H3C交换机安全安全配置基线

1、PAGE7H3C交换机安全配置基线版本版本控制信息更新日期更新人审批人创建2012年4月备注：若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目 录 TOC o 1-3 h z u HYPERLINK l _Toc6 第1章概述 PAGEREF _Toc6 h 1 HYPERLINK l _Toc7 目的 PAGEREF _Toc7 h 1 HYPERLINK l _Toc8 适用范围 PAGEREF _Toc8 h 1 HYPERLINK l _Toc9 适用版本 PAGEREF _Toc9 h 1 HYPERLINK l _Toc0 实施 PAGEREF _Toc0

2、h 1 HYPERLINK l _Toc1 例外条款 PAGEREF _Toc1 h 1 HYPERLINK l _Toc2 第2章帐号管理、认证授权安全要求 PAGEREF _Toc2 h 2 HYPERLINK l _Toc3 帐号 PAGEREF _Toc3 h 2 HYPERLINK l _Toc4 配置默认级别* PAGEREF _Toc4 h 2 HYPERLINK l _Toc5 口令 PAGEREF _Toc5 h 3 HYPERLINK l _Toc6 密码认证登录 PAGEREF _Toc6 h 3 HYPERLINK l _Toc7 设置访问级密码 PAGEREF _To

3、c7 h 4 HYPERLINK l _Toc8 加密口令 PAGEREF _Toc8 h 4 HYPERLINK l _Toc9 第3章日志安全要求 PAGEREF _Toc9 h 6 HYPERLINK l _Toc0 日志安全 PAGEREF _Toc0 h 6 HYPERLINK l _Toc1 配置远程日志服务器 PAGEREF _Toc1 h 6 HYPERLINK l _Toc2 第4章IP协议安全要求 PAGEREF _Toc2 h 7 HYPERLINK l _Toc3 IP协议 PAGEREF _Toc3 h 7 HYPERLINK l _Toc4 使用SSH加密管理 PA

4、GEREF _Toc4 h 7 HYPERLINK l _Toc5 系统远程管理服务只允许特定地址访问 PAGEREF _Toc5 h 7 HYPERLINK l _Toc6 第5章SNMP安全要求 PAGEREF _Toc6 h 9 HYPERLINK l _Toc7 SNMP安全 PAGEREF _Toc7 h 9 HYPERLINK l _Toc8 修改SNMP默认通行字 PAGEREF _Toc8 h 9 HYPERLINK l _Toc9 使用SNMPV2或以上版本 PAGEREF _Toc9 h 9 HYPERLINK l _Toc0 SNMP访问控制 PAGEREF _Toc0

5、h 10 HYPERLINK l _Toc1 第6章其他安全要求 PAGEREF _Toc1 h 12 HYPERLINK l _Toc2 其他安全配置 PAGEREF _Toc2 h 12 HYPERLINK l _Toc3 关闭未使用的端口 PAGEREF _Toc3 h 12 HYPERLINK l _Toc4 帐号登录超时 PAGEREF _Toc4 h 12 HYPERLINK l _Toc5 关闭不需要的服务* PAGEREF _Toc5 h 13 HYPERLINK l _Toc6 第7章评审与修订 PAGEREF _Toc6 h 15概述目的本文档旨在指导系统管理人员进行H3C

6、交换机的安全配置。适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。适用版本H3C交换机。实施例外条款帐号管理、认证授权安全要求帐号配置默认级别*安全基线项目名称配置默认级别安全基线要求项安全基线编号SBL-H3CSwitch-02-01-01 安全基线项说明 交换机命令级别共分为访问、监控、系统、管理4 个级别，分别对应标识0、1、2、3。配置登录默认级别为访问级（0-VISIT）检测操作步骤1、参考配置操作user-interface aux 0 8authentication-mode password user privilege level 0 set aut

7、hentication password cipher xxxuser-interface vty 0 4authentication-mode password user privilege level 0 set authentication password cipher xxx2、补充说明无。基线符合性判定依据判定条件用配置中没有的用户名去登录，结果是不能登录参考检测操作display current-configuration补充说明无。备注手工检查口令密码认证登录安全基线项目名称密码认证登录安全基线要求项安全基线编号SBL-H3CSwitch-02-02-01 安全基线项说明 通过

8、控制台和远程终端，需要密码才能登录. 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤1、参考配置操作user-interface aux 0 8authentication-mode passworduser privilege level 0 set authentication password cipher xxxuser-interface vty 0 4authentication-mode password 检测操作步骤参考配置操作设置超时时间为5分钟 system-view Sysname user-interface console 0 /Or user-interface aux 0 8Sysname-ui-console0 idle-timeout 5 02、补充说明无。基线符合性判定依据判定条件在超出设定时间后，用户自动登出设备。参考检测操作display current-configuration configuration user-interface补充说明无。备注关闭不需要的服务*安全基线项目名称关闭不需要的服务安全基线要求项安全基线编号SBL-H3CSwitch-06-01-03 安全基线项说明 关闭网络设备不必要的服务，比如FTP、TFTP服务等。检