H3C评估加固(全)(非官方).doc

安全加固建议VTY 使用弱口令设备的VTY端口使用弱口令使网络设备很容易被非法用户登录，并对网络设备的配置信息进行修改，甚至造成网络设备不可用。加强VTY口令强度，符合口令复杂度要求。 system-viewH3C user-interface vty 0H3C-ui-vty0 authentication-mode passwordH3C-ui-vty0 set authentication password cipher PASSWORD没有定义VTY ACL对VTY端口进行访问控制着可以限制登录到网络设备的IP地址，如果没有对登录VTY端口的IP地址进行限制，意味着所有网段都可以登录网络设备进行配置修改或者登录尝试，增加网络设备的威胁。建立访问控制列表，将平常用于管理设备的终端增加到的访问控制列表。建议将控制列表里的计算机做IP-MAC绑定。 system-viewH3C acl number 2000 match-order configH3C-acl-basic-2000 rule 1 permit source 10.110.100.52 0H3C-acl-basic-2000 rule 2 permit source 10.110.100.46 0H3C-acl-basic-2000 rule 3 deny source anyH3C-acl-basic-2000 quitH3C snmp-agent community read aaa acl 2000H3C snmp-agent group v2c groupa acl 2000H3C snmp-agent usm-user v2c usera groupa acl 2000没有禁用SNMP服务开启不必要的SNMP（简单网管协议），如果配置不当会泄露网络设备的运行信息甚至配置信息。如不需要SNMP服务系统网络管理，关闭SNMP服务。undo snmp-agentSNMP RO 使用简单字串SNMP（简单网管协议）RO字串简单会泄露网络设备的运行信息、配置文件信息,对网络安全造成很大威胁。加强SNMP RO字串复杂度，使其符合口令复杂度要求。snmp-agent community read superpassword未禁用SNMP RW字串SNMP（简单网管协议）RW字串不仅可以获取网络设备的运行信息配置文件信息还可以对网络配置进行修改、替换。对网络安全造成很大威胁。如不需要SNMP 写功能，取消SNMP RW 字串undo snmp-agent community write SuperpasswordSNMP RW使用简单字串SNMP（简单网管协议）RW字串简单会泄露网络设备的运行信息、配置文件信息甚至还可以对网络配置进行修改、替换。对网络安全造成很大威胁。加强SNMP RW字串复杂度，使其符合口令复杂度要求。snmp-agent community write Superpassword未对SNMP协议进行地址访问控制SNMP（简单网管协议）可以获取网络设备的运行信息甚至配置文件信息，对需获取SNMP信息的服务器地址进行访问控制，防止SNMP将设备信息泄露。未授权访问设备信息。在交换机上设置对接受SNMP的网络管理计算机的地址进行限制。 system-viewH3C acl number 2000 match-order configH3C-acl-basic-2000 rule 1 permit source 10.110.100.52 0H3C-acl-basic-2000 rule 2 permit source 10.110.100.46 0H3C-acl-basic-2000 rule 3 deny source anyH3C-acl-basic-2000 quitH3C snmp-agent community read aaa acl 2000H3C snmp-agent group v2c groupa acl 2000H3C snmp-agent usm-user v2c usera groupa acl 2000使用TELNET服务Telnet服务使用的是非加密的传输方式，口令等只要信息容易被第三方截取利用。建议更改登录方式为更安全的SSH，代替TELNETH3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode schemeH3C-ui-vty0-4 protocol inbound sshH3C local-user client001H3C-luser-client001 password simple abcH3C-luser-client001 service-type sshH3C-luser-client001 quitH3C ssh user client001 authentication-type password没有指定日志服务器如果没有指定日志服务器,对网络设备的审计日志进行定期保存，对安全事件发生后的事件分析、追查和举证都会造成影响。如果可能，建立日志服务器。收集网络设备日志，统一存储，保存三个月以上日志，方便日后追查。 system-viewH3C info-center enableH3C info-center loghost *.*.*.* facility local7 language englishH3C info-center source default channel loghost log level errors debug stateoff trap state off没有指定时间服务器如果没有指定时间服务器，统一网络设备时间，对以后发生安全事件的分析和追查会造成影响。建议设置NTP服务器，启动NTP服务。 system-viewS3600 ntp-service unicast-server 1.0.1.11口令加密服务未启动口令加密服务未启动，一旦设备配置文件泄漏或被无意看见，或通过社会工程学方式窃取，使console及vty口令将被非法者获得。登录网络设备并影响整个网络的可用性和机密性。启用口令加密存储。H3C-ui-vty0 set authentication password cipher PASSWORDConsole登录无验证机制恶意用户通过Console直接接入到网络设备上，可以对设备信息进行、修改、删除等操作，导致严重安全问题。建议设置Console登录验证，按照严格的帐户口令策略进行配置。！system-viewuser-interface first-num1 last-num1 | aux | console |vty first-num2 last-num2 authentication-mode passwordset authentication password cipher | simple password或者采用authentication-mode scheme command-authorization local-user user-namepassword cipher | simple password访问控制策略中无病毒防护策略访问控制策中对端口无控制策略，对目前对网络有严重影响的蠕虫端口没有进行控制，存在严重的安全风险。建议在访问控制策略中加入对网络蠕虫利用的端口进行控制的病毒防护策略。！没有专门的访问控制策略用于病毒防护，主要是配置ACL禁用网络蠕虫利用的端口。acl number acl-number