网络设备安全基线技术规范

Q/CSG—PAGEIIPAGE21安全基线技术要求网络设备网络通用安全基线技术要求网络设备防护基线名称安全设备的用户进行身份鉴别。基线编号IB-WLSB-01-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求，对登录设备的用户进行身份鉴别。备注基线名称网络设备用户的标识唯一。基线编号IB-WLSB-01-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求网络设备用户的标识应唯一；禁止多个人员共用一个账号。备注基线名称身份鉴别信息应具有复杂度要求并定期更换。基线编号IB-WLSB-01-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应修改控制中心登录的默认账户和密码，密码长度应不小于8，密码应由字母、数字、特殊符号中的至少2种组成。备注基线名称登录失败处理。基线编号IB-WLSB-01-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。备注基线名称清除无关的账号。基线编号IB-WLSB-01-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应删除与设备运行、维护等工作无关的账号。备注基线名称配置console口密码保护基线编号IB-WLSB-01-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备console口的设备，应配置console口密码保护功能。备注基线名称按照用户分配账号基线编号IB-WLSB-01-07基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。备注基线名称配置使用SSH基线编号IB-WLSB-01-08基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。备注基线名称对用户进行分级权限控制基线编号IB-WLSB-01-09基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。备注基线名称配置访问IP地址限制基线编号IB-WLSB-01-10基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。备注基线名称授权粒度控制基线编号IB-WLSB-01-11基线类型强制要求适用范围□等保一、二级□等保三级涉普通商秘（工作秘密）□涉核心商秘基线要求原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能力。备注基线名称按最小权限方法分配帐号权限基线编号IB-WLSB-01-12基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。备注基线名称配置定时账户自动登出基线编号IB-WLSB-01-13基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备字符交互界面的设备，应配置定时账户自动登出。备注基线名称限制NTP通信地址范围基线编号IB-WLSB-01-14基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求通过ACL对NTP服务器与设备间的通信进行控制。备注基线名称启用NTP服务基线编号IB-WLSB-01-15基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应开启NTP，保证设备日志记录时间的准确性。备注基线名称配置会话超时基线编号IB-WLSB-01-16基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备字符交互界面的设备，应配置定时账户自动登出。备注基线名称配置屏幕自动锁定基线编号IB-WLSB-01-17基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备图形界面（含WEB界面）的设备，应配置定时自动屏幕锁定。备注基线名称修改缺省BANNER基线编号IB-WLSB-01-18基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求隐藏设备字符管理界面的bannner信息。备注基线名称Community字符串加密存放基线编号IB-WLSB-01-19基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求支持对SNMP协议RO、RW的Community字符串的加密存放。备注基线名称配置路由信息发布和接受策略基线编号IB-WLSB-01-20基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求采用动态路由协议时，使用ipprefix-list过滤缺省和私有路由、设置最大路由条目限制、严格限制BGPPEER的源地址等方法避免设备发布或接收不安全的路由信息。备注基线名称配置路由协议的认证和口令加密基线编号IB-WLSB-01-21基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求启用动态IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）协议时，启用路由协议认证功能，如MD5加密，确保与可信方进行路由协议交互。备注基线名称SNMP配置-修改SNMP的默认Community基线编号IB-WLSB-01-22基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。备注基线名称SNMP配置-禁用有写权限的SNMPCommunity基线编号IB-WLSB-01-23基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。备注基线名称SNMP配置-配置选用较高SNMP版本基线编号IB-WLSB-01-24基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求使用SNMPV3以上的版本对设备做远程管理。备注访问控制基线名称避免从内网主机直接访问外网基线编号IB-WLSB-02-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应用代理服务器，将从内网到外网的访问流量通过代理服务器。设备只开启代理服务器到外部网络的访问规则，避免在设备上配置从内网的主机直接到外网的访问规则。备注基线名称配置流量控制基线编号IB-WLSB-02-02基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求使用合理的ACL或其它分组过滤技术，对设备控制流量、管理流量及其它由路由器引擎直接处理的流量（如traceroute、ICMP流量）进行控制，实现对路由器引擎的保护。备注基线名称配置安全域的访问控制规则基线编号IB-WLSB-02-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求所有的安全域都具有相应的规则进行防护，对进出流量进行控制。备注基线名称VPN用户按照访问权限进行分组基线编号IB-WLSB-02-04基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。备注基线名称过滤不相关流量-ACL基线编号IB-WLSB-02-05基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。备注基线名称最小化服务基线编号IB-WLSB-02-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用非必要的服务。备注安全审计基线名称开启日志功能基线编号IB-WLSB-03-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求开启记录日志，记录访问登录、退出等信息。备注基线名称配置日志存储位置基线编号IB-WLSB-03-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求将重要或指定级别的日志发送到日志服务器或其它位置，进行安全存放，要求能追溯至少60天内的日志记录。备注基线名称配置安全事件日志记录基线编号IB-WLSB-03-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应配置日志功能，记录对与设备自身相关的安全事件。备注基线名称配置操作日志基线编号IB-WLSB-03-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应配置日志功能，记录用户对设备的操作，包括但不限于以下内容：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的话费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。备注入侵防范基线名称开启告警功能基线编号IB-WLSB-04-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应具备向管理员告警的功能，配置告警功能，报告对设备本身的攻击或者设备的系统严重错误。备注基线名称配置拒绝常见漏洞所对应端口或者服务的访问基线编号IB-WLSB-04-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置访问控制规则，拒绝对常见漏洞所对应端口或者服务的访问。备注基线名称防止仿冒ARP网关攻击基线编号IB-WLSB-04-03基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应对仿冒ARP网关攻击进行防护。备注基线名称配置网络层异常报文攻击告警基线编号IB-WLSB-04-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置告警功能，报告网络流量中对TCP/IP协议网络层异常报文攻击的相关告警。备注基线名称关闭不必要的服务基线编号IB-WLSB-04-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应关闭设备上不必要的服务(如CDP、DNSlookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、IP源路由、PAD等)。备注基线名称关闭不必要的服务-禁用FTP服务基线编号IB-WLSB-04-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备设备必须关闭非必要服务。禁用FTP服务。备注Cisco路由器/交换机安全基线技术要求网络设备防护基线名称使用认证服务器认证基线编号IB-CISCO（SW）-01-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求。配置方法参考配置操作1、Cisco(config)#aaanew-model2、Cisco(config)#aaaauthenticationlogindefaultgroup<server>local#<server>为认证服务器名称（首先通过认证服务器认证，认证服务器认证失败的情况下通过本地认证。）3、Cisco(config)#aaaauthenticationenabledefaultgroup<server>enable4、Cisco(config)#end5、Cisco#write基线名称禁止无关账号基线编号IB-CISCO（SW）-01-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应删除与设备运行、维护等工作无关的账号。配置方法参考配置操作1、Cisco(config)#nousername<username>#其中<username>表示用户名。基线名称口令加密基线编号IB-CISCO（SW）-01-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。如使用enablesecret配置Enable密码，不使用enablepassword配置Enable密码。配置方法参考配置操作1、Cisco(config)#noenablepassword#配置enable密码2、Cisco(config)#enablesecret<password>#<password>为口令3、Cisco(config)#username<username>secret<password>注：若已用password设置用户密码，则需要先删除用户(nousername<username>)，再使用secret设置用户密码。4、Cisco(config)#servicepassword-encryption#启用密码加密服务5、Cisco(config)#end6、Cisco#write基线名称对用户设置授权等级基线编号IB-CISCO（SW）-01-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。配置方法参考配置操作1、Switch(config)#username<username>privilege<level>#<username>用户名，<level>权限级别。2、Switch(config)#end3、Switch#write基线名称避免共享账号基线编号IB-CISCO（SW）-01-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。配置方法参考配置操作1、Cisco(config)#username<username>privilege<level>password<password>#<username>用户名、<level>权限级别、<password>用户口令。2、Cisco(config)#end3、Cisco#write基线名称配置console口密码保护基线编号IB-CISCO（SW）-01-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置console口密码保护功能。配置方法参考配置操作1、Cisco(config)#lineconsole02、Cisco(config-line)#loginlocal3、Cisco(config-line)#password<password>#<password>为console口密码4、Cisco(config-line)#end5、Cisco#write基线名称管理默认账号与口令基线编号IB-CISCO（SW）-01-07基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘 基线要求应删除或锁定默认或缺省账号与口令。配置方法参考配置操作1、Cisco(config)#nousernamecisco#删除cisco账号2、Cisco(config)#end3、Cisco#write基线名称关闭未使用的管理口基线编号IB-CISCO（SW）-01-08基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应关闭未使用的管理口（AUX、或者没开启业务的端口）配置方法参考配置操作1、Cisco(config)#interface<接口>2、Cisco(config-if)#shutdown#关闭未使用的接口。3、Cisco(config-if)#end4、Cisco#write基线名称远程管理通信安全-SSH基线编号IB-CISCO（SW）-01-09基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。配置方法参考配置操作1、Cisco(config)#ipdomain-name<domain_name>#配置域名<domain_name>域名名称可自定义2、Cisco(config)#aaanew-model3、Cisco(config)#cryptokeygeneratersa4、Cisco(config)#linevty045、Cisco(config-line)#transportinputssh#配置仅允许ssh远程登录6、Cisco(config-line)#end7、Cisco#write基线名称使用SNMPV3版本基线编号IB-CISCO（SW）-01-10基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于支持SNMPV3版本的设备，必须使用V3版本SNMP协议。配置方法参考配置操作1、Cisco(config)#snmp-serverhost<ip>version3auth<username>#其中<ip>表示IP，<username>表示用户名。2、Cisco(config-line)#end3、Cisco#write基线名称SNMP配置-修改SNMP的默认Community基线编号IB-CISCO（SW）-01-11基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求修改SNMP的Community默认团体字符串，字符串应符合口令强度要求。配置方法参考配置操作1、Cisco(config)#snmp-servercommunity[name]#删除名称为public，并修改SNMPcomm团体名2、Cisco(config)#end3、Cisco#write基线名称限制可发起SNMP的源IP基线编号IB-CISCO（SW）-01-12基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。配置方法参考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list标号，<access-list>表示acl规则内容。2、Cisco(config)#snmp-servercommunity<name><ro/rw><tag>#<name>表示community名称，<ro/rw>表示分配的权限。3、Cisco(config)#end4、Cisco#write基线名称SNMP服务读写权限管理基线编号IB-CISCO（SW）-01-13基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求未使用SNMP的WRITE功能时，禁用SNMP的写（WRITE）功能。配置方法参考配置操作1、Cisco(config)#snmp-servercommunity<name><RO>[<tag>]#<name>表示community名称，<RO/RW>表示分配的权限，<tag>表示access-list标号。2、Cisco(config)#end3、Cisco#write基线名称限制NTP通信地址范围基线编号IB-CISCO（SW）-01-14基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求通过ACL对NTP服务器与设备间的通信进行控制。配置方法参考配置操作1、Cisco(config)#ntpaccess-grouppeer<tag>#<tag>表示access-list标号。2、Ciscoh(config)#end3、Cisco#write基线名称VTY端口防护策略基线编号IB-CISCO（SW）-01-15基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应限制VTY口的数量，通常情况下VTY口数量不超过16个。应设定VTY口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。（如：网管系统尽量采用snmp方式对设备进行操作，避免使用对设备CPU负载较大的telnet方式。）配置方法参考配置操作1、vty不能删除，仅提供检查作用，不提供配置方法。基线名称远程主机IP地址段限制基线编号IB-CISCO（SW）-01-16基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应通过ACL限制可远程管理设备的IP地址段。配置方法参考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list标号，<access-list>表示ACL规则内容。2、Cisco(config)#linevty<num1>[<num2>]#<num1>、<num2>（可选）表示要配置的vty起止序号。3、Cisco(config-line)#access-class<tag><in/out>#<in/out>表示要过滤的连接的类型。4、Cisco(config-line)#end5、Cisco#write基线名称报文速率限制基线编号IB-CISCO（SW）-01-17基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对广播/组播/未知单播报文速率限制和阻断。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#配置指定接口2、Cisco(config-if)#storm-controlbroadcastlevel<threshold>#配置广播报文限制3、Cisco(config)#interface<InterfaceName>#配置指定接口4、Ciscoh(config-if)#storm-controlmulticastlevel<threshold>#配置组播报文限制5、Cisco(config)#interface<InterfaceName>#配置指定接口6、Cisco(config-if)#storm-controlunicastlevel<threshold>#配置单播报文限制7、Cisco(config-if)#end8、Cisco#write基线名称已对命令设置授权等级基线编号IB-CISCO（SW）-01-18基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求原则上应采用预定义级别的授权方法，实现对不同用户权限的控制。配置方法参考配置操作1、Cisco(config)#privilegeconfigurelevel7snmp-server#对snmp-server命令设置授权等级2、Cisco(config)#privilegeexeclevel7ping#对ping命令设置授权等级3、Cisco(config)#privilegeexeclevel7configure#对configure命令设置授权等级4、Cisco(config)#end5、Cisco#writee基线名称修改缺省BANNER基线编号IB-CISCO（SW）-01-19基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求要修改缺省器缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。配置方法参考配置操作1、Cisco(config)#banner<options>#<options>表示banner命令的参数2、Cisco(config)#end3、Cisco#write基线名称会话超时配置基线编号IB-CISCO（SW）-01-20基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。配置方法参考配置操作1、console口会话超时配置（1）、Cisco(config)#lineconsole0（2）、Cisco(config-line)#exec-timeout<mins>[<seconds>]#<mins>单位为分，<seconds>单位为秒。2、vty口会话超时配置（1）、Cisco(config)#linevty<num1>[<num2>]#<num1>，<num2>(可选)表示要配置的vty起止序号。（2）、Cisco(config-line)#exec-timeout<mins>[<seconds>]（3）、Cisco(config-line)#end（4）、Cisco#write访问控制基线名称限制非法数据流基线编号IB-CISCO（SW）-02-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求通过ACL实现对地址为未注册或私有的非法数据流的控制。配置方法参考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list标号，其中，<access-list>表示ACL规则内容。2、Cisco(config)#interface<InterfaceName>#接口名称3、Cisco(config-if)#ipaccess-group<tag><in|out>#对进或出的流量进行限制。4、Cisco(config-if)#end5、Cisco#write基线名称对设备引擎直接处理的流量进行控制基线编号IB-CISCO（SW）-02-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求使用合理的ACL或其它分组过滤技术，对设备控制流量、管理流量及其它由设备引擎直接处理的流量（如traceroute、ICMP流量）进行控制，实现对设备引擎的保护。配置方法参考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list标号<access-list>表示ACL规则具体内容2、Cisco(config)#class-mapmatch-all<cmaptag>#<cmaptag>表示class-map标号3、Cisco(config-cmap)#matchaccess-group<tag>4、Cisco(config-cmap)#exit5、Cisco(config)#policy-map<pmaptag>#<pmaptag>表示policy-map标号6、Cisco(config-pmap)#class<cmaptag>7、Cisco(config-pmap-c)#police<policy>#<policy>表示策略具体类容8、Cisco(config-pmap-c)#exit9、Cisco(config-pmap)#exit10、Cisco(config)#control-planeslot<slotid>#将policy-map应用到slot11、Cisco(config-cp)#service-policyinput<pmaptag>12、Cisco(config-cp)#end13、Cisco#write安全审计基线名称日志存储位置基线编号IB-CISCO（SW）-03-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备应支持远程日志功能，所有设备日志均能通过远程日志功能传输到日志服务器，设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。配置方法参考配置操作1、Cisco(config)#logginghost<ip地址>#<ip地址>为远程日志服务器地址。2、Cisco(config)#end3、Cisco#write基线名称配置发送系统日志的源地址基线编号IB-CISCO（SW）-03-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应设置发送systemlog的源地址为loopback地址。配置方法参考配置操作1、Cisco(config)#loggingsource-interfaceloopback02、Cisco(config)#end3、Cisco#write基线名称禁止系统日志向控制台输出基线编号IB-CISCO（SW）-03-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备的Systemlogmessages不记录到控制台。配置方法参考配置操作1、Cisco(config)#nologgingconsole2、Cisco(config)#end3、Cisco#write基线名称VTY端口访问的认证基线编号IB-CISCO（SW）-03-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。配置方法参考配置操作1、Cisco(config)#aaaauthenticationlogin<name>group<authentication_server>local#首先通过认证服务器认证，认证服务器认证失败则使用本地认证。2、Cisco(config)#linevty043、Cisco(config-line)#loginauthentication<name>#<name>引用步骤1创建的认证方案4、Cisco#write基线名称使用认证服务器审计系统行为基线编号IB-CISCO（SW）-03-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求采用本地或采用与认证服务器（RADIUS或TACACS服务器）联动（优选方式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。主要审计以下行为：1、系统行为2、设备操作3、设备命令执行4、网络行为配置方法参考配置操作1、使用认证服务器审计系统行为Cisco(config)#aaaaccountingsystemdefaultstart-stopgroup<server>#<server>为认证服务器名称。2、使用认证服务器审计设备操作Cisco(config)#aaaaccountingexecdefaultstart-stopgroup<server>3、使用认证服务器审计设备命令执行Cisco(config)#aaaaccountingcommands<level>defaultstart-stopgroup4、使用认证服务器审计网络行为Cisco(config)#aaaaccountingnetworkdefaultstart-stopgroup<server>入侵防范基线名称配置端口安全防护基线编号IB-CISCO（SW）-04-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置交换机端口安全策略，保证网络安全。如配置portsecurity特性，指定Access、trunk接口类型等。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#配置指定物理接口的switchport模式2、Cisco(config-if)#switchportmode<mode>#<mode>接口类型为Access或者trunk3、Cisco(config-if)#end4、Cisco#write基线名称已知典型攻击防护基线编号IB-CISCO（SW）-04-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求过滤已知攻击：在网络边界，设置安全访问控制，过滤掉已知安全攻击数据包，例如udp1434端口（防止SQLslammer蠕虫）、tcp5800、5900、445（防止Della蠕虫）。tcp5554、9996、4444（应该配置对震荡波端口及Blaster端口的防护）。配置方法参考配置操作1、配置对SQLslammer蠕虫的防护（1）、Cisco(config)#access-list<tag>denyudpanyanyeq1434#<tag>表示access-list标号2、应配置对Della蠕虫的防护（1）、Cisco(config)#access-list<tag>denytcpanyanyeq445#<tag>表示access-list标号（2）、Cisco(config)#access-list<tag>denytcpanyanyeq5800（3）、Cisco(config)#access-list<tag>denytcpanyanyeq59003、应配置对震荡波端口及Blaster端口的防护（1）、Cisco(config)#access-list<tag>denytcpanyanyeq5554#<tag>表示access-list标号（2）、Cisco(config)#access-list<tag>denytcpanyanyeq9996（3）、Cisco(config)#access-list<tag>denytcpanyanyeq44444、配置指定接口的ACL（1）、Cisco(config)#interface<InterfaceName>#接口名称（2）、Cisco(config-if)#ipaccess-group<tag>in（3）、Cisco(config-if)#end（4）、Cisco#write基线名称配置MAC攻击防护基线编号IB-CISCO（SW）-04-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求通过相应的策略配置，对各种MAC地址表攻击、ARP攻击、Vlan攻击、STP攻击、DHCP攻击进行防护。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#配置指定接口允许的最大地址数。2、Cisco(config-if)#switchportport-securitymaximum<num>#<num>表示最大地址数。3、Cisco(config-if)#end4、Cisco#write基线名称配置VLAN攻击防护基线编号IB-CISCO（SW）-04-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求通过相应的策略配置，对各种MAC地址表攻击、ARP攻击、Vlan攻击、STP攻击、DHCP攻击进行防护。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#进入指定接口2、Cisco(config-if)#switchporttrunkallowedvlan<vlanid>#配置trunk模式的接口允许的VLAN。3、Cisco(config-if)#end4、Cisco#write基线名称典型协议报文防护基线编号IB-CISCO（SW）-04-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应对典型协议报文的攻击进行防护。配置方法参考配置操作1、配置HSRP报文防护（1）、Cisco(config)#interface<InterfaceName>（2）、Cisco(config-if)#standby1authenticationmd5key-string<key>2、配置VRRP报文防护（1）、Cisco(config)#interface<InterfaceName>（2）、Cisco(config-if)#vrrp1authenticationmd5key-string<key>（3）、Cisco(config-if)#end（4）、Cisco#write基线名称配置预防源地址伪造攻击基线编号IB-CISCO（SW）-04-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应采用uRPF技术预防伪造源地址的攻击。配置方法参考配置操作Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名称。Cisco(config-if)#ipverifyunicastsourcereachable-viaanyCisco(config-if)#endCisco#write基线名称配置ARP攻击防护基线编号IB-CISCO（SW）-04-07基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应对仿冒ARP网关攻击进行防护。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名称2、Cisco(config-if)#switchportport-securityviolationrestrict3、Cisco(Config-if)#end4、Cisco#write基线名称关闭不必要的功能-禁用TCPSmall基线编号IB-CISCO（SW）-04-08基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用TCPsmall服务。配置方法参考配置操作1、Cisco(config)#noservicetcp-small-servers2、Cisco(Config-if)#end3、Cisco#write基线名称关闭不必要的功能禁用-PROXYARP基线编号IB-CISCO（SW）-04-09基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用PROXYARP功能。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名称2、Cisco(config-if)#noipproxy-arp3、Ciscoh(Config-if)#end基线名称关闭不必要的功能-禁用IPmask-reply基线编号IB-CISCO（SW）-04-10基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求在非可信网段内禁用IP掩码响应功能。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名称。2、Ciscoconfig-if)#noipmask-reply3、Cisco(config-if)#end基线名称应关闭所有接口的CDP协议基线编号IB-CISCO（SW）-04-11基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用CDP服务。配置方法参考配置操作1、Cisco(Config)#nocdprun2、Cisco(Config)#interface<interface>#<interface>表示接口名称。3、Cisco(Config-if)#nocdpenable4、Cisco(Config-if)#end5、Cisco#write基线名称关闭不必要的服务-禁用UDPSmall服务基线编号IB-CISCO（SW）-04-12基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用UDPSmall服务。配置方法参考配置操作1、Cisco(config)#noserviceudp-small-servers2、Cisco(Config-if)#end3、Cisco#write基线名称关闭不必要的服务-禁用Finger服务基线编号IB-CISCO（SW）-04-13基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用Finger服务。配置方法参考配置操作1、Cisco(config)#noipfinger2、Cisco(Config)#end3、Cisco#write基线名称关闭不必要的协议-PAgP基线编号IB-CISCO（SW）-04-14基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。配置方法参考配置操作1、Cisco(config)#interface<interface>#<interface>表示接口名称。2、Cisco(config-if)#nopagplearn-method3、Cisco(config-if)#end4、Cisco#write基线名称关闭不必要的协议-LACP基线编号IB-CISCO（SW）-04-15基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。配置方法参考配置操作1、Cisco(config)#interface<interface>接口名称2、Cisco(config-if)#nolacpport-priority3、Cisco(config-if)#end4、Cisco#write基线名称关闭不必要的协议-flowcontrol基线编号IB-CISCO（SW）-04-16基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求在面向末端用户的端口上采用相关技术手段屏蔽不必要的协议。配置方法参考配置操作1、Cisco(Config)#interface<interface>#<interface>表示接口名称。2、Cisco(Config-if)#flowcontrolreceiveoff3、Cisco(Config-if)#end4、Cisco#write基线名称关闭不必要的功能-禁用IPUnreachables基线编号IB-CISCO（SW）-04-17基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用ipunreachable报文响应。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>2、Cisco(config-if)#noipunreachables3、Cisco(Config-if)#end4、Cisco#write基线名称关闭不必要的功能-禁用IPsource-route基线编号IB-CISCO（SW）-04-18基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用源路由，防止路由信息泄露。配置方法参考配置操作1、Cisco(config)#noipsource-route#关闭source-route服务。2、Cisco(config)#end3、Cisco#write基线名称关闭不必要的功能-禁用IPRedirects基线编号IB-CISCO（SW）-04-19基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求在非可信网段内禁用IP重定向功能。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名称。2、Cisco(config-if)#noipredirects3、Cisco(Config-if)#end4、Cisco#write基线名称关闭IP直接广播基线编号IB-CISCO（SW）-04-20基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用直播（IPDIRECTEDBROADCAST）功能。配置方法参考配置操作1、Cisco(config)#interface<InterfaceName>关闭指定接口的ipdirected-broadcast2、Cisco(config-if)#noipdirected-broadcast3、Cisco(config-if)#end4、Cisco#write基线名称关闭不必要的服务-禁用HTTPServer基线编号IB-CISCO（SW）-04-21基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求关闭http的配置方式。配置方法参考配置操作1、Cisco(config)#noiphttpserver2、Cisco(Config)#end3、Cisco#write基线名称关闭不必要的服务-禁用DNS查询服务基线编号IB-CISCO（SW）-04-22基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求禁用DNS查询服务。配置方法参考配置操作1、Cisco(config)#noipdomain-lookup2、Cisco(Config-if)#end3、Cisco#write基线名称开启STP功能基线编号IB-CISCO（SW）-04-23基线类型可选要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求默认开启STP功能。配置方法参考配置操作1、Cisco(config)#spanning-treemodepvst2、Cisco(config-if)#end3、Cisco#write华为路由器/交换机安全基线技术要求网络设备防护基线名称配置super密码基线编号IB-HUAWEI（SW）-01-01基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求存在superpassword，则符合安全要求，否则低于安全要求。配置方法参考配置操作[Huawei]superpasswordlevel<Prioritylevel>cipher***<Huawei>save基线名称分级权限控制基线编号IB-HUAWEI（SW）-01-02基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求根据用户的业务需求，配置其所需的最小权限。配置方法参考配置操作:[Huawei]aaa[Huawei-aaa]local-user<username>passwordcipher***[Huawei-aaa]local-user<username>service-typessh[Huawei-aaa]local-user<username>privilegelevel<number>#给用户指定权限级别[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-modeaaa(2).保存配置<huawei>save备注：<username>是用户名称。基线名称清除无关的账号基线编号IB-HUAWEI（SW）-01-03基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应删除与设备运行、维护等工作无关的账号。配置方法参考配置操作(1).执行如下命令：[Huawei]aaa[Huawei-aaa]undolocal-user<username>#<username>需要删除的账号名称<Huawei>save基线名称避免共享账号基线编号IB-HUAWEI（SW）-01-04基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。配置方法参考配置操作(1).执行如下命令:[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-modeaaa[Huawei-ui-vty0-4]quit[Huawei]aaa[Huawei-aaa]local-user<username>passwordcipher***#<username>用户名称<Huawei>save基线名称配置连续失败认证次数上限基线编号IB-HUAWEI（SW）-01-05基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证配置方法参考配置操作(1).执行如下命令:[huawei]aaa[Huawei-aaa]local-user<user_name>stateblockaccess-limit<number><huawei>save基线名称;开启NTP认证功能,确保时钟源可靠基线编号IB-HUAWEI（SW）-01-06基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置NTP验证功能配置方法参考配置操作(1).启用NTP验证功能[huawei]ntp-serviceauthenticationenable(2).设置认证密钥[huawei]ntp-serviceauthentication-keyid<keyid_number>authentication-modemd5***(3).设置与NTP服务器通信时使用该密钥ntp-serviceunicast-server<ntpServer_ip>authentication-keyid<keyid_number>#<keyid_number>引用步骤2创建的认证密钥(4).保存配置<huawei>save基线名称SNMP服务读写权限管理基线编号IB-HUAWEI（SW）-01-07基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求系统应关闭未使用的SNMP协议及未使用RW权限。配置方法参考配置操作:启用或禁用snmpagent(1).执行如下命令:[Huawei]snmp-agent#启用snmpagent[Huawei]undosnmp-agent#禁用snmpagent关闭write通行字(2).执行如下命令[Huawei]undosnmp-agentcommunitywrite****(3).保存配置<huawei>save基线名称配置ACL对NTP服务器与设备间的通信进行控制基线编号IB-HUAWEI（SW）-01-08基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求通过ACL对NTP服务器与设备间的通信进行控制。配置方法参考配置操作:创建acl规则(1).执行如下命令:[Huawei]aclnumber<number>#<number>acl规则号[Huawei-acl-basic-2600]rule<number>permitsource<ip><netmask>NTP服务绑定ACL(2).执行如下命令:[Huawei]ntp-serviceaccesspeer<number>#<number>为acl规则标号(3).保存配置<huawei>save基线名称关闭AUX口基线编号IB-HUAWEI（SW）-01-09基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求关闭AUX口配置方法参考配置操作:(1).关闭aux接口[huawei]user-interfaceaux0[huawei-ui-aux0]undoshell(2).保存配置<huawei>save基线名称关闭未使用的网络接口基线编号IB-HUAWEI（SW）-01-10基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求关闭未使用的网络接口配置方法参考配置操作:进入要关闭的端口视图，执行shutdown命令，关闭端口基线名称SNMP配置-SNMP服务的访问控制设置基线编号IB-HUAWEI（SW）-01-11基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。配置方法参考配置操作:启用或禁用snmpagent(1).执行如下命令:[Huawei]snmp-agent#启用snmpagent[Huawei]undosnmp-agent#禁用snmpagent创建acl规则(2).执行如下命令[Huawei]aclnumber<number>[Huawei-acl-basic-2100]rule<number>permitsource<ip><netmask>给团体名绑定acl规则(3).执行如下命令:[Huawei]snmp-agentcommunity[read|write]***acl<number>(4).保存配置<huawei>save基线名称与认证系统联动对用户进行认证、授权基线编号IB-HUAWEI（SW）-01-12基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。配置方法参考配置操作采用RADIUS协议进行认证\授权示例如下:(1).配置RADIUS服务器模板[Huawei]radius-servergroup<template_name>(2).配置RADIUS主用认证服务器[Huawei-radius-VENUStech]radius-serverauthentication<ip><port>#<ip>RADIUS服务器ip地址,<port>RADIUS服务器端口(3).配置RADIUS服务器密钥、重传次数。[Huawei-radius-VENUStech]radius-servershared-keycipher**[Huawei-radius-VENUStech]radius-serverretransmit2[Huawei-radius-VENUStech]quit(4).配置认证方案[Huawei]aaa[Huawei-aaa]authentication-scheme<Scheme_name>#示例中配置认证方案名称为VENUStech[Huawei-aaa-authen-VENUStech]authentication-moderadiuslocal[Huawei-aaa-authen-VENUStech]quit(5).在域下应用认证方案[Huawei]aaa[Huawei-aaa]domain<domain_name>[Huawei-aaa-domain-default]authentication-scheme<Scheme_name>#<Scheme_name>引用步骤4创建的认证方案[Huawei-aaa-domain-default]radius-server<template_name>#<template_name>引用步骤1创建的RADIUS服务器模板注:radius的认证和授权绑定在一起(6).保存配置<Huawei>save采用HWTACACS协议进行认证\授权示例如下:(1).配置HWTACACS服务器模板[Huawei]hwtacacs-servertemplate<template_name>(2).配置HWTACACS主用认证\授权服务器[Huawei-hwtacacs-VENUStech1]hwtacacs-serverauthentication<ip><port>#<ip>RADIUS服务器ip地址,<port>RADIUS服务器端口[Huawei-hwtacacs-VENUStech1]hwtacacs-serverauthorization<ip><port>#<ip>RADIUS服务器ip地址,<port>RADIUS服务器端口(3).配置RADIUS服务器密钥、重传次数.[Huawei-hwtacacs-VENUStech1]hwtacacs-servershared-keycipher**[Huawei-hwtacacs-VENUStech1]quit(4).配置认证方案[Huawei]aaa[Huawei-aaa]authentication-scheme<Scheme_name>#示例中配置认证方案名称为VENUStech1[Huawei-aaa-authen-VENUStech1]authentication-modehwtacacslocal[Huawei-aaa-authen-VENUStech1]quit(5).配置授权方案[Huawei]aaa[Huawei-aaa]authorization-scheme<Scheme_name>#示例中配置授权方案名称为VENUStech2[Huawei-aaa-author-VENUStech2]authorization-modehwtacacslocal[Huawei-aaa-author-VENUStech2]quit(6).在域下应用认证方案[Huawei]aaa[Huawei-aaa]domain<domain_name>[Huawei-aaa-domain-default]authentication-scheme<Scheme_name>#<Scheme_name>引用步骤4创建的认证方案[Huawei-aaa-domain-default]authorization-scheme<Scheme_name>#<Scheme_name>引用步骤5创建的授权方案[Huawei-aaa-domain-default]hwtacacs-server<template_name>#<template_name>引用步骤1创建的HWTACACS服务器模板(7).保存配置[Huawei]save基线名称配置帐户超时自动退出基线编号IB-HUAWEI（SW）-01-13基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求配置定时账户自动登出，登出后用户需再次登录才能进入系统。配置方法参考配置操作:console口配置超时(1).执行如下命令:[Huawei]user-interfacecon0[Huawei-ui-console0]idle-timeout<minutes><seconds>#<minutes>单位为分钟,<seconds>单位为秒.vty口配置超时(2).执行如下命令:[Huawei]user-interfacevty04[Huawei-ui-vty0-4]idle-timeout<minutes><seconds>#<minutes>单位为分钟,<seconds>单位为秒.(3).保存配置:<Huawei>save基线名称禁止管理员权限帐户远程登录基线编号IB-HUAWEI（SW）-01-14基线类型强制要求适用范围等保一、二级□等保三级□涉普通商秘（工作秘密）□涉核心商秘基线要求限制具备管