XX银行H3C交换机安全基线配置Word版

1、传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ XXXXXX 银行银行银行 H3CH3CH3C 交换机系列安全配置基线交换机系列安全配置基线交换机系列安全配置基线 (V1.0)(V1.0)(V1.0) 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 目 录 1适用声明适用声明.2 2访问控制访问控制.3 2.1远程连接源地址限制.21 3安全审计安全审计.3 3.1开启设备的日志功能.6 4入侵防范入侵防范.7 4.1配置防 ARP 欺骗攻击.7 4.2配置常见的漏洞攻击和病毒过滤功能.4 4.3配置 ACL 规则.3 5网络设备防护网络设备防护.8 5.1限制管理员远

2、程直接登录.8 5.2连接空闲时间设定.9 5.3远程登陆加密传输.10 5.4配置CONSOLE口密码保护功能和连接超时.11 5.5按照用户分配账号.12 5.6删除设备中无用的闲置账号.13 5.7修改设备上存在的弱口令.13 5.8配置和认证系统联动功能.14 配置和认证系统联动功能.14 5.9配置 NTP 服务 .15 5.10修改 SNMP 的COMMUNITY默认通行字.16 5.11使用 SNMPV2 或以上版本.17 5.12设置 SNMP 的访问安全限制.18 5.13系统应关闭未使用的 SNMP 协议及未使用 RW 权限.19 5.14关闭不必要的服务.19 5.15配

3、置防源地址欺骗攻击.20 5.16禁止设备未使用或者空闲的端口.21 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 适用声明 适用人员适用人员IT 部的网络维护人员、安全评估人员、安全审计人员 适用版本适用版本H3C 同系列的网络交换机 适用等保一级适用等保一级项 适用等保二级适用等保二级项 适用等保三级适用等保三级项 适用等保四级适用等保四级项 参考依据参考依据H3C 交换机配置手册 GB/T 20270-2006 信息安全技术 网络基础安全技术要求 GB/T 20011-2005 信息安全技术 路由器安全评估准则 JR/T 0068-2012 网上银行系统信息安全通用规范 G

4、B/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 25070-2010 信息安全技术 信息系统等级保护安全设计技术要 求 JR/T 0071-2012 金融行业信息系统信息安全等级保护实施指引 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 访问控制 1.1配置 ACL 规则 配置/检查项配置ACL规则 适用等保级别 等保一至四级 检查步骤 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看 ACL 匹配路由是否按照

5、业务需求设置 H3Cdis cur | in acl H3Cdis this acl 配置步骤 设备应根据业务需要，配置基于源 IP 地址、通信协议 TCP 或 UDP、目的 IP 地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.配置 ACL 列表 H3Cacl number 2000 H3C-acl-basic-2000rule tcp source destinat

6、ion 4.配置流分类，定义基于 ACL 的匹配规则。 H3Ctraffic classifier tc1 H3C-classifier-tc1 if-match acl 2000 5.配置流行为 H3C traffic behavior tb1 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ H3C-behavior-tb1 deny 6.定义流策略，将流分类与流行为关联。 H3C traffic policy tp1 H3C-trafficpolicy-tp1 classifier tc1 behavior tb1 7.应用流策略到接口。 H3C

7、 interface gigabitethernet 0/0/1 H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound 备注 1.2配置常见的漏洞攻击和病毒过滤功能 配置/检查项配置常见的漏洞攻击和病毒过滤功能 适用等保级别 检查步骤 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看ACL中是否匹配漏洞攻击和病毒攻击 H3Cdis current-configuration | in acl 配置步骤 设备应配

8、置 ACL，通过 ACL 列表来过滤一些常见的漏洞攻击和病毒攻击。 4.进入用户视图 5.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 6.配置 ACL 列表 H3Cacl number 2000 H3C-acl-basic-2000rule tcp source destination source-port eq ftp-data 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 7.配置流分类，定义基于 AC

9、L 的匹配规则。 H3Ctraffic classifier tc1 H3C-classifier-tc1 if-match acl 2000 8.配置流行为 H3C traffic behavior tb1 H3C-behavior-tb1 deny 9.定义流策略，将流分类与流行为关联。 H3C traffic policy tp1 H3C-trafficpolicy-tp1 classifier tc1 behavior tb1 10. 应用流策略到接口。 H3C interface gigabitethernet 0/0/1 H3C-GigabitEthernet0/0/1 traff

10、ic-policy tp1 inbound 备注 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 2安全审计 2.1开启设备的日志功能 配置/检查项配置设备的日志功能 适用等保级别 等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看日志功能是否按照需求配置 H3Cdis cur | in info-center 配置步骤 要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志，同时 提供 SYSLOG 服务器的设置方式，

11、所有的日志信息可以均可以远程存储到 日志服务器。并且必须保证日志服务器的安全性。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.开启日志功能 H3C info-center enable 4.配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了 解到设备的运行情况 H3C info-center console channel 0 5.配置日志信息输出到日志缓冲区 H3C info-center logbuffer channel 4 6.配置日志信息

12、输出到日志服务器 H3C info-center loghost 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 备注 3入侵防范 3.1配置防 ARP 欺骗攻击 配置/检查项配置防ARP欺骗攻击 适用等保级别 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看 ARP 地址欺骗 H3Cdis current-configuration | in anti-attack 配置步骤 配置设备的防 ARP 欺骗攻击功能，可以有效

13、的减少 ARP 攻击对网络造成 的影响。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.配置防止 ARP 地址欺骗 H3C arp anti-attack entry-check fixed-mac enable 适用于静态配置 IP 地址，但网络存在冗余链路的情况。当链路切换时，ARP 表项中的接口 信息可以快速改变 H3C arp anti-attack entry-check fixed-all enable 适用于静态配置 IP 地址，网络没有冗余链路，

14、同一 IP 地址用户不会从不同接口接入 S5300 的 情况 H3C arp anti-attack entry-check send-mac enable 适用于动态分配 IP 地址，有冗余链路的网络 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 4.配置防止 ARP 网关冲突 H3C arp anti-attack gateway-duplicate enable 备注 4网络设备防护 4.1限制管理员远程直接登录 配置/检查项限制具备管理员权限的用户远程直接登录 适用等保级别 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter sys

15、tem view, return user view with Ctrl+Z. H3C 3.查看是否存在高级别权限密码 H3Cdis cur | in acl 4.查看是否对于 user 用户密码进行配置 H3Cdis cur | in local-user 配置步骤 远程管理员应先以普通权限用户登录后，再切换到管理员权限执行相应操作。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.设置用户由低级别权限切换到高级别权限的密码 H3C super password

16、 level 3 cipher anbang123 4.进入 aaa 视图 H3Caaa 5.配置具备远程登陆用户 user1 的权限信息。 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 配置用户 user1 权限等级为 Level 1,具有 telnet 服务。 H3C-aaa local-user user1 password cipher anbang1234 H3C-aaa local-user user1 service-type telnet H3C-aaa local-user user1 level 1 6.配置远程登陆用户的认证方式为 aaa 认证 H3C us

17、er-interface vty0 4 H3C-ui-vty0-4 authentication-mode aaa 备注 4.2连接空闲时间设定 配置/检查项设置用户登录设备的空闲时间 适用等保级别 等保一至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看 AAA 下是否有相关的用户口令配置 H3Cdis cur | in aaa 配置步骤 用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户 如果需要继续操作，则需要重新输入口令

18、。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.进入 aaa 视图，配置用户 user1 的超时时间为 5 分钟。 H3Caaa H3C-aaa local-user user1 password cipher anbang1234 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ H3C-aaa local-user user1 service-type telnet H3C-aaa local-user user1 level 1 H3C-aaa

19、 local-user user1 idle-timeout 5 备注 4.3远程登陆加密传输 配置/检查项远程登陆加密传输 适用等保级别 等保一至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看相关 SSH 配置 H3Cdis cur | in ssh 配置步骤 如果通过远程对交换机进行管理维护，特别是通过互联网以及不安全的公共 网络，设备应配置使用 SSH 加密协议。 1.进入用户视图 2.由户视图切换到系统视图 system-view E

20、nter system view, return user view with Ctrl+Z. H3C 3.生成本地密钥对 H3C rsa local-key-pair create 4.创建 ssh 用户和密码 H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode aaa H3C-ui-vty0-4 protocol inbound ssh H3C-ui-vty0-4 ssh user abc authentication-type password 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ H3Cstel

21、net server enable H3Cssh user abc service-type stelnet H3Caaa H3C-aaa local-user abc password simple abc H3C-aaa local-user abc service-type ssh 5.使能 stelnet 服务 H3Cstelnet server enable 备注 4.4配置 console 口密码保护功能和连接超时 配置/检查项设置用户通过console口登录交换机时的密码 适用等保级别 等保一至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view

22、Enter system view, return user view with Ctrl+Z. H3C 3.查看是否存在对 CONSOLE 口的口令配置 H3Cdis cur | in user-interface 配置步骤 用户通过 console 口登录交换机时，需要输入密码，并且用户登录交换机后， 如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作， 则需要重新输入口令。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.配置登录 consol

23、e 口时的口令和超时时间 H3C user-interface console 0 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ H3C-ui-console0 authentication-mode password H3C-ui-console0 set authentication password cipher anbang123 H3C-ui-console0 idle-timeout 5 备注 4.5按照用户分配账号 配置/检查项按照用户分配账号 适用等保级别 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system v

24、iew, return user view with Ctrl+Z. H3C 3.查看是否对于不同用户配置权限信息 H3Cdis cur | in local-user 配置步骤 避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.进入 aaa 视图 H3Caaa 4.为不同的用户配置不同的权限信息。 配置用户 user1 具有 telnet 权限，user2 具有 ftp 权限。 H3C-aaa lo

25、cal-user user1 password cipher anbang1234 H3C-aaa local-user user2 password cipher anbang1234 H3C-aaa local-user user1 service-type telnet H3C-aaa local-user user2 service-type ftp 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ H3C-aaa local-user user1 level 1 H3C-aaa local-user user2 level 1 备注 4.6删除设备中无用的闲置账号 配置/检

26、查项 删除设备中无用的闲置账号 适用等保级别等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看设备中是否存在限制的用户账号和信息 H3Cdis cur | in local-user 配置步骤 定期检查设备账号配置，删除与设备运行，维护等无关的账号。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.进入 aa

27、a 视图 H3Caaa 4.删除设备中无用的账号。 H3C-aaa undo local-user user1 备注 4.7修改设备上存在的弱口令 配置/检查项修改设备上存在的弱口令 适用等保级别 等保二至四级 检查步骤1.进入用户视图 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看用户的密码信息 H3Cdis cur | in local-user 配置步骤 对于采用静态口令认证技术的设备，口令长度至少 8 位，并

28、包括数字、小写 字母、大写字母和特殊符号 4 类中至少 2 类，且用户口令加密存储。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.进入 aaa 视图，配置用户 user1 的口令，并且口令加密存储。 H3Caaa H3C-aaa local-user user1 password cipher anbang1234 H3C-aaa local-user user1 service-type telnet H3C-aaa local-user user1 lev

29、el 1 备注 4.8配置和认证系统联动功能 配置/检查项配置和认证系统联动功能 适用等保级别 等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 3.查看是否配置了认证服务系统 H3Cdis cur | in radius-server 配置步骤 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要 求。 1.进入用户视图 2.由户视图切换到系统视图 system-view

30、 Enter system view, return user view with Ctrl+Z. H3C 3.配置 RADIUS 服务器模板 test H3Cradius-server template test 4.配置 RADIUS 认证服务器的 IP 地址、端口。 H3C-radius-testradius-server authentication 1812 5.配置 RADIUS 服务器密钥、重传次数 H3C-radius-testradius-server shared-key cipher hello H3C-radius-testradius-server r

31、etransmit 2 6.配置认证方案 1，认证模式为先 RADIUS，如果没有响应，则不认证 H3Caaa H3C-aaaauthentication-scheme 1 H3C-aaaauthentication-mode radius none 7.配置 ab 域，在域下应用认证方案 1、RADIUS 模板 test H3C-aaa domain ab H3C-aaa-domain-abauthentication-scheme 1 H3C-aaa-domain-abradius-server test 备注 4.9配置 NTP 服务 配置/检查项配置NTP服务 适用等保级别 等保二至四

32、级 检查步骤1.进入用户视图 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看 NTP 相关配置是否正确 H3Cdis cur | in ntp 配置步骤 开启 NTP 服务，保证日志功能记录的时间的准确性，同时交换机和 NTP SERVER 之间要开启认证功能。 1 进入用户视图 2由户视图切换到系统视图 system-view Enter system view, return user view with Ctr

33、l+Z. H3C 3在交换机上使能 NTP 功能，配置验证密钥并声明该密钥可信 H3C ntp-service authentication enable H3C ntp-service authentication-keyid 1 authentication-mode md5 Hello H3C ntp-service reliable authentication-keyid 1 4 配置 NTP 服务器，并使用已配置的验证密钥。 H3C ntp-service unicast-server authentication-keyid 1 备注 4.10修改 SNMP 的

34、community 默认通行字 配置/检查项修改SNMP的community默认通行字，通行字应符合口令强度要求 适用等保级别 等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ Enter system view, return user view with Ctrl+Z. H3C 3.查看 COMMUNITY 是否存在默认通行字 H3Cdis cur | in acl 配置步骤 应修改 SNMP 的 Community 默认通行字，通行字应符合口令强度要求。 1.进入用户视图 2.由户视图

35、切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.修改 SNMP 的默认通行字 H3C snmp-agent community read 1234abcd H3C snmp-agent community write 1234abcd 备注 4.11使用 SNMPV2 或以上版本 配置/检查项使用SNMPV2或以上版本 适用等保级别 等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user vie

36、w with Ctrl+Z. H3C 3.查看 SNMP 的运行版本 H3Cdis cur | in snmp-agent 配置步骤 应配置 SNMP 使用 SNMPv2 或者以上版本，加强安全性。 1.进入用户视图 2.由户视图切换到系统视图 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ system-view Enter system view, return user view with Ctrl+Z. H3C 3.配置 SNMP 版本。 H3C snmp-agent sys-info version v3 备注 4.12 设置 SNMP 的访问安全限制 配置/检查项设置S

37、NMP的访问安全限制 适用等保级别 等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看 SNMP 的访问安全限制 H3Cdis cur | in snmp-agent 配置步骤 设置 SNMP 访问安全限制，只允许特定主机通过 SNMP 访问网络设备。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.配置可以

38、访问交换机的 ACL 列表。 H3C acl 2001 H3C-acl-basic-2001 rule 5 permit source 4.应用 ACL 到 SNMP 配置。 H3C snmp-agent community write 1234abcd acl 2001 H3C snmp-agent community read 1234abcd acl 2001 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ 备注 4.13 系统应关闭未使用的 SNMP 协议及未使用 RW 权限 配置/检查项关闭未使用的SNMP协议及未使用RW权限 适用等保级别

39、 等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看 SNMP 协议的 RW 相关配置 H3Cdis cur | in RW 配置步骤 如不需要提供 SNMP 服务的，要求禁止 SNMP 协议服务，注意在禁止时删 除一些 SNMP 服务的默认配置。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.配置可以访问

40、交换机的 ACL 列表。 H3C Undo snmp enable H3Cundo snmp-agent community RWuser 备注 4.14关闭不必要的服务 配置/检查项关闭不必要的服务 适用等保级别 等保二至四级 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 传播优秀 Word 版文档 ，希望对您有帮助，可双击去除！ system-view Enter system view, return user view with Ctrl+Z. H3C 3.查看存在哪些协议如:FTP,HTTP,DHCP 等。 H3Cdis cur 配置步骤 关闭网络设备不必要的服务，如:FTP,HTTP,DHCP SERVER 等。 1.进入用户视图 2.由户视图切换到系统视图 system-view Enter system view, return user view with Ctrl+Z. H3C 3.关闭设备的 ftp 服务。 H3C undo ftp server 备注 4.15 配置防源地址欺骗攻击 配置/检查项配置防源地址欺骗攻击 适用等保级别 检查步骤 1.进入用户视图 2.用户视图切换到系统视图 system-view E