol口密码保护功能 10 2 5 4关闭网络设备不必要的服务 10 2 5 5系统远程管理服务只允许特定地址访问 11 第第 3 章章评审与修订评审与修订 12 Huawei 路由器安全配置基线 中国移动集团公司第 1 页 共 15 页 第第 1 章章概述概述 1 1 目的目的 1 2 目的目的 本文档规定了中国移动管理信息系统部所维护管理的 Huawei 路由器应当遵循的设备 安全性设置标准 本文档旨在指导系统管理人员进行 Huawei 路由器的安全配置 1 3 适用范围适用范围 本配置标准的使用者包括 网络管理员 网络安全管理员 网络监控人员 本配置标准适用的范围包括 中国移动总部和各省公司信息化部门维护管理的 Huawei 路由器 1 4 适用版本适用版本 Huawei 路由器 1 5 实施实施 本标准的解释权和修改权属于中国移动集团管理信息系统部 在本标准的执行过程中 若有任何疑问或建议 应及时反馈 本标准发布之日起生效 1 6 例外条款例外条款 欲申请本标准的例外条款 申请人必须准备书面申请文件 说明业务需求和原因 送 交中国移动通信有限公司管理信息系统部进行审批备案 Huawei 路由器安全配置基线 中国移动集团公司第 2 页 共 15 页 第第 2 章章华为路由其设备配置安全要求华为路由其设备配置安全要求 2 1 账号管理账号管理 2 1 1 管理缺省账户管理缺省账户 安全基线项安全基线项 目名称目名称 管理缺省账户安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 01 01 安全基线项安全基线项 说明说明 应按照用户分配账号 避免不同用户间共享账号 避免用户账号和设备间通 信使用的账号共享 检测操作步检测操作步 骤骤 display current configuration configuration aaa 基线符合性基线符合性 判定依据判定依据 用配置中没有的用户名去登录 结果是不能登录 备注备注 2 1 2 删除与设备运行 维护等工作无关的账号删除与设备运行 维护等工作无关的账号 安全基线项安全基线项 目名称目名称 工作无关的账号安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 01 02 安全基线项安全基线项 说明说明 应删除与设备运行 维护等工作无关的账号 检测操作步检测操作步 骤骤 display current configuration configuration aaa 基线符合性基线符合性 判定依据判定依据 配置中用户信息被删除 备注备注 2 1 3 限制具备管理员权限的用户远程登录限制具备管理员权限的用户远程登录 安全基线项安全基线项 限制具备管理员权限的用户远程登录安全基线要求项 Huawei 路由器安全配置基线 中国移动集团公司第 3 页 共 15 页 目名称目名称 安全基线编安全基线编 号号 SBL HuaweiRouter 02 01 03 安全基线项安全基线项 说明说明 限制具备管理员权限的用户远程登录 远程执行管理员权限操作 应先以普 通权限用户远程登录后 再切换到管理员权限账号后执行相应操作 检测操作步检测操作步 骤骤 display current configuration configuration aaa 基线符合性基线符合性 判定依据判定依据 用户用相应的操作权限登录设备后 不具有最高权限级别 3 这时有些操作 不能做 例如修改 aaa 的配置 这时如果想使用管理员权限必须提高用户级 别 备注备注 2 2 口令口令 2 2 1 静态口令长度静态口令长度 安全基线项安全基线项 目名称目名称 静态口令长度安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 01 安全基线项安全基线项 说明说明 对于采用静态口令认证技术的设备 口令长度至少 6 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 检测操作步检测操作步 骤骤 display current configuration configuration aaa 基线符合性基线符合性 判定依据判定依据 查看用户的口令长度是否至少 6 位 并包括数字 小写字母 大写字母和特 殊符号 4 类中至少 2 类 对于加密的口令 通过登陆检测 备注备注 2 2 2 静态口令加密保存静态口令加密保存 安全基线项安全基线项 目名称目名称 静态口令加密保存安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 02 Huawei 路由器安全配置基线 中国移动集团公司第 4 页 共 15 页 安全基线项安全基线项 说明说明 静态口令必须使用不可逆加密算法加密后保存于配置文件中 检测操作步检测操作步 骤骤 display current configuration configuration aaa 基线符合性基线符合性 判定依据判定依据 用户的加密口令在 buildrun 中显示的密文 备注备注 2 2 3 根据用户的业务需要配置其所需最小权限根据用户的业务需要配置其所需最小权限 安全基线项安全基线项 目名称目名称 根据用户的业务需要配置其所需最小权限安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 03 安全基线项安全基线项 说明说明 在设备权限配置能力内 根据用户的业务需要 配置其所需的最小权限 检测操作步检测操作步 骤骤 display current configuration configuration aaa 基线符合性基线符合性 判定依据判定依据 查看所有用户的级别都配置为其所需的最小权限 备注备注 2 2 4 根据用户的业务需要配置其所需的最小权限根据用户的业务需要配置其所需的最小权限 安全基线项安全基线项 目名称目名称 根据用户的业务需要配置其所需的最小权限安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 04 安全基线项安全基线项 说明说明 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强制要 求 检测操作步检测操作步 骤骤 display current configuration 基线符合性基线符合性 判定依据判定依据 对远程登陆用户先用 RADIUS 服务器进行认证 非法用户不可以登录 备注备注 2 2 5 帐号 口令和授权的强制要求帐号 口令和授权的强制要求 安全基线项安全基线项 帐号 口令和授权的强制要求安全基线要求项 Huawei 路由器安全配置基线 中国移动集团公司第 5 页 共 15 页 目名称目名称 安全基线编安全基线编 号号 SBL HuaweiRouter 02 02 05 安全基线项安全基线项 说明说明 设备应配置日志功能 对用户登录进行记录 记录内容包括用户登录使用的 账号 登录是否成功 登录时间 以及远程登录时 用户使用的 IP 地址 检测操作步检测操作步 骤骤 display logbuffer 基线符合性基线符合性 判定依据判定依据 在日志缓存上正确记录了日志信息 备注备注 2 3 日志配置日志配置 2 3 1 记录用户操作记录用户操作 安全基线项安全基线项 目名称目名称 记录用户操作安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 03 01 安全基线项安全基线项 说明说明 设备应配置日志功能 记录用户对设备的操作 例如 账号创建 删除和权 限修改 口令修改 读取和修改设备配置 读取和修改业务用户的计费数据 身份数据 涉及通信隐私数据 记录需要包含用户账号 操作时间 操作内 容以及操作结果 检测操作步检测操作步 骤骤 display logbuffer 基线符合性基线符合性 判定依据判定依据 对设备的操作会记录在日志中 备注备注 2 3 2 记录设备记录设备的安全事件的安全事件 安全基线项安全基线项 目名称目名称 记录设备的安全事件安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 03 02 安全基线项安全基线项 说明说明 设备应配置日志功能 记录对与设备相关的安全事件 Huawei 路由器安全配置基线 中国移动集团公司第 6 页 共 15 页 检测操作步检测操作步 骤骤 display logbuffer 基线符合性基线符合性 判定依据判定依据 在日志缓存上正确记录了日志信息 备注备注 2 3 3 远程日志功能远程日志功能 安全基线项安全基线项 目名称目名称 远程日志功能安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 03 03 安全基线项安全基线项 说明说明 设备应支持远程日志功能 所有设备日志均能通过远程日志功能传输到日志 服务器 设备应支持至少一种通用的远程标准日志接口 如 SYSLOG FTP 等 检测操作步检测操作步 骤骤 display current configuration 基线符合性基线符合性 判定依据判定依据 是否正确配置了相应的日志服务器地址 日志服务器正确记录了日志信息 备注备注 2 3 4 保证日志功能记录的时间准确性保证日志功能记录的时间准确性 安全基线项安全基线项 目名称目名称 保证日志功能记录的时间准确性安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 03 04 安全基线项安全基线项 说明说明 开启 NTP 服务 保证日志功能记录的时间的准确性 路由器与 NTP SERVER 之间要开启认证功能 检测操作步检测操作步 骤骤 disp ntp service status 基线符合性基线符合性 判定依据判定依据 本地时钟与时钟源同步 备注备注 Huawei 路由器安全配置基线 中国移动集团公司第 7 页 共 15 页 2 4 IP 协议协议 2 4 1 远程维护的设备配置加密协议远程维护的设备配置加密协议 安全基线项安全基线项 目名称目名称 远程维护的设备配置加密协议安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 04 01 安全基线项安全基线项 说明说明 对于使用 IP 协议进行远程维护的设备 设备应配置使用 SSH 等加密协议 检测操作步检测操作步 骤骤 disp current configuration begin ssh 基线符合性基线符合性 判定依据判定依据 通过抓包确定 ssh 登录的信息为加密信息 备注备注 2 4 2 动态路由协议口令要求配置动态路由协议口令要求配置 MD5 加密加密 安全基线项安全基线项 目名称目名称 动态路由协议口令要求配置 MD5 加密安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 04 02 安全基线项安全基线项 说明说明 动态路由协议口令要求配置 MD5 加密 检测操作步检测操作步 骤骤 display current configuration configuration ospf 基线符合性基线符合性 判定依据判定依据 Md5 验证不通过的 ospf 邻居建立部不成功 备注备注 2 4 3 制定路由策略制定路由策略 安全基线项安全基线项 目名称目名称 制定路由策略安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 04 03 安全基线项安全基线项 说明说明 制定路由策略 禁止发布或接收不安全的路由信息 检测操作步检测操作步 骤骤 display current configuration configuration ospf Huawei 路由器安全配置基线 中国移动集团公司第 8 页 共 15 页 display route policy 基线符合性基线符合性 判定依据判定依据 被禁止接收和发布的路由成功 备注备注 2 4 4 关闭未使用的关闭未使用的 SNMP 协议及未使用协议及未使用 RW 权限权限 安全基线项安全基线项 目名称目名称 关闭未使用的 SNMP 协议及未使用 RW 权限安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 04 04 安全基线项安全基线项 说明说明 系统应关闭未使用的 SNMP 协议及未使用 RW 权限 检测操作步检测操作步 骤骤 display current configuration 基线符合性基线符合性 判定依据判定依据 关闭 snmp 的设备不能被网管检测到 关闭写权限的设备不能进行 set 操作 备注备注 2 4 5 Community 默认通行字应符合口令强度要求默认通行字应符合口令强度要求 安全基线项安全基线项 目名称目名称 SNMP 的 Community 默认通行字应符合口令强度要求安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 04 05 安全基线项安全基线项 说明说明 系统应修改 SNMP 的 Community 默认通行字 通行字应符合口令强度要求 检测操作步检测操作步 骤骤 display current configuration 基线符合性基线符合性 判定依据判定依据 系统成功修改 SNMP 的 Community 为用户定义口令 非常规 private 或者 public 并且符合口令强度要求 备注备注 2 4 6 配置配置 SNMPV2 或以上版本或以上版本 安全基线项安全基线项 目名称目名称 配置 SNMPV2 或以上版本安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 04 06 Huawei 路由器安全配置基线 中国移动集团公司第 9 页 共 15 页 安全基线项安全基线项 说明说明 系统应配置为 SNMPV2 或以上版本 检测操作步检测操作步 骤骤 display current configuration 基线符合性基线符合性 判定依据判定依据 成功使能 snmpv2c 和 v3 版本 备注备注 2 4 7 SNMP 访问安全限制访问安全限制 安全基线项安全基线项 目名称目名称 设置 SNMP 访问安全限制安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 04 07 安全基线项安全基线项 说明说明 设置 SNMP 访问安全限制 只允许特定主机通过 SNMP 访问网络设备 检测操作步检测操作步 骤骤 display current configuration 基线符合性基线符合性 判定依据判定依据 通过设定 acl 来成功过滤特定的源才能进行访问 备注备注 2 5 其他配置其他配置 2 5 1 关闭未使用的端口关闭未使用的端口 安全基线项安全基线项 目名称目名称 关闭未使用的端口安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 05 01 安全基线项安全基线项 说明说明 关闭未使用的端口 检测操作步检测操作步 骤骤 Display interface 基线符合性基线符合性 判定依据判定依据 未使用端口状态为 admin down 备注备注 Huawei 路由器安全配置基线 中国移动集团公司第 10 页 共 15 页 2 5 2 配置定时账户自动登出配置定时账户自动登出 安全基线项安全基线项 目名称目名称 配置定时账户自动登出安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 05 02 安全基线项安全基线项 说明说明 配置定时账户自动登出 登出后用户需再次登录才能进入系统 检测操作步检测操作步 骤骤 display current configuration configuration user interface 基线符合性基线符合性 判定依据判定依据 在超出设定时间后 用户自动登出设备 备注备注 2 5 3 配置配置 consol 口密码保护功能口密码保护功能 安全基线项安全基线项 目名称目名称 consol 口密码保护功能安全基线要求项 安全基线编安全基线编 号号 SBL HuaweiRouter 02 05 03 安全