H3C交换机安全配置基线

...wd......wd......wd...H3C交换机安全配置基线版本版本控制信息更新日期更新人审批人V2.0创立2012年4月备注：假设此文档需要日后更新，请创立人填写版本控制表格，否那么删除版本控制表格。目录第1章概述11.1目的11.2适用范围11.3适用版本11.4实施11.5例外条款1第2章帐号管理、认证授权安全要求22.1帐号22.1.1配置默认级别*22.2口令32.2.1密码认证登录32.2.2设置访问级密码42.2.3加密口令4第3章日志安全要求63.1日志安全63.1.1配置远程日志服务器6第4章IP协议安全要求74.1IP协议74.1.1使用SSH加密管理74.1.2系统远程管理服务只允许特定地址访问7第5章SNMP安全要求95.1SNMP安全95.1.1修改SNMP默认通行字95.1.2使用SNMPV2或以上版本95.1.3SNMP访问控制10第6章其他安全要求126.1其他安全配置126.1.1关闭未使用的端口126.1.2帐号登录超时126.1.3关闭不需要的服务*13第7章评审与修订15概述目的本文档旨在指导系统管理人员进展H3C交换机的安全配置。适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。适用版本H3C交换机。实施例外条款帐号管理、认证授权安全要求帐号配置默认级别*安全基线工程名称配置默认级别安全基线要求项安全基线编号SBL-H3CSwitch-02-01-01安全基线项说明交换机命令级别共分为访问、监控、系统、管理4个级别，分别对应标识0、1、2、3。配置登录默认级别为访问级〔0-VISIT〕检测操作步骤1、参考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx2、补充说明无。基线符合性判定依据判定条件用配置中没有的用户名去登录，结果是不能登录参考检测操作<H3C>displaycurrent-configuration补充说明无。备注手工检查口令密码认证登录安全基线工程名称密码认证登录安全基线要求项安全基线编号SBL-H3CSwitch-02-02-01安全基线项说明通过控制台和远程终端，需要密码才能登录.口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置一样的口令。密码应至少每90天进展更换。检测操作步骤1、参考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassword//或authentication-modeschemeuserprivilegelevel0setauthenticationpasswordcipherxxx2、补充说明无。基线符合性判定依据判定条件用配置中没有的用户名去登录，结果是不能登录参考检测操作<H3C>displaycurrent-configuration补充说明无。备注设置访问级密码安全基线工程名称设置访问级密码安全基线要求项安全基线编号SBL-H3CSwitch-02-02-02安全基线项说明用户可以无条件切换到比当前低的用户级别，但是当使用AUX或VTY用户界面登录，并且从低级别往高级别切换时，需要输入级别切换密码〔级别切换密码可以通过superpassword命令设置〕。如果输入的密码错误或者没有配置级别切换密码，切换操作失败。因此，在进展切换操作前，请先配置级别切换密码。检测操作步骤1、参考配置操作<Sysname>system-view

[Sysname]superpasswordlevel1cipherpassword1[Sysname]superpasswordlevel2cipherpassword2[Sysname]superpasswordlevel3cipherpassword32、补充说明无。基线符合性判定依据判定条件[Sysname]displaycurrent-configuration备注加密口令安全基线工程名称加密口令安全基线要求项安全基线编号SBL-H3CSwitch-02-02-03安全基线项说明静态口令必须使用不可逆加密算法加密后保存于配置文件中。检测操作步骤1、参考配置操作user-interfaceaux08userprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04userprivilegelevel0setauthenticationpasswordcipherxxxsuperpasswordlevel1cipherpassword1superpasswordlevel2cipherpassword2superpasswordlevel3cipherpassword3基线符合性判定依据判定条件用户的加密口令在config文件中显示的密文。参考检测操作displaycurrent-configuration备注日志安全要求日志安全配置远程日志服务器安全基线工程名称配置远程日志服务器安全基线要求项安全基线编号SBL-H3CSwitch-03-01-01安全基线项说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤1、参考配置操作[h3c]info-centerenable[h3c]info-centerloghostxxxxxchannelloghost2、补充说明在系统模式下进展操作。基线符合性判定依据判定条件是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。参考检测操作displaycurrent-configuration补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，那么强制要求此项。建议核心设备必选，其它根据实际情况启用IP协议安全要求IP协议使用SSH加密管理安全基线工程名称使用SSH加密管理安全基线要求项安全基线编号SBL-H3CSwitch-04-01-01安全基线项说明对于使用IP协议进展远程维护的设备，设备应配置使用SSH等加密协议，关闭TELNET协议。检测操作步骤参考配置操作#设置用户界面VTY0到VTY4支持SSH协议。

<Sysname>system-view

[Sysname]user-interfacevty04

[Sysname-ui-vty0-4]authentication-modescheme

[Sysname-ui-vty0-4]protocolinboundssh2、补充说明无。基线符合性判定依据参考检测操作补充说明无。备注系统远程管理服务只允许特定地址访问安全基线工程名称系统远程管理服务只允许特定地址访问安全基线要求项安全基线编号SBL-H3CSwitch-04-01-02安全基线项说明系统远程管理服务TELNET、SSH默认可以承受任何地址的连接，出于安全考虑，应该只允许特定地址访问。检测操作步骤1、参考配置操作Aclnumber2000rule1permitsource55User-interfacevty04acl2000inbound2、补充说明无。基线符合性判定依据判定条件通过设定acl，成功过滤非法的访问。参考检测操作displaycurrent-configuration补充说明无。备注SNMP安全要求SNMP安全修改SNMP默认通行字安全基线工程名称修改SNMP默认通行字安全基线要求项安全基线编号SBL-H3CSwitch-05-01-01安全基线项说明系统应修改SNMP的Community默认通行字，通行字应符合口令强度要求。检测操作步骤1、参考配置操作snmp-agentcommunityreadxxxsnmp-agentcommunitywritexxxx2、补充说明无。基线符合性判定依据判定条件系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。参考检测操作displaycurrent-configuration补充说明无。备注使用SNMPV2或以上版本安全基线工程名称SNMP版本安全基线要求项安全基线编号SBL-H3CSwitch-05-01-02安全基线项说明系统应配置为SNMPV2或以上版本。检测操作步骤1、参考配置操作snmp-agentsys-infoversionv32、补充说明无。基线符合性判定依据判定条件成功使能snmpv2c、和v3版本。参考检测操作displaycurrent-configuration补充说明无。备注SNMP访问控制安全基线工程名称SNMP访问控制安全基线要求项安全基线编号SBL-H3CSwitch-05-01-03安全基线项说明设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。检测操作步骤1、参考配置操作snmp-agentcommunityreadXXXX01acl20002、补充说明无。基线符合性判定依据判定条件通过设定acl来成功过滤特定的源才能进展访问。参考检测操作displaycurrent-configuration补充说明无。备注其他安全要求其他安全配置关闭未使用的端口安全基线工程名称关闭未使用的端口安全基线要求项安全基线编号SBL-H3CSwitch-06-01-01安全基线项说明关闭未使用的端口。检测操作步骤1、参考配置操作[HW-Ethernet3/0/0]shutdown2、补充说明无。基线符合性判定依据判定条件未使用端口状态为admindown。参考检测操作Displayinterface补充说明无。备注帐号登录超时安全基线工程名称帐号登录超时安全基线要求项安全基线编号SBL-H3CSwitch-06-01-02安全基线项说明配置定时帐号自动登出，登出后用户需再次登录才能进入系统。设置超时时间为5分钟.检测操作步骤参考配置操作设置超时时间为5分钟<Sysname>system-view[Sysname]user-interfaceconsole0//Oruser-interfaceaux08[Sysname-ui-console0]idle-timeout502、补充说明无。基线符合性判定依据判定条件在超出设定时间后，用户自动登出设备。参考检测操作displaycurrent-configurationconfiguration