Huawei网络设备加固规范V01.docx

1、 Huawei网络设备加固规范 2025年2月 目录 1 帐号管理、认证授权 2 1.1 账号管理 2 1.1.1 SHG-Huawei-01-01-01 2 1.2 登录要求 3 1.2.1 SHG-Huawei-01-02-01 3 1.2.2 SHG-Huawei-01-02-02 4 1.2.3 SHG-Huawei-01-02-03 4 1.3 认证和授权 5 1.3.1 SHG-Huawei-01-03-01 5 2 日志配置 6 2.1.1 SHG-Huawei-02-01-01 6 3 通信协议 7 3

2、1.1 SHG-Huawei-03-01-01 7 3.1.2 SHG-Huawei-03-01-02 8 3.1.3 SHG-Huawei-03-01-03 9 3.1.4 SHG-Huawei-03-01-04 9 3.1.5 SHG-Huawei-03-01-05 10 3.1.6 SHG-Huawei-03-01-06 11 4 设备其它安全要求 11 4.1.1 SHG-Huawei-04-01-01 11 4.1.2 SHG-Huawei-04-01-02 12 1 帐号管理、认证授权 1.1 账号管理 1.1.1 SHG-Huawei-01-01

3、01 编号： SHG-Huawei-01-01-01 名称： 无效帐户清理 实施目的： 删除与设备运行、维护等工作无关的账号 问题影响： 账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态： 查看备份的系统配置文件中帐号信息。 实施方案： 1、 参考配置操作 aaa undo local-user test 回退方案： 还原系统配置文件。 判断依据： 标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险： 低 重要等级： ★★★ 实施风险： 低 重要等级： ★★★ 1.2 登录要求 1.2.1 SHG-Hua

4、wei-01-02-01 编号： Huawie-01-02-01 名称： 远程登录加密传输 实施目的： 远程登陆采用加密传输 问题影响： 泄露密码 系统当前状态： 查看备份的系统配置文件中远程登陆的配置状态。 实施方案： 1、参考配置操作 全局模式下配置如下命令： （1）R36xxE系列、R2631E系列 #protocol inbound ssh x [acl xxxx]； #ssh user xxxx assign rsa-key xxxxxx； #ssh user xxxx authentication-type [ password | RSA |

5、 all ] （2）NE系列 #local-user username password [simple | cipher] password #aaa enable #ssh user username authentication-type password #user-interface vty x #authentication-mode scheme default #protocol inbound ssh 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中远程登陆的配置状态。 实施风险： 高 重要等级： ★ 1.2.2 SHG

6、Huawei-01-02-02 编号： SHG-Huawei-01-02-02 名称： 加固AUX端口的管理 实施目的： 除非使用拨号接入时使用AUX端口，否则禁止这个端口。 问题影响： 用户非法登陆 系统当前状态： 查看备份的系统配置文件中关于CON配置状态。 实施方案： 1、参考配置操作 # undo modem 设置完成后无法通过AUX拨号接入路由器 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于CON配置状态。 实施风险： 中 重要等级： ★ 1.2.3 SHG-Huawei-01-02-03 编号： S

7、HG-Huawei-01-02-03 名称： 远程登陆源地址限制 实施目的： 对登录用户的源IP地址进行过滤，防止某些获得登录密码的用户从非法的地址登录到设备上。 问题影响： 非法登陆。 系统当前状态： 查看备份的系统配置文件中关于登录配置状态。 实施方案： 1、 参考配置操作 全局模式下配置如下命令： acl acl-number [match [config | auto]]; rule {normal |special} {permit | deny} [source xxx xxx] [destination xxx xxx] …. 回退方案： 还原系统配

8、置文件。 判断依据： 查看备份的系统配置文件中关于登录配置状态。 实施风险： 中 重要等级： ★ 1.3 认证和授权 1.3.1 SHG-Huawei-01-03-01 编号： SHG-Huawei-01-03-01 名称： 认证和授权设置 实施目的： 设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。 问题影响： 非法登陆。 系统当前状态： 查看备份的系统配置文件中相关配置。 实施方案： 1、 参考配置操作 #对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证。 #认证服务器IP地址为129.7.66.66

9、无备用服务器，端口号为默认值1812。 # 配置RADIUS服务器模板。 [Router] radius-server template shiva # 配置RADIUS认证服务器IP地址和端口。 Router-radius-shiva]radius-server authentication 129.7.66.66 1812 # 配置RADIUS服务器密钥、重传次数。 [Router-radius-shiva] radius-server shared-key it-is-my-secret [Router-radius-shiva] radius-server retran

10、smit 2 [Router-radius-shiva] quit # 进入AAA视图。 [Router] aaa # 配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。 [Router–aaa] authentication-scheme r-n [Router-aaa-authen-r-n] authentication-mode radius none [Router-aaa-authen-r-n] quit # 配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。 [Router-aaa] dom

11、ain default [Router-aaa-domain-default] authentication-scheme r-n [Router-aaa-domain-default]radius-server shiva 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中相关配置。 实施风险： 低 重要等级： ★ 2 日志配置 2.1.1 SHG-Huawei-02-01-01 编号： SHG-Huawei-02-01-01 名称： 开启日志功能 实施目的： 支持数据日志，可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信

12、息，用以对运行情况、故障进行分析和定位，日志文件可以通过XModem、FTP、TFTP协议，远程传送到网管中心。 判断依据： 无法对用户的登陆进行日志记录。 系统当前状态： 查看备份的系统配置文件中关于日志功能的配置。 实施方案： 1、 参考配置操作 #info-center enable； 默认已启动 #info-center console； 向控制台输出日志 #info-center logbuffer； 向路由器内部缓冲器输出日志 #info-center loghost； 向日志主机输出日志 #info-center monitor；

13、向telnet终端或哑终端输出日志 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于日志功能的配置。 实施风险： 中 重要等级： ★★★ 3 通信协议 3.1.1 SHG-Huawei-03-01-01 编号： SHG-Huawei-03-01-01 名称： SNMP服务配置 实施目的： 如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置。 问题影响： 对系统造成不安全影响。 系统当前状态： 查看备份的系统配置文件中关于SNMP服务的配置。 实施方案： 1、 参考配置操作 全

14、局模式下配置如下命令： Undo snmp enable undo snmp-agent community RWuser 关闭snmp的设备不能被网管检测到，关闭写权限的设备不能进行set操作。 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于SNMP服务的配置。 实施风险： 中 重要等级： ★ 3.1.2 SHG-Huawei-03-01-02 编号： SHG-Huawei-03-01-02 名称： 更改SNMP TRAP协议端口； 实施目的： 如开启SNMP协议，要求更改SNMP trap协议的标准端口号，以增强其安全性。

15、 问题影响： 容易引起拒绝服务攻击。 系统当前状态： 查看备份的系统配置文件中关于SNMP服务的配置。 实施方案： （2） 参考配置操作 全局模式下配置如下命令： （2） R36xxE系列、R2631E系列 #snmp-agent #snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx #snmp-agent trap enable （2）NE系列 #snmp-agent #snmp-agent target-host trap address udp-domain xxx.

16、xxx.xxx.xxx securityname xxx udp-port xxx #snmp-agent trap enable 回退方案： 还原系统配置文件。 判断依据： Show SNMP 实施风险： 高 重要等级： ★ 3.1.3 SHG-Huawei-03-01-03 编号： SHG-Huawei-03-01-03 名称： 限制发起SNMP连接的源地址 实施目的： 如开启SNMP协议，要求更改SNMP 连接的源地址，以增强其安全性。 问题影响： 被非法攻击。 系统当前状态： 查看备份的系统配置文件中关于SNMP服务的配置。 实施方案：

17、1、参考配置操作 全局模式下配置如下命令： #snmp-agent # snmp-agent community [read | write] XXXX acl xxxx 【影响】：只有指定的网管网段才能使用SNMP维护 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于SNMP服务的配置。 实施风险： 中 重要等级： ★ 3.1.4 SHG-Huawei-03-01-04 编号： SHG-Huawei-03-01-04 名称： 设置SNMP密码 实施目的： 如开启SNMP协议，要求设置并定期更改SNMP Community（至少

18、半年一次），以增强其安全性。 系统当前状态： 查看备份的系统配置文件中关于SNMP服务的配置。 问题影响： 泄露密码，引起非法登陆。 实施方案： 1、参考配置操作 全局模式下配置如下命令： #snmp-agent # snmp-agent community [read | write] XXXX（不建议打开write特性） 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于SNMP服务的配置。 实施风险： 中 重要等级： ★ 3.1.5 SHG-Huawei-03-01-05 编号： SHG-Huawei-03-01-05

19、名称： SNMP访问安全限制 实施目的： 设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。 问题影响： 非法登陆。 系统当前状态： 查看备份的系统配置文件中关于SNMP服务的配置。 实施方案： 1、 参考配置操作 #snmp-agent community read XXXX01 acl 2000 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于SNMP服务的配置。 实施风险： 中 重要等级： ★ 3.1.6 SHG-Huawei-03-01-06 编号： SHG-Huawei-03-01-06 名称： 源

20、地址路由检查 实施目的： 为了防止利用IP Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击，要求在所有的边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。此外，该功能会对设备的转发性能造成影响，所以它更适用于网络接入层设备，汇聚层和核心层设备不建议使用。 问题影响： 会对设备负荷造成影响。 系统当前状态： 查看备份的系统配置文件中关于CEF 服务的配置。 实施方案： 1、 参考配置操作 全局模式下配置如下命令： #urpf enable 回退方案： 还原系统配置文件。 判断依据： 查看配置文件，核对参考配置操作 实

21、施风险： 高 重要等级： ★ 4 设备其它安全要求 4.1.1 SHG-Huawei-04-01-01 编号： SHG-Huawei-04-01-01 名称： 禁止未使用或空闲的端口 实施目的： 防止从空闲端口渗透到系统内部 问题影响： 从空闲端口渗透到系统内部 系统当前状态： 查看备份的系统配置文件中关于端口启用的配置。 实施方案： 1、 参考配置操作 在不使用的端口启用如下命令： # shutdown 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于端口启用的配置。 实施风险： 中 重要等级： ★★★ 4.1.2 SHG-Huawei-04-01-02 编号： SHG-Huawei-04-01-02 名称： 关闭不必要的服务 实施目的： 关闭网络设备不必要的服务，比如FTP、NTP、HGMP、Dhcp Server服务等 问题影响： 造成系统不安全性增加，难以管理。 系统当前状态： 查看备份的系统配置文件。 实施方案： 1、 参考配置操作 全局模式下配置如下命令： ！FTP服务的关闭 #undo ftp server 回退方案： 还原系统配置文件。 判断依据： 查看配置文件，核对参考配置操作。 实施风险： 中 重要等级： ★