XX银行H3C互换机平安基线配置

XX银行H3C互换机系列平安配置基线适用声明适用人员IT部的网络维护人员、安全评估人员、安全审计人员适用版本H3C同系列的网络交换机适用等保一级项适用等保二级项适用等保三级项适用等保四级项参考依据《H3C交换机配置手册》《GB/T20270-2006信息安全技术网络基础安全技术要求》《GB/T20011-2005信息安全技术路由器安全评估准则》《JR/T0068-2012网上银行系统信息安全通用规范》《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》《GB/T25070-2010信息安全技术信息系统等级保护安全设计技术要求》《JR/T0071-2012金融行业信息系统信息安全等级保护实施指引》

访问操纵1.1配置ACL规那么酉己置检查项酉己置ACL规则适用等保级别等保一全四级检查步骤进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查WACL匹配路由是否按照业务需求设置[H3C]discur|inacl[H3C]disthisacl配置步骤设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的甲地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置ACL列表[H3C]aclnumber2000[H3C-acl-basic-2000]ruletcpsourcedestination配置流分类，定义基于ACL的匹配规则。[H3C]trafficclassifiertc1[H3C-classifier-tc1]if-matchacl2000配置流行为[H3C]trafficbehaviortb1[H3C-behavior-tb1]deny定义流策略，将流分类与流行为关联。[H3C]trafficpolicytp1[H3C-trafficpolicy-tp1]classifiertc1behaviortb1应用流策略到接口。[H3C]interfacegigabitethernet0/0/1[H3C-GigabitEthernet0/0/1]traffic-policytp1inbound备注1.2配置常见的漏洞解决和病毒过滤功能酉己置/检查项酉己置常见的漏洞攻击和病毒过滤功能适用等保级别1.进入用户视图<H3C>由户视图切换到系统视图检查步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看ACL中是否匹配漏洞攻击和病毒攻击[H3C]discurrent-configuration|inacl设备应配置ACL，通过ACL列表来过滤一些常见的漏洞攻击和病毒攻击。进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置ACL列表[H3C]aclnumber2000[H3C-acl-basic-2000]ruletcpsourcedestination配置步骤source-porteqftp-data配置流分类，定义基于ACL的匹配规则。配置步骤[H3C]trafficclassifiertc1[H3C-classifier-tc1]if-matchacl2000配置流行为[H3C]trafficbehaviortb1[H3C-behavior-tb1]deny定义流策略，将流分类与流行为关联。[H3C]trafficpolicytp1[H3C-trafficpolicy-tp1]classifiertc1behaviortb1应用流策略到接口。

2平安审计2.1开启设备的日记功能酉己置/检查项配置设备的日志功能适用等保级别等保—至四级1.进入用户视图<H3C>2.用户视图切换到系统视图检查步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看日志功能是否按照需求配置[H3C]discur|ininfo-center配置步骤要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志，同时提供SYSLOG月服务器的设置方式，所有的日志信息可以均可以远程存储到日志服务器。并且必须保证日志服务器的安全性。1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.开启日志功能[H3C]配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了解到设备的运行情况[H3C]consolechannel0配置日志信息输出到日志缓冲区[H3C]logbufferchannel4酉己置日志信息输出到日志服务器[H3C]info-centerloghost备注3入侵防范3.1配置防ARP欺骗解决

配置设备的防ARP欺骗攻击功能，可以有效的减少备注3入侵防范3.1配置防ARP欺骗解决进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]配置防止ARP地址欺骗配置步骤[H3C]arpanti-attackentry-checkfixed-macenable适用于静态配置IP地址，但网络存在冗余链路的情况。当链路切换时，ARP表项中的接口信息可以快速改变配置步骤[H3C]arpanti-attackentry-checkfixed-allenable适用于静态配置IP地址，网络没有冗余链路，同一IP地址用户不会从不同接口接入S5300的情况[H3C]arpanti-attackentry-checksend-macenable适用于动态分配IP地址，有冗余链路的网络配置防止ARP网关冲突[H3C]备注4网络设备防护4.1配置/检查项限制具备管理员权限的用户远程直接登录适用等保级别检查步骤配置步骤进入用户视图<H3C>用户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.检查步骤配置步骤[H3C]查看是否存在高级别权限密码[H3C]discur|inacl查看是否对于user用户密码进行配置[H3C]discur|inlocal-user远程管理员应先以普通权限用户登录后，再切换到管理员权限执行相应操作。进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]设置用户由低级别权限切换到高级别权限的密码[H3C]superpasswordlevel3cipheranbang@123进入aaa视图[H3C]aaa配置具备远程登陆用户user1的权限信息。

4.2

4.22.由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.进入aaa视图，配置用户user1的超时时间为5分钟。[H3C]aaa[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser1level1[H3C-aaa]local-useruser1idle-timeout5备注4.3远程登岸加密传输酉己置检查项远程登陆加密传输适用等保级别等保一全四级1.进入用户视图<H3C>2.用户视图切换到系统视图检查步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看相关SSH配置[H3C]discur|inssh配置步骤如果通过远程对交换机进行管理维护，特别是通过互联网以及不安全的公共网络，设备应配置使用SSH加密协议。进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]生成本地密钥对[H3C]rsalocal-key-paircreate创建ssh用户和密码[H3C]user-interfacevty04[H3C-ui-vty0-4]authentication-modeaaa[H3C-ui-vty0-4]protocolinboundssh[H3C-ui-vty0-4]sshuserabcauthentication-typepassword[H3C]stelnetserverenable[H3C]sshuserabcservice-typestelnet[H3C]aaa[H3C-aaa]local-userabcpasswordsimpleabc[H3C-aaa]local-userabcservice-typessh使能stelnet服务[H3C]stelnetserverenable备注4.4酉己置console口密码爱惜功能和连接超时4.54.5配置/检查项按照用户分配账号适用等保级别检查步骤进入用户视图<H3C>用户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看是否对于不同用户配置权限信息[H3C]discur|inlocal-user配置步骤避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]备注[H3C]aaa4.为不同的用户配置不同的权限信息。配置用户userl具有telnet权限，user2具有ftp权限。[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser2passwordcipheranbang@1234[H3C-aaa]local-useruser1备注[H3C]aaa4.为不同的用户配置不同的权限信息。配置用户userl具有telnet权限，user2具有ftp权限。[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser2passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser2service-typeftp[H3C-aaa]local-useruser1level1[H3C-aaa]local-useruser2level14.6删除设备中无用的闲置账号配置/检查项删除设备中无用的闲置账号适用等保级别等保二至四级[H3C]查看设备中是否存在限制的用户账号和信息[H3C]discur|inlocal-user定期检查设备账号配置，删除与设备运行，维护等无关的账号。配置步骤进入用户视图

4.7修改设备上存在的弱口令酉己置/检查项修改设备上存在的弱口令适用等保级别等保—至四级检查步骤进入用户视图<H3C>用户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]查看用户的密码信息[H3C]discur|inlocal-user配置步骤对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小与字母、大写字母和特殊符号4类中至少2类，且用户口令加密存储。备注进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]进入aaa视图，配置用户user1的口令，并且口令加密存储。[H3C]aaa[H3C-aaa]local-useruser1passwordcipheranbang@1234[H3C-aaa]local-useruser1service-typetelnet[H3C-aaa]local-useruser1level14.8配置和认证系统联动功能配置/检查项配置和认证系统联动功能适用等保级别等保二至四级1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C>system-view检查步骤Entersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看是否配置了认证服务系统[H3C]discur|inradius-server设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。进入用户视图<H3C>由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]酉己置RADIUS服务器模板test[H3C]radius-servertemplatetest配置RADIUS认证服务器的IP地址、端口。配置步骤[H3C-radius-test]radius-serverauthentication1812配置RADIUS服务器密钥、重传次数[H3C-radius-test]radius-servershared-keycipherhello[H3C-radius-test]radius-serverretransmit2则不认证配置认证方案1，认证模式为先RADIUS，如果没有响应，[H3C]aaa[H3C-aaa]authentication-scheme1[H3C-aaa]authentication-moderadiusnone7.配置合6域，在域下应用认证方案1、RADIUS模板test[H3C-aaa]domainab[H3C-aaa-domain-ab]authentication-scheme1[H3C-aaa-domain-ab]radius-servertest

备注4.9配置NTP效劳配置/检查项酉己置NTP服务适用等保级别等保二至四级配置步骤则不认证配置/检查项酉己置NTP服务适用等保级别等保二至四级进入用户视图<H3C>用户视图切换到系统视图<H3C>system-view检查步骤Entersystemview,returnuserviewwithCtrl+Z.[H3C]查看NTP相关配置是否正确[H3C]discur|inntp开启NTP月艮务，保证日志功能记录的时间的准确性，同时交换机和NTPSERVER之间要开启认证功能。进入用户视图<H3C>由户视图切换到系统视图配置步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.配置步骤<H3C>system-view[H3C]3.在交换机上使能NTP功能，配置验证密钥并声明该密钥可信[H3C]ntp-serviceauthenticationenable[H3C]ntp-serviceauthentication-keyid1authentication-modemd5

4.10修改SNMP的community默许通行字酉己置/检查项修改SNMP的community默认通行字，通行字应符合口令强度要求适用等保级别等保—至四级1.进入用户视图<H3C>2.用户视图切换到系统视图检查步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看COMMUNITY是否存在默认通行字[H3C]discur|inacl应修改SNMP的Community默认通行字，通行字应符合口令强度要求。1.进入用户视图<H3C>配置步骤2.由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]

3.修改SNMP的默认通行字[H3C]snmp-agentcommunityread1234@abcd[H3C]snmp-agentcommunitywrite1234@abcd备注4.11利用SNMPV2或以上版本酉己置/检查项使用SNMPV2或以上版本适用等保级别等保—至四级1.进入用户视图<H3C>2.用户视图切换到系统视图检查步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP的运行版本[H3C]discur|insnmp-agent应配置SNMP使用SNMPv2或者以上版本，加强安全性。1.进入用户视图<H3C>配置步骤2.由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.配置SNMP版本。

4.12设置SNMP的访问平安限制酉己置检查项设置SNMP的访问安全限制适用等保级别等保—至四级1.进入用户视图<H3C>2.用户视图切换到系统视图检查步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP的访问安全限制[H3C]discur|insnmp-agent设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。1.进入用户视图<H3C>2.由户视图切换到系统视图配置步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.酉己置可以访问交换机的ACL列表。[H3C]acl20014.

[H3C-acl-basic-2001]rule5permitsource应用ACL到SNMP配置。[H3C]snmp-agentcommunitywrite1234@abcd[H3C]snmp-agentcommunityread1234@abcdacl2001acl2001备注4.13系统应关闭未利用的SNMP协议及未利用RW权限酉己置检查项关闭未使用的SNMP协议及未使用RW权限适用等保级别等保—至四级1.进入用户视图<H3C>2.用户视图切换到系统视图检查步骤<H3C>system-viewEntersystemview,returnuserviewwithCtrl+Z.[H3C]3.查看SNMP协议的RW相关配置[H3C]discur|inRW如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置。1.进入用户视图配置步骤<H3C>2.由户视图切换到系统视图<H3C>system-viewEntersystemview,returnuservieww