智能电网网络安全加固建议(配置命令).doc

(word完整版)智能电网网络安全加固建议(配置命令) 一、网络设备 1、建议删除与设备运行、维护等工作无关的账号;(如没有需求，可删除远程登录账户） 〈H3C>sys [H3C]aaa [H3C-aaa］undo local—user admin ［H3C-aaa］undo local-user XXX 2、在系统配置中对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。（通过交换机设置ACL+User—int Vty实现） <H3C〉sys [H3C]ACL 2001 [H3C—ACL-basic—2001］rule 0 permit source XXX。XXX。XXX.XXX 0 ［H3C-ACL-basic—2001]rule 1 deny source any ［H3C-ACL—basic—2001]quit ［H3C]user-interface vty 0 4 [H3C-ui—vty0-4］authentication-mode aaa ［H3C—ui-vty0—4］acl 2001 3、如不需要提供SNMP服务的，建议禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置，如开启SNMP协议，建议更改SNMP 连接的源地址，以增强其安全性。(可关闭SNMP） 〈H3C>sys ［H3C］undo snmp—agent 4、为了防止利用IP Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击，建议在所有的边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。该功能会对设备的转发性能造成影响，所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。（可开启ARP Anti—attack功能，接入交换机没有此针对性功能防护,常见于防护墙） 〈H3C>sys ［H3C]arp anti-attack check user—bind alarm threshold 100 [H3C］arp anti—attack packet-check ip [H3C]arp anti—attack rate-limit enable 5、建议关闭网络设备不必要的服务，比如FTP、NTP、HGMP、Dhcp Server服务等。（默认为关闭的） 6、建议设置网络管理员和安全管理员的口令长度大于8位，并由字母和数字或特殊字符组成，口令与用户名不相同,并密文存储。（用户按要求自定义） 〈H3C〉sys [H3C］aaa [H3C—aaa]local—user XXX password irreversible—cipher XXXXXXXX ［H3C-aaa］local—user XXX privilege level 15 ［H3C—aaa］local-user XXX service-type telnet http 二、防火墙 1、建议防火墙配置包过滤的访问规则，包括明确的源IP地址、目的IP地址、协议及端口等。（配置域间策略即可） 〈f100〉sys ［F100］interzone source Trust destination Untrust ［F100-trust—untrust]rule 0 permit [F100-trust—untrust］source—ip XXX ［F100—trust-untrust］destination—ip XXX [F100-trust—untrust]service XXX ［F100-trust—untrust]rule enable ［F100-trust-untrust］quit ［F100］interzone source Untrust destination Trust [F100-untrust-trust］rule 0 permit [F100—untrust-trust]source—ip XXX [F100—untrust—trust]destination—ip XXX [F100-untrust—trust］service XXX ［F100—untrust-trust］rule enable 2、建议部署接入控制平台，有相应的接入控制程序和授权审批手续。（软件本身只有web，ssh,telnet几种登录方式） 〈f100>sys [F100]local—user XXX [F100]password cipher XXXXXXX [F100]authorization-attribute level 3 [F100]service-type telnet [F100］service—type web 3、建议在会话处于非活跃一定时间或会话结束后终止网络连接。（可设置中断时间） <f100〉sys [F100]user-interface vty 0 4 [F100—ui—vty0—4］authentication-mode scheme ［F100—ui-vty0-4］idle-timeout XXX (单位为：分钟） 4、建议在网络出口和核心网络接口处应限制网络最大流量及网络连接数。（可实现流控功能） <f100〉sys ［F100]acl 2002 [F100—acl—basic-2002］rule permit source xxx.xxx.xxx.xxx ［F100—acl—basic-2002］interface ethernet1/0 [F100—Ethernet1/0]qos car inbound acl 2002 cir 80000 cbs 80000 ebs 0 green pass red discard （最大流量限制为8M） [F100］ connection-limit policy 0 [F100—connection-limit—policy-0］ limit 1 source ip XXX protocol tcp max-connections 200 (最大连接数限制为200) 5、建议设置网络管理员和安全管理员的口令长度大于8位，并由字母和数字或特殊字符组成，口令与用户名不相同，并密文存储。(用户按要求自定义） 〈F100〉sys ［H3C]local—user XXX [H3C—local-user XXX]password irreversible-cipher XXXXXXXX ［H3C-local-user XXX］authorization—attribute level 3 [H3C—local—user XXX］service—type ［H3C—local—user XXX］telnet http 6、建议通过Web方式进行远程管理，禁用telnet方式，采用SSL协议进行加密处理。（修改默认的http登陆，关闭Telnet登陆方式） 〈F100>sys ［F100］undo telnet server enable [F100］http server port 443 ［F100］http server enable