1、H3C交換機(jī)安全配置基線H3C交換機(jī)安全配置基線版本版本控制信息|更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1.若此文檔需要日后更新，請創(chuàng)建人填寫版本控制表格，否則刪除版本控制表格。第3頁共11頁目錄第1章概述11.1 目的11.2 適用范圍11.3 適用版本 11.4 實(shí)施11.5 例外條款1第2章帳號管理、認(rèn)證授權(quán)安全要求 22.1 帳號22.1.1 配置默認(rèn)級別* 22.2 口令32.2.1 密碼認(rèn)證登錄32.2.2 設(shè)置訪問級密碼 42.2.3 加密口令4第3章日志安全要求63.1 日志安全63.1.1 配置遠(yuǎn)程日志服務(wù)器 6第4章 IP協(xié)議安全要求 74.1 IP 協(xié)議74

2、.1.1 使用SSH加密管理 74.1.2 系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問 7第5章SNMP安全要求95.1 SNMP 安全95.1.1 修改SNMP默認(rèn)通行字 95.1.2 使用SNMPV2或以上版本95.1.3 SNMP訪問控制 10第6章其他安全要求 126.1 其他安全配置 126.1.1 關(guān)閉未使用的端口 126.1.2 帳號登錄超時(shí) 126.1.3 關(guān)閉不需要的服務(wù)* 13第7章評審與修訂15H3C交換機(jī)安全配置基線第1章概述1.1目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行H3C交換機(jī)的安全配置。1.2適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3適用

3、版本H3C交換機(jī)。1.4實(shí)施1.5例外條款第3頁共11頁第2章帳號管理、認(rèn)證授權(quán)安全要求2.1帳號配置默認(rèn)級別安全基線項(xiàng) 目名稱配置默認(rèn)級別安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-02-01-01安全基線項(xiàng) 說明交換機(jī)命令級別共分為訪問、監(jiān)控、系統(tǒng)、管理4個(gè)級別，分別對應(yīng)標(biāo)識(shí)0、1、2、3。配置登錄默認(rèn)級別為訪問級（0-VISIT）檢測操作步 驟1、參考配置操作user- in terface aux 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cip

4、her xxx user- in terface vty 0 4authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx2、補(bǔ)充說明無。基線符合性 判定依據(jù)1、判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄2、參考檢測操作<H3C>display current-configuration3、補(bǔ)充說明無。備注手工檢查2.2 口令密碼認(rèn)證登錄安全基線項(xiàng) 目名稱密碼認(rèn)證登錄安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-02-02-01安全基線項(xiàng)

5、 說明通過控制臺(tái)和遠(yuǎn)程終端，需要密碼才能登錄 .口令長度至少8位，并包括數(shù) 子、小與子母、大與子母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每 90天進(jìn)行更換。檢測操作步 驟1、參考配置操作user- in terface aux 0 8authe nticati on-m ode passworduser privilege level 0set authe nticati on password cipher xxx user- in terface vty 0 4authe nticati on-m ode password / 或 authentication-

6、mode schemeuser privilege level 0set authe nticati on password cipher xxx2、補(bǔ)充說明無。基線符合性 判定依據(jù)1、判定條件用配置中沒有的用戶名去登錄，結(jié)果是不能登錄2、參考檢測操作<H3C>display current-configuration3、補(bǔ)充說明無。備注222設(shè)置訪問級密碼安全基線項(xiàng) 目名稱設(shè)置訪問級密碼安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-02-02-02安全基線項(xiàng) 說明用戶可以無條件切換到比當(dāng)前低的用戶級別，但是當(dāng)使用AUX或VTY用戶界面登錄，并且從低級別往高級別切換時(shí)，需

7、要輸入級別切換密碼（級別切換 密碼可以通過super password命令設(shè)置）。如果輸入的密碼錯(cuò)誤或者沒有配 置級別切換密碼，切換操作失敗。因此，在進(jìn)行切換操作前，請先配置級別 切換密碼。檢測操作步 驟1、參考配置操作<Sys namesystem-viewSys name super password level 1 cipher passwordl Sys name super password level 2 cipher password2 Sys name super password level 3 cipher password32、補(bǔ)充說明無。基線符合性 判定依據(jù)1、判

8、定條件Sysname display current-configuration備注223力口密口令安全基線項(xiàng) 目名稱加密口令安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-02-02-03安全基線項(xiàng) 說明靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測操作步 驟1、參考配置操作user- in terface aux 0 8user privilege level 0set authentication passwordcipher xxxH3C交換機(jī)安全配置基線user- in terface vty 0 4user privilege level 0set authen

9、tication passwordcipher xxxsuper password level 1cipherpassword1super password level 2cipherpassword2super password level 3cipherpassword3基線符合性 判定依據(jù)1. 判定條件用戶的加密口令在 config文件中顯示的密文。2. 參考檢測操作display curre nt-con figurati on備注第9頁共11頁第3章日志安全要求3.1日志安全配置遠(yuǎn)程日志服務(wù)器安全基線項(xiàng) 目名稱配置遠(yuǎn)程日志服務(wù)器安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-

10、03-01-01安全基線項(xiàng) 說明設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG FTP等。檢測操作步 驟1、參考配置操作h3c in fo-ce nter en ableh3c info-center loghost xxxxx channel loghost2、補(bǔ)充說明在系統(tǒng)模式下進(jìn)行操作。基線符合性 判定依據(jù)1. 判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，日志服務(wù)器正確記錄了日志信息。2. 參考檢測操作display curre nt-con figurati on3. 補(bǔ)充說明無。備注根據(jù)應(yīng)用場景的不冋

11、，如部署場景需開啟此功能，則強(qiáng)制要求此項(xiàng)。建議核 心設(shè)備必選，其它根據(jù)實(shí)際情況啟用第4章IP協(xié)議安全要求4.1 IP協(xié)議使用SSH加密管理安全基線項(xiàng) 目名稱使用SSH加密管理安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-04-01-01安全基線項(xiàng) 說明對于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用 SSH等加密協(xié)議，關(guān)閉TELNET協(xié)議。檢測操作步 驟1、參考配置操作#設(shè)置用戶界面 VTY 0到VTY 4支持SSH協(xié)議。 <Sys namesystem-viewSys name user- in terface vty 0 4Sys name-ui-vtyO-4 authe

12、 nticati on-m ode scheme Sys name-ui-vtyO-4 protocol inbound ssh2、補(bǔ)充說明無。基線符合性 判定依據(jù)1. 參考檢測操作2. 補(bǔ)充說明無。備注系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線項(xiàng) 目名稱系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪問安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-04-01-02安全基線項(xiàng) 說明系統(tǒng)遠(yuǎn)程管理服務(wù) TELNET SSH默認(rèn)可以接受任何地址的連接，出于安全考 慮，應(yīng)該只允許特定地址訪問。檢測操作步 驟1、參考配置操作Acl number 2000rule 1 permit source 192.168

13、.0.0 55User-i nteface vty 0 4acl 2000 in bou nd2、補(bǔ)充說明無。基線符合性 判定依據(jù)1. 判定條件通過設(shè)定acl，成功過濾非法的訪問。2. 參考檢測操作display curre nt-con figurati on3. 補(bǔ)充說明無。備注第5章SNMP安全要求5.1 SNMP 安全修改SNMP默認(rèn)通行字安全基線項(xiàng) 目名稱修改SNMP默認(rèn)通行字安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-05-01-01安全基線項(xiàng) 說明系統(tǒng)應(yīng)修改SNMP勺Community默認(rèn)通仃字，通仃字應(yīng)符合口令強(qiáng)度要求。檢測操作步 驟1、參考配置操

14、作sn mp-age nt com mun ity read xxx sn mp-age nt com mun ity write xxxx2、補(bǔ)充說明無。基線符合性 判定依據(jù)1. 判定條件系統(tǒng)成功修改SNMP的Community為用戶定義口令，非常規(guī)private 或者public，并且符合口令強(qiáng)度要求。2. 參考檢測操作display curre nt-con figurati on3. 補(bǔ)充說明無。備注使用SNMPV2或以上版本安全基線項(xiàng) 目名稱SNMP版本安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-05-01-02H3C交換機(jī)安全配置基線安全基線項(xiàng) 說明系統(tǒng)應(yīng)配置為SNMP

15、V或以上版本。檢測操作步 驟1、參考配置操作sn mp-age nt sys-i nfo vers ion v32、補(bǔ)充說明無。基線符合性 判定依據(jù)1. 判定條件成功使能snmpv2c、和v3版本。2. 參考檢測操作display curre nt-con figurati on3. 補(bǔ)充說明無。備注訪問控制安全基線項(xiàng) 目名稱SNMP訪問控制安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-05-01-03安全基線項(xiàng) 說明設(shè)置SNM肪問安全限制，只允許特定主機(jī)通過SNM訪問網(wǎng)絡(luò)設(shè)備。檢測操作步 驟1、參考配置操作sn mp-age nt commu nity read XXXX01 ac

16、l 20002、補(bǔ)充說明無。基線符合性 判定依據(jù)1. 判定條件通過設(shè)定acl來成功過濾特定的源才能進(jìn)行訪問。2. 參考檢測操作display curre nt-con figurati on3. 補(bǔ)充說明無。備注第io頁共ii頁H3C交換機(jī)安全配置基線第6章其他安全要求6.1其他安全配置關(guān)閉未使用的端口安全基線項(xiàng) 目名稱關(guān)閉未使用的端口安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-06-01-01安全基線項(xiàng) 說明關(guān)閉未使用的端口。檢測操作步 驟1、參考配置操作HW-Ethernet3/0/0shutdow n2、補(bǔ)充說明無。基線符合性 判定依據(jù)1. 判定條件未使用端口狀態(tài)為 admi

17、n down。2. 參考檢測操作Display in terface3. 補(bǔ)充說明無。備注帳號登錄超時(shí)安全基線項(xiàng) 目名稱帳號登錄超時(shí)安全基線要求項(xiàng)安全基線編 號SBL-H3CSwitch-06-01-02安全基線項(xiàng) 說明配置定時(shí)帳號自動(dòng)登出，登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。設(shè)置超時(shí)時(shí) 間為5分鐘.檢測操作步 驟1、參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘<Sys namesystem-viewSys name user- in terface con sole 0/Or user- in terface aux 0 8Sys name-ui-c on soleO idle-timeout 5 02、補(bǔ)充說明無。基線符合性 判定依據(jù)1. 判定條件在超出設(shè)定時(shí)間后，用戶自動(dòng)登出設(shè)備。2. 參考檢測操作display curre nt-c on figurati on con figurati on user- in terface3.