XX银行H3C交换机安全基线配置

1、XXXXXX 银行银行银行 H3CH3CH3C 交换机系列安全配置基线交换机系列安全配置基线交换机系列安全配置基线(V1.0)(V1.0)(V1.0)XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 1 页目 录1适用声明适用声明.22访问控制访问控制.32.1远程连接源地址限制.213安全审计安全审计.33.1开启设备的日志功能.64入侵防范入侵防范.74.1配置防 ARP 欺骗攻击.74.2配置常见的漏洞攻击和病毒过滤功能.44.3配置 ACL 规则.35网络设备防护网络设备防护.85.1限制管理员远程直接登录.85.2连接空闲时间设定.95.3远程登陆加密传输.105.4配置C

2、ONSOLE口密码保护功能和连接超时.115.5按照用户分配账号.125.6删除设备中无用的闲置账号.135.7修改设备上存在的弱口令.135.8配置和认证系统联动功能.14配置和认证系统联动功能.145.9配置 NTP 服务 .155.10修改 SNMP 的COMMUNITY默认通行字.165.11使用 SNMPV2 或以上版本.175.12设置 SNMP 的访问安全限制.185.13系统应关闭未使用的 SNMP 协议及未使用 RW 权限.195.14关闭不必要的服务.195.15配置防源地址欺骗攻击.205.16禁止设备未使用或者空闲的端口.21XX 银行科技安全室H3C 交换机安全基线配

3、置与检查列表第 2 页1适用声明适用人员适用人员IT 部的网络维护人员、安全评估人员、安全审计人员适用版本适用版本H3C 同系列的网络交换机适用等保一级适用等保一级项适用等保二级适用等保二级项适用等保三级适用等保三级项适用等保四级适用等保四级项参考依据参考依据H3C 交换机配置手册GB/T 20270-2006 信息安全技术 网络基础安全技术要求GB/T 20011-2005 信息安全技术 路由器安全评估准则JR/T 0068-2012 网上银行系统信息安全通用规范GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 25070-2010 信息安全技术 信息系统等

4、级保护安全设计技术要求JR/T 0071-2012 金融行业信息系统信息安全等级保护实施指引XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 3 页2访问控制2.1配置 ACL 规则配置/检查项配置ACL规则适用等保级别 等保一至四级检查步骤1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 ACL 匹配路由是否按照业务需求设置H3Cdis cur | in aclH3Cdis this acl配置步骤设备应根据业务需要，配置基于源 IP 地址、通信协议 TC

5、P 或 UDP、目的IP 地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置 ACL 列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source destination 4.配置流分类，定义基于 ACL 的匹配规则。H3Ctraffic classifier tc1H3C-classifier-tc

6、1 if-match acl 20005.配置流行为H3C traffic behavior tb1XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 4 页H3C-behavior-tb1 deny6.定义流策略，将流分类与流行为关联。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb17.应用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound备注2.2配置常见

7、的漏洞攻击和病毒过滤功能配置/检查项配置常见的漏洞攻击和病毒过滤功能适用等保级别检查步骤1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看ACL中是否匹配漏洞攻击和病毒攻击H3Cdis current-configuration | in acl配置步骤设备应配置 ACL，通过 ACL 列表来过滤一些常见的漏洞攻击和病毒攻击。4.进入用户视图5.由户视图切换到系统视图 system-viewEnter system view, return user view with

8、 Ctrl+Z.H3C6.配置 ACL 列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source destination source-port eq ftp-data XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 5 页7.配置流分类，定义基于 ACL 的匹配规则。H3Ctraffic classifier tc1H3C-classifier-tc1 if-match acl 20008.配置流行为H3C traffic behavior tb1H3C-behavi

9、or-tb1 deny9.定义流策略，将流分类与流行为关联。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb110. 应用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound备注XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 6 页3安全审计3.1开启设备的日志功能配置/检查项配置设备的日志功能适用等保级别 等保二至四级检查步骤1.进入用户视图2.用户视图切换

10、到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看日志功能是否按照需求配置H3Cdis cur | in info-center配置步骤要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志，同时提供 SYSLOG 服务器的设置方式，所有的日志信息可以均可以远程存储到日志服务器。并且必须保证日志服务器的安全性。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.开启日志功能H3

11、C info-center enable4.配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了解到设备的运行情况H3C info-center console channel 05.配置日志信息输出到日志缓冲区H3C info-center logbuffer channel 46.配置日志信息输出到日志服务器H3C info-center loghost XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 7 页备注4入侵防范4.1配置防 ARP 欺骗攻击配置/检查项配置防ARP欺骗攻击适用等保级别检查步骤1.进入用户视图2.用户视图切换到系统视图 syst

12、em-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 ARP 地址欺骗 H3Cdis current-configuration | in anti-attack配置步骤配置设备的防 ARP 欺骗攻击功能，可以有效的减少 ARP 攻击对网络造成的影响。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置防止 ARP 地址欺骗H3C arp anti-attack entry-check fixed-m

13、ac enable 适用于静态配置IP 地址，但网络存在冗余链路的情况。当链路切换时，ARP 表项中的接口信息可以快速改变H3C arp anti-attack entry-check fixed-all enable 适用于静态配置 IP地址，网络没有冗余链路，同一 IP 地址用户不会从不同接口接入 S5300 的情况H3C arp anti-attack entry-check send-mac enable 适用于动态分配IP 地址，有冗余链路的网络XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 8 页4.配置防止 ARP 网关冲突H3C arp anti-attack ga

14、teway-duplicate enable 备注5网络设备防护5.1限制管理员远程直接登录配置/检查项限制具备管理员权限的用户远程直接登录适用等保级别检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否存在高级别权限密码H3Cdis cur | in acl4.查看是否对于 user 用户密码进行配置H3Cdis cur | in local-user配置步骤远程管理员应先以普通权限用户登录后，再切换到管理员权限执行相应操作。1.进入用户视图2.由户视图切换

15、到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.设置用户由低级别权限切换到高级别权限的密码H3C super password level 3 cipher anbang1234.进入 aaa 视图H3Caaa5.配置具备远程登陆用户 user1 的权限信息。XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 9 页配置用户 user1 权限等级为 Level 1,具有 telnet 服务。H3C-aaa local-user user1 password cipher anbang1234H3

16、C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 16.配置远程登陆用户的认证方式为 aaa 认证H3C user-interface vty0 4H3C-ui-vty0-4 authentication-mode aaa备注5.2连接空闲时间设定配置/检查项设置用户登录设备的空闲时间适用等保级别 等保一至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 AAA

17、 下是否有相关的用户口令配置H3Cdis cur | in aaa配置步骤用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作，则需要重新输入口令。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.进入 aaa 视图，配置用户 user1 的超时时间为 5 分钟。H3CaaaH3C-aaa local-user user1 password cipher anbang1234XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 10 页H

18、3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1H3C-aaa local-user user1 idle-timeout 5 备注5.3远程登陆加密传输配置/检查项远程登陆加密传输适用等保级别 等保一至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看相关 SSH 配置H3Cdis cur | in ssh配置步骤如果通过远程对交换机进行管理维护，特别是通

19、过互联网以及不安全的公共网络，设备应配置使用 SSH 加密协议。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.生成本地密钥对H3C rsa local-key-pair create4.创建 ssh 用户和密码H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode aaaH3C-ui-vty0-4 protocol inbound sshH3C-ui-vty0-4 ssh user abc authenti

20、cation-type passwordXX 银行科技安全室H3C 交换机安全基线配置与检查列表第 11 页H3Cstelnet server enableH3Cssh user abc service-type stelnetH3CaaaH3C-aaa local-user abc password simple abcH3C-aaa local-user abc service-type ssh5.使能 stelnet 服务 H3Cstelnet server enable备注5.4配置 console 口密码保护功能和连接超时配置/检查项设置用户通过console口登录交换机时的密码适用

21、等保级别 等保一至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否存在对 CONSOLE 口的口令配置H3Cdis cur | in user-interface配置步骤用户通过 console 口登录交换机时，需要输入密码，并且用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作，则需要重新输入口令。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return us

22、er view with Ctrl+Z.H3C3.配置登录 console 口时的口令和超时时间 H3C user-interface console 0XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 12 页H3C-ui-console0 authentication-mode passwordH3C-ui-console0 set authentication password cipher anbang123H3C-ui-console0 idle-timeout 5 备注5.5按照用户分配账号配置/检查项按照用户分配账号适用等保级别检查步骤1.进入用户视图2.用户视图切换到

23、系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否对于不同用户配置权限信息H3Cdis cur | in local-user配置步骤避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.进入 aaa 视图H3Caaa4.为不同的用户配置不同的权限信息。 配置用户 user1 具有 telnet 权限，user2 具有

24、ftp 权限。H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user2 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user2 service-type ftpXX 银行科技安全室H3C 交换机安全基线配置与检查列表第 13 页H3C-aaa local-user user1 level 1H3C-aaa local-user user2 level 1备注5.6删除设

25、备中无用的闲置账号配置/检查项删除设备中无用的闲置账号适用等保级别等保二至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看设备中是否存在限制的用户账号和信息H3Cdis cur | in local-user配置步骤定期检查设备账号配置，删除与设备运行，维护等无关的账号。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.进入 aaa 视

26、图H3Caaa4.删除设备中无用的账号。H3C-aaa undo local-user user1备注5.7修改设备上存在的弱口令配置/检查项修改设备上存在的弱口令适用等保级别 等保二至四级检查步骤1.进入用户视图XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 14 页2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看用户的密码信息H3Cdis cur | in local-user配置步骤对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小写字母、大写字母

27、和特殊符号 4 类中至少 2 类，且用户口令加密存储。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.进入 aaa 视图，配置用户 user1 的口令，并且口令加密存储。H3Caaa H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1备注5.8配置和认证系统联动功能配置/

28、检查项配置和认证系统联动功能适用等保级别 等保二至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3CXX 银行科技安全室H3C 交换机安全基线配置与检查列表第 15 页3.查看是否配置了认证服务系统H3Cdis cur | in radius-server配置步骤设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view

29、 with Ctrl+Z.H3C3.配置 RADIUS 服务器模板 testH3Cradius-server template test4.配置 RADIUS 认证服务器的 IP 地址、端口。H3C-radius-testradius-server authentication 18125.配置 RADIUS 服务器密钥、重传次数H3C-radius-testradius-server shared-key cipher helloH3C-radius-testradius-server retransmit 26.配置认证方案 1，认证模式为先 RADIUS，如果没有响应，则

30、不认证H3CaaaH3C-aaaauthentication-scheme 1H3C-aaaauthentication-mode radius none7.配置 ab 域，在域下应用认证方案 1、RADIUS 模板 testH3C-aaa domain abH3C-aaa-domain-abauthentication-scheme 1H3C-aaa-domain-abradius-server test备注5.9配置 NTP 服务配置/检查项配置NTP服务适用等保级别 等保二至四级检查步骤1.进入用户视图XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 16 页2.用户视图切换到

31、系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 NTP 相关配置是否正确H3Cdis cur | in ntp配置步骤开启 NTP 服务，保证日志功能记录的时间的准确性，同时交换机和 NTP SERVER 之间要开启认证功能。1 进入用户视图2由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3在交换机上使能 NTP 功能，配置验证密钥并声明该密钥可信 H3C ntp-service authentic

32、ation enableH3C ntp-service authentication-keyid 1 authentication-mode md5 HelloH3C ntp-service reliable authentication-keyid 14 配置 NTP 服务器，并使用已配置的验证密钥。H3C ntp-service unicast-server authentication-keyid 1备注5.10 修改 SNMP 的 community 默认通行字配置/检查项修改SNMP的community默认通行字，通行字应符合口令强度要求适用等保级别 等保二至四级检查

33、步骤1.进入用户视图2.用户视图切换到系统视图 system-viewXX 银行科技安全室H3C 交换机安全基线配置与检查列表第 17 页Enter system view, return user view with Ctrl+Z.H3C3.查看 COMMUNITY 是否存在默认通行字H3Cdis cur | in acl配置步骤应修改 SNMP 的 Community 默认通行字，通行字应符合口令强度要求。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.修改 SNMP

34、 的默认通行字H3C snmp-agent community read 1234abcdH3C snmp-agent community write 1234abcd备注5.11使用 SNMPV2 或以上版本配置/检查项使用SNMPV2或以上版本适用等保级别 等保二至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 SNMP 的运行版本H3Cdis cur | in snmp-agent配置步骤应配置 SNMP 使用 SNMPv2 或者以上版本，加强安全

35、性。1.进入用户视图2.由户视图切换到系统视图XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 18 页 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置 SNMP 版本。H3C snmp-agent sys-info version v3备注5.12 设置 SNMP 的访问安全限制配置/检查项设置SNMP的访问安全限制适用等保级别 等保二至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with C

36、trl+Z.H3C3.查看 SNMP 的访问安全限制H3Cdis cur | in snmp-agent配置步骤设置 SNMP 访问安全限制，只允许特定主机通过 SNMP 访问网络设备。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置可以访问交换机的 ACL 列表。H3C acl 2001H3C-acl-basic-2001 rule 5 permit source 4.应用 ACL 到 SNMP 配置。H3C snmp-agent co

37、mmunity write 1234abcd acl 2001H3C snmp-agent community read 1234abcd acl 2001XX 银行科技安全室H3C 交换机安全基线配置与检查列表第 19 页备注5.13 系统应关闭未使用的 SNMP 协议及未使用 RW 权限配置/检查项关闭未使用的SNMP协议及未使用RW权限适用等保级别 等保二至四级检查步骤1.进入用户视图2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 SNMP 协议的 RW 相关配置H3Cdis

38、 cur | in RW配置步骤如不需要提供 SNMP 服务的，要求禁止 SNMP 协议服务，注意在禁止时删除一些 SNMP 服务的默认配置。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置可以访问交换机的 ACL 列表。H3C Undo snmp enableH3Cundo snmp-agent community RWuser备注5.14 关闭不必要的服务配置/检查项关闭不必要的服务适用等保级别 等保二至四级检查步骤1.进入用户视图2.用户视图切换到系统视图XX

39、银行科技安全室H3C 交换机安全基线配置与检查列表第 20 页 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看存在哪些协议如:FTP,HTTP,DHCP 等。H3Cdis cur配置步骤关闭网络设备不必要的服务，如:FTP,HTTP,DHCP SERVER 等。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.关闭设备的 ftp 服务。H3C undo ftp server备注5.15 配置防源地址欺骗攻击配置/检查项配置防源地址欺骗攻击适用等保级别检查步骤1.进入用户视图2.