Huawei路由安全配置基線

Huawei路由器安全配置基線

版本版本控制信息更新日期更新人審批人

V1.0創(chuàng)建2009年1月

V2.0更新2012年4月

備注：

1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。

目錄

第1章概述.....................................................................5

1.1目的.....................................................................5

1.2目的.....................................................................5

1.3適用范圍................................................................5

1.4適用版本................................................................5

1.5實施....................................................................5

1.6例外條款................................................................5

第2章華為路由其設備配置安全要求...............................................6

2.1帳號管理.................................................................6

2.1.1用戶帳號分配*...........................................................6

2.1.2刪除無關的帳號*.........................................................7

2.1.3限制具備管理員權限的用戶遠程登錄.......................................7

2.2口令.....................................................................8

2.2.1口令復雜度...............................................................8

2.2.2靜態(tài)口令加密保存........................................................9

2.2.3根據(jù)用戶的業(yè)務需要配置其所需最小權限.................................10

2.2.4帳號、口令和授權的強制要求............................................11

第3章日志配置...............................................................13

3.1日志配置................................................................13

3.1.1記錄用戶操作...........................................................13

3.1.2記錄設備的安全事件.....................................................14

3.1.3遠程日志功能...........................................................14

3.1.4保證日志功能記錄的時間準確性..........................................15

3.1.5日志記錄內(nèi)容要求.......................................................16

第4章IP協(xié)議................................................................17

4.1IP協(xié)議..................................................................17

4.1.1遠程維護的設備配置加密協(xié)議............................................17

4.1.2動態(tài)路由協(xié)議口令要求配置MD5加魁....................................18

4.1.3制定路由策略...........................................................19

4.1.4關閉未使用的SNMP協(xié)議及未使用出N權限...............................20

4.1.5Community默認通行字應符合口令強度要求..................................20

4.1.6配置SNMPV2或以上版本................................................21

4.1.7SNMP訪問安全限制........................................................22

4.1.8ACL配置..................................................................22

4.1.9配置URPF.............................................................24

4.1.10打開LDP協(xié)議認證功能*.................................................24

第5章其他配置................................................................26

5.1其他配置................................................................26

5.1.1關閉未使用的端口*......................................................26

5.1.2配置定時賬戶自動登出..................................................26

5.1.3配置consol口密碼保護功能.....................................................................................27

5.1.4關閉網(wǎng)絡設備不必要的服務*.............................................28

5.1.5系統(tǒng)遠程管理服務只允許特定地址訪問....................................28

5.1.6端口與實際應用相符*..............................................................................................29

5.1.7防ARP欺騙攻擊.........................................................30

第6章評審與修訂.............................................................31

第1章概述

1.1目的

1.2目的

本文檔旨在指導系統(tǒng)管理人員進行Huawei路山器的安全配置。

1.3適用范圍

本配置標準的使用者包括：網(wǎng)絡管理員、網(wǎng)絡安全管理員、網(wǎng)絡監(jiān)控人員。

1.4適用版本

Huawei路由器。

1.5實施

1.6例外條款

第2章華為路由其設備配置安全要求

2.1帳號管理

2.1.1用戶帳號分配*

安全基線項用戶帳號分配安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-02-01-01

號

安全基線項應按照用戶分配帳號。避免不同用戶間共享帳號。避免用戶帳號和設備間通

說明

信使用的帳號共享。

檢測操作步

驟

1、參考配置操作

aaa

local-useruserlpasswordcipherPWD1

local-useruserlservice-typetelnet

local-useruser2passwordcipherPWD2

local-useruser2service-typeftp

n

user-interfacevty04

authentication-modeaaa

2、補充說明

無。

基線符合性

判定依據(jù)

1、判定條件

用配置中沒有的用戶名去登錄，結果是不能登錄

2、參考檢測操作

displaycurrent-configurationconfigurationaaa?

3、補充說明

無。

備注需要手工檢查，由管理員確認帳號分配關系。

2.1.2刪除無關的帳號*

安全基線項工作無關的帳號安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-02-01-02

號

安全基線項應刪除與設備運行、維護等工作無關的帳號

說明

檢測操作步

驟

1、參考配置操作

aaa

undolocal-usertest

2、補充說明

無。

基線符合性

判定依據(jù)

1、判定條件

配置中用戶信息被刪除。

2、參考檢測操作

displaycurrent-configurationconfigurationaaa

3、補充說明

無。

備注需要手工檢查，由管理員判斷是否存在無關帳號

2.1.3限制具備管理員權限的用戶遠程登錄

安全基線項限制具備管理員權限的用戶遠程登錄安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-02-01-03

號

安全基線項限制具備管理員權限的用戶遠程登錄。遠程執(zhí)行管理員權限操作，應先以普

說明

通權限用戶遠程登錄后，再切換到管理員權限帳號后執(zhí)行相應操作。

檢測操作步

驟

1、參考配置操作

superpasswordlevel3ciphersuperPWD

aaa

local-useruserlpasswordcipherPWD1

local-useruserlservice-typetelnet

local-useruserllevel2

#

user-interfacevty04

authentication-modeaaa

2、補充說明

無。

基線符合性

判定依據(jù)

1、判定條件

用戶用相應的操作權限登錄設備后，不具有最高權限級別3,這時有些操作

不能做，例如修改aaa的配置。這時如果想使用管理員權限必須提高用戶級

別。

2、參考檢測操作

displaycurrent-configurationconfigurationaaa

3、補充說明

無。

備注

2.2口令

2.2.1口令復雜度

安全基線項靜態(tài)口令長度安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-02-02-01

號

安全基線項對于采用靜態(tài)口令認證技術的設備，口令長度至少8位，并包括數(shù)字、小寫

說明

字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設置相同的口

令。密碼應至少每90天進行更換。

檢測操作步

驟

1、參考配置操作

aaa

local-useruserlpasswordcipherNumABC%$

2、補充說明

無。

基線符合性

判定依據(jù)

1、判定條件

查看用戶的口令長度是否至少8位，并包括數(shù)字、小寫字母、大寫字母和特

殊符號4類中至少2類。

對于加密的口令，通過登陸檢測。

2、參考檢測操作

displaycurrent-configurationconfigurationaaa

3、補充說明

無。

備注

2.2.2靜態(tài)口令加密保存

安全基線項靜態(tài)口令加密保存安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-02-02-02

號

安全基線項靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。

說明

檢測操作步

驟

1、參考配置操作

superpasswordlevel3cipherNC55QK<=/Q=QMAF4<1!!

local-user8011passwordcipherNC55QK<=/Q-QMAF4<1!!

2、補充說明

無。

基線符合性

判定依據(jù)

1.判定條件

用戶的加密口令在buildrun中顯示的密文。

2.參考檢測操作

displaycurrent-configurationconfigurationaaa

3.補充說明

無。

備注

2.2.3根據(jù)用戶的業(yè)務需要配置其所需最小權限

安全基線項根據(jù)用戶的業(yè)務需要配置其所需最小權限安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-02-02-03

號

安全基線項在設備權限配置能力內(nèi)，根據(jù)用戶的'也務需要，配置其所需的最小權限

說明

檢測操作步

驟

1、參考配置操作

aaa

local-user8011passwordcipher8011

local-user8011service-typetelnet

local-user8011level0

#

user-interfacevty04

authentication-modeaaa

2、補充說明

無。

基線符合性

判定依據(jù)

1.判定條件

查看所有用戶的級別都配置為其所需的最小權限。

1.參考檢測操作

displaycurrent-configurationconfigurationaaa

2.補充說明

無。

備注

2.2.4帳號、口令和授權的強制要求

安全基線項帳號、U令和授權的強制要求安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-02-02-04

號

安全基線項

說明

設備通過相關參數(shù)配置，與認證系統(tǒng)聯(lián)動，滿足帳號、口令和授權的強制要

求。

檢測操作步

驟

1、參考配置操作

#對遠程登錄用戶先用RADIUS服務器進行認證，如果沒有響應，則不認證。

#認證服務器IP地址為129.7.66.66,無備用服務器，端口號為默認值地12。

#配置RADIUS服務器模板。

[Router]radius-servertemplateshiva

#配置RADIUS認證服務器IP地址和端口。

[Router-radius-shiva]radius-serverauthentication129.7.66.661812

#配置RADIUS服務器密鑰、重傳次數(shù)。

[Router-radius-shiva]radius-servershared-keyit-is-my-secret

[Router-radius-shiva]radius-serverretransmit2

[Router-radius-shiva]quit

#進入AAA視圖。

[Router]aaa

#配置認證方案r-n,認證方法為先RADIUS,如果沒有響應，則不認證。

[Router-aaa]authentication-schemer-n

[Router-aaa-authen-r-n]authentication-moderadiusnone

[Router-aaa-authen-r-n]quit

#配置default域，在域下采用r-n認證方案、缺省的計費方案（不計費），

shiva的RADIUS模板。

[Router-aaa]domaindefault

[Router-aaa-domain-default]authentication-schemer-n

[Router-aaa-domain-default]radius-servershiva

2、補充說明

無。

基線符合性

判定依據(jù)

1.判定條件

對遠程登陸用戶先用RADIUS服務器進行認證，非法用戶不可以登錄。

2.參考檢測操作

displaycurrent-configuration

3.補充說明

無。

備注

第3章日志配置

3.1日志配置

3.1.1記錄用戶操作

安全基線項記錄用戶操作安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-03-01-01

號

安全基線項設備應配置口志功能，記錄用戶對設備的操作。例如：帳號創(chuàng)建、刪除和權

說明

限修改，口令修改，讀取和修改設備配置，讀取和修改業(yè)務用戶的計費數(shù)據(jù)、

身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶帳號，操作時間，操作內(nèi)

容以及操作結果。

檢測操作步

驟

1、參考配置操作

info-centerlogbufferchannel4

2、補充說明

在系統(tǒng)模式下進行操作。

基線符合性

判定依據(jù)

1.判定條件

對設備的操作會記錄在日志中?

2.參考檢測操作

displaylogbuffer

3.補充說明

無。

備注

3.1.2記錄設備的安全事件

安全基線項記錄設備的安全事件安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-03-01-02

號

安全基線項設備應配置日志功能，記錄對與設備相關的安全事件

說明

檢測操作步

驟

1、參考配置操作

info-centerenable

2、補充說明

在系統(tǒng)模式下進行操作。

基線符合性

判定依據(jù)

1.判定條件

在日志緩存上正確記錄了日志信息。

2.參考檢測操作

displaylogbuffer

3.補充說明

無。

備注

3.1.3遠程日志功能

安全基線項遠程II志功能安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-03-01-03

號

安全基線項設備應支持遠程日志功能。所有設備日志均能通過遠程日志功能傳輸?shù)饺罩?/p>

說明

服務器。設備應支持至少一種通用的遠程標準II志接口，如SYSLOG.FTP

等

檢測操作步

驟

1、參考配置操作

info-centerloghost202.38.1.10facilitylocal4languageenglish

2、補充說明

在系統(tǒng)模式下進行操作。

基線符合性

判定依據(jù)

1.判定條件

是否正確配置了相應的日志服務器地址，日志服務器正確記錄了日志信息。

2.參考檢測操作

displaycurrent-configuration

3.補充說明

無。

備注建議核心設備必選，其它根據(jù)實際情況啟用

3.1.4保證日志功能記錄的時間準確性

安全基線項保證11志功能記錄的時間準確性安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-03-01-04

號

安全基線項開啟NTP服務，保證11志功能記錄的時間的準確性。

說明

路由器與NTPSERVER之間要開啟認證功能。

檢測操作步

驟

1,參考配置操作

ntp-serviceauthentication-keyid1authentication-modemd5

N'C55QK〈'=/Q—Q'MAF4＜：1!!

ntp-serviceunicast-serverauthentication-keyid1

2、補充說明

在系統(tǒng)模式下進行操作。

基線符合性

判定依據(jù)

1.判定條件

本地時鐘與時鐘源同步。

2.參考檢測操作

dispntp-servicestatus

3.補充說明

無。

備注

3.1.5日志記錄內(nèi)容要求

安全基線項II志記錄內(nèi)容安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-03-01-05

號

安全基線項設備應配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的

說明

帳號，登錄是否成功，登錄時間，以及遠程登錄時.，用戶使用的IP地址。

檢測操作步1、參考配置操作

驟

info-centerconsolechannel0

2、補充說明

無。

基線符合性1.判定條件

判定依據(jù)

在日志緩存上正確記錄了日志信息。

2.參考檢測操作

displaylogbuffer

3.補充說明

無。

備注

第4章IP協(xié)議

4.1IP協(xié)議

4.1.1遠程維護的設備配置加密協(xié)議

安全基線項遠程維護的設備配置加密協(xié)議安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-01

號

安全基線項對于使用IP協(xié)議進行遠程維護的設備，設備應配置使用SSH等加密協(xié)議。

說明

檢測操作步

驟

1、參考配置操作

#rsapeer-public-keyquidway002

public-key-codebegin

308186028180739A291ABDA704F5D93DC8FDF84C427463199

1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9

C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0

E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F

E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8

28D55A36F1CDDC4BB45504E020125

public-key-codeend

peer-public-keyend

#

aaa

local-userclientOOlpasswordsimplehuawei

local-userclient002passwordsimplequidway

authentication-schemedefault

n

authorization-schemedefault

#

accounting-schemedefault

domaindefault

#

sshuserclient002assignrsa-keyquidway002

sshuserclientOOlauthentication-typepassword

sshuserclient002authentication-typeRSA

#

user-interfacecon0

user-interfacevty04

authentication-modeaaa

protocolinboundssh

#

2、補充說明

無。

基線符合性

判定依據(jù)1.判定條件

通過抓包確定ssh登錄的信息為加密信息。

2.參考檢測操作

dispcurrent-configurationbeginssh

3.補充說明

無。

備注

4.1.2動態(tài)路由協(xié)議口令要求配置MD5加密*

安全基線項

動態(tài)路由協(xié)議口令要求配置MD5加密安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-02

號

安全基線項

動態(tài)路由協(xié)議口令要求配置MD5加密。

說明

檢測操作步

驟

1、參考配置操作

ospf2

area0.0.0.0

authentication-modemd51cipherN'C55QK<=/Q=QMAF4<1!!

2、補充說明

無。

基線符合性

判定依據(jù)

1.判定條件

Md5驗證不通過的ospf鄰居建乂部不成功。

2.參考檢測操作

displaycurrent-configurationconfigurationospf

3.補充說明

無。

備注手工檢查

4.1.3制定路由策略

安全基線項制定路山策略安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-03

號

安全基線項制定路由策略，禁止發(fā)布或接收不安全的路由信息

說明

檢測操作步

驟

1、參考配置操作

aclnumber2000

rule5permitsource0

route-policyddpermitnode0

if-matchacl2000

ospf2

area0.0.0.0

authentication-modemd51cipherNC55QK<=/Q=QMAF4<1!!

filterroute-policyddimport

2、補充說明

無。

基線符合性

判定依據(jù)

1.判定條件

被禁止接收和發(fā)布的路由成功。

2.參考檢測操作

displaycurrent-configurationconfigurationospf

displayroute-policy

3.補充說明

無。

備注

4.1.4關閉未使用的SNMP協(xié)議及未使用RW權限

安全基線項

關閉未使用的SNMP協(xié)議及未使用RW權限安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-04

號

安全基線項

系統(tǒng)應關閉未使用的SNMP協(xié)議及未使用RW權限

說明

檢測操作步

驟

1、參考配置操作

Undosnmpenable

undosnmp-agentcommunityRWuser

2、補充說明

無。

基線符合性

判定依據(jù)1.判定條件

關閉snmp的設備不能被網(wǎng)管檢測到，關閉寫權限的設備不能進行set操作。

2.參考檢測操作

displaycurrent-configuration

3.補充說明

無。

備注

4.1.5Community默認通行字應符合口令強度要求

安全基線項SNMP的Community默認通行字應符合口令強度要求安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-05

號

安全基線項

系統(tǒng)應修改SNMP的Community默認通行字，通行字應符合U令強度要求

說明

檢測操作步

驟

1、參考配置操作

snmp-agentcommunityreadXXXX01

2、補充說明

無。

基線符合性

判定依據(jù)1.判定條件

系統(tǒng)成功修改SNMP的Community為用戶定義口令，非常規(guī)private或者

public,并且符合口令強度要求。

2.參考檢測操作

displaycurrent-configuration

3.補充說明

無。

備注

4.1.6配置SNMPV2或以上版本

安全基線項

配置SNMPV2或以上版本安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-06

號

安全基線項

系統(tǒng)應配置為SNMPV2或以匕版本。

說明

檢測操作步

驟

1、參考配置操作

snmp-agentsys-infoversionv3

2、補充說明

無。

基線符合性

判定依據(jù)1.判定條件

成功使能snmpv2c＞和v3版本。

2.參考檢測操作

displaycurrent-configuration

3.補充說明

無。

備注

4.1.7SNMP訪問安全限制

安全基線項

設置SNMP訪問安全限制安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-07

號

安全基線項設置SNMP訪問安全限制，只允許特定主機通過SNMP訪問網(wǎng)絡設備

說明

檢測操作步

驟

1、參考配置操作

snmp-agentcommunityreadXXXX01acl2000

2、補充說明

無。

基線符合性

判定依據(jù)

1.判定條件

通過設定acl來成功過濾特定的源才能進行訪問.

2.參考檢測操作

displaycurrent-configuration

3.補充說明

無。

備注

4.1.8ACL配置

安全基線項通過ACL配置對常見的漏洞攻擊及病毒報文進行過濾安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-08

號

安全基線項通過ACL配置對常見的漏洞攻擊及病毒報文進行過濾。

說明

檢測操作步1、參考配置操作

驟

aclnumber20000

ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0

source-porteqftp-datadestination-porteq30

trafficclassifierdd

if-matchacl20000

trafficbehaviordd

deny

trafficpolicydd

classifierddbehaviorddprecedence0

interfaceGigabitEthernet4/0/0

undoshutdown

ipaddress4.4.4.4255.255.255.0

traffic-policyddinbound

2、補充說明

如下配置為常見病毒防御

Aclnumber100

##用于控制Blaster蠕蟲的傳播

rule1denytcpsourceanydestionanydestinationeq4444

rule2denyudpsourceanydestionanydestinationeq69

##用于控制Blaster蠕蟲的掃描和攻擊

rule3denytcpsourceanydestionanydestinationeq135

rule4denyudpsourceanydestionanydestinationeq135

rule5denytcpsourceanydestionanydestinationeq139

rule6denyudpsourceanydestionanydestinationeq139

rule7denytcpsourceanydestionanydestinationeq445

rule8denyudpsourceanydestionanydestinationeq445

rule9denytcpsourceanydestionanydestinationeq593

rule10denyudpsourceanydestionanydestinationeq593

##用于控制Slammer蠕蟲的傳播

rule11denyudpsourceanydestionanydestinationeq1434

##用于控制震蕩波的傳播

rule12denytcpsourceanydestinationanydestination-porteq5554

rule13denytcpsourceanydestinationanydestination-porteq9995

rule14denytcpsourceanydestinationanydestination-porteq9996

##其他

rule15denyudpdestination-porteqnetbios-ns

rule16denyudpdestination-porteqnetbios-dgm

基線符合性1.判定條件

判定依據(jù)

存在攻擊流時，非法報文被過濾。

2.參考檢測操作

displaytrafficpolic

3.補充說明

無。

備注

4.1.9配置URPF

安全基線項

配置URPF防止基于源地址欺騙的網(wǎng)絡攻擊行為安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-09

號

安全基線項條件允許情況下，端口配置URPF(UnicastReversePathForwarding),即單

說明

播反向路徑查找，其主要功能是防止基于源地址欺騙的網(wǎng)絡攻擊行為。

檢測操作步1、參考配置操作

驟

interfaceGigabitEthernet4/0/l

undoshutdown

ipaddress172.136.1.1255.255.255.0

ipurpfstrict

2、補充說明

接口模式下操作。

基線符合性1.判定條件

判定依據(jù)

非法攻擊報文被成功過濾。

2.參考檢測操作

displaycurrent-configurationinterface

3.補充說明

無。

備注

4.1.10打開LDP協(xié)議認證功能*

安全基線項

打開LDP協(xié)議認證功能安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-04-01-10

號

安全基線項啟用LDP標簽分發(fā)協(xié)議時，打開LDP協(xié)議認證功能，如MD5加密，確保與

說明

可信方進行LDP協(xié)議交互。

檢測操作步1、參考配置操作

驟

MplsIdp

md5-passwordchiperLDPpwdMd5

2、補充說明

無。

基線符合性1.判定條件

判定依據(jù)

認證不匹配的Idp鄰居不能成功建立。

2.參考檢測操作

displaycurrent-configurationconfigurationmpls

3.補充說明

無。

備注根據(jù)應用場景的不同，如部署場景需開啟此功能，則強制要求此項。

第5章其他配置

5.1其他配置

5.1.1關閉未使用的端口*

安全基線項關閉未使用的端口安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-05-01-01

號

安全基線項關閉未使用的端口

說明

檢測操作步

驟

1、參考配置操作

[HW-Ethernet3/0/0]shutdown

2、補充說明

無。

基線符合性

判定依據(jù)1.判定條件

未使用端口狀態(tài)為admindown。

2.參考檢測操作

Displayinterface

3.補充說明

無。

備注手工檢查

5.1.2配置定時賬戶自動登出

安全基線項配置定時賬戶自動登出安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-05-01-02

號

安全基線項配置定時賬戶自動登出，登出后用戶需再次登錄才能進入系統(tǒng)。

說明

檢測操作步

驟

1、參考配置操作

user-interfacevty04

idle-timeout50

user-interfacecon0

idle-timeout50

2、補充說明

無。

基線符合性

判定依據(jù)1.判定條件

在超出設定時間后，用戶自動登出設備。

2.參考檢測操作

displaycurrent-configurationconfigurationuser-interface

3.補充說明

無。

備注

5.1.3配置consol口密碼保護功能

安全基線項consol口密碼保護功能安全基線要求項

目名稱

安全基線編SBL-HuaweiRouter-05-01-03

號

安全基線項配置consol口密碼保護功能

說明

檢測操作步