H3C交换机设备安全基线

1、精品文档H3C设备安全配置基线.精品文档目录第 1 章概述 .51.1目的 .51.2适用范围 .51.3适用版本 .5第 2 章帐号管理、认证授权安全要求 .62.1帐号管理 .62.1.1用户帐号分配 * .62.1.2删除无关的帐号 * .72.2口令 .82.2.1静态口令以密文形式存放 .82.2.2帐号、口令和授权 .92.2.3密码复杂度 .102.3授权 .112.3.1用 IP 协议进行远程维护的设备使用SSH等加密协议 .11第 3 章日志安全要求 .123.1日志安全 .123.1.1启用信息中心 .123.1.2开启 NTP 服务保证记录的时间的准确性 .133.1.3

2、远程日志功能 * .14第 4 章IP 协议安全要求 .154.1IP 协议 .154.1.1VRRP认证 .154.1.2系统远程服务只允许特定地址访问.154.2功能配置 .164.2.1SNMP 的 Community 默认通行字口令强度 .164.2.2只与特定主机进行 SNMP 协议交互 .174.2.3配置 SNMPV2或以上版本 .18.精品文档关闭未使用的SNMP 协议及未使用write 权限19第 5 章IP 协议安全要求205.1其他安全配置20关闭未使用的接口20修改设备缺省BANNER语21配置定时账户自动登出21配置 console 口密码保护功能22端口与实际应用相

3、符23.精品文档.精品文档第1章概述1.1 目的规范配置 H3C 路由器、交换机设备，保证设备基本安全。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本comwareV7 版本交换机、路由器。.精品文档第 2章帐号管理、认证授权安全要求2.1 帐号管理用户帐号分配 *1、安全基线名称： 用户帐号分配安全2、安全基线编号： SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。4、参考配置操作：H3C local-user adminH3C-luser-manage-

4、admin password hash adminmmu2H3C-luser-manage-admin authorization-attribute user-role level-15H3C local-user userH3C-luser-network-user password hash usernhesaH3C-luser-network-user authorization-attribute user-role network-operator5、安全判定条件：（ 1）配置文件中，存在不同的账号分配（ 2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令 dis cu

5、r 命令查看：.精品文档#local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ=service-type sshauthorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator#对比命令显示结果与运维人员名单，如果

6、运维人员之间不存在共享账号，表明符合安全要求。删除无关的帐号*1、安全基线名称：删除无关的账号2、安全基线编号： SBL-H3C-02-01-023、安全基线说明：应删除与设备运行、维护等工作无关的账号。4、参考配置操作：H3Cundo local-user user class network5、安全判定条件：（ 1）配置文件存在多个账号（ 2）网络管理员确认账号与设备运行、维护等工作无关6、检测操作：使用 dis cur | include local-user命令查看：.精品文档H3Cdis cur | include local-userlocal-user admin class m

7、anagelocal-user user1 class manage若不存在无用账号则说明符合安全要求。2.2 口令静态口令以密文形式存放1、安全基线名称：静态口令以密文形式存放2、安全基线编号： SBL-H3C-02-02-013、安全基线说明：配置本地用户和super口令使用密文密码。4、参考配置操作：H3Clocal-user adminH3C-luser-manage-adminpassword hash <密文 password>/配置本地用户密文密码H3Csuper password hash <密文 password>/配置 super密码使用密文加密5、

8、安全判定条件：配置文件中没有明文密码字段。6、检测操作：使用 dis cur 显示本地用户账号和super密码为密文密码#local-user admin class managepassword hash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCE UU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ=.精品文档service-type ssh telnetauthorization-attribute user-role level-15#local-user user1

9、 class managepassword hash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ=authorization-attribute user-role network-operator#super password role network-admin hash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySG Yft6k9RDySQ

10、S29QyciznpJoVS/thfJHRWEmiPQG7c13WQ=#帐号、口令和授权1、安全基线名称：账号、口令和授权安全基线2、安全基线编号： SBL-H3C-02-02-023、安全基线说明：通过认证系统，确认远程用户身份，判断是否为合法的网络用户。4、参考配置操作：H3Clocal-user adminH3C-luser-manage-adminpassword hash pipaxingxiangyunH3C-luser-manage-adminauthorization-attribute user-role level-15H3Cdomain adminH3C-isp-admi

11、nauthentication default local.精品文档5、安全判定条件：账号和口令的配置，指定了认证的系统。6、检测操作：H3Cdis cur#domain admin#domain system#domain default enable system#密码复杂度1、安全基线名称：密码复杂度2、安全基线编号： SBL-H3C-02-02-033、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5 次以内不得设置相同的口令。密码应至少每90 天进行更换。4、参考配置操作：H3Clocal-user adm

12、inH3C-luser-manage-adminpassword pipaxingxiangyun5、安全判定条件：密码强度符合要求，密码至少90 天进行更换。.精品文档2.3 授权用 IP 协议进行远程维护的设备使用SSH 等加密协议1、安全基线名称：用IP 协议进行远程维护设备2、安全基线编号： SBL-H3C-02-03-013、安全基线说明：使用 IP 协议进行远程维护设备，应配置使用 SSH 等加密协议连接。4、参考配置操作：H3Cssh server enableH3Clocal-user adminH3C-luser-manage-adminservice-type ssh5、安

13、全判定条件：配置文件中只允许SSH 等加密协议连接。6、检测操作：使用 dis cur | include ssh命令：H3Cdis cur | include sshssh server enableservice-type sshssh 服务为 enable状态表明符合安全要求。.精品文档第3章日志安全要求3.1 日志安全启用信息中心1、安全基线名称：启用信息中心2、安全基线编号： SBL-H3C-03-01-013、安全基线说明：启用信息中心，记录与设备相关的事件。4、参考配置操作：H3Cinfo-center enable5、安全判定条件：（ 1）设备应配置日志功能，能对用户登录进行记

14、录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录使用的IP 地址。（ 2）记录用户登录设备后所进行的所有操作。6、检测操作：使用 dis info-center 有显示 Information Center: Enabled类似信息，如：H3Cdis info-centerInformation Center: EnabledConsole: EnabledMonitor: EnabledLog host: Enabled.精品文档port number: 514, host facility: local7port number: 514, host facility

15、: local7port number: 514, host facility: local7Log buffer: EnabledMax buffer size 1024, current buffer size 512Current messages 512, dropped messages 0, overwritten messages 3736Log file: EnabledSecurity log file: DisabledInformation timestamp format:Log host: DateOther output destination: Date开启 NT

16、P 服务保证记录的时间的准确性1、安全基线名称：日志记录时间准确性2、安全基线编号： SBL-H3C-03-01-023、安全基线说明：开启NTP 服务，保证日志功能记录的时间的准确性。4、参考配置操作：配置 ntp 客户端，服务器地址为：H3Cntp-service enable5、安全判定条件：.精品文档日志记录时间准确。6、检测操作：H3Cdis cur | include ntpntp-service enable远程日志功能 *1、安全基线名称：远程日志功能2、安全基线编号： SBL-H3C-03-01-033、安全基线说明：配置远程日志功能，使设备能通过远程日志功能传输到日志服务器

17、。4、参考配置操作：/ 配置接收日志的服务器地址H3Cinfo-center source default loghost level emergency /配置发送的日志级别5、安全判定条件：日志服务器能够正确接收网络设备发送的日志。6、检测操作：使用命令 dis cur | include info-center查看：H3Cdis cur | include info-centerundo copyright-info enableinfo-center source default loghost level emergency.精品文档第 4章IP 协议安全要求4.1 IP 协议认证1

18、、安全基线名称： VRRP 认证2、安全基线编号： SBL-H3C-04-01-013、安全基线说明： VRRP 启用认证，防止非法设备加入到VRRP 组中。4、安全判定条件：查看 VRRP 组，只存在正确的设备。5、检测操作：使用命令 dis vrrp系统远程服务只允许特定地址访问1、安全基线名称：系统远程服务只允许特定地址访问2、安全基线编号： SBL-H3C-04-01-023、安全基线说明：设备以 UDP/TCP协议对外提供服务，供外部主机进行访问，如作为 NTP服务器、 TELNET服务器、 TFTP服务器、 FTP服务器、 SSH服务器等，应配置设备，只允许特定主机访问。4、参考配

19、置操作：通过配置访问控制列表ACL ，只允许特定的地址访问设备的服务，如：.精品文档H3Cacl advanced 3000H3C-acl-ipv4-adv-3000 rule 65534 deny ip5、安全判定条件：在相关端口上绑定相应的ACL 。6、检测操作：使用 dis cur 命令查看：#interface Vlan-interface10packet-filter 3000 inbound#4.2 功能配置的 Community 默认通行字口令强度1、安全基线名称： SNMP 协议的 community 团体字2、安全基线编号： SBL-H3C-04-02-013、安全基线说明：

20、修改 SNMP 的 community 默认团体字，字符串应符合口令强度要求。4、参考配置操作：H3Csnmp-agent community read <community团体字 >H3C snmp-agent community write < community 团体字 >5、安全判定条件：.精品文档Community 非默认，口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号 4 类中至少 2 类。6、检测操作：使用命令 dis cur | include snmp查看：H3Cdis cur | include snmpsnmp-agentsnmp-

21、agent community read xiangyun_readsnmp-agent community write xiangyun_writesnmp-agent sys-info version v3snmp-agent trap enable arpsnmp-agent trap enable radiussnmp-agent trap enable stp7、补充：若设备不需要使用 SNMP 协议应关闭 SNMP 功能，若需要用到应使用 V2 版本以上的 SNMP 协议。只与特定主机进行SNMP 协议交互1、安全基线名称：只与特定主机进行SNMP 协议交互2、安全基线编号： SB

22、L-H3C-04-02-023、安全基线说明：设备只与特定主机进行SNMP 协议交互4、参考配置操作：使用 ACL 限制只与特定主机进行SNMP 交互H3Cacl advanced name acl_snmp.精品文档H3C-acl-ipv4-adv-acl_snmprule deny ip source anyH3Csnmp-agent community read xiangyun acl name acl_snmp5、安全判定条件：Snmp 绑定了 acl6、检测操作：使用 dis cur | include snmp命令查看：H3Cdis cur | include snmpsnmp-

23、agentsnmp-agent community read xiangyunsnmp-agent sys-info version 3snmp-agent trap enable arpsnmp-agent trap enable radiussnmp-agent trap enable stpsnmp-agent community read xiangyun acl name acl_snmp配置 SNMPV2 或以上版本1、安全基线名称：配置SNMPv2 或以上版本2、安全基线编号： SBL-H3C-04-02-033、安全基线说明：系统应配置SNMPv2 或以上版本4、参考配置操作：

24、H3Csnmp-agent sys-info version v35、安全判定条件：.精品文档系统可以成功使用snmpv2 或 v3 版本协议。6、检测操作：使用 dis cur | include snmp命令查看：H3Cdis cur | include snmp .snmp-agent sys-info version 3 .关闭未使用的SNMP 协议及未使用write 权限1、安全基线名称：关闭未使用的SNMP 协议及未使用 write 权限2、安全基线编号： SBL-H3C-04-02-043、安全基线说明：系统应及时关闭未使用的SNMP 协议及未使用 write 权限4、参考配置操

25、作：H3Cundo snmp-agent community pipaxing5、安全判定条件：Snmp 权限为 read。6、检测操作：使用 dis cur | include snmp命令查看，权限只有read：H3Cdis cur | include snmp .snmp-agent community read xiangyun .精品文档第5章其他安全要求5.1 其他安全配置关闭未使用的接口1、安全基线名称：关闭未使用的接口2、安全基线编号： SBL-H3C-05-01-013、安全基线说明：关闭未使用的接口4、参考配置操作：H3Cint g1/0/10H3C-GigabitEthe

26、rnet1/0/10shutdown5、安全判定条件：未使用接口应该管理员down。6、检测操作：H3Cdis cur .#interface GigabitEthernet1/0/10port link-mode bridgecombo enable fibershutdown.精品文档# .修改设备缺省BANNER 语1、安全基线名称：修改设备缺省BANNER 语2、安全基线编号： SBL-H3C-05-01-023、安全基线说明：要修改设备缺省 BANNER语， BANNER最好不要有系统平台或地址等有碍安全的信息。4、参考配置操作：H3Cheader loginPlease input

27、 banner content, and quit with the character '%'.5、安全判定条件：欢迎界面、提示符等不包含敏感信息。6、检测操作：通过远程登录或console口登录查看设备提示信息。配置定时账户自动登出1、安全基线名称：配置账号定时自动退出2、安全基线编号： SBL-H3C-05-01-033、安全基线说明：如Telnet、 ssh、 console登录连接超时退出4、参考配置操作：配置 vty 登录 3 分钟无操作自动退出：H3C user-interface vty 0 4.精品文档H3C-line-vty0-4idle-timeout 35、安全判定条件：每种登录方式均