华为路由器安全配置规范

1、华华为路由器安全配置规范SSpecification forHUAWEI RouterConfiguration Used in China Mobile版 本 号 ： 版 本 号 ： 1 . . 网络与信息安全规范编号:【第四层：技术规范4503 号】20071213220071213目录TOC o 1-2 h z u HYPERLINK l _TOC_250006 概述1 HYPERLINK l _TOC_250005 适用范围1 HYPERLINK l _TOC_250004 内部适用性说明1 HYPERLINK l _TOC_250003 外部引用说明2 HYPERLINK l _TO

2、C_250002 术语和定义2 HYPERLINK l _TOC_250001 符号和缩略语2 HYPERLINK l _TOC_250000 华为路由器设备配置安全要求2前言第 第18页 共 21 页概述适用范围本规范适用于中国移动通信网、业务系统和支撑系统的华为路由器。本规范明确了华为路由器安全配置方面的基本要求。内部适用性说明（）分项列出本规范对通用规范设备配置要求的修订情况。编号安全要求-设备-通用-配置-1-可选安全要求-设备-通用-配置-2-可选安全要求-设备-通用-配置-3-可选安全要求-设备-通用-配置-4采纳意见备注增强要求 安全要求-设备-华为路由器-配-1 增强要求 安全

3、要求-设备-华为路由器-配-2 部分采纳 安全要求-设备-华为路由器-配-20 完全采纳-5-6-7-9安全要求-设备-通用-配置-12不 采 纳 不 采 纳 不 采 纳 完全采纳完全采纳设备不支持设备不支持设备不支持-13-可选 部分采纳 安全要求-设备-华为路由器-配-5-可选-24-可选 完全采纳-14-可选 -16-可选 -17-可选 -19-可选 增强要求 安全要求-设备-华为路由器-配-15 -20-可选 不采纳 设备不具备安全要求-设备-通用-配置-27-可选 增强要求 安全要求-设备-华为路由器-配-16本规范新增的安全配置要求，如下分类编号口令认证日志IP安全要求-设备-华为

4、路由器-配置-3安全要求-设备-华为路由器-配置-4-可选安全要求-设备-华为路由器-配置-19-可选安全要求-设备-华为路由器-配置 6-可选IPIP SNMPIP SNMPIP SNMPMPLS7-8-可选 -9-可选 -10-可选-11-12-13安全要求设备华为路由器配置-20 本规范还针对直接引用通用规范的配置要求，给出了在华为路由器上的具体配置方法和检测方法。外部引用说明中国移动通用安全功能和配置规范术语和定义符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说。缩写缩写英文描述中文描述华为路由器设备配置安全要求要求内容应按照用户分配账号。避免不同用户间共享账号。避免用编号：安

5、全要求-设备-华为路由器-配置要求内容应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。户账号和设备间通信使用的账号共享。操作指南1、参考配置操作aaalocal-user user1 password cipher local-user user1 service-type telnet local-user user2 password cipher local-user user2 service-type ftp#user-interface vty 0 4 authentication-mode 2、补充操作说明无。检测方法1、 判定条件用配置中没有

6、的用户名去登录，结果是不能登录2、 检测操作display current-configuration configuration aaa）3无。要求内容应删除与设备运行、维护等工作无关的账号。操作指南1、参考配置操作aaaundo local-user test2、补充操作说明无。检测方法要求内容应删除与设备运行、维护等工作无关的账号。操作指南1、参考配置操作aaaundo local-user test2、补充操作说明无。检测方法1、 判定条件配置中用户信息被删除。2、 检测操作display current-configuration configuration aaa3、 补充说明无。

7、要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南1、参考配置操作super password level 3 cipher superPWD aaalocal-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user1 level 2#user-interface vty 0 4 authentication-mode aaa要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作，

8、应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南1、参考配置操作super password level 3 cipher superPWD aaalocal-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user1 level 2#user-interface vty 0 4 authentication-mode aaa2、补充操作说明无。检测方法1、 判定条件用户用相应的操作权限登录设备后，不具有最高权限级别3，这时aaa限必须提高用户级别。2、

9、检测操作display current-configuration configuration aaa3补充说明无。要求内容642 类。操作指南要求内容642 类。操作指南1、参考配置操作aaalocal-user user1 password cipher NumABC%$2、补充操作说明无。检测方法检测方法1、 判定条件642对于加密的口令，通过登陆检测。2、 检测操作display current-configuration configuration aaa3补充说明无。要求内容静态口令必须使用不可逆加密算法加密后保存于配置文件中。操作指南1、参考配置操作super password

10、level 3 cipher NC55QK=/Q=QMAF41! local-user 8011 password cipher NC55QK=/Q=QMAF41! 2、补充操作说明无。检测方法要求内容静态口令必须使用不可逆加密算法加密后保存于配置文件中。操作指南1、参考配置操作super password level 3 cipher NC55QK=/Q=QMAF41! local-user 8011 password cipher NC55QK=/Q=QMAF41! 2、补充操作说明无。检测方法判定条件用户的加密口令在buildrun 中显示的密文。检测操作display current-

11、configuration configuration aaa3.补充说明无。要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作aaalocal-user 8011 password cipher 8011要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作aaalocal-user 8011 password cipher 8011local-user 8011 service-typelocal-user 8011 service-type telnetlocal-user 8011 level 0

12、#user-interface vty 0 4 authentication-mode aaa 2、补充操作说明无。检测方法1. 判定条件查看所有用户的级别都配置为其所需的最小权限。1. 检测操作display current-configuration configuration aaa2.补充说明无。编号：安全要求-设备-华为路由器-配置-4-可选要求内容设备通过相关参数配置，与认证系统联动，满足帐号、令和授权的强制要求。操作指南1、参考配置操作RADIUS不认证。IP值1812。# 配置RADIUS 服务器模板。Router radius-server template shiva #

13、配置RADIUS 认证服务器IPRouter-radius-shivaradius-server6 1812# 配置RADIUS 服务器密钥、重传次数。Router-radius-shivaradius-serverit-is-my-secretRouter-radius-shiva radius-server retransmit 2 Router-radius-shiva quit# 进入AAA 视图。Router aaa# 配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。Routeraaa authentication-scheme r-nRouteraaa aut

14、hentication-scheme r-nRouter-aaa-authen-r-n authentication-mode radius none Router-aaa-authen-r-n quit# 配置defaultr-n（计费shiva的RADIUS模板。Router-aaa domain defaultRouter-aaa-domain-default authentication-scheme r-n Router-aaa-domain-defaultradius-server shiva2、补充操作说明无。检测方法判定条件对远程登陆用户先用RADIUS 服务器进行认证，非法用

15、户不可以登录。检测操作display current-configuration3.补充说明无。要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。操作指南1、参考配置操作info-center console channel 2、补充操作说明无。要求内容设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。操作指南1、参考配置操作info-center console channel 2、补充操作说明无。检测方法判定条件

16、在日志缓存上正确记录了日志信息。检测操作display logbuffer3.补充说明无。要求内容设备应配置日志功能，记录用户对设备的操作。例如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作info-center logbuffer channel 2、补充操作说明在系统模式下进行操作。要求内容设备应配置日志功能，记录用户对设备的操作。例如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的计费数据、身份数据、涉及通信隐私

17、数据。记录需要包含用户账号，操作时间，操作内容以及操作结果。操作指南1、参考配置操作info-center logbuffer channel 2、补充操作说明在系统模式下进行操作。检测方法判定条件对设备的操作会记录在日志中。检测操作display logbuffer3.补充说明无。要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作info-center 2、补充操作说明在系统模式下进行操作。检测方法要求内容设备应配置日志功能，记录对与设备相关的安全事件。操作指南1、参考配置操作info-center 2、补充操作说明在系统模式下进行操作。检测方法判定条件在日志缓

18、存上正确记录了日志信息。检测操作display logbuffer3.补充说明无。编号：安全要求设备通用配置-14-可选要求内容要求内容设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如 SYSLOG、FTP 等。操作指南1、参考配置操作info-center loghost 0 facility local4 language english2、补充操作说明在系统模式下进行操作。检测方法判定条件是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。检测操作display current-configuration

19、3.补充说明无。要求内容NTP路由器与 NTP SERVER 之间要开启认证功能。操作指南1、参考配置操作ntp-service authentication-keyid 1 authentication-mode md5 NC55QK=/Q=QMAF41!ntp-service unicast-server authentication-keyid 要求内容NTP路由器与 NTP SERVER 之间要开启认证功能。操作指南1、参考配置操作ntp-service authentication-keyid 1 authentication-mode md5 NC55QK=/Q=QMAF41!nt

20、p-service unicast-server authentication-keyid 2、补充操作说明在系统模式下进行操作。检测方法判定条件本地时钟与时钟源同步。检测操作disp ntp-service status3.补充说明无。要求内容TCP/UDPIPTCPUDP要求内容TCP/UDPIPTCPUDP、目的IP源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。操作指南1、参考配置操作acl number 20000ruletcpsourcedestination source-port eq ftp-data destination-port eq 30traffic cla

21、ssifier dd if-match acl 20000 traffic behavior ddcarcir2000cbs12288greenpassyellowremarkredtraffic policy ddclassifier dd behavior dd precedence 0 interface GigabitEthernet4/0/0undo shutdownip address traffic-policy dd inbound2、补充操作说明在系统模式下进行操作。检测方法判定条件通过测试打流，相关流被成功过滤。检测操作display traffic policy3.补充说

22、明无。要求内容对于使用 IP 协议进行远程维护的设备，设备应配置使用SSH 等加密协议。操作指南1、参考配置操作#rsa peer-public-key quidway002 public-key-code begin308186028180739A291ABDA704F5D93DC8FDF84C427463199编号：安全要求设备要求内容对于使用 IP 协议进行远程维护的设备，设备应配置使用SSH 等加密协议。操作指南1、参考配置操作#rsa peer-public-key quidway002 public-key-code begin308186028180739A291ABDA704F

23、5D93DC8FDF84C4274631991C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9 C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0 E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8 28D55A36F1CDDC4BB45504F020125public-key-code end peer-public-key end #aaalocal

24、-user client001 password simple huawei local-user client002 password simple quidway authentication-scheme default#authorization-scheme #accounting-scheme #domain #ssh user client002 assign rsa-key quidway002 ssh user client001 authentication-type password ssh user client002 authentication-type RSA#u

25、ser-interface con 0user-interface vty 0 4 authentication-mode protocol inbound ssh#2、补充操作说明无。检测方法1. 判定条件通过抓包确定ssh 登录的信息为加密信息。检测操作disp current-configuration | begin ssh无。要求内容ACL编号：安全要求-设备-华为路由器-要求内容ACL操作指南操作指南1、参考配置操作acl number 20000ruletcpsourcedestinationsource-port eq ftp-data destination-port eq

26、30traffic classifier dd if-match acl 20000 traffic behavior dd denytraffic policy ddclassifier dd behavior dd precedence 0 interface GigabitEthernet4/0/0undo shutdownip address traffic-policy dd inbound2、补充操作说明无。检测方法判定条件存在攻击流时，非法报文被过滤。检测操作display traffic polic3.补充说明无。要求内容URPF（Unicast Reverse PathFor

27、warding于源地址欺骗的网络攻击行为。操作指南1、参考配置操作interface GigabitEthernet4/0/1 undo shutdown要求内容URPF（Unicast Reverse PathForwarding于源地址欺骗的网络攻击行为。操作指南1、参考配置操作interface GigabitEthernet4/0/1 undo shutdownip address ip urpf strict 2、补充操作说明接口模式下操作。检测方法1. 判定条件非法攻击报文被成功过滤。非法攻击报文被成功过滤。2. 检测操作display current-configuration

28、interface3.补充说明无。要求内容MD5操作指南1、参考配置操作ospf 2area authentication-mode md5 1 cipher NC55QK=/Q=QMAF41! 要求内容MD5操作指南1、参考配置操作ospf 2area authentication-mode md5 1 cipher NC55QK=/Q=QMAF41! 2、补充操作说明无。检测方法判定条件Md5 验证不通过的ospf 邻居建立部不成功。检测操作display current-configuration configuration ospf3.补充说明无。编号：安全要求-设备-华为路由器-配置

29、-9-可选制定路由策略，禁止发布或接收不安全的路由信息。1acl number rule 5 permit source 0 route-policy dd permit node 0 if-match acl 2000ospf 2area authentication-mode md5 1 cipher NC55QK=/Q=QMAF41! filter route-policy dd import2、补充操作说明无。无。检测方法判定条件被禁止接收和发布的路由成功。检测操作display current-configuration configuration ospf display rout

30、e-policy3.补充说明无。要求内容SNMPRW操作指南1、参考配置操作Undo snmp enableundo snmp-agent community RWuser 要求内容SNMPRW操作指南1、参考配置操作Undo snmp enableundo snmp-agent community RWuser 2、补充操作说明无。检测方法判定条件关闭 snmp 的设备不能被网管检测到，关闭写权限的设备不能进行set 操作。检测操作display current-configuration3.补充说明无。要求内容SNMPCommunity口令强度要求。操作指南1、参考配置操作要求内容SNMP

31、Community口令强度要求。操作指南1、参考配置操作snmp-agent community read 2、补充操作说明无。检测方法检测方法判定条件SNMPCommunityprivate 或者 public，并且符合口令强度要求。检测操作display current-configuration3.补充说明无。要求内容SNMPV2操作指南1、参考配置操作snmp-agent sys-info version 2、补充操作说明无。要求内容SNMPV2操作指南1、参考配置操作snmp-agent sys-info version 2、补充操作说明无。检测方法判定条件snmpv2cv3。检测操

32、作display current-configuration3.补充说明无。要求内容SNMPSNMP网络设备。操作指南1、参考配置操作要求内容SNMPSNMP网络设备。操作指南1、参考配置操作snmp-agent community read XXXX01 acl 2、补充操作说明无。检测方法1. 判定条件acl。2. 检测操作2. 检测操作display current-configuration3.补充说明无。要求内容LDPLDPMD5加密，确保与可信方进行 LDP 协议交互。操作指南1、参考配置操作要求内容LDPLDPMD5加密，确保与可信方进行 LDP 协议交互。操作指南1、参考配置操作Mpls ldpmd5-password chiper LDPpwdMd5 2、补充操作说明无。检测方法判定条件认证不匹配的 ldp 邻居不能成功建立。检测操作display current-configuration configuration mpls3.补充说明无。要求内容关闭未使用的端口。操作指南1、参考配置操作HW-Ethernet3/0/0shutdown 2、补充操作说明无。检测方法判定条件要求内容关闭未使用的端口