H3C交换机设备安全基线

1、贞眉内容H3C设备安全配置基线目暂章概述n目的l?适用范围13适用版本 帐第2章 号管理、认证授权安全耍求II帐号管理2.1.1用户帐号分配m删除无关的帐号-n令22?帐号、口令和授权，密码复朵度13授权13.1用IP协议进行远程维护的设备使用期等加密协议第5章U11日志安全N启用信息中心m开启m服务保证记录的时间的准确性m远程日志功能“第章U11 IP协议4.1.1 UtRP 认证41?系瞅剧般极曲谢赋诔踵衽雄屈谤海度1.2臼长鸣禽定主机进行脏协议交互Ui,配置测或以上版本ill, 关闭未使用的qP协议及未使用im【e权 限第漳”i9il其他安全配置Hi关闭未使用的接n11 II日志安全要.

2、-124 its n» imiahvmittatBIP协议安全要 求11 U190_1(1?其他安全琳19j. i. a修改设备缺省娥血语2123炎眉内容配置定时账户口动登出一213“配置血曲口密码保护,2功能端口与实际应用相符23页用内容第1章概述目的规范配置腹路由器.交换机设备，保证设备基本安全。12适用范围本配置标准的使用者包括：网络管理员.网络安全管理员.网络监控人员。适用版本oiaivarer?版本交换机、路由器。第2章帐号管理、认证授权安全要求2J帐号管理211用户帐号分配k安全基线名称：用户帐号分配安全2、安全基线编号：SBI瞰裂)Ml3、安全基线说明：应按照用户分配帐

3、号，避免不同用户间共享帐号，避免用户帐 号和设备间通信使用的帐号共学。4.参考配置操作：(HObcalwadnuiiQ3(-tDsem|f-aff passtrord basb adniiii0iiini2Q3(-tDsemAf-aff anrbnurionwibMt asernile leveMo(H'ObcalwnserMCtnwNiemnUser iiawninl iiasb D附 ill 吻roiBOTemertorl u 伽 nzarioB-attribBte aser-role oenrork-epenrerj、安全判定条件：1)配置文件中，存在不同的账号分配(2)网络管理

4、员确认用户与账号分配关系明确6、检测操作: 使用命令diHDT命令查看:localwadotindassniwe 圈血 M bash 加 6$oini UH qlk 血刚 K2UUiBksnofQ=senicenpesyiafltliorizaiion-artritiQte nmole level J jloral wr user class nenirk23贞用内容iia 巾 Sti$taB2IqlkfTsenicf 呼抽aitliorization-attritiQte nmole Bemirk-operatflr对比命令显示结果与运维人员名单，如果运维人员之间不存在共孕账号，表明符 合安

5、全要求。212删除无关的帐号k安全基线名称：删除无关的账号2、安全基线编号：SBLa(X<3、安全基线说明：应删除与设备运行、维护等工作无关的账号。4参考配置操作：【朦皿肪 Iflfalwnser class nenrorkj、安全判定条件：(I)配置文件存在多个账号(2)网络管理员确认账号与设备运行、维护等工作无关6、检测操作：使用 dhcnrlinrlodeloral-iD 命令查看：(Httcnrlindiidelocalwlocal wr admin class niU3?e local wrnserl class manage若不存在无用账号则说明符合安全要求。12 口令221

6、静态口令以密文形式存放k安全基线名称：静态口令以密文形式存放2、安全基线编号：SBLflOSOl3、安全基线说明：配置本地用户和测V 口令使用密文密码。4.参考配置操作：（HOorai-aserailfliui【区I iDMflagzilfflinlpasMonlbJisbv密文p卿（iriD /配置本地用户密文密码 瞰加阿刖耐|1闻11密文pasMh 配置super密码使用密文加密j、安全判定条件：配置文件中没有明文密码字段。6、检测操作：使用diHDT显示本地用户账号和吗“密码为密文密码localwradwin class owe Nwordbasb$ii 血 nnunnqLk他册期 R2

7、1MaRMZbO IJi UOXEiOM曲 RKHIITI 舞EG （曲阳曲 6ii 测 IE测 seni螺仙啊勉 aatliortzaiioo-artritiDte nmole level J jlocal 唳 r userid 血 mana 胆 HOTdhab昭瀚 2 版ij XI 研 j+IO 妙 MR 曲 imabimi 触脚 MjnoM+eP 酣 6zSn2111kloOMiniif*in 碑讥afltliorizaiion-artritiQte nmole nenverk-ftperator siper pan 用 M role nemrk-aduin bash坊淄耳”SGRROX

8、1邮（IQUOE捕刑MVBiifl川HZllHipjlll邱血）娜栅1血|J探血皿帼I邮油H卜二222帐号.口令和授权1、安全基线名称：账号、口令和授权安全基线2、安全基线编号：3、安全基线说明：通过认证系统，确认远程用户身份，判断是否为合法的网络用户。1、参考配置操作:23贞眉内容HOorai-a railfliuiHK tDINOflagMdnwlpasword ba bpipi®sopn HKt tDO Dioa 阳 idwinl an 伽 rizamo-artribnie nser- riilelevel-lj删 domain adffliiIQA-ispiManttifnn

9、rahoo Mt localj、安全判定条件：账号和口令的配置，指定了认证的系统。6、检测操作:(Hindis CAT dontainadnuidontainsvsten doniadefasK enable svsten223密码复杂度k安全基线名称：密码复杂度2、安全基线编号：SBI瞰J血碉3、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少$位，并 包 括数字、小写字母、大写字母和特殊符号四类中至少两类。且j次以内不得设置相同的 口令。密码应至少每90天进行更换。4 .参考配置操作：(HAClIorabBserailfliiD【盼 J tDWQaflagMdninpaM t o

10、rd pipansf Osiaiimj、安全判定条件：密码强度符合要求，密码至少90天进行更换。ill用IP协议进行远程维护的设备使用SSI等加密协议k安全基线名称：用P协议进行远程维护设备2、安全基线编号：SBLflOHOl23贞用内容；、安全基线说明：使用IP协议进行远程维护设备，应配置使用SSB等加密协议 连接。1、参考配置操作：IHJOsslianfr enable(HOorai-aserailfliui»rrife-ty>e Mj、安全判定条件：配置文件中只允许SSB等加密协议连接。6、检测操作：使用 dhenrlinrindes4' ：(HttcnrlUde

11、sslisshsenereiaffsenicenpesyi曲服务为eiwble状态表明符合安全要求。23贞用内容第3章日志安全要求11日志安全311启用信息中心k安全基线名称，启用信息中心2、安全基线编号：SBIBOOM3、安全基线说明：启用信息中心，记录与设备相关的事件。1、参考配置操作：j、安全判定条件：(I)设备应配置日志功能，能对用户登录进行记录，记录内容包括用户登录使 用的账号，登录是否成功，登录时间，以及远程登录使用的IP地址。(2)记录用户登录设备后所进行的所有操作。6、检测操作：使用 dhinto-cenrer 有显示 Infomianon(enter： Eoabled类似信息

12、，$n： tafonnathiiiCeii口寸:Eoabled血 le： EublednoQitorUled血 b 何:Enabled101020.iwrtnoinber Ml bsf«Ui(y； local?10119)poH nuoiMr： jH* iio$ facility： local：1011).99.Lofbflfier Enabledlias buffer size 10H 血忸 buffer size JE(Urrent nessoes JE. dropped me 毁 i 缎 0, evenm«fB mewsLo9file； Uled Sefinrv 10

13、1 file； Dibbled wInfomiadoDtitDestanipfoniiat；Li91iou； Da(eOther onrpntdeMhott Barem开启册服务保证记录的时间的准确性k安全基线名称：日志记录时间准确性2、安全基线编号：SBLflO-fll-O23、安全基线说明：开启V服务，保证日志功能记录的时间的准确性。1、参考配置操作：配置叫客户端，服务器地址为19218511：IH flntp-senlcf enableIHJflntp-senlcf at-serverl91IBlLIj、安全判定条件： 日志记录时间准确。6、检测操作：(Httcnrlindiideotp

14、itj-senkeenalileitj-senke 耐【伽 r 1921& 山313远程日志功能k安全基线名称：远程日志功能2、安全基线编号：；、安全基线说明：配置远程日志功能，使设备能通过远程日志功能传输到日 志服务器。1、参考配置操作：23贞用内容IHOnle-renterlosliost *,林*配置接收日志的服务器地址HAClinfe-cvnterMiiir(¥defaalrlo$hostlevelemerpcr 7 配置发送的日志级另Ll j、安全判定条件：日志服务器能够正确接收网络设备发送的日志。6、检测操作:使用命令 dis car I inrinde info

15、-center 查看： Httcnrlindadeiiitii-renterundo CDpjrifht-uift enableDifo-ceDrerlolMst 10.1021ImfowerleitlMst 10.1013ImfodMle 咖 H1IU，0 , 99Inifo-ccarer seme defaDirloshest level ewerseDU 0 23第4章IP协议安全要求y IP协议411 TUP认证k安全基线名称：niRP认证2、安全基线编号：3、安全基线说明：/启用认证，防止非法设备加入到niRP组中。1、安全判定条件：查看IRRP组，只存在正确的设备。j、检测操作八使

16、用命令血nrp112系统远程服务只允许特定地址访问k安全基线名称：系统远程服务只允许特定地址访问2、安全基线编号：SBI-ttOMl 卫；、安全基线说明：设备以niPTCP协议对外提供服务，供外部主机进行访问，如 作为V服务器、TELH服务器、TUP服务器、FTP服务器、戏9服务器等，应配置设备，只 允许特定主机访问。1、参考配置操作：通过配置访问控制列表扯，只允许特定的地址访问设备的服务，如：(HClarlataedOOO瞰刨帕亦:加就 0 pemir (rp swcelOJijff 6 deshnahon 10,if 0 de 血玄借测 g V眺汕聊亦咖01眦6询deny ipj、安全判定

17、条件：在相关端口上绑定相应的l(lo6、检测操作：页用内容使用diHDT命令查看:23贞用内容)n(erta(enan4Dterfacell)ipaMreMOHIjO 用加 2 讹酒【 &1 砂;W OiDboond42功能配置1、安全基线名称：SHIP协议的nOity团体字2、安全基线编号：观眺考古0如、3、安全基线说明：修改SHIP的伽nniniry默认团体字，字符审应符合口令强度求©要1、参考配置操作：IB lyunp-a st (onunDDityread <c(imnn!niiT 团体字 >f sniDp«r (wm 血 q nrite <

18、; coistDiuiity 团体字>j、安全判定条件：(offlKv非默认，口令长度至少S位，并包括数字、小写字母、大写字母和特殊 符 号！类申至少2类。6、检测操作：使用命令 dhctir I inrlodeaunp 查看：(Httcnrlindadesnnipsflnp-aieBt删问缈山(al 媲威$0006；述$0.U 叨翅 1000000000 sflnp-aieBt (onimanirv read XIORD read uinp-ij)eg Zwhtik wnin nrite snnp-aiestsyviiifnenvlsnnp-aiesttrai enable arp s

19、nnp-aiesttrai enable radios snnp-aiesttrai enable up7、补充：若设备不需要使用SIHP协议应关闭册功能，若需要用到应使用T2版本以上的SHIP 协议。422只与特定主机进行SMP协议交互1、安全基线名称：只与特定主机进行町P协议交互2、安全基线编号：3、安全基线说明：设备只与特定主机进行SQIP协议交互1、参考配置操作：使用血限制只与特定主机进行SHIP交互HJClaflataednaf1ipacHii in p瞰刨帕刖 HKLyiiiililnikpennkipsmce IL 11 J JOO 瞰血 1 卯口刖 7(1_则 11moi期 i

20、p we uy lyunp-affot (QnunanitTread sanpyas acl name acl_sniBp j、安全判定条件：SuBip 绑定了 ad6、检测操作：使用 dhcnrlinrlndesninp 命令查看：IHttcnrlUdesnnipsanp-aieBtsanp-ateBtloral-eofiiieul S0006；必 1U 他 0100M0001 sanp-aieBt (onunimirv read 血 non sanp-aieBtsn-uife version* sanp-aieBt rap enable arpsflnp-aieBt rap enable

21、radiDSsflnp-aieBt rap enable upsflnp-aieBt (onimaniry read mops acl same acHnmp42J配置Sfflire或以上版本1、安全基线名称：配置或以上版本2、安全基线编号：SBI瞰即4冷3、安全基线说明：系统应配置戏血2或以上版本1、参考配置操作：if uuDM卿琪皿0 versionj、安全判定条件：系统可以成功使用湖yn?或舄版本协议。6、检测操作：使用 dhcnrlinrlQdPMinip 命令查看：23贞眉内容HttcnrlUdesnnipyiup-mtsn-iifovemS424关闭未使用的SfflP协议及未使用w

22、rite权限k安全基线名称：关闭未使用的VIP协议及未使用而权限2、安全基线编号：SBI- 瞰3、安全基线说明：系统应及时关闭未使用的snip协议及未使用nriw权限1、参考配置操作：IH Clods aunp-a'Dt MQOity pipai 迦j、安全判定条件：SUBip权限为刚。6、检测操作:使用dhcnrlinrlodeaunp命令查看，权限只有read：(HttcnrlindBdesnnipump-ueat 加 read xiam第5章其他安全要求5J其他安全配置511关闭未使用的接口k安全基线名称，关闭未使用的接口 2、安全基线编号：窗L眺HA0M13、安全基线说明：关闭

23、未使用的接口1、参考配置操作：nt fl 1 11(HA-GioahitEilieraeil 0 lOhlintaj、安全判定条件：未使用接口应该管理员俪11。6、检测操作： 【皿陆血intertaceMitEtatlOlO pertlink-niodetindAeconlKi enable fiber shntdoo5J2修改设备缺省BAfflB语k安全基线名称，修改设备缺省BAHR语2、安全基线编号：3、安全基线说明：要修改设备缺省肚UIR语，肚UIR最好不要有系统平台或地址 等 有碍安全的信息。5 .参考配置操作：IHOk血rb伽 Pte inpnt banner nintent and qninntb Ibe tarer V.j、安全判定条件：欢迎界面、提示符等不包含敬感信息。6、检测操作：通过远程登录或血曲口登录查看设备提示信息。513配置定时账户自动登出k安全基线名称：配置账号定时自动退出2、安全基线编号:3、安全基线说明：如Telnet,仙.(条丑瞅登录连接超时退出1、参考配置操作：配置m登录；分钟无操作自动退出：(H &ser-ui(ert