H3C交换机安全配置基线.doc

1、H3C交换机安全配置基线0/18版本版本控制信息更新日期更新人审批人V2.0创建2012 年 4 月备注：1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。1/18目录第 1章概述 .01.1目的 .01.2适用范围 .01.3适用版本 .01.4实施 .01.5例外条款 .0第 2章帐号管理、认证授权安全要求.12.1帐号 .12.1.1配置默认级别 * .12.2口令 .22.2.1密码认证登录 .22.2.2设置访问级密码 .32.2.3加密口令 .3第 3章日志安全要求 .53.1日志安全 .53.1.1配置远程日志服务器 .5第 4章IP 协议安全要求 .6

2、4.1IP 协议 .64.1.1使用 SSH 加密管理 .64.1.2系统远程管理服务只允许特定地址访问. 6第 5 章SNMP 安全要求 .85.1SNMP 安全 .85.1.1修改 SNMP 默认通行字 .85.1.2使用 SNMPV2 或以上版本 .85.1.3SNMP 访问控制 .9第 6章其他安全要求 .116.1其他安全配置 .116.1.1关闭未使用的端口 .116.1.2帐号登录超时 .116.1.3关闭不需要的服务 * .12第 7章评审与修订 .142/18.第1章 概述1.1 目的本文档旨在指导系统管理人员进行H3C 交换机的安全配置。1.2 适用范围本配置标准的使用者包

3、括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本H3C 交换机。1.4 实施1.5 例外条款0/18.第 2章 帐号管理、认证授权安全要求2.1 帐号2.1.1 配置默认级别 *安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注配置默认级别安全基线要求项SBL-H3CSwitch-02-01-01交换机命令级别共分为访问、监控、系统、 管理 4 个级别， 分别对应标识0、1、 2、 3。配置登录默认级别为访问级（0-VISIT ）1、参考配置操作user-interface aux 0 8authentication-mode passworduser

4、privilege level 0set authentication password cipher xxxuser-interface vty 0 4authentication-mode passworduser privilege level 0set authentication password cipher xxx2、补充说明无。1、 判定条件用配置中没有的用户名去登录，结果是不能登录2、 参考检测操作display current-configuration3、 补充说明无。手工检查1/18.2.2 口令2.2.1 密码认证登录安全基线项密码认证登录安全基线要求项目名称安全基线

5、编SBL-H3CSwitch-02-02-01号安全基线项通过控制台和远程终端，需要密码才能登录.口令长度至少8 位，并包括数说明5字、小写字母、大写字母和特殊符号四类中至少两类。且次以内不得设置相同的口令。密码应至少每90 天进行更换。检测操作步1、参考配置操作骤基线符合性判定依据备注user-interface aux 0 8authentication-mode passworduser privilege level 0set authentication password cipher xxxuser-interface vty 0 4authentication-mode pass

6、word/ 或 authentication-mode scheme user privilege level 0set authentication password cipher xxx2、补充说明无。1、 判定条件用配置中没有的用户名去登录，结果是不能登录2、 参考检测操作display current-configuration3、 补充说明无。2/ 设置访问级密码安全基线项设置访问级密码安全基线要求项目名称安全基线编SBL-H3CSwitch-02-02-02号安全基线项用户可以无条件切换到比当前低的用户级别，但是当使用 AUX 或 VTY 用户界说明面登录，并且从低

7、级别往高级别切换时，需要输入级别切换密码（级别切换密码可以通过 super password 命令设置）。如果输入的密码错误或者没有配置级别切换密码，切换操作失败。因此，在进行切换操作前，请先配置级别切换密码。检测操作步1、参考配置操作骤 system-viewSysname super password level 1 cipher password1Sysname super password level 2 cipher password2Sysname super password level 3 cipher password32、补充说明无。基线符合性1、 判定条件判定依据Sysn

8、ame display current-configuration备注2.2.3 加密口令安全基线项加密口令安全基线要求项目名称安全基线编SBL-H3CSwitch-02-02-03号安全基线项静态口令必须使用不可逆加密算法加密后保存于配置文件中。说明检测操作步1、参考配置操作骤user-interface aux 0 8user privilege level 0set authentication passwordcipherxxx3/18基线符合性判定依据备注.user-interface vty 0 4user privilege level 0set authentication p

9、asswordcipherxxxsuper password level 1cipherpassword1super password level 2cipherpassword2super password level 3cipherpassword31. 判定条件用户的加密口令在config文件中显示的密文。2. 参考检测操作display current-configuration4/18.第 3章 日志安全要求3.1 日志安全3.1.1 配置远程日志服务器安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注配置远程日志服务器安全基线要求项SBL-H3CSwitc

10、h-03-01-01设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。 设备应支持至少一种通用的远程标准日志接口，如 SYSLOG、FTP等。1、参考配置操作h3c info-center enableh3c info-center loghostxxxxx channel loghost2、补充说明在系统模式下进行操作。1. 判定条件是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。2. 参考检测操作display current-configuration3. 补充说明无。根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。建议核心设备必选，

11、其它根据实际情况启用5/18.第 4章 IP 协议安全要求4.1 IP 协议4.1.1 使用 SSH 加密管理安全基线项目名称安全基线编号安全基线项说明检测操作步骤基线符合性判定依据备注使用 SSH 加密管理安全基线要求项SBL-H3CSwitch-04-01-01对于使用IP 协议进行远程维护的设备，设备应配置使用SSH等加密协议， 关闭 TELNET协议。1、 参考配置操作# 设置用户界面 VTY 0 到 VTY 4 支持 SSH 协议。 system-view Sysname user-interface vty 0 4Sysname-ui-vty0-4 authentication-m

12、ode schemeSysname-ui-vty0-4 protocol inbound ssh2、补充说明无。1. 参考检测操作2. 补充说明无。4.1.2 系统远程管理服务只允许特定地址访问安全基线项 系统远程管理服务只允许特定地址访问安全基线要求项目名称安全基线编SBL-H3CSwitch-04-01-02号6/18安全基线项说明检测操作步骤基线符合性判定依据备注.系统远程管理服务TELNET、SSH默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。1、参考配置操作Acl number 2000rule 1 permit source 0.0.25

13、5.255User-interface vty 0 4acl 2000 inbound2、补充说明无。1. 判定条件通过设定acl ，成功过滤非法的访问。2. 参考检测操作display current-configuration3. 补充说明无。7/18.第 5章 SNMP 安全要求5.1 SNMP 安全5.1.1 修改 SNMP 默认通行字安全基线项修改 SNMP 默认通行字安全基线要求项目名称安全基线编SBL-H3CSwitch-05-01-01号安全基线项系统应修改 SNMP的 Community 默认通行字，通行字应符合口令强度要求。说明检测操作步1、参考配置操作骤snmp-agen

14、t community read xxxsnmp-agent community write xxxx2、补充说明无。基线符合性1. 判定条件判定依据系统成功修改 SNMP的 Community 为用户定义口令，非常规private或者public ，并且符合口令强度要求。2. 参考检测操作display current-configuration3. 补充说明无。备注5.1.2 使用 SNMPV2 或以上版本安全基线项SNMP 版本安全基线要求项目名称安全基线编SBL-H3CSwitch-05-01-02号8/18.安全基线项系统应配置为SNMPV2或以上版本。说明检测操作步1、参考配置操作

15、骤snmp-agent sys-info version v32、补充说明无。基线符合性1.判定条件判定依据成功使能snmpv2c、和 v3 版本。2. 参考检测操作display current-configuration3. 补充说明无。备注5.1.3 SNMP 访问控制安全基线项SNMP 访问控制安全基线要求项目名称安全基线编SBL-H3CSwitch-05-01-03号安全基线项设置 SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。说明检测操作步1、参考配置操作骤snmp-agent community read XXXX01 acl 20002、补充说明无。基线符合性1

16、.判定条件判定依据通过设定 acl 来成功过滤特定的源才能进行访问。2.参考检测操作display current-configuration3.补充说明无。备注9/18.10/18.第 6章 其他安全要求6.1 其他安全配置6.1.1 关闭未使用的端口安全基线项关闭未使用的端口安全基线要求项目名称安全基线编SBL-H3CSwitch-06-01-01号安全基线项关闭未使用的端口。说明检测操作步1、参考配置操作骤HW-Ethernet3/0/0shutdown2、补充说明无。基线符合性1.判定条件判定依据未使用端口状态为admin down 。2. 参考检测操作Display interfac

17、e3. 补充说明无。备注6.1.2 帐号登录超时安全基线项帐号登录超时安全基线要求项目名称安全基线编SBL-H3CSwitch-06-01-02号安全基线项 配置定时帐号自动登出，登出后用户需再次登录才能进入系统。设置超时时说明间为 5分钟.11/18检测操作步骤基线符合性判定依据备注.1、 参考配置操作设置超时时间为5 分钟 system-viewSysname user-interface console 0/Or user-interface aux 0 8Sysname-ui-console0 idle-timeout 5 02、补充说明无。1. 判定条件在超出设定时间后，用户自动登出设备。2. 参考检测操作display current-configuration configuration user-interface3. 补充说明无。6