H3C交換機(jī)安全配置基線

H3C交換機(jī)安全配置基線

版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 11.1 目的 11.2 適用范圍 11.3 適用版本 11.4 實(shí)施 11.5 例外條款 1第2章 帳號(hào)管理、認(rèn)證授權(quán)安全要求 22.1 22.1.1 配置默認(rèn)級(jí)別* 22.2 口令 32.2.1 密碼認(rèn)證登錄 32.2.2 設(shè)置訪問(wèn)級(jí)密碼 42.2.3 加密口令 4第3章 日志安全要求 63.1 日志安全 63.1.1 配置遠(yuǎn)程日志服務(wù)器 6第4章 IP協(xié)議安全要求 74.1 IP協(xié)議 74.1.1 使用SSH加密管理 74.1.2 系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn) 7第5章 SNMP安全要求 95.1 SNMP安全 95.1.1 修改SNMP默認(rèn)通行字 95.1.2 使用SNMPV2或以上版本 95.1.3 SNMP訪問(wèn)控制 10第6章 其他安全要求 126.1 其他安全配置 126.1.1 關(guān)閉未使用的端口 126.1.2 帳號(hào)登錄超時(shí) 126.1.3 關(guān)閉不需要的服務(wù)* 13第7章 評(píng)審與修訂 15概述目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行H3C交換機(jī)的安全配置。適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本H3C交換機(jī)。實(shí)施例外條款帳號(hào)管理、認(rèn)證授權(quán)安全要求配置默認(rèn)級(jí)別*安全基線項(xiàng)目名稱配置默認(rèn)級(jí)別安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-01-01安全基線項(xiàng)說(shuō)明交換機(jī)命令級(jí)別共分為訪問(wèn)、監(jiān)控、系統(tǒng)、管理4個(gè)級(jí)別，分別對(duì)應(yīng)標(biāo)識(shí)0、1、2、3。配置登錄默認(rèn)級(jí)別為訪問(wèn)級(jí)（0-VISIT）檢測(cè)操作步驟1、參考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx2、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件用配置中沒(méi)有的用戶名去登錄，結(jié)果是不能登錄參考檢測(cè)操作<H3C>displaycurrent-configuration補(bǔ)充說(shuō)明無(wú)。備注手工檢查口令密碼認(rèn)證登錄安全基線項(xiàng)目名稱密碼認(rèn)證登錄安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-01安全基線項(xiàng)說(shuō)明通過(guò)控制臺(tái)和遠(yuǎn)程終端，需要密碼才能登錄.口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟1、參考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassword//或authentication-modeschemeuserprivilegelevel0setauthenticationpasswordcipherxxx2、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件用配置中沒(méi)有的用戶名去登錄，結(jié)果是不能登錄參考檢測(cè)操作<H3C>displaycurrent-configuration補(bǔ)充說(shuō)明無(wú)。備注設(shè)置訪問(wèn)級(jí)密碼安全基線項(xiàng)目名稱設(shè)置訪問(wèn)級(jí)密碼安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-02安全基線項(xiàng)說(shuō)明用戶可以無(wú)條件切換到比當(dāng)前低的用戶級(jí)別，但是當(dāng)使用AUX或VTY用戶界面登錄，并且從低級(jí)別往高級(jí)別切換時(shí)，需要輸入級(jí)別切換密碼（級(jí)別切換密碼可以通過(guò)superpassword命令設(shè)置）。如果輸入的密碼錯(cuò)誤或者沒(méi)有配置級(jí)別切換密碼，切換操作失敗。因此，在進(jìn)行切換操作前，請(qǐng)先配置級(jí)別切換密碼。檢測(cè)操作步驟1、參考配置操作<Sysname>system-view

[Sysname]superpasswordlevel1cipherpassword1[Sysname]superpasswordlevel2cipherpassword2[Sysname]superpasswordlevel3cipherpassword32、補(bǔ)充說(shuō)明無(wú)。基線符合性判定依據(jù)判定條件[Sysname]displaycurrent-configuration備注加密口令安全基線項(xiàng)目名稱加密口令安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-02-02-03安全基線項(xiàng)說(shuō)明靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測(cè)操作步驟1、參考配置操作user-interfaceaux08userprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04userprivilegelevel0setauthenticationpasswordcipherxxxsuperpasswordlevel1cipherpassword1superpasswordlevel2cipherpassword2superpasswordlevel3cipherpassword3基線符合性判定依據(jù)判定條件用戶的加密口令在config文件中顯示的密文。參考檢測(cè)操作displaycurrent-configuration備注

日志安全要求日志安全配置遠(yuǎn)程日志服務(wù)器安全基線項(xiàng)目名稱配置遠(yuǎn)程日志服務(wù)器安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-03-01-01安全基線項(xiàng)說(shuō)明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測(cè)操作步驟1、參考配置操作[h3c]info-centerenable[h3c]info-centerloghostxxxxxchannelloghost2、補(bǔ)充說(shuō)明在系統(tǒng)模式下進(jìn)行操作?；€符合性判定依據(jù)判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，日志服務(wù)器正確記錄了日志信息。參考檢測(cè)操作displaycurrent-configuration補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。建議核心設(shè)備必選，其它根據(jù)實(shí)際情況啟用

IP協(xié)議安全要求IP協(xié)議使用SSH加密管理安全基線項(xiàng)目名稱使用SSH加密管理安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-04-01-01安全基線項(xiàng)說(shuō)明對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議，關(guān)閉TELNET協(xié)議。檢測(cè)操作步驟參考配置操作#設(shè)置用戶界面VTY0到VTY4支持SSH協(xié)議。

<Sysname>system-view

[Sysname]user-interfacevty04

[Sysname-ui-vty0-4]authentication-modescheme

[Sysname-ui-vty0-4]protocolinboundssh2、補(bǔ)充說(shuō)明無(wú)。基線符合性判定依據(jù)參考檢測(cè)操作補(bǔ)充說(shuō)明無(wú)。備注系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn)安全基線項(xiàng)目名稱系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問(wèn)安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-04-01-02安全基線項(xiàng)說(shuō)明系統(tǒng)遠(yuǎn)程管理服務(wù)TELNET、SSH默認(rèn)可以接受任何地址的連接，出于安全考慮，應(yīng)該只允許特定地址訪問(wèn)。檢測(cè)操作步驟1、參考配置操作Aclnumber2000rule1permitsource55User-interfacevty04acl2000inbound2、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件通過(guò)設(shè)定acl，成功過(guò)濾非法的訪問(wèn)。參考檢測(cè)操作displaycurrent-configuration補(bǔ)充說(shuō)明無(wú)。備注

SNMP安全要求SNMP安全修改SNMP默認(rèn)通行字安全基線項(xiàng)目名稱修改SNMP默認(rèn)通行字安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-01安全基線項(xiàng)說(shuō)明系統(tǒng)應(yīng)修改SNMP的Community默認(rèn)通行字，通行字應(yīng)符合口令強(qiáng)度要求。檢測(cè)操作步驟1、參考配置操作snmp-agentcommunityreadxxxsnmp-agentcommunitywritexxxx2、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件系統(tǒng)成功修改SNMP的Community為用戶定義口令，非常規(guī)private或者public，并且符合口令強(qiáng)度要求。參考檢測(cè)操作displaycurrent-configuration補(bǔ)充說(shuō)明無(wú)。備注使用SNMPV2或以上版本安全基線項(xiàng)目名稱SNMP版本安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-02安全基線項(xiàng)說(shuō)明系統(tǒng)應(yīng)配置為SNMPV2或以上版本。檢測(cè)操作步驟1、參考配置操作snmp-agentsys-infoversionv32、補(bǔ)充說(shuō)明無(wú)?；€符合性判定依據(jù)判定條件成功使能snmpv2c、和v3版本。參考檢測(cè)操作displaycurrent-configuration補(bǔ)充說(shuō)明無(wú)。備注SNMP訪問(wèn)控制安全基線項(xiàng)目名稱SNMP訪問(wèn)控制安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-05-01-03安全基線項(xiàng)說(shuō)明設(shè)置SNMP訪問(wèn)安全限制，只允許特定主機(jī)通過(guò)SNMP訪問(wèn)網(wǎng)絡(luò)設(shè)備。檢測(cè)操作步驟1、參考配置操作snmp-agentcommunityreadXXXX01acl20002、補(bǔ)充說(shuō)明無(wú)。基線符合性判定依據(jù)判定條件通過(guò)設(shè)定acl來(lái)成功過(guò)濾特定的源才能進(jìn)行訪問(wèn)。參考檢測(cè)操作displaycurrent-configuration補(bǔ)充說(shuō)明無(wú)。備注

其他安全要求其他安全配置關(guān)閉未使用的端口安全基線項(xiàng)目名稱關(guān)閉未使用的端口安全基線要求項(xiàng)安全基線編號(hào)SBL-H3CSwitch-06-01-01安全基線項(xiàng)說(shuō)明關(guān)閉未使用的端口。檢測(cè)操作步驟1、參考配置操作[HW-Et