H3C交换机安全配置基线.doc

资源描述

H3C交换机安全配置基线 H3C交换机安全配置基线版本版本控制信息更新日期更新人审批人 V2.0 创建 2012年4月备注： 1. 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。目录第1章概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章帐号管理、认证授权安全要求 2 2.1 帐号 2 2.1.1 配置默认级别* 2 2.2 口令 3 2.2.1 密码认证登录 3 2.2.2 设置访问级密码 4 2.2.3 加密口令 4 第3章日志安全要求 6 3.1 日志安全 6 3.1.1 配置远程日志服务器 6 第4章 IP协议安全要求 7 4.1 IP协议 7 4.1.1 使用SSH加密管理 7 4.1.2 系统远程管理服务只允许特定地址访问 7 第5章 SNMP安全要求 9 5.1 SNMP安全 9 5.1.1 修改SNMP默认通行字 9 5.1.2 使用SNMPV2或以上版本 9 5.1.3 SNMP访问控制 10 第6章其他安全要求 12 6.1 其他安全配置 12 6.1.1 关闭未使用的端口 12 6.1.2 帐号登录超时 12 6.1.3 关闭不需要的服务* 13 第7章评审与修订 15 第 14 页共 11 页第1章概述 1.1 目的本文档旨在指导系统管理人员进行H3C交换机的安全配置。 1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 1.3 适用版本 H3C交换机。 1.4 实施 1.5 例外条款第2章帐号管理、认证授权安全要求 2.1 帐号 2.1.1 配置默认级别* 安全基线项目名称配置默认级别安全基线要求项安全基线编号 SBL-H3CSwitch-02-01-01 安全基线项说明交换机命令级别共分为访问、监控、系统、管理4 个级别，分别对应标识0、1、2、3。配置登录默认级别为访问级（0-VISIT）检测操作步骤 1、参考配置操作 user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password user privilege level 0 set authentication password cipher xxx 2、补充说明无。基线符合性判定依据 1、判定条件用配置中没有的用户名去登录，结果是不能登录 2、参考检测操作 <H3C>display current-configuration 3、补充说明无。备注手工检查 2.2 口令 2.2.1 密码认证登录安全基线项目名称密码认证登录安全基线要求项安全基线编号 SBL-H3CSwitch-02-02-01 安全基线项说明通过控制台和远程终端，需要密码才能登录. 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。检测操作步骤 1、参考配置操作 user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password //或authentication-mode scheme user privilege level 0 set authentication password cipher xxx 2、补充说明无。基线符合性判定依据 1、判定条件用配置中没有的用户名去登录，结果是不能登录 2、参考检测操作 <H3C>display current-configuration 3、补充说明无。备注 2.2.2 设置访问级密码安全基线项目名称设置访问级密码安全基线要求项安全基线编号 SBL-H3CSwitch-02-02-02 安全基线项说明用户可以无条件切换到比当前低的用户级别，但是当使用AUX 或VTY 用户界面登录，并且从低级别往高级别切换时，需要输入级别切换密码（级别切换密码可以通过 super password 命令设置）。如果输入的密码错误或者没有配置级别切换密码，切换操作失败。因此，在进行切换操作前，请先配置级别切换密码。检测操作步骤 1、参考配置操作 <Sysname> system-view [Sysname] super password level 1 cipher password1 [Sysname] super password level 2 cipher password2 [Sysname] super password level 3 cipher password3 2、补充说明无。基线符合性判定依据 1、判定条件 [Sysname] display current-configuration 备注 2.2.3 加密口令安全基线项目名称加密口令安全基线要求项安全基线编号 SBL-H3CSwitch-02-02-03 安全基线项说明静态口令必须使用不可逆加密算法加密后保存于配置文件中。检测操作步骤 1、参考配置操作 user-interface aux 0 8 user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 user privilege level 0 set authentication password cipher xxx super password level 1 cipher password1 super password level 2 cipher password2 super password level 3 cipher password3 基线符合性判定依据 1. 判定条件用户的加密口令在config文件中显示的密文。 2. 参考检测操作 display current-configuration 备注第3章日志安全要求 3.1 日志安全 3.1.1 配置远程日志服务器安全基线项目名称配置远程日志服务器安全基线要求项安全基线编号 SBL-H3CSwitch-03-01-01 安全基线项说明设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，如SYSLOG、FTP等。检测操作步骤 1、参考配置操作 [h3c] info-center enable [h3c] info-center loghost xxxxx channel loghost 2、补充说明在系统模式下进行操作。基线符合性判定依据 1. 判定条件是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。 2. 参考检测操作 display current-configuration 3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。建议核心设备必选，其它根据实际情况启用第4章 IP协议安全要求 4.1 IP协议 4.1.1 使用SSH加密管理安全基线项目名称使用SSH加密管理安全基线要求项安全基线编号 SBL-H3CSwitch-04-01-01 安全基线项说明对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议，关闭TELNET协议。检测操作步骤 1、参考配置操作 # 设置用户界面VTY 0 到VTY 4 支持SSH 协议。 <Sysname> system-view [Sysname] user-interface vty 0 4 [Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] protocol inbound ssh 2、补充说明无。基线符合性判定依据 1. 参考检测操作 2. 补充说明无。备注 4.1.2 系统远程管理服务只允许特定地址访问安全基线项目名称系统远程管理服务只允许特定地址访问安全基线要求项安全基线编号 SBL-H3CSwitch-04-01-02 安全基线项说明系统远程管理服务TELNET、SSH默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。检测操作步骤 1、参考配置操作 Acl number 2000 rule 1 permit source 192.168.0.0 0.0.255.255 User-interface vty 0 4 acl 2000 inbound 2、补充说明无。基线符合性判定依据 1. 判定条件通过设定acl，成功过滤非法的访问。 2. 参考检测操作 display current-configuration 3. 补充说明无。备注第5章 SNMP安全要求 5.1 SNMP安全 5.1.1 修改SNMP默认通行字安全基线项目名称修改SNMP默认通行字安全基线要求项安全基线编号 SBL-H3CSwitch-05-01-01 安全基线项说明系统应修改SNMP的Community默认通行字，通行字应符合口令强度要求。检测操作步骤 1、参考配置操作 snmp-agent community read xxx snmp-agent community write xxxx 2、补充说明无。基线符合性判定依据 1. 判定条件系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。 2. 参考检测操作 display current-configuration 3. 补充说明无。备注 5.1.2 使用SNMPV2或以上版本安全基线项目名称 SNMP版本安全基线要求项安全基线编号 SBL-H3CSwitch-05-01-02 安全基线项说明系统应配置为SNMPV2或以上版本。检测操作步骤 1、参考配置操作 snmp-agent sys-info version v3 2、补充说明无。基线符合性判定依据 1. 判定条件成功使能snmpv2c、和v3版本。 2. 参考检测操作 display current-configuration 3. 补充说明无。备注 5.1.3 SNMP访问控制安全基线项目名称 SNMP访问控制安全基线要求项安全基线编号 SBL-H3CSwitch-05-01-03 安全基线项说明设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。检测操作步骤 1、参考配置操作 snmp-agent community read XXXX01 acl 2000 2、补充说明无。基线符合性判定依据 1. 判定条件通过设定acl来成功过滤特定的源才能进行访问。 2. 参考检测操作 display current-configuration 3. 补充说明无。备注第6章其他安全要求 6.1 其他安全配置 6.1.1 关闭未使用的端口安全基线项目名称关闭未使用的端口安全基线要求项安全基线编号 SBL-H3CSwitch-06-01-01 安全基线项说明关闭未使用的端口。检测操作步骤 1、参考配置操作 [HW-Ethernet3/0/0]shutdown 2、补充说明无。基线符合性判定依据 1. 判定条件未使用端口状态为admin down。 2. 参考检测操作 Display interface 3. 补充说明无。备注 6.1.2 帐号登录超时安全基线项目名称帐号登录超时安全基线要求项安全基线编号 SBL-H3CSwitch-06-01-02 安全基线项说明配置定时帐号自动登出，登出后用户需再次登录才能进入系统。设置超时时间为5分钟. 检测操作步骤 1、参考配置操作设置超时时间为5分钟 <Sysname> system-view [Sysname] user-interface console 0 //Or user-interface aux 0 8 [Sysname-ui-console0] idle-timeout 5 0 2、补充说明无。基线符合性判定依据 1. 判定条件在超出设定时间后，用户自动登出设备。 2. 参考检测操作 display current-configuration configuration user-interface 3. 补充说明无。备注 6.1.3 关闭不需要的服务* 安全基线项目名称关闭不需要的服务安全基线要求项安全基线编号 SBL-H3CSwitch-06-01-03 安全基线项说明关闭网络设备不必要的服务，比如FTP、TFTP服务等。检测操作步骤 1、参考配置操作 undo ftp server 2、补充说明无。基线符合性判定依据 1. 判定条件不能访问设备的ftp等服务。 2. 参考检测操作 display current-configuration 3. 补充说明无。备注根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。第7章评审与修订

展开阅读全文