H3C交换机安全配置基线

1、H3C 交换机安全配置基线第1页共 11 页H3C交换机安全配置基线H3C 交换机安全配置基线第2页共 11 页版本版本控制信息|更新日期更新人审批人V2.0创建2012 年 4 月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。H3C 交换机安全配置基线第3页共 11 页第 1 1 章概述. 1 11.1目的.11.2适用范围.11.3适用版本. 11.4实施.11.5例外条款.1第 2 2 章帐号管理、认证授权安全要求 . 2 22.1帐号.22.1.1配置默认级别*.22.2口令.32.2.1密码认证登录.32.2.2设置访问级密码 .42.2.3加密口令

2、.4第 3 3 章日志安全要求.6 63.1日志安全.63.1.1配置远程日志服务器 .6第 4 4 章 IPIP 协议安全要求 . 7 71.IP 协议.71.使用SSH加密管理 .72.系统远程管理服务只允许特定地址访问 .7第 5 5 章SNMPSNMP 安全要求. 9 91.SNMP 安全.91.修改SNMP默认通行字.92.使用SNMPV2或以上版本.93.SNMP访问控制 .10第 6 6 章其他安全要求 . 12121.其他安全配置 . 121.关闭未使用的端口 .122.帐号登录超时 .12H3C 交换机安全配置基线第4页共 11 页3.关闭不需要的服务*.13第 7 7 章评

3、审与修订.1515H3C 交换机安全配置基线第1页共 11 页第 1 章概述1.1 目的本文档旨在指导系统管理人员进行H3C 交换机的安全配置。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本H3C 交换机。1.4 实施1.5 例外条款H3C 交换机安全配置基线第2页共 11 页第 2 章帐号管理、认证授权安全要求2.1 帐号2.1.1 配置默认级别*安全基线项 目名称配置默认级别安全基线要求项安全基线编 号SBL-H3CSwitch-02-01-01安全基线项 说明交换机命令级别共分为访问、监控、系统、管理 4 个级别，分别对应标识 0、1、

4、2、3。配置登录默认级别为访问级（0-VISIT）检测操作步 骤1、参考配置操作user- in terface aux 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx user- in terface vty 0 4authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx2、补充说明无。基线符合性 判定依据1、 判定条件

5、用配置中没有的用户名去登录，结果是不能登录2、 参考检测操作display current-configuration3、 补充说明无。备注手工检查H3C 交换机安全配置基线第3页共 11 页2.2 口令2.2.1 密码认证登录安全基线项 目名称密码认证登录安全基线要求项安全基线编 号SBL-H3CSwitch-02-02-01安全基线项 说明通过控制台和远程终端，需要密码才能登录 .口令长度至少 8 位，并包括数 子、小与子母、大与子母和特殊符号四类中至少两类。且5 次以内不得设置相同的口令。密码应至少每 90 天进行更换。检测操作步 骤1、参考配置操作user- in terface au

6、x 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx user- in terface vty 0 4authe nticati on-m ode password / 或 authentication-mode schemeuser privilege level 0set authe nticati on password cipher xxx2、补充说明无。基线符合性 判定依据1、 判定条件用配置中没有的用户名去登录，结果是不能登录2、 参考检测

7、操作display current-configuration3、 补充说明无。备注H3C 交换机安全配置基线第4页共 11 页222设置访问级密码安全基线项 目名称设置访问级密码安全基线要求项安全基线编 号SBL-H3CSwitch-02-02-02安全基线项 说明用户可以无条件切换到比当前低的用户级别，但是当使用 AUX 或 VTY 用户界面登录，并且从低级别往高级别切换时，需要输入级别切换密码（级别切换 密码可以通过 super password 命令设置）。如果输入的密码错误或者没有配 置级别切换密码，切换操作失败。因此，在进行切换操作前，请先配置级别 切换密码。检测操作步 骤1、参考

8、配置操作Sys namesystem-viewSys name super password level 1 cipher passwordl Sys name super password level2 cipher password2 Sys name super password level 3 cipher password32、补充说明无。基线符合性 判定依据1、判定条件Sysname display current-configuration备注2.2.3 力口密口令安全基线项 目名称加密口令安全基线要求项安全基线编 号SBL-H3CSwitch-02-02-03安全基线项 说明静

9、态口令必须使用不可逆加密算法加密后保存于配置文件中。检测操作步 骤1、参考配置操作user- in terface aux 0 8user privilege level 0set authentication passwordcipher xxxH3C 交换机安全配置基线第5页共 11 页user- in terface vty 0 4user privilege level 0set authentication passwordcipher xxxsuper password level 1cipher password1super password level 2cipher pass

10、word2super password level 3cipher password3基线符合性 判定依据1.判定条件用户的加密口令在 config 文件中显示的密文。2.参考检测操作display curre nt-con figurati on备注H3C 交换机安全配置基线第6页共 11 页第 3 章日志安全要求3.1 日志安全3.1.1 配置远程日志服务器安全基线项 目名称配置远程日志服务器安全基线要求项安全基线编 号SBL-H3CSwitch-03-01-01安全基线项 说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接

11、口，如 SYSLOG FTP 等。检测操作步 骤1、参考配置操作h3c in fo-ce nter en ableh3c info-center loghost xxxxx channel loghost2、补充说明在系统模式下进行操作。基线符合性 判定依据1.判定条件是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。2.参考检测操作display curre nt-con figurati on3.补充说明无。备注根据应用场景的不冋， 如部署场景需开启此功能， 则强制要求此项。 建议核 心设备必选，其它根据实际情况启用H3C 交换机安全配置基线第7页共 11 页第 4 章 I

12、P 协议安全要求4.1 IP 协议4.1.1 使用 SSH 加密管理安全基线项 目名称使用 SSH 加密管理安全基线要求项安全基线编 号SBL-H3CSwitch-04-01-01安全基线项 说明对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加密协议，关闭 TELNET 协议。检测操作步 骤1、 参考配置操作#设置用户界面 VTY 0 到 VTY 4 支持 SSH 协议。 Sys namesystem-viewSys name user- in terface vty 0 4Sys name-ui-vtyO-4 authe nticati on-m ode scheme S

13、ys name-ui-vtyO-4protocol inbound ssh2、补充说明无。基线符合性 判定依据1.参考检测操作2.补充说明无。备注4.1.2 系统远程管理服务只允许特定地址访问安全基线项 目名称系统远程管理服务只允许特定地址访问安全基线要求项安全基线编 号SBL-H3CSwitch-04-01-02H3C 交换机安全配置基线第8页共 11 页安全基线项 说明系统远程管理服务 TELNET SSH 默认可以接受任何地址的连接，出于安全考 虑，应该只允许特定地址访问。检测操作步 骤1、参考配置操作Acl number 2000rule 1 permit source 192.168

14、.0.0 55User-i nteface vty 0 4acl 2000 in bou nd2、补充说明无。基线符合性 判定依据1.判定条件通过设定 acl，成功过滤非法的访问。2.参考检测操作display curre nt-con figurati on3.补充说明无。备注H3C 交换机安全配置基线第9页共 11 页第 5 章 SNMP 安全要求5.1 SNMP 安全5.1.1 修改 SNMP 默认通行字安全基线项 目名称修改 SNMP 默认通行字安全基线要求项安全基线编 号SBL-H3CSwitch-05-01-01安全基线项 说明系统应修改 SNMP 勺 Commu

15、nity 默认通仃字，通仃字应符合口令强度要求。检测操作步 骤1、参考配置操作sn mp-age nt com mun ity read xxx sn mp-age nt com mun ity write xxxx2、补充说明无。基线符合性 判定依据判定条件系统成功修改SNMP 的 Community 为用户定义口令，非常规private 或者public，并且符合口令强度要求。参考检测操作display curre nt-con figurati on补充说明无。备注5.1.2 使用 SNMPV2 或以上版本安全基线项 目名称SNMP 版本安全基线要求项H3C 交换机安全配置基线第10页共

16、 11 页安全基线编 号SBL-H3CSwitch-05-01-02H3C 交换机安全配置基线第 io 页共 ii 页安全基线项 说明系统应配置为 SNMPV 或以上版本。检测操作步 骤1、参考配置操作sn mp-age nt sys-i nfo vers ion v32、补充说明无。基线符合性 判定依据判定条件成功使能 snmpv2c、和 v3 版本。参考检测操作display curre nt-con figurati on补充说明无。备注5.1.3 SNMP 访问控制安全基线项 目名称SNMP 访问控制安全基线要求项安全基线编 号SBL-H3CSwitch-05-01-03安全基线项 说

17、明设置 SNM 肪问安全限制，只允许特定主机通过SNM 访问网络设备。检测操作步 骤1、参考配置操作sn mp-age nt commu nity read XXXX01 acl 20002、补充说明无。基线符合性 判定依据判定条件通过设定 acl 来成功过滤特定的源才能进行访问。参考检测操作display curre nt-con figurati on补充说明无。备注H3C 交换机安全配置基线第12页共 11 页第 6 章其他安全要求6.1 其他安全配置6.1.1 关闭未使用的端口安全基线项 目名称关闭未使用的端口安全基线要求项安全基线编 号SBL-H3CSwitch-06-01-01安全

18、基线项 说明关闭未使用的端口。检测操作步 骤1、参考配置操作HW-Ethernet3/0/0shutdow n2、补充说明无。基线符合性 判定依据判定条件未使用端口状态为 admin down。参考检测操作Display in terface补充说明无。备注6.1.2 帐号登录超时安全基线项 目名称帐号登录超时安全基线要求项安全基线编 号SBL-H3CSwitch-06-01-02安全基线项 说明配置定时帐号自动登出，登出后用户需再次登录才能进入系统。设置超时时 间为 5 分钟.H3C 交换机安全配置基线第13页共 11 页检测操作步 骤1、 参考配置操作设置超时时间为 5 分钟Sys namesystem-viewSys name user- in terface con sole 0/Or user- in terface aux 0 8Sys name-ui-c on soleO idle-timeout 5 02、补充说明无。基线符合性 判定依据判定条件在超出设定时间后，用户自动登出设备。参考检测操作display curre nt-c on figurati on con figurati on user- in terface补充说明无。备注6.1.3 关闭不