H3C交换机安全配置基线

交机安全配置线H3C安全置基第页共页交机安全配置线版本

版本控制信息

更新日期

更新人

审批人V2.0

创

41.第页共页换机安全配基线

第章.........................................................................................................................................1

目的适用范围1适用版本1实施例外条款1第章证授权安全要求..3

帐号默*2口令3密码认设置访问级密码加密口第章.........................................................................................................................63.1.1

日志全6配置日志务第章................................................................................................................IP协议......................................................................................................................................2

使用SSH密理系统远程管理服务只允特定地址访.....................................................................7第章SNMP安全.2

修通行使用SNMPV2或上版95.1.3问控................................................................................................................第章........................................................................................................................26.1.3

其他安全配置关闭使用.......................................................................................................12登...............................................................................................................12关闭需要.....................................................................................................13第章...........................................................................................................................15第页11页换机安全配基线章述的本文旨指系管人进行H3C交机的安全配置。围本配标准使者包括：网管理、络安全管理、网监人员。本H3C换。施例第页11页安安基线安安安基线安换机安全配基线章、安全要求号默*全基线项目名称全号全基线控、系统理4级分别对应标0说明1、2、3。配录默别问级（0-VISIT）检测操步骤基线符合性判定依注

1、参考配操user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx2充说明无1、判定条件用配置中没有的户名去登录，结是不能录2、参检测操<H3C>displaycurrent-configuration3、补充明。手工查第页11页基线基线换机安全配基线令录安全线项安全基线求项目名称安全号安全基项程端，需要密码才能登录.长度少位，并包数说明字、小字母、大写字和特殊符号四类中少两类。且5内设置相同的令。密码应至每90天行更换检测操步骤基线符合性判定依注

1、参考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassword//或schemeuserprivilegelevel0setauthenticationpasswordcipherxxx2充说明无1、判定条件用配置中没有的户名去登录，结是不能录2、参检测操<H3C>displaycurrent-configuration3、补充明。第页11页基线基线基线基线基线基线换机安全配基线码安全线项安基线要求项目名称安全SBL-H3CSw号安全基项切换到比当前低用级别当使用AUX或VTY户界说明面登，并且低级别高级别换时，需输入级切换密（级别换密码可通过password命令设输入的密码误或者没有配置级别换码，切换作败。因此，进切换操作，先配置级别换密。测操步作骤

<Sysname>system-view[Sysname]superpasswordlevel1cipherpa[Sysname]superpasswordlevel2cipherpa[Sysname]superpasswordlevel3cipherpa基符性判依据备

2、充明无。1、判条件[Sysname]displaycurrent-configuration加密口令安全线项线要求项目名称安全SBL-H3CSw号安全令必须用不可逆加密算法加后保存配置文中。说明检测操作步作骤user-interfaceaux08userprivilegelevel0setauthenticationcipherxxxpassword第页11页换机安全配基线user-interfacevty04userprivilegelevel0setauthenticationcipherxxxpasswordsuperpasswordcipherpassword1superpasswordcipherpassword2superpasswordcipherpassword3基线符合性件判定依据用户加密令在config文件中显的文2.测作displaycurrent-configuration备第页11页安编基线注安编基线注换机安全配基线章求全器安全基项务器安全基线求项目名称全SBL-H3CSwitch-03-01-01号安全基项志功能。所设日志均能过程日志功能输日志说明服务设备应支少通远准接如SYSLOG、FTP等。检测操作步骤基线符性判定依

1、参考配置操作[h3c]info-centerenable[h3c]info-centerxxx2充说明在系统式下进行操作。1.件是正配了相应的志务地址日服器正确记了志息。2.测操作displaycurrent-configuration3.明无。备署场景需启功能，则强要此项。建核心备选其它根据际况用第页11页线安编基线操安编基线线安编基线操安编基线换机安全配基线4章求4.1使用加理安全基项用加管全要项目名称全SBL-H3CSwitch-04-01-01号安全基项IP协议行远维的备备置用SSH加议关说明闭TELNET议。检测步参考配置操作骤线合性定据注

设用面0到持SSH议。[Syuser-interfacevty0[Sysname-ui-vty0-4][Sy0-4]protocolinboundssh2、说明。考测作充明。系服安全基项服务只允许特地访安基要项目名称全SBL-H3CSwitch-04-01-02号第页11页换机安全配基线安全基线项服务、SSH默认接何的，安考说明虑应该只允许定地址访问检操作步骤

1、考配操Aclnumber2000rule1permitsource合性据注

User-interfacevty04acl2000inbound2充说明。1.件通过定acl，成过滤非法的访问2.测作displaycurrent-configuration3.明。第页11页线安编基线基符合安编基线线安编基线基符合安编基线换机安全配基线5章求全修改SNMP认通行字安基项改默认行安基要项目称全SBL-H3CSwitch-05-01-01号安全基项SNMP的Community认字行应符合口令强度要求。说明检操作步作骤

snmp-agentcommunityreadxxxcommunityxx2、充说明无。线定条判定据系统功修改的Community为用户定义口令，非常规private或者并且符合口令度要求。2.操作displaycurrent-configuration3.明无。备使SNMPV或版本安基项版全基要求项目称全SBL-H3CSwitch-05-01-02号第页11页安基线基线安基线基线换机安全配基线安全基线项为SNMPV2或上。说明测步作骤snmp-agentsys-infoversionv32、说明无。基线符合性判定依备

1.件成功能snmpv2c和v3本。2.测操作displaycurrent-configuration3.明无。访问控制安全线项访控制安全基线要求项目名称全itch-05-01-03号安全置SNMP访限制，特定主过SNMP问络设备。说明检测作步作骤合性据备

snmp-agentcommunityreadXXXX01acl20002充说明。1.件通过定acl成功过特定的源才能进行访问。2.操作displaycurrent-configuration3.明无。第页页交机安全配置线第11页共11页基线基线线基线基线线换机安全配基线章求他口安全基线项端安基线求项目名称安全SBL-H3CSwitch-06-01-01号安全基项。说明检测作步作骤基符性判依据备

[HW-Ethernet3/0/0]shutdown2、充明无。1.件未使端口态admindown2.测操作Displayinterface3.明无。帐号登录超时安全线项安全基线求项目名称安全SBL-H3CSwitch-06-01-02号安全基项定时帐号动出，登出用需再次登才进入系统。置时说明间5.第页页操安安基线安基线操安安基线安基线换机安全配基线检测步参考置作骤设超时时间5<Sysname>system-view[Sysname]user-interfaceconsole0//Oruser-interfaceaux08[Sysname-ui-console0]2、补充说明