H3C交换机安全配置基线

1、H3c交换机安全配置基线版本版本控制信息|更新日期更新人审批人V2.0创建2012年4月备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。第1章概述目的本文档旨在指导系统管理人员进行 H3C交换机的安全配置。适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。适用版本H3C交换机。实施例外条款第2章帐号管理、认证授权安全要求帐号配置默认级别*安全基线项 目名称配置默认级别安全基线要求项安全基线编 号SBL-H3CSwitch-02-01-01安全基线项 说明交换机命令级别共分为访问、监控、系统、管理4个级别，分别对应标识0、1、2、3。配置登

2、录默认级别为访问级( 0-VISIT )检测操作步 骤1、参考配置操作user-interface aux 0 8authentication-mode passworduser privilege level 0set authentication password cipher xxxuser-interface vty 0 4authentication-mode passworduser privilege level 0set authentication password cipher xxx2、补充说明无。基线符合性 判定依据1、判定条件用配置中没有的用户名去登录，结果是不能登录

3、2、参考检测操作display current-configuration3、补充说明无。备注手工检查口令密码认证登录安全基线项 目名称密码认证登录安全基线要求项安全基线编 号SBL-H3CSwitch-02-02-01安全基线项 说明通过控制台和远程终端，需要密码才能登录.口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每 90天进行更换。检测操作步 骤1、参考配置操作user-interface aux 0 8authentication-mode passworduser privilege level 0set auth

4、entication password cipher xxxuser-interface vty 0 4authentication-mode password/ 或 authentication-mode schemeuser privilege level 0set authentication password cipher xxx2、补充说明无。基线符合性 判定依据1、判定条件用配置中没有的用户名去登录，结果是不能登录2、参考检测操作display current-configuration3、补充说明无。备注设置访问级密码安全基线项 目名称设置访问级密码安全基线要求项安全基线编 号S

5、BL-H3CSwitch-02-02-02安全基线项 说明用户可以无条件切换到比当前低的用户级别，但是当使用AUX或VTY用户界面登录，并且从低级别往高级别切换时，需要输入级别切换密码（级别切换密他可以通过super password命令设直）。如果输入的答码错误或者没有配 置级别切换密码，切换操作失败。因此，在进行切换操作前，请先配置级别 切换密码。检测操作步 骤1、参考配置操作 system-viewSysname super password level 1 cipher password1Sysname super password level 2 cipher password2Sy

6、sname super password level 3 cipher password32、补充说明无。基线符合性 判定依据1、判定条件Sysname display current-configuration备注加密口令安全基线项 目名称加密口令安全基线要求项安全基线编 号SBL-H3CSwitch-02-02-03安全基线项 说明静态口令必须使用不PJ逆加密算法加密后保存于配置文件中。检测操作步 骤1、参考配置操作user-interface aux 0 8user privilege level 0set authentication passwordcipher xxxuser-in

7、terface vty 0 4user privilege level 0set authentication passwordcipher xxxsuper password level 1cipherpassword1super password level 2cipherpassword2super password level 3cipherpassword3基线符合性 判定依据.判定条件用户的加密口令在 config 文件中显本的密义。.参考检测操作display current-configuration备注第3章日志安全要求日志安全配置远程日志服务器安全基线项 目名称配置远程日志

8、服务器安全基线要求项安全基线编 号SBL-H3CSwitch-03-01-01安全基线项 说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOGFTP等。检测操作步 骤1、参考配置操作h3c info-center enableh3c info-center loghost xxxxx channel loghost2、补充说明在系统模式下进行操作。基线符合性 判定依据.判定条件是否止确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。.参考检测操作display current-configuration

9、.补充说明无。备注根据应用场景的不向，如部署场景需开启此功能，则强制要求此项。建议核心设备必选，其它根据实际情况启用第4章IP协议安全要求4.1 IP协议4.1.1使用SSH加密管理安全基线项 目名称使用SSH加密管理安全基线要求项安全基线编 号SBL-H3CSwitch-04-01-01安全基线项 说明对于使用IP协议进行远程维护的设备，设备应配置使用 SSH等加密协议，关闭 TELNET。检测操作步 骤1、参考配置操作#设置用户界面 VTY 0到VTY 4支持SSH协议。 system-viewSysname user-interface vty 0 4Sysname-ui-vty0-4

10、authentication-mode schemeSysname-ui-vty0-4 protocol inbound ssh2、补充说明无。基线符合性 判定依据1.参考检测操作2.补充说明无。备注4.1.2系统远程管理服务只允许特定地址访问安全基线项 目名称系统远程管理服务只允许特定地址访问安全基线要求项安全基线编 号SBL-H3CSwitch-04-01-02安全基线项 说明系统远程管理服务 TELNET SSH默认可以接受任何地址的连接，出于安全考 虑，应该只允许特定地址访问。检测操作步 骤1、参考配置操作Acl number 2000 User-interface vty 0 4 a

11、cl 2000 inbound2、补充说明无。基线符合性 判定依据. 判定条件通过设定acl ,成功过滤非法的访问。.参考检测操作display current-configuration.补充说明无。备注第5章SNMP安全要求SNMP 安全修改SNMP默认通行字安全基线项 目名称修改SNMP默认通行字安全基线要求项安全基线编 号SBL-H3CSwitch-05-01-01安全基线项 说明系统应修改SNMP勺Community默认通仃子，通仃子应符合口令强度要求。检测操作步 骤1、参考配置操作snmp-agent community read xxxsnmp-agent community w

12、rite xxxx2、补充说明无。基线符合性 判定依据1.判定条件系统成功修改 SNMP的Community为用户定义口令，非常规 private 或者 public ,并且符合口令强度要求。.参考检测操作display current-configuration.补充说明无。备注使用SNMPV2或以上版本安全基线项 目名称SNMP版本安全基线要求项安全基线编 号SBL-H3CSwitch-05-01-02安全基线项 说明系统应配置为 SNMPV减以上版本。检测操作步 骤1、参考配置操作snmp-agent sys-info version v32、补充说明无。基线符合性 判定依据. 判定条件

13、成功使能snmpv2c、和v3版本。.参考检测操作display current-configuration.补充说明无。备注SNMP访问控制安全基线项 目名称SNMP访问控制安全基线要求项安全基线编 号SBL-H3CSwitch-05-01-03安全基线项 说明设置SNM昉问安全限制，只允许特定主机通过SNM助问网络设备。检测操作步 骤1、参考配置操作snmp-agent community read XXXX01 acl 20002、补充说明无。基线符合性 判定依据. 判定条件通过设定acl来成功过滤特定的源才能进行访问。.参考检测操作display current-configurati

14、on.补充说明无。备注第6章其他安全要求其他安全配置关闭未使用的端口安全基线项 目名称关闭未使用的端口安全基线要求项安全基线编 号SBL-H3CSwitch-06-01-01安全基线项 说明关闭未使用的端口。检测操作步 骤1、参考配置操作HW-Ethernet3/0/0shutdown2、补充说明无。基线符合性 判定依据.判定条件未使用端口状态为 admin down。.参考检测操作Display interface3.补充说明无。备注帐号登录超时安全基线项 目名称帐号登录超时安全基线要求项安全基线编 号SBL-H3CSwitch-06-01-02安全基线项 说明配置定时帐号自动登出，登出后用户需再次登录才能进入系统。设置超时时 间为5分钟.检测操作步 骤1、参考配置操作设置超时时间为5分钟 system-viewSysname user-interface console 0/Or user-interface aux 0 8Sysname-ui-console0 idle-timeout 5 02、补充说明无。基线符合性 判定依据. 判定条件在超出设定时间后，用户自动登出设备。.参考检测操作display current-configuration configuration user-interface.补充说明无。备注关闭不需要的服务*安全基线