h3c三层交换机安全配置规范

H3C 三层交换机安全配置规范 4.1 管理平面安全配置 4.1.1 管理口防护 关闭未使用的管理口 项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-01-v1 配置说明 设备应关闭未使用的管理口（AUX、或者没开启业务的端口） 。 重要等级 高 配置指南 1、参考配置操作 # interface Ten-GigabitEthernet0/1 /进入端口视图 shutdown /执行 shutdown 命令，关闭端口 # 检测方法 及 判定依据 1、符合性判定依据 端口关闭，不能使用。 2、参考检测方法 通过网线或光纤（视具体接口不同） ，将此端口与 PC 或其他设备未关闭的端口互连，该端 口指示灯灭，且 PC 或其他设备没有网卡 UP 的提示信息。 备注 配置 console 口密码保护 项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-02-v1 配置说明 设备应配置 console 口密码保护 重要等级 高 配置指南 1、参考配置操作 H3Cuser-interface console 0 H3C-ui-console0 authentication-mode password H3C-ui-console0 set authentication password cipher xxxxxxxx 检测方法 及 判定依据 1、 符合性判定依据 通过 console 口，只有输入正确密码才能进入配置试图 2、 参考检测方法 PC 用 Console 线连接设备 Console 口，通过超级终端等配置软件，在进入设备配置视图时， 提示要求输入密码。 备注 4.1.2 账号与口令 避免共享账号 项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-01-v1 配置说明 应对不同的用户分配不同的账号，避免不同用户间账号共享。 重要等级 中 配置指南 1、参考配置操作 # local-user user1 service-type telnet user privilede level 2 # local-user user2 service-type ftp user privilede level 3 # 2、补充操作说明 1、 user1 和 user2 是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用： 姓名的简写手机号码； 2、避免使用 h3c、admin 等简单易猜的账号名称； 检测方法 及 判定依据 1、符合性判定依据 各账号都可以正常使用，不同用户有不同的账号。 2、参考检测方法 （1 ）用 display current-configuration configuration luser 命令查看配置是否正确 （2 ）使用 TELNET/SSH/HTTP/HTTPS 等检查用户是否可以使用 （3 ）使用配置中没有的账号无法登录 3、补充说明 每个账号都有对应的使用人员，确保没有多余账号 备注 禁止无关账号 项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-02-v1 配置说明 应禁止配置与设备运行、维护等工作无关的账号； 重要等级 高 配置指南 如有无关账号，参考如下配置进行删除 # undo local-user username # 检测方法 及 判定依据 1、 符合性判定依据 不存在工作无关账号 2、 参考检测方法 通过 display local-user 来查看是否存在无关账号 备注 管理默认账号与口令 项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-03-v1 配置说明 应删除或锁定默认或缺省账号与口令。 重要等级 高 配置指南 # undo local-user username # 检测方法 及 判定依据 1、 符合性判定依据 密码强度和策略符合安全要求 2、 参考检测方法 通过 display password 来看密码策略 通过 telnet 方式登录设备，输入密码来检测密码安全性 备注 口令长度和复杂度 项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-04-v1 配置说明 对于采用静态口令认证技术的设备：应支持口令长度及复杂度验证机制 （强制要求口令应由数字、大写字母、小写字母和特殊符号 4 类字符构成，自动拒绝用户 设置不符合复杂度要求的口令。 ） ； 重要等级 高 配置指南 1、参考配置操作 对于采用静态口令认证技术的设备，口令长度至少 8 位，并包括数字、小写字母、大写字 母和特殊符号 4 类中至少 3 类，每类多余 4 个。 password-control enable password-control length 8 password-control composition type-number 3 type-length 4 检测方法 及 判定依据 1、 符合性判定依据 密码强度和策略符合安全要求 2、 参考检测方法 通过 display password 来看密码策略 通过 telnet 方式登录设备，输入密码来检测密码安全性 备注 口令加密 项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-05-v1 配置说明 静态口令应采用安全可靠的单向散列加密算法（如 md5、sha1 等）进行 加密，并以密文形式存放。如使用 enable secret 配置 Enable 密码，不使用 enable password 配置 Enable 密码。 重要等级 高 配置指南 1、参考配置操作 # local-user admin password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU # 检测方法 及 判定依据 1、 符合性判定依据 密码以密文形式存在设备配置中 2、 参考检测方法 通过 display current-configuration 命令查看账号密码以密文形式显示 备注 口令变更周期 项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-06-v1 配置说明 口令定期更改，最长不得超过 90 天。 重要等级 高 配置指南 1、参考配置操作 对于采用静态口令认证技术的设备，账户口令的生存期不长于 90 天，提前 7 天告警。 password-control enable password-control aging 90 password-control alert-before-expire 7 检测方法 及 判定依据 1、 符合性判定依据 口令更改周期为 90 天，提前 7 天会自动告警 2、 参考检测方法 通过 display password-control 来查看密码策略 备注 账户锁定策略 项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-07-v1 配置说明 应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超 过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。 重要等级 高 配置指南 1、参考配置操作 password-control login-attempt 5 exceed lock-time 60 一般设置为 5 次。 检测方法 及 判定依据 1、 符合性判定依据 账号密码输入连续多次错误，账号被锁定。 2、 参考检测方法 模拟登录测试，连续输 5 次密码，该账号被锁定。 备注 4.1.3 认证 使用认证服务器认证 项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-01-v1 配置说明 设备通过相关参数配置，通过与认证服务器（RADIUS 或 TACACS 服务器） 联动的方式实现对用户的认证，满足账号、口令和授权的要求。 重要等级 中 配置指南 1、参考配置操作 FW radius scheme rad # 配置主、备认证服务器的 IP 地址为 ，认证端口号为 1812。 FW-radius-rad primary authentication 1812 FW-radius-rad secondary authentication 1812 # 配置与认证服务器交互报文时的共享密钥为 expert。 FW-radius-rad key authentication expert # 配置向 RADIUS 服务器发送的用户名携带域名。 FW-radius-rad user-name-format with-domain # 配置 RADIUS 服务器的服务类型。使用 CAMS/iMC 服务器时，RADIUS 服务器类型应选择 extended。 FW-radius-rad server-type extended FW-radius-rad quit # 配置 ISP 域的 AAA 方法。 FW domain bbb FW-isp-bbb authentication login radius-scheme rad FW-isp-bbb quit 2、补充操作说明 （1 ） 、配置认证方式，可通过 radius 和本地认证； （2 ） 、0 和 是 radius 认证服务器的 IP 地址，建议建立两个 radius 认证服务 器作为互备； （3 ） 、port 1812 是 radius 认证开启的端口号，可根据本地 radius 认证服务器开启的端口号 进行配置； （4 ） 、abc123 是与 radius 认证系统建立连接所设定的密码，建议：与 radius 认证服务器建 立连接时，使用密码认证建立连接。 检测方法 及 判定依据 1、符合性判定依据 （1 ） 、可以正常 ping 通 Radius 服务器的 IP 地址； （2 ） 、用户可以登录为正常； （3 ） 、如果要让 Radius 服务器向发送用户授权信息，需要在 Radius 服务器上装的字典文件 并做相应配置。 2、参考检测方法 用户发起 TELNET 连接，在 TELNET 客户端按照提示输入用户名 hellobbb 及正确的密码后， 可成功进入用户界面，并可以使用级别为 0、1 、2、3 的命令。 # 可以通过如下命令查看到 AAA 用户的连接信息。 FW display connection Index=1 ,Username=hellobbb IP=8 IPv6=N/A Total 1 connection(s) matched. 备注 会话超时配置 项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-02-v1 配置说明 配置定时账户自动登出。如 TELNET、SSH、HTTP 等管理连接和 CONSOLE 口登录连接等。 重要等级 高 配置指南 1、参考配置操作 # user-interface con 0 idle-timeout 5 0 user-interface aux 0 idle-timeout 5 0 user-interface vty 0 4 idle-timeout 5 0 # save 2、补充操作说明 以上配置是系统在 5 分钟没有管理流量就让用户自动退出。 超时时间一般设置为 5-10 分钟。 检测方法 及 判定依据 1、符合性判定依据 当闲置时间超时（这里设了 5 分钟） ，用户会自动退出设备 2、参考检测方法 1)、使用 display current-configuration configuration user-interface 查看配置结果 2)、在终端上用 telnet 方式登录 ,输入用户名密码 3)、让用户处于空闲状态，查看当时间超时是否自动登出 备注 4.1.4 授权 分级权限控制 项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-01-v1 配置说明 原则上应采用预定义级别的授权方法，实现对不同用户权限的控制，满 足用户最小授权的要求。 重要等级 中 配置指南 1、参考配置操作 # local-user user1 service-type telnet user privilede level 2 # local-user user2 service-type ftp user privilede level 3 # 检测方法 及 判定依据 1、符合性判定依据 各账号都可以正常使用，且能够输入的命令权限不同 2、参考检测方法 （1 ）用 display current-configuration configuration luser 命令查看配置是否正确 （2 ）使用 TELNET/SSH/HTTP/HTTPS 等检查用户是否可以使用以及可以配置的命令 备注 利用认证服务器进行权限控制 项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-02-v1 配置说明 除本地采用预定义级别进行外，设备可通过与认证服务器（RADIUS 服务 器或 TACACS 服务器）联动的方式实现对用户的授权。并建议采用逐条授权的方式，尽量 避免或减少使用一次性授权的方式。 重要等级 中 配置指南 1、参考配置操作 FW radius scheme rad # 配置主、备授权服务器的 IP 地址为 ，认证端口号为 1812。 FW-radius-rad primary authentication 1812 FW-radius-rad secondary authentication 1812 # 配置与授权服务器交互报文时的共享密钥为 expert。 FW-radius-rad key authentication expert # 配置向 RADIUS 服务器发送的用户名携带域名。 FW-radius-rad user-name-format with-domain # 配置 RADIUS 服务器的服务类型。使用 CAMS/iMC 服务器时，RADIUS 服务器类型应选择 extended。 FW-radius-rad server-type extended FW-radius-rad quit # 配置 ISP 域的 AAA 方法。 FW domain bbb FW-isp-bbb authorization login radius-scheme rad FW-isp-bbb quit 2、 Radius 服务器向发送用户授权信息，需要在 Radius 服务器上装字典文件并做相应配置。 检测方法 及 判定依据 1、符合性判定依据 （1 ） 、用户可以登录为正常； （2 ） 、用户只能够配置 Radius 服务器规定的命令 2、参考检测方法 用户发起 TELNET 连接，在 TELNET 客户端按照提示输入用户名 hellobbb 及正确的密码后， 可成功进入用户界面，并可以使用级别为 0、1 、2、3 的命令。 # 可以通过如下命令查看到 AAA 用户的连接信息。 FW display connection Index=1 ,Username=hellobbb IP=8 IPv6=N/A Total 1 connection(s) matched. 备注 授权粒度控制 项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-03-v1 配置说明 原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度 的控制的能力，满足用户最小授权的要求。 重要等级 中 配置指南 1、参考配置操作 FW radius scheme rad # 配置主、备授权服务器的 IP 地址为 ，认证端口号为 1812。 FW-radius-rad primary authentication 1812 FW-radius-rad secondary authentication 1812 # 配置与授权服务器交互报文时的共享密钥为 expert。 FW-radius-rad key authentication expert # 配置向 RADIUS 服务器发送的用户名携带域名。 FW-radius-rad user-name-format with-domain # 配置 RADIUS 服务器的服务类型。使用 CAMS/iMC 服务器时，RADIUS 服务器类型应选择 extended。 FW-radius-rad server-type extended FW-radius-rad quit # 配置 ISP 域的 AAA 方法。 FW domain bbb FW-isp-bbb authorization login radius-scheme rad FW-isp-bbb quit 2、 Radius 服务器向发送用户授权信息，需要在 Radius 服务器上装的字典文件并做相应配 置。 检测方法 及 判定依据 1、 符合性判定依据 通过账号登录测试，每个账号的权限不同 2、 参考检测方法 通过 radius 服务器，查看每个账号的权限 备注 4.1.5 记账 记录用户登录日志 项目编号 NOMD-2013-SC-H3C(L3SW)-01-05-01-v1 配置说明 采用本地或采用与认证服务器 (RADIUS 或 TACACS 服务器)联动（优选方 式）的方式，实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于：用户 登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的 IP 地 址。 重要等级 高 配置指南 1、参考配置操作 设备缺省就对用户登录实施日志。如果修改了缺省配置不对用户登录实施日志的话，请增 加以下配置： # info-center enable info-center source default channel logbuffer log level informational state on # save 检测方法 及 判定依据 1、符合性判定依据 可以在 informational 级别日志中查看到用户名、登录时间和源 IP 等内容。 2、参考检测方法 （1 ）使用 display current-configuration | begin info-center 命令查看配置； （2 ）在终端上使用 tetlnet 方式登录,输入用户名密码； （3 ）使用 display logbuffer 命令查看日志。 备注 记录用户操作行为日志 项目编号 NOMD-2013-SC-H3C(L3SW)-01-05-02-v1 配置说明 采用本地或采用与认证服务器 (RADIUS 或 TACACS 服务器)联动（优选方 式）的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号 创建、删除和权限修改，口令修改，设备配置修改，执行操作的行为和操作结果等。 重要等级 高 配置指南 1、参考配置操作 缺省就对用户修改配置实施日志。如果修改了缺省配置不对实施日志的话，请增加以下配 置： info-center source default channel console log level informational state on save 2、补充操作说明 缺省方式日志输出 输出方向的缺省输出规则 输出方向 允许输出的模块 LOG TRAP DEBUG 开关 级别 开关 级别 开关 级 别 控制台 default（所有模块） 开 informational 开 debugging 开 debugging 监视终端 default（所有模块） 开 informational 开 debugging 开 debugging 日志主机 default（所有模块） 开 informational 开 debugging 关 debugging 告警缓冲区 default（所有模块） 关 informational 开 informational 关 debugging 日志缓冲区 default（所有模块） 开 informational 关 debugging 关 debugging SNMP 模块 default（所有模块） 关 debugging 开 informational 关 debugging Web 页面 default（所有模块） 开 debugging 开 debugging 关 debugging 日志文件 default（所有模块） 开 debugging 开 debugging 关 debugging 检测方法 及 判定依据 1、符合性判定依据 可以使用 display logbuffer 命令查看日志。 2、检测操作 （1 ）使用 display current-configuration | begin info-center 命令查看配置； （2 ）在终端上使用 tetlnet 方式登录,输入用户名密码； （3 ）使用 display logbuffer 命令查看日志。 备注 4.1.6 远程管理 VTY 端口防护策略 项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-01-v1 配置说明 应限制 VTY 口的数量，通常情况下 VTY 口数量不超过 16 个。应设定 VTY 口的防护策略，避免由于恶意攻击或者错误操作等导致 VTY 口不可用情况的发生。 （如：网 管系统尽量采用 snmp 方式对设备进行操作，避免使用对设备 CPU 负载较大的 telnet 方式。 ） 重要等级 高 配置指南 1、 参考配置操作 user-interface vty 0 4 authentication-mode scheme 2、补充操作说明 设置访问密码，避免非法访问 检测方法 及 判定依据 1、符合性判定依据 对 vty 口的数量不超过 5 个，其对起进行了访问限制。 2、参考检测方法 1) Display current-configuration 2) 通过登录测试，只有输入密码才能访问设备 超出在线用户数限制，则无法通过 vty 口访问设备 备注 VTY 端口访问的认证 项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-02-v1 配置说明 对于 VTY 口访问的认证，应采用认证服务器认证或者本地认证的方式， 避免使用 VTY 口下设置密码的方式认证。 重要等级 高 配置指南 1、参考配置操作 user-interface vty 0 4 authentication-mode scheme # 2、补充操作说明 以上配置是对 VTY 口访问采用服务器认证或本地认证的方式。 检测方法 及 判定依据 1、 符合性判定依据 通过 telnet 登录，只能通过用户名、密码本地或远程登录。 2、 参考检测方法 登录设备，查看是否需要用户名、密码进行认证。 备注 远程主机 IP 地址段限制 项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-03-v1 配置说明 应通过 ACL 限制可远程管理设备的 IP 地址段 重要等级 高 配置指南 1、参考配置操作 Acl number 2000 rule 1 permit source 55 rule 2 permit source 2:1 0 /匹配某个地址的用户 -Ipv6 User-interface vty 0 4 acl 2000 inbound 检测方法 及 判定依据 1、 符合性判定依据 通过设定 acl，成功过滤非法的访问。 2、 参考检测方法 display current-configuration 通过模拟账号登录设备，如果不是 ACL 所允许的 IP 地址，则无法登录。 备注 远程管理通信安全 项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-04-v1 配置说明 使用 SSH 或带 SSH 的 telnet 等加密的远程管理方式。 重要等级 高 配置指南 1、参考配置操作 # 设置用户界面 VTY 0 到 VTY 4 支持 SSH 协议。 system-view Sysname user-interface vty 0 4 Sysname-ui-vty0-4 authentication-mode scheme Sysname-ui-vty0-4 protocol inbound ssh 检测方法 及 判定依据 1、符合性判定依据 通过 telnet 无法登录，只能以 SSH 方式登录 2、参考检测方法 通过 SSH 方式登录设备，成功。 Telnet 登录，则失败。 备注 4.1.7 SNMP 安全 使用 SNMP V3 版本 项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-01-v1 配置说明 对于支持 SNMP V3 版本的设备，必须使用 V3 版本 SNMP 协议。 重要等级 高 配置指南 1、参考配置操作 snmp-agent sys-info version v3 检测方法 及 判定依据 1. 符合性判定依据 成功使能 snmpv2c、和 v3 版本。 2. 参考检测操作 display current-configuration 备注 访问 IP 地址范围限制 项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-02-v1 配置说明 应对发起 SNMP 访问的源 IP 地址进行限制，并对设备接收端口进行限制。 重要等级 高 配置指南 1、参考配置操作 snmp-agent community read XXXX