版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护关闭未使用的管理口项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明 设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。重要等级 高配置指南 1、参考配置操作# interface Ten-GigabitEthernet0/1 /进入端口视图shutdown /执行shutdown命令,关闭端口#检测方法及判定依据 1、符合性判定依据端口关闭,不能使用。2、参考检测方法通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或
2、其他设备没有网卡UP的提示信息。备注 配置console口密码保护项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明 设备应配置console口密码保护重要等级 高配置指南 1、参考配置操作H3Cuser-interface console 0 H3C-ui-console0 authentication-mode password H3C-ui-console0 set authentication password cipher xxxxxxxx检测方法及判定依据 1、 符合性判定依据通过console口,只有输入正确密码才能进入配置试图2
3、、 参考检测方法PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。备注 4.1.2账号与口令避免共享账号项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明 应对不同的用户分配不同的账号,避免不同用户间账号共享。重要等级 中配置指南 1、参考配置操作#local-user user1service-type telnet user privilede level 2#local-user user2service-type ftp user privilede level 3#2、补充
4、操作说明1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写手机号码;2、避免使用h3c、admin等简单易猜的账号名称;检测方法及判定依据 1、符合性判定依据各账号都可以正常使用,不同用户有不同的账号。2、参考检测方法(1)用display current-configuration configuration luser命令查看配置是否正确(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用(3)使用配置中没有的账号无法登录3、补充说明每个账号都有对应的使用人员,确保没有多余账号备注 禁止无关账号项目编号 N
5、OMD-2013-SC-H3C(L3SW)-01-02-02-v1配置说明 应禁止配置与设备运行、维护等工作无关的账号;重要等级 高配置指南 如有无关账号,参考如下配置进行删除#undo local-user username#检测方法及判定依据 1、 符合性判定依据不存在工作无关账号2、 参考检测方法通过display local-user来查看是否存在无关账号备注 管理默认账号与口令项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-03-v1配置说明 应删除或锁定默认或缺省账号与口令。重要等级 高配置指南 #undo local-user username#
6、检测方法及判定依据 1、 符合性判定依据密码强度和策略符合安全要求2、 参考检测方法通过display password来看密码策略通过telnet方式登录设备,输入密码来检测密码安全性备注 口令长度和复杂度项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-04-v1配置说明 对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。);重要等级 高配置指南 1、参考配置操作对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母
7、和特殊符号4类中至少3类,每类多余4个。password-control enablepassword-control length 8password-control composition type-number 3 type-length 4检测方法及判定依据 1、 符合性判定依据密码强度和策略符合安全要求2、 参考检测方法通过display password来看密码策略通过telnet方式登录设备,输入密码来检测密码安全性备注 口令加密项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-05-v1配置说明 静态口令应采用安全可靠的单向散列加密算法(如md5
8、、sha1等)进行加密,并以密文形式存放。如使用enable secret配置Enable密码,不使用enable password配置Enable密码。重要等级 高配置指南 1、参考配置操作#local-user adminpassword cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU#检测方法及判定依据 1、 符合性判定依据密码以密文形式存在设备配置中2、 参考检测方法通过display current-configuration命令查看账号密码以密文形式显示备注 口令变更周期项目编号 NOMD-2013-SC-H3C(L3SW)-
9、01-02-06-v1配置说明 口令定期更改,最长不得超过90天。重要等级 高配置指南 1、参考配置操作对于采用静态口令认证技术的设备,账户口令的生存期不长于90天,提前7天告警。password-control enablepassword-control aging 90password-control alert-before-expire 7检测方法及判定依据 1、 符合性判定依据口令更改周期为90天,提前7天会自动告警2、 参考检测方法通过display password-control来查看密码策略备注 账户锁定策略项目编号 NOMD-2013-SC-H3C(L3SW
10、)-01-02-07-v1配置说明 应为设备配置用户 连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。重要等级 高配置指南 1、参考配置操作password-control login-attempt 5 exceed lock-time 60一般设置为5次。检测方法及判定依据 1、 符合性判定依据账号密码输入连续多次错误,账号被锁定。2、 参考检测方法模拟登录测试,连续输5次密码,该账号被锁定。备注 4.1.3认证使用认证服务器认证项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-01
11、-v1配置说明 设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求。重要等级 中配置指南 1、参考配置操作FW radius scheme rad# 配置主、备认证服务器的IP地址为,认证端口号为1812。FW-radius-rad primary authentication 1812FW-radius-rad secondary authentication 1812# 配置与认证服务器交互报文时的共享密钥为expert。FW-radius-rad key au
12、thentication expert# 配置向RADIUS服务器发送的用户名携带域名。FW-radius-rad user-name-format with-domain# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。FW-radius-rad server-type extendedFW-radius-rad quit# 配置ISP域的AAA方法。FW domain bbbFW-isp-bbb authentication login radius-scheme radFW-isp-bbb quit2、补充操作说明(1)、配
13、置认证方式,可通过radius和本地认证;(2)、0和是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;(3)、port 1812是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;(4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。检测方法及判定依据 1、符合性判定依据(1)、可以正常ping通 Radius服务器的IP地址;(2)、用户可以登录为正常;(3)、如果要让Radius服务器向发送用户授权信息,需要在Radi
14、us服务器上装的字典文件并做相应配置。2、参考检测方法用户发起TELNET连接,在TELNET客户端按照提示输入用户名hellobbb及正确的密码后,可成功进入用户界面,并可以使用级别为0、1、2、3的命令。# 可以通过如下命令查看到AAA用户的连接信息。FW display connectionIndex=1 ,Username=hellobbbIP=8IPv6=N/ATotal 1 connection(s) matched.备注 会话超时配置项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-02-v1配置说明 配置定时账户自动登出。如
15、TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。重要等级 高配置指南 1、参考配置操作#user-interface con 0idle-timeout 5 0user-interface aux 0idle-timeout 5 0user-interface vty 0 4idle-timeout 5 0# save2、补充操作说明以上配置是系统在5分钟没有管理流量就让用户自动退出。超时时间一般设置为5-10分钟。检测方法及判定依据 1、符合性判定依据当闲置时间超时(这里设了5分钟),用户会自动退出设备2、参考检测方法1)、使用display current-confi
16、guration configuration user-interface查看配置结果2)、在终端上用telnet方式登录,输入用户名密码3)、让用户处于空闲状态,查看当时间超时是否自动登出备注 4.1.4授权分级权限控制项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-01-v1配置说明 原则上应采用预定义级别的授权方法,实现对不同用户权限的控制,满足用户最小授权的要求。重要等级 中配置指南 1、参考配置操作#local-user user1service-type telnet user privilede level 2#local-user user2s
17、ervice-type ftp user privilede level 3#检测方法及判定依据 1、符合性判定依据各账号都可以正常使用,且能够输入的命令权限不同2、参考检测方法(1)用display current-configuration configuration luser命令查看配置是否正确(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令备注 利用认证服务器进行权限控制项目编号 NOMD-2013-SC-H3C(L3SW)-01-04-02-v1配置说明 除本地采用预定义级别进行外,设备可通过与认证服务器(RADIUS服务器
18、或TACACS服务器)联动的方式实现对用户的授权。并建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。重要等级 中配置指南 1、参考配置操作FW radius scheme rad# 配置主、备授权服务器的IP地址为,认证端口号为1812。FW-radius-rad primary authentication 1812FW-radius-rad secondary authentication 1812# 配置与授权服务器交互报文时的共享密钥为expert。FW-radius-rad key authentication expe
19、rt# 配置向RADIUS服务器发送的用户名携带域名。FW-radius-rad user-name-format with-domain# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。FW-radius-rad server-type extendedFW-radius-rad quit# 配置ISP域的AAA方法。FW domain bbbFW-isp-bbb authorization login radius-scheme radFW-isp-bbb quit2、Radius服务器向发送用户授权信息,需要在Radius服
20、务器上装字典文件并做相应配置。检测方法及判定依据 1、符合性判定依据(1)、用户可以登录为正常;(2)、用户只能够配置Radius服务器规定的命令2、参考检测方法用户发起TELNET连接,在TELNET客户端按照提示输入用户名hellobbb及正确的密码后,可成功进入用户界面,并可以使用级别为0、1、2、3的命令。# 可以通过如下命令查看到AAA用户的连接信息。FW display connectionIndex=1 ,Username=hellobbbIP=8IPv6=N/ATotal 1 connection(s) matched.备注 授权粒度控制项目
21、编号 NOMD-2013-SC-H3C(L3SW)-01-04-03-v1配置说明 原则上应采用对命令组或命令进行授权的方法,实现对用户权限细粒度的控制的能力,满足用户最小授权的要求。重要等级 中配置指南 1、参考配置操作FW radius scheme rad# 配置主、备授权服务器的IP地址为,认证端口号为1812。FW-radius-rad primary authentication 1812FW-radius-rad secondary authentication 1812# 配置与授权服务器交互报文时的共享密钥为expert。F
22、W-radius-rad key authentication expert# 配置向RADIUS服务器发送的用户名携带域名。FW-radius-rad user-name-format with-domain# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。FW-radius-rad server-type extendedFW-radius-rad quit# 配置ISP域的AAA方法。FW domain bbbFW-isp-bbb authorization login radius-scheme radFW-isp-bbb
23、 quit2、Radius服务器向发送用户授权信息,需要在Radius服务器上装的字典文件并做相应配置。检测方法及判定依据 1、 符合性判定依据通过账号登录测试,每个账号的权限不同2、 参考检测方法通过radius服务器,查看每个账号的权限备注 4.1.5记账记录用户登录日志项目编号 NOMD-2013-SC-H3C(L3SW)-01-05-01-v1配置说明 采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户登录日志的记录和审计。记录和审计范围应包括但不限于:用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户
24、使用的IP地址。重要等级 高配置指南 1、参考配置操作设备缺省就对用户登录实施日志。如果修改了缺省配置不对用户登录实施日志的话,请增加以下配置:#info-center enableinfo-center source default channel logbuffer log level informational state on#save检测方法及判定依据 1、符合性判定依据可以在informational级别日志中查看到用户名、登录时间和源IP等内容。2、参考检测方法(1)使用display current-configuration | begin info-center命令查看配置
25、;(2)在终端上使用tetlnet方式登录,输入用户名密码;(3)使用display logbuffer 命令查看日志。备注 记录用户操作行为日志项目编号 NOMD-2013-SC-H3C(L3SW)-01-05-02-v1配置说明 采用本地或采用与认证服务器 (RADIUS或TACACS服务器)联动(优选方式)的方式,实现对用户操作行为的记录和审计,记录和审计范围应包括但不限于:账号创建、删除和权限修改,口令修改,设备配置修改,执行操作的行为和操作结果等。重要等级 高配置指南 1、参考配置操作缺省就对用户修改配置实施日志。如果修改了缺省配置不对实施日志的话,请增加以下配置:in
26、fo-center source default channel console log level informational state on save2、补充操作说明缺省方式日志输出输出方向的缺省输出规则输出方向 允许输出的模块 LOG TRAP DEBUG 开关 级别 开关 级别 开关 级别控制台 default(所有模块) 开 informational 开 debugging 开 debugging监视终端 default(所有模块) 开 informational 开 debugging 开 debugging日志主机 default(所有模块) 开 informational
27、开 debugging 关 debugging告警缓冲区 default(所有模块) 关 informational 开 informational 关 debugging日志缓冲区 default(所有模块) 开 informational 关 debugging 关 debuggingSNMP模块 default(所有模块) 关 debugging 开 informational 关 debuggingWeb页面 default(所有模块) 开 debugging 开 debugging 关 debugging日志文件 default(所有模块) 开 debugging 开 debuggi
28、ng 关 debugging检测方法及判定依据 1、符合性判定依据可以使用display logbuffer 命令查看日志。2、检测操作(1)使用display current-configuration | begin info-center命令查看配置;(2)在终端上使用tetlnet方式登录,输入用户名密码;(3)使用display logbuffer 命令查看日志。备注 4.1.6远程管理VTY端口防护策略项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-01-v1配置说明 应限制VTY口的数量,通常情况下VTY口数量不超过16个。应设定VTY口的防护策
29、略,避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。(如:网管系统尽量采用snmp方式对设备进行操作,避免使用对设备CPU负载较大的telnet方式。)重要等级 高配置指南 1、 参考配置操作user-interface vty 0 4authentication-mode scheme2、补充操作说明设置访问密码,避免非法访问检测方法及判定依据 1、符合性判定依据对vty口的数量不超过5个,其对起进行了访问限制。2、参考检测方法1) Display current-configuration2) 通过登录测试,只有输入密码才能访问设备超出在线用户数限制,则无法通过vty口访问设备
30、备注 VTY端口访问的认证项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-02-v1配置说明 对于VTY口访问的认证,应采用认证服务器认证或者本地认证的方式,避免使用VTY口下设置密码的方式认证。重要等级 高配置指南 1、参考配置操作user-interface vty 0 4authentication-mode scheme#2、补充操作说明以上配置是对VTY口访问采用服务器认证或本地认证的方式。检测方法及判定依据 1、 符合性判定依据通过telnet登录,只能通过用户名、密码本地或远程登录。2、 参考检测方法登录设备,查看是否需要用户名、密码进行认证。备
31、注 远程主机IP地址段限制项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-03-v1配置说明 应通过ACL限制可远程管理设备的IP地址段重要等级 高配置指南 1、参考配置操作Acl number 2000rule 1 permit source 55rule 2 permit source 2:1 0 /匹配某个地址的用户 -Ipv6User-interface vty 0 4acl 2000 inbound检测方法及判定依据 1、 符合性判定依据通过设定acl,成功过滤非法的访问。2、 参考检测方法display c
32、urrent-configuration 通过模拟账号登录设备,如果不是ACL所允许的IP地址,则无法登录。备注 远程管理通信安全项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-04-v1配置说明 使用SSH或带SSH的telnet等加密的远程管理方式。重要等级 高配置指南 1、参考配置操作# 设置用户界面VTY 0 到VTY 4 支持SSH 协议。 system-view Sysname user-interface vty 0 4 Sysname-ui-vty0-4 authentication-mode scheme Sysname-ui-vty0-4
33、protocol inbound ssh检测方法及判定依据 1、符合性判定依据通过telnet无法登录,只能以SSH方式登录2、参考检测方法通过SSH方式登录设备,成功。Telnet登录,则失败。备注 4.1.7SNMP安全使用SNMP V3版本项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-01-v1配置说明 对于支持SNMP V3版本的设备,必须使用V3版本SNMP协议。重要等级 高配置指南 1、参考配置操作snmp-agent sys-info version v3检测方法及判定依据 1. 符合性判定依据成功使能snmpv2c、和v3版本。2. 参考检测操作display current-configuration备注 访问IP地址范围限制项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-02-v1配置说明 应对发起SNMP访问的源IP地址进行限制,并对设备接收端口进行限制。重要等级 高配置指南 1、参考配置操作snmp-agent community read XXXX acl 2000检测方法及判定依据 1. 符合性判定依据
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025届江苏省扬州市扬州中学物理高三第一学期期末达标检测模拟试题含解析
- 2025届河南省登封市嵩阳高级中学物理高三第一学期期末学业水平测试试题含解析
- 2025届北师大第二附属中学物理高二上期末达标检测试题含解析
- 新疆昌吉回族自治州昌吉州第二中学2025届物理高三上期中质量检测模拟试题含解析
- 2025届东北三省三校高二物理第一学期期末考试试题含解析
- 2025届浙江省宁波市慈溪市三山高级中学等六校物理高三第一学期期中调研试题含解析
- 2025届广东省深圳市龙文教育高三物理第一学期期末检测试题含解析
- 2025届北京市顺义牛栏山一中高二物理第一学期期末调研模拟试题含解析
- 江苏省东台市第一中学2025届物理高二上期末学业质量监测试题含解析
- 2025届甘肃省兰州市兰化一中物理高三上期中学业质量监测模拟试题含解析
- 第五单元测试卷(单元测试)-2024-2025学年六年级上册语文统编版
- 《2023级学生手册》奖、惩资助、文明部分学习通超星期末考试答案章节答案2024年
- 国开2024年秋《机械制图》形考作业1-4答案
- 大学生生涯发展展示 (修改版)
- 义务教育物理课程标准(2022年版)测试题文本版(附答案)
- 大学生职业生涯规划智慧树知到课后章节答案2023年下抚顺职业技术学院
- 《珍爱生命》主题班会
- 桥梁常见病害原因及技术处理方法
- 甲状腺癌 教学课件
- 客房部计划卫生表
- (2021年整理)人教版五年级数学知识点归纳总结
评论
0/150
提交评论