1、H3C交換機(jī)安全配置基線(xiàn)版本版本控制信息更新日期更新人審批人V2.0創(chuàng)建2012年4月備注：1. 若此文檔需要日后更新，請(qǐng)創(chuàng)建人填寫(xiě)版本控制表格，否則刪除版本控制表格。目 錄第1章概述11.1目的11.2適用范圍11.3適用版本11.4實(shí)施11.5例外條款1第2章帳號(hào)管理、認(rèn)證授權(quán)安全要求22.1帳號(hào)2配置默認(rèn)級(jí)別*22.2口令3密碼認(rèn)證登錄3設(shè)置訪(fǎng)問(wèn)級(jí)密碼4加密口令4第3章日志安全要求63.1日志安全6配置遠(yuǎn)程日志服務(wù)器6第4章IP協(xié)議安全要求74.1IP協(xié)議7使用SSH加密管理7系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪(fǎng)問(wèn)7第5章SNMP安全要求95.1SNMP安全9修改SNMP默認(rèn)通行字9使用SN

2、MPV2或以上版本9SNMP訪(fǎng)問(wèn)控制10第6章其他安全要求126.1其他安全配置12關(guān)閉未使用的端口12帳號(hào)登錄超時(shí)12關(guān)閉不需要的服務(wù)*13第7章評(píng)審與修訂15第1章 概述1.1 目的本文檔旨在指導(dǎo)系統(tǒng)管理人員進(jìn)行H3C交換機(jī)的安全配置。1.2 適用范圍本配置標(biāo)準(zhǔn)的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。1.3 適用版本H3C交換機(jī)。1.4 實(shí)施1.5 例外條款第2章 帳號(hào)管理、認(rèn)證授權(quán)安全要求2.1 帳號(hào)2.1.1 配置默認(rèn)級(jí)別*安全基線(xiàn)項(xiàng)目名稱(chēng)配置默認(rèn)級(jí)別安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-02-01-01 安全基線(xiàn)項(xiàng)說(shuō)明 交換機(jī)命令級(jí)別共分為訪(fǎng)問(wèn)、監(jiān)控、

3、系統(tǒng)、管理4 個(gè)級(jí)別，分別對(duì)應(yīng)標(biāo)識(shí)0、1、2、3。配置登錄默認(rèn)級(jí)別為訪(fǎng)問(wèn)級(jí)（0-VISIT）檢測(cè)操作步驟1、參考配置操作user-interface aux 0 8authentication-mode password user privilege level 0 set authentication password cipher xxxuser-interface vty 0 4authentication-mode password user privilege level 0 set authentication password cipher xxx2、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依

4、據(jù)1、 判定條件用配置中沒(méi)有的用戶(hù)名去登錄，結(jié)果是不能登錄2、 參考檢測(cè)操作<H3C>display current-configuration3、 補(bǔ)充說(shuō)明無(wú)。備注手工檢查2.2 口令2.2.1 密碼認(rèn)證登錄安全基線(xiàn)項(xiàng)目名稱(chēng)密碼認(rèn)證登錄安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-02-02-01 安全基線(xiàn)項(xiàng)說(shuō)明 通過(guò)控制臺(tái)和遠(yuǎn)程終端，需要密碼才能登錄. 口令長(zhǎng)度至少8位，并包括數(shù)字、小寫(xiě)字母、大寫(xiě)字母和特殊符號(hào)四類(lèi)中至少兩類(lèi)。且5次以?xún)?nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進(jìn)行更換。檢測(cè)操作步驟1、參考配置操作user-interface aux 0 8authenti

5、cation-mode passworduser privilege level 0 set authentication password cipher xxxuser-interface vty 0 4authentication-mode password /或authentication-mode scheme user privilege level 0 set authentication password cipher xxx2、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1、 判定條件用配置中沒(méi)有的用戶(hù)名去登錄，結(jié)果是不能登錄2、 參考檢測(cè)操作<H3C>display curre

6、nt-configuration3、 補(bǔ)充說(shuō)明無(wú)。備注2.2.2 設(shè)置訪(fǎng)問(wèn)級(jí)密碼安全基線(xiàn)項(xiàng)目名稱(chēng)設(shè)置訪(fǎng)問(wèn)級(jí)密碼安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-02-02-02 安全基線(xiàn)項(xiàng)說(shuō)明 用戶(hù)可以無(wú)條件切換到比當(dāng)前低的用戶(hù)級(jí)別，但是當(dāng)使用AUX 或VTY 用戶(hù)界面登錄，并且從低級(jí)別往高級(jí)別切換時(shí)，需要輸入級(jí)別切換密碼（級(jí)別切換密碼可以通過(guò) super password 命令設(shè)置）。如果輸入的密碼錯(cuò)誤或者沒(méi)有配置級(jí)別切換密碼，切換操作失敗。因此，在進(jìn)行切換操作前，請(qǐng)先配置級(jí)別切換密碼。檢測(cè)操作步驟1、參考配置操作<Sysname> system-view Sysname s

7、uper password level 1 cipher password1Sysname super password level 2 cipher password2Sysname super password level 3 cipher password32、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1、 判定條件Sysname display current-configuration 備注2.2.3 加密口令安全基線(xiàn)項(xiàng)目名稱(chēng)加密口令安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-02-02-03 安全基線(xiàn)項(xiàng)說(shuō)明 靜態(tài)口令必須使用不可逆加密算法加密后保存于配置文件中。檢測(cè)操作步驟1、參考配

8、置操作user-interface aux 0 8 user privilege level 0 set authentication password cipher xxxuser-interface vty 0 4 user privilege level 0 set authentication password cipher xxxsuper password level 1 cipher password1super password level 2 cipher password2super password level 3 cipher password3基線(xiàn)符合性判定依據(jù)1.

9、判定條件用戶(hù)的加密口令在config文件中顯示的密文。2. 參考檢測(cè)操作display current-configuration 備注第3章 日志安全要求3.1 日志安全3.1.1 配置遠(yuǎn)程日志服務(wù)器安全基線(xiàn)項(xiàng)目名稱(chēng)配置遠(yuǎn)程日志服務(wù)器安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-03-01-01 安全基線(xiàn)項(xiàng)說(shuō)明 設(shè)備應(yīng)支持遠(yuǎn)程日志功能。所有設(shè)備日志均能通過(guò)遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器。設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。檢測(cè)操作步驟1、參考配置操作h3c info-center enableh3c info-center loghost xxxxx c

10、hannel loghost2、補(bǔ)充說(shuō)明在系統(tǒng)模式下進(jìn)行操作。基線(xiàn)符合性判定依據(jù)1. 判定條件是否正確配置了相應(yīng)的日志服務(wù)器地址，日志服務(wù)器正確記錄了日志信息。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說(shuō)明無(wú)。備注根據(jù)應(yīng)用場(chǎng)景的不同，如部署場(chǎng)景需開(kāi)啟此功能，則強(qiáng)制要求此項(xiàng)。建議核心設(shè)備必選，其它根據(jù)實(shí)際情況啟用第4章 IP協(xié)議安全要求4.1 IP協(xié)議4.1.1 使用SSH加密管理安全基線(xiàn)項(xiàng)目名稱(chēng)使用SSH加密管理安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-04-01-01 安全基線(xiàn)項(xiàng)說(shuō)明 對(duì)于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用S

11、SH等加密協(xié)議，關(guān)閉TELNET協(xié)議。檢測(cè)操作步驟1、 參考配置操作 # 設(shè)置用戶(hù)界面VTY 0 到VTY 4 支持SSH 協(xié)議。 <Sysname> system-view Sysname user-interface vty 0 4 Sysname-ui-vty0-4 authentication-mode scheme Sysname-ui-vty0-4 protocol inbound ssh2、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1. 參考檢測(cè)操作2. 補(bǔ)充說(shuō)明無(wú)。備注4.1.2 系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪(fǎng)問(wèn)安全基線(xiàn)項(xiàng)目名稱(chēng)系統(tǒng)遠(yuǎn)程管理服務(wù)只允許特定地址訪(fǎng)問(wèn)安全基線(xiàn)要求項(xiàng)

12、安全基線(xiàn)編號(hào)SBL-H3CSwitch-04-01-02 安全基線(xiàn)項(xiàng)說(shuō)明 系統(tǒng)遠(yuǎn)程管理服務(wù)TELNET、SSH默認(rèn)可以接受任何地址的連接，出于安全考慮，應(yīng)該只允許特定地址訪(fǎng)問(wèn)。檢測(cè)操作步驟1、參考配置操作Acl number 2000User-interface vty 0 4acl 2000 inbound2、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1. 判定條件通過(guò)設(shè)定acl，成功過(guò)濾非法的訪(fǎng)問(wèn)。2. 參考檢測(cè)操作display current-configuration 3. 補(bǔ)充說(shuō)明無(wú)。備注第5章 SNMP安全要求5.1 SNMP安全5.1.1 修改SNMP默認(rèn)通行字安全基線(xiàn)項(xiàng)目名稱(chēng)修改SNMP

13、默認(rèn)通行字安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-05-01-01 安全基線(xiàn)項(xiàng)說(shuō)明 系統(tǒng)應(yīng)修改SNMP的Community默認(rèn)通行字，通行字應(yīng)符合口令強(qiáng)度要求。檢測(cè)操作步驟1、參考配置操作snmp-agent community read xxxsnmp-agent community write xxxx2、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1. 判定條件系統(tǒng)成功修改SNMP的Community為用戶(hù)定義口令，非常規(guī)private或者public，并且符合口令強(qiáng)度要求。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說(shuō)明無(wú)。備注5.1.2 使用

14、SNMPV2或以上版本安全基線(xiàn)項(xiàng)目名稱(chēng)SNMP版本安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-05-01-02 安全基線(xiàn)項(xiàng)說(shuō)明 系統(tǒng)應(yīng)配置為SNMPV2或以上版本。檢測(cè)操作步驟1、參考配置操作snmp-agent sys-info version v32、補(bǔ)充說(shuō)明 無(wú)。基線(xiàn)符合性判定依據(jù)1. 判定條件成功使能snmpv2c、和v3版本。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說(shuō)明無(wú)。備注5.1.3 SNMP訪(fǎng)問(wèn)控制安全基線(xiàn)項(xiàng)目名稱(chēng)SNMP訪(fǎng)問(wèn)控制安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-05-01-03 安全基線(xiàn)項(xiàng)說(shuō)明 設(shè)置S

15、NMP訪(fǎng)問(wèn)安全限制，只允許特定主機(jī)通過(guò)SNMP訪(fǎng)問(wèn)網(wǎng)絡(luò)設(shè)備。檢測(cè)操作步驟1、參考配置操作snmp-agent community read XXXX01 acl 20002、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1. 判定條件通過(guò)設(shè)定acl來(lái)成功過(guò)濾特定的源才能進(jìn)行訪(fǎng)問(wèn)。2. 參考檢測(cè)操作display current-configuration3. 補(bǔ)充說(shuō)明無(wú)。備注第6章 其他安全要求6.1 其他安全配置6.1.1 關(guān)閉未使用的端口安全基線(xiàn)項(xiàng)目名稱(chēng)關(guān)閉未使用的端口安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-06-01-01 安全基線(xiàn)項(xiàng)說(shuō)明 關(guān)閉未使用的端口。檢測(cè)操作步驟1、參考配置操作HW

16、-Ethernet3/0/0shutdown2、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1. 判定條件未使用端口狀態(tài)為admin down。2. 參考檢測(cè)操作Display interface3. 補(bǔ)充說(shuō)明無(wú)。備注6.1.2 帳號(hào)登錄超時(shí)安全基線(xiàn)項(xiàng)目名稱(chēng)帳號(hào)登錄超時(shí)安全基線(xiàn)要求項(xiàng)安全基線(xiàn)編號(hào)SBL-H3CSwitch-06-01-02 安全基線(xiàn)項(xiàng)說(shuō)明 配置定時(shí)帳號(hào)自動(dòng)登出，登出后用戶(hù)需再次登錄才能進(jìn)入系統(tǒng)。設(shè)置超時(shí)時(shí)間為5分鐘.檢測(cè)操作步驟1、 參考配置操作設(shè)置超時(shí)時(shí)間為5分鐘<Sysname> system-view Sysname user-interface console 0 /Or user-interface aux 0 8Sysname-ui-console0 idle-timeout 5 02、補(bǔ)充說(shuō)明無(wú)。基線(xiàn)符合性判定依據(jù)1. 判定條件在超出設(shè)定時(shí)間后，用戶(hù)自動(dòng)登出設(shè)備。2. 參考檢測(cè)操作display current-configuration configuration user-interface3. 補(bǔ)充說(shuō)明無(wú)