华为交换机安全基线

华为设备安全配置基线

目录第1章 概述 41.1 目的 41.2 适用范围 41.3 适用版本 4第2章 帐号管理、认证授权安全要求 52.1 帐号管理 52.1.1 用户帐号分配* 52.1.2 删除无关的帐号* 72.2 口令 92.2.1 静态口令以密文形式存放 92.2.2 密码复杂度 112.3 授权 112.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 11第3章 日志安全要求 143.1 日志安全 143.1.1 启用信息中心 143.1.2 开启NTP服务保证记录的时间的准确性 163.1.3 远程日志功能* 18第4章 IP协议安全要求 204.1 IP协议 204.1.1 VRRP认证 204.1.2 系统远程服务只允许特定地址访问 204.2 功能配置 244.2.1 SNMP的Community默认通行字口令强度 244.2.2 只与特定主机进行SNMP协议交互 264.2.3 配置SNMPV2或以上版本 284.2.4 关闭未使用的SNMP协议及未使用write权限 29第5章 IP协议安全要求 315.1 其他安全配置 315.1.1 关闭未使用的接口 315.1.2 修改设备缺省BANNER语 325.1.3 配置定时账户自动登出 335.1.4 配置console口密码保护功能 355.1.5 端口与实际应用相符 37

概述目的规范配置华为路由器、交换机设备，保证设备基本安全。适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。适用版本华为交换机、路由器。帐号管理、认证授权安全要求帐号管理用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei-aaa]local-useradminprivilegelevel15[Huawei-aaa]local-useradminservice-typessh[Huawei-aaa]local-useruserpasswordcipheruser123[Huawei-aaa]local-useruserprivilegelevel4[Huawei-aaa]local-useruserservice-typessh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令discur命令查看：…#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipher"=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typesshlocal-useruserpasswordcipher"=LP!6$^-IYNZPlocal-useruserprivilegelevel4local-useruserservice-typessh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。删除无关的帐号*1、安全基线名称：删除无关的账号2、安全基线编号：SBL-HUAWEI-02-01-023、安全基线说明：应删除与设备运行、维护等工作无关的账号。4、参考配置操作：[Huawei]aaa[Huawei-aaa]undolocal-useruser5、安全判定条件：（1）配置文件存在多个账号（2）网络管理员确认账号与设备运行、维护等工作无关6、检测操作：使用discur|includelocal-user命令查看：[Huawei]discur|includelocal-userlocal-useradminpasswordcipher"=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typessh若不存在无用账号则说明符合安全要求。口令静态口令以密文形式存放1、安全基线名称：静态口令以密文形式存放2、安全基线编号：SBL-HUAWEI-02-02-013、安全基线说明：配置本地用户和super口令使用密文密码。4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei]superpasswordcipheradmin1235、安全判定条件：配置文件中没有明文密码字段。6、检测操作：查看本地用户密码：[Huawei]discur|includelocal-userlocal-useradminpasswordcipher"=LP!6$^-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typessh查看super密码：[Huawei]discur|includesupersuperpasswordlevel3ciphermPZr=2!Z<@u:|l#3M^#3Icf##密码复杂度1、安全基线名称：密码复杂度2、安全基线编号：SBL-HUAWEI-02-02-023、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin@xiangyun5、安全判定条件：密码强度符合要求，密码至少90天进行更换。授权用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称：用IP协议进行远程维护设备2、安全基线编号：SBL-HUAWEI-02-03-013、安全基线说明：使用IP协议进行远程维护设备，应配置使用SSH等加密协议连接。4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei-aaa]local-useradminprivilegelevel15[Huawei-aaa]local-useradminservice-typessh[Huawei]rsalocal-key-paircreate[Huawei]stelnetserverenable[Huawei]sshuseradminservice-typestelnet[Huawei]sshuseradminauthentication-typepassword[Huawei]user-interfacevty04[Huawei-ui-vty0-4]protocolinboundssh5、安全判定条件：配置文件中只允许SSH等加密协议连接。6、检测操作：使用discur|includessh命令：[Huawei]discur|includesshlocal-useradminservice-typesshsshuseradminsshuseradminauthentication-typepasswordsshuseradminservice-typestelnet日志安全要求日志安全启用信息中心1、安全基线名称：启用信息中心2、安全基线编号：SBL-HUAWEI-03-01-013、安全基线说明：启用信息中心，记录与设备相关的事件。4、参考配置操作：[HUAWEI]info-centerenable5、安全判定条件：（1）设备应配置日志功能，能对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录使用的IP地址。（2）记录用户登录设备后所进行的所有操作。6、检测操作：使用disinfo-center有显示InformationCenter:Enabled类似信息，如：[Huawei]disinfo-centerInformationCenter:enabledLoghost:Console:channelnumber:0,channelname:consoleMonitor:channelnumber:1,channelname:monitorSNMPAgent:channelnumber:5,channelname:snmpagentLogbuffer:enabled,maxbuffersize1024,currentbuffersize512,currentmessages56,channelnumber:4,channelname:logbufferdroppedmessages0,overwrittenmessages0Trapbuffer:enabled,maxbuffersize1024,currentbuffersize256,currentmessages4,channelnumber:3,channelname:trapbufferdroppedmessages0,overwrittenmessages0Informationtimestampsetting:log-date,trap-date,debug-datemillisecondSentmessages=1227,Receivedmessages=1226IORegmessages=0IOSentmessages=0开启NTP服务保证记录的时间的准确性1、安全基线名称：日志记录时间准确性2、安全基线编号：SBL-HUAWEI-03-01-023、安全基线说明：开启NTP服务，保证日志功能记录的时间的准确性。4、参考配置操作：配置ntp客户端，服务器地址为：[Huawei]ntp-serviceauthenticationenable[Huawei]ntp-serviceunicast-server5、安全判定条件：日志记录时间准确。6、检测操作：[Huawei]discur|includentpntp-serviceauthenticationenablentp-serviceunicast-server远程日志功能*1、安全基线名称：远程日志功能2、安全基线编号：SBL-HUAWEI-03-01-033、安全基线说明：配置远程日志功能，使设备能通过远程日志功能传输到日志服务器。4、参考配置操作：[HUAWEI]info-centerloghost*.*.*.*//配置接收日志的服务器地址[Huawei]info-centersourcedefaultchannelloghostloglevelemergencies//配置发送的日志级别5、安全判定条件：日志服务器能够正确接收网络设备发送的日志。6、检测操作：使用命令discur|includeinfo-center查看：[Huawei]discur|includeinfo-centerinfo-centersourcedefaultchannel2loglevelemergenciesIP协议安全要求IP协议VRRP认证1、安全基线名称：VRRP认证2、安全基线编号：SBL-HUAWEI-04-01-013、安全基线说明：VRRP启用认证，防止非法设备加入到VRRP组中。4、安全判定条件：查看VRRP组，只存在正确的设备。5、检测操作：使用命令disvrrp系统远程服务只允许特定地址访问1、安全基线名称：系统远程服务只允许特定地址访问2、安全基线编号：SBL-HUAWEI-04-01-023、安全基线说明：设备以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置设备，只允许特定主机访问。4、参考配置操作：通过配置访问控制列表ACL，只允许特定的地址访问设备的服务，如：[HUAWEI]aclnumber3000[HUAWEI-acl-adv-3000]rule0permittcpsource20destination00destination-porteq443[HUAWEI-acl-adv-3000]rule65534denyip[Huawei]trafficbehavior1[Huawei-behavior-1]permit[Huawei]trafficpolicy1[Huawei-classifier-1]if-matchacl3000[Huawei]trafficpolicy1[Huawei-trafficpolicy-1]classifier1behavior1[Huawei]vlan20[Huawei-vlan20]traffic-policy1inbound5、安全判定条件：在相关端口上绑定相应的ACL。6、检测操作：使用discur命令查看：…#aclnumber3000rule5permittcpsource0#trafficclassifier1operatorandif-matchacl3000#trafficbehavior1permit#trafficpolicy1classifier1behavior1#drop-profiledefault#vlan20traffic-policy1inbound#功能配置SNMP的Community默认通行字口令强度1、安全基线名称：SNMP协议的community团体字2、安全基线编号：SBL-HUAWEI-04-02-013、安全基线说明：修改SNMP的community默认团体字，字符串应符合口令强度要求。4、参考配置操作：[HUAWEI]snmp-agentcommunityread<community团体字>[HUAWEI]snmp-agentcommunitywrite<community团体字>5、安全判定条件：Community非默认，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。6、检测操作：使用命令discur|includesnmp查看：[HUAWEI]discur|includesnmpsnmp-agentsnmp-agentlocal-engineid800063A280A4F25325010000000001snmp-agentcommunityreadxiangyun_readsnmp-agentcommunitywritexiangyun_writesnmp-agentsys-infoversionv3snmp-agenttrapenablearpsnmp-agenttrapenableradiussnmp-agenttrapenablestp7、补充：若设备不需要使用SNMP协议应关闭SNMP功能，若需要用到应使用V2版本以上的SNMP协议。只与特定主机进行SNMP协议交互1、安全基线名称：只与特定主机进行SNMP协议交互2、安全基线编号：SBL-HUAWEI-04-02-023、安全基线说明：设备只与特定主机进行SNMP协议交互4、参考配置操作：使用ACL限制只与特定主机进行SNMP交互[HUAWEI]aclnumber2000[HUAWEI-acl-adv-2000]rule0permitipsource20[HUAWEI-acl-adv-2000]rule65534denyip[HUAWEI]snmp-agentcommunityreadxiangyunacl20005、安全判定条件：Snmp绑定了acl6、检测操作：使用discur|includesnmp命令查看：[HUAWEI]discur|includesnmpsnmp-agentsnmp-agentlocal-engineid800063A280A4F25325010000000001snmp-agentcommunityreadxiangyunsnmp-agentsys-infoversion3snmp-agenttrapenablearpsnmp-agenttrapenableradiussnmp-agenttrapenablestpsnmp-agentcommunityreadxiangyunacl2000配置SNMPV2或以上版本1、安全基线名称：配置SNMPv2或以上版本2、安全基线编号：SBL-HUAWEI-04-02-033、安全基线说明：系统应配置SNMPv2或以上版本4、参考配置操作：[HUAWEI]snmp-agentsys-infoversionv35、安全判定条件：系统可以成功使用snmpv2或v3版本协议。6、检测操作：使用discur|includesnmp命令查看：[HUAWEI]discur|includesnmp…..snmp-agentsys-infoversion3…..关闭未使用的SNMP协议及未使用write权限1、安全基线名称：关闭未使用的SNMP协议及未使用write权限2、安全基线编号：SBL-HUAWEI-04-02-043、安全基线说明：系统应及时关闭未使用的SNMP协议及未使用write权限4、参考配置操作：[Huawei]undosnmp-agentcommunitywritepipaxing5、安全判定条件：Snmp权限为read。6、检测操作：使用discur|includesnmp命令查看，权限只有read：[HUAWEI]discur|includesnmp…..snmp-agentcommunityreadxiangyun…..IP协议安全要求其他安全配置关闭未使用的接口1、安全基线名称：关闭未使用的接口2、安全基线编号：SBL-HUAWEI-05-01-013、安全基线说明：关闭未使用的接口4、参考配置操作：[HUAWEI]intg1/0/10[HUAWEI-GigabitEthernet1/0/10]shutdown5、安全判定条件：未使用接口应该管理员down。6、检测操作：[HUAWEI]discur….#interfaceGigabitEthernet1/0/10portlink-modebridgecomboenablefibershutdown#….修改设备缺省BANNER语1、安全基线名称：修改设备缺省BANNER语2、安全基线编号：SBL-HUAWEI-05-01-023、安全基线说明：要修改设备缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。4、参考配置操作：[Huawei]headerlogininformation{需要显示的登录信息}5、安全判定条件：欢迎界面、提示符等不包含敏感信息。6、检测操作：通过远程登录或console口登录查看设备提示信息。配置定时账户自动登出1、安全基线名称：配置账号定时自动退出2、安全基线编号：SBL-HUAWEI-05-01-033、安全基线说明：如Telnet、ssh、console登录连