华为交换机安全基线.doc

华为设备安全配置基线目录第1章概述41.1目的41.2适用范围41.3适用版本4第2章帐号管理、认证授权安全要求62.1帐号管理62.1.1用户帐号分配*62.1.2删除无关的帐号*72.2口令82.2.1静态口令以密文形式存放82.2.2帐号、口令和授权92.2.3密码复杂度102.3授权112.3.1用IP协议进行远程维护的设备使用SSH等加密协议11第3章日志安全要求123.1日志安全123.1.1启用信息中心123.1.2开启NTP服务保证记录的时间的准确性133.1.3远程日志功能*14第4章IP协议安全要求154.1IP协议154.1.1VRRP认证154.1.2系统远程服务只允许特定地址访问154.2功能配置164.2.1SNMP的Community默认通行字口令强度164.2.2只与特定主机进行SNMP协议交互174.2.3配置SNMPV2或以上版本184.2.4关闭未使用的SNMP协议及未使用write权限19第5章IP协议安全要求205.1其他安全配置205.1.1关闭未使用的接口205.1.2修改设备缺省BANNER语215.1.3配置定时账户自动登出215.1.4配置console口密码保护功能225.1.5端口与实际应用相符23第1章 概述1.1 目的规范配置华为路由器、交换机设备，保证设备基本安全。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本华为交换机、路由器。第2章 帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。4、参考配置操作：HuaweiaaaHuawei-aaa local-user admin password cipher admin123Huawei-aaa local-user admin privilege level 15Huawei-aaa local-user admin service-type sshHuawei-aaa local-user user password cipher user123Huawei-aaa local-user user privilege level 4Huawei-aaa local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type sshlocal-user user password cipher =LP!6$-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。2.1.2 删除无关的帐号*1、安全基线名称：删除无关的账号2、安全基线编号：SBL-HUAWEI-02-01-023、安全基线说明：应删除与设备运行、维护等工作无关的账号。4、参考配置操作：HuaweiaaaHuawei-aaaundo local-user user5、安全判定条件：（1）配置文件存在多个账号（2）网络管理员确认账号与设备运行、维护等工作无关6、检测操作：使用dis cur | include local-user命令查看：Huaweidis cur | include local-user local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type ssh若不存在无用账号则说明符合安全要求。2.2 口令2.2.1 静态口令以密文形式存放1、安全基线名称：静态口令以密文形式存放2、安全基线编号：SBL-HUAWEI-02-02-013、安全基线说明：配置本地用户和super口令使用密文密码。4、参考配置操作：Huaweiaaa Huawei-aaalocal-user admin password cipher admin123Huaweisuper password cipher admin1235、安全判定条件：配置文件中没有明文密码字段。6、检测操作：查看本地用户密码：Huaweidis cur | include local-user local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type ssh查看super密码：Huaweidis cur | include supersuper password level 3 cipher mPZr=2!Zu:|l#3M#3Icf# #2.2.2 密码复杂度1、安全基线名称：密码复杂度2、安全基线编号：SBL-HUAWEI-02-02-023、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。4、参考配置操作：Huaweiaaa Huawei-aaalocal-user admin password cipher adminxiangyun5、安全判定条件：密码强度符合要求，密码至少90天进行更换。2.3 授权2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称：用IP协议进行远程维护设备2、安全基线编号：SBL-HUAWEI-02-03-013、安全基线说明：使用IP协议进行远程维护设备，应配置使用SSH等加密协议连接。4、参考配置操作：HuaweiaaaHuawei-aaa local-user admin password cipher admin123Huawei-aaa local-user admin privilege level 15Huawei-aaa local-user admin service-type sshHuaweirsa local-key-pair createHuaweistelnet server enable Huaweissh user admin service-type stelnet Huaweissh user admin authentication-type passwordHuaweiuser-interface vty 0 4Huawei-ui-vty0-4protocol inbound ssh5、安全判定条件：配置文件中只允许SSH等加密协议连接。6、检测操作：使用dis cur | include ssh命令：Huaweidis cur | include ssh local-user admin service-type sshssh user adminssh user admin authentication-type passwordssh user admin service-type stelnet第3章 日志安全要求3.1 日志安全3.1.1 启用信息中心1、安全基线名称：启用信息中心2、安全基线编号：SBL-HUAWEI-03-01-013、安全基线说明：启用信息中心，记录与设备相关的事件。4、参考配置操作：HUAWEIinfo-center enable5、安全判定条件：（1）设备应配置日志功能，能对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录使用的IP地址。（2）记录用户登录设备后所进行的所有操作。6、检测操作：使用dis info-center有显示Information Center: Enabled类似信息，如：Huaweidis info-center Information Center:enabledLog host:Console: channel number : 0, channel name : console Monitor: channel number : 1, channel name : monitor SNMP Agent: channel number : 5, channel name : snmpagent Log buffer: enabled,max buffer size 1024, current buffer size 512,current messages 56, channel number : 4, channel name : logbufferdropped messages 0, overwritten messages 0 Trap buffer: enabled,max buffer size 1024, current buffer size 256,current messages 4, channel number:3, channel name:trapbufferdropped messages 0, overwritten messages 0 Information timestamp setting: log - date, trap - date, debug - date millisecond Sent messages = 1227, Received messages = 1226 IO Reg messages = 0 IO Sent messages = 03.1.2 开启NTP服务保证记录的时间的准确性1、安全基线名称：日志记录时间准确性2、安全基线编号：SBL-HUAWEI-03-01-023、安全基线说明：开启NTP服务，保证日志功能记录的时间的准确性。4、参考配置操作：配置ntp客户端，服务器地址为：Huaweintp-service authentication enable Huaweintp-service unicast-server 5、安全判定条件：日志记录时间准确。6、检测操作：Huaweidis cur | include ntpntp-service authentication enablentp-service unicast-server 3.1.3 远程日志功能*1、安全基线名称：远程日志功能2、安全基线编号：SBL-HUAWEI-03-01-033、安全基线说明：配置远程日志功能，使设备能通过远程日志功能传输到日志服务器。4、参考配置操作：HUAWEIinfo-center loghost *.*.*.* /配置接收日志的服务器地址Huaweiinfo-center source default channel loghost log level emergencies /配置发送的日志级别5、安全判定条件：日志服务器能够正确接收网络设备发送的日志。6、检测操作：使用命令dis cur | include info-center查看：Huaweidis cur | include info-centerinfo-center source default channel 2 log level emergencies第4章 IP协议安全要求4.1 IP协议4.1.1 VRRP认证1、安全基线名称：VRRP认证2、安全基线编号：SBL-HUAWEI-04-01-013、安全基线说明：VRRP启用认证，防止非法设备加入到VRRP组中。4、安全判定条件：查看VRRP组，只存在正确的设备。5、检测操作：使用命令dis vrrp4.1.2 系统远程服务只允许特定地址访问1、安全基线名称：系统远程服务只允许特定地址访问2、安全基线编号：SBL-HUAWEI-04-01-023、安全基线说明：设备以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置设备，只允许特定主机访问。4、参考配置操作：通过配置访问控制列表ACL，只允许特定的地址访问设备的服务，如：HUAWEIacl number 3000HUAWEI-acl-adv-3000 rule 0 permit tcp source 2 0 destination 0 0 destination-port eq 443HUAWEI-acl-adv-3000 rule 65534 deny ipHuaweitraffic behavior 1Huawei-behavior-1permitHuaweitraffic policy 1Huawei-classifier-1if-match acl 3000 Huaweitraffic policy 1Huawei-trafficpolicy-1classifier 1 behavior 1Huaweivlan 20Huawei-vlan20traffic-policy 1 inbound5、安全判定条件：在相关端口上绑定相应的ACL。6、检测操作：使用dis cur命令查看：#acl number 3000 rule 5 permit tcp source 0#traffic classifier 1 operator and if-match acl 3000#traffic behavior 1 permit#traffic policy 1 classifier 1 behavior 1#drop-profile default#vlan 20 traffic-policy 1 inbound#4.2 功能配置4.2.1 SNMP的Community默认通行字口令强度1、安全基线名称：SNMP协议的community团体字2、安全基线编号：SBL-HUAWEI-04-02-013、安全基线说明：修改SNMP的community默认团体字，字符串应符合口令强度要求。4、参考配置操作：HUAWEIsnmp-agent community read HUAWEI snmp-agent community write 5、安全判定条件：Community非默认，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。6、检测操作：使用命令dis cur | include snmp查看：HUAWEIdis cur | include snmp snmp-agent snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun_readsnmp-agent community write xiangyun_write snmp-agent sys-info version v3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp7、补充：若设备不需要使用SNMP协议应关闭SNMP功能，若需要用到应使用V2版本以上的SNMP协议。4.2.2 只与特定主机进行SNMP协议交互1、安全基线名称：只与特定主机进行SNMP协议交互2、安全基线编号：SBL-HUAWEI-04-02-023、安全基线说明：设备只与特定主机进行SNMP协议交互4、参考配置操作：使用ACL限制只与特定主机进行SNMP交互HUAWEIacl number 2000HUAWEI-acl-adv-2000 rule 0 permit ip source 2 0 HUAWEI-acl-adv-2000 rule 65534 deny ip HUAWEIsnmp-agent community read xiangyun acl 20005、安全判定条件：Snmp绑定了acl6、检测操作：使用dis cur | include snmp命令查看：HUAWEIdis cur | include snmp snmp-agent snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun snmp-agent sys-info version 3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp snmp-agent community read xiangyun acl 20004.2.3 配置SNMPV2或以上版本1、安全基线名称：配置SNMPv2或以上版本2、安全基线编号：SBL-HUAWEI-04-02-033、安全基线说明：系统应配置SNMPv2或以上版本4、参考配置操作：HUAWEIsnmp-agent sys-info version v35、安全判定条件：系统可以成功使用snmpv2或v3版本协议。6、检测操作：使用dis cur | include snmp命令查看：HUAWEIdis cur | include snmp.snmp-agent sys-info version 关闭未使用的SNMP协议及未使用write权限1、安全基线名称：关闭未使用的SNMP协议及未使用write权限2、安全基线编号：SBL-HUAWEI-04-02-043、安全基线说明：系统应及时关闭未使用的SNMP协议及未使用write权限4、参考配置操作：Huaweiundo snmp-agent community write pipaxing5、安全判定条件：Snmp权限为read。6、检测操作：使用dis cur | include snmp命令查看，权限只有read：HUAWEIdis cur | include snmp.snmp-agent community read xiangyun.第5章 IP协议安全要求5.1 其他安全配置5.1.1 关闭未使用的接口1、安全基线名称：关闭未使用的接口2、安全基线编号：SBL-HUAWEI-05-01-013、安全基线说明：关闭未使用的接口4、参考配置操作：HUAWEIint g1/0/10HUAWEI-GigabitEthernet1/0/10shutdown5、安全判定条件：未使用接口应该管理员down。6、检测操作：HUAWEIdis cur.# interface GigabitEthernet1/0/10 port link-mode bridge combo enable fiber shutdown#.5.1.2 修改设备缺省BANNER语1、安全基线名称：修改设备缺省BANNER语2、安全基线编号：SBL-HUAWEI-05-01-023、安全基线说明：要修改设备缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。4、参考配置操作：Huaweiheader login information 需要显示的登录信息5、安全判定条件：欢迎界面、提示符等不包含敏感信息。6、检测操作：通过远程登录或console口登录查看设备提示信息。5.1.3 配置定时账户自动登出1、安全基线名称：配置账号定时自动退出 2、安全基线编号：SBL-HUAWEI-05-01-033、安全基线说明：如Telnet、ssh、console登录连接超时退出4、参考配置操作：配置vty登录3分钟无操作自动退出：HUAWE