H3C交換機安全配置基線H3C交換機安全配置基線H3C交換機安全配置基線H3C交換機安全配置基線編制僅供參考審核批準生效日期地址：電話：傳真:郵編:H3C交換機安全配置基線

版本版本控制信息更新日期更新人審批人創建2012年4月備注：若此文檔需要日后更新，請創建人填寫版本控制表格，否則刪除版本控制表格。

目錄第1章 概述 1 目的 1 適用范圍 1 適用版本 1 實施 1 例外條款 1第2章 帳號管理、認證授權安全要求 2 帳號 2 配置默認級別* 2 口令 3 密碼認證登錄 3 設置訪問級密碼 4 加密口令 4第3章 日志安全要求 6 日志安全 6 配置遠程日志服務器 6第4章 IP協議安全要求 7 IP協議 7 使用SSH加密管理 7 系統遠程管理服務只允許特定地址訪問 7第5章 SNMP安全要求 9 SNMP安全 9 修改SNMP默認通行字 9 使用SNMPV2或以上版本 9 SNMP訪問控制 10第6章 其他安全要求 12 其他安全配置 12 關閉未使用的端口 12 帳號登錄超時 12 關閉不需要的服務* 13第7章 評審與修訂 15概述目的本文檔旨在指導系統管理人員進行H3C交換機的安全配置。適用范圍本配置標準的使用者包括：網絡管理員、網絡安全管理員、網絡監控人員。適用版本H3C交換機。實施例外條款帳號管理、認證授權安全要求帳號配置默認級別*安全基線項目名稱配置默認級別安全基線要求項安全基線編號SBL-H3CSwitch-02-01-01安全基線項說明交換機命令級別共分為訪問、監控、系統、管理4個級別，分別對應標識0、1、2、3。配置登錄默認級別為訪問級（0-VISIT）檢測操作步驟1、參考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxx2、補充說明無。基線符合性判定依據判定條件用配置中沒有的用戶名去登錄，結果是不能登錄參考檢測操作<H3C>displaycurrent-configuration補充說明無。備注手工檢查口令密碼認證登錄安全基線項目名稱密碼認證登錄安全基線要求項安全基線編號SBL-H3CSwitch-02-02-01安全基線項說明通過控制臺和遠程終端，需要密碼才能登錄.口令長度至少8位，并包括數字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內不得設置相同的口令。密碼應至少每90天進行更換。檢測操作步驟1、參考配置操作user-interfaceaux08authentication-modepassworduserprivilegelevel0setauthenticationpasswordcipherxxxuser-interfacevty04authentication-modepassword檢測操作步驟參考配置操作設置超時時間為5分鐘<Sysname>system-view[Sysname]user-interfaceconsole0//Oruser-interfaceaux08[Sysname-ui-console0]idle-timeout502、補充說明無。基線符合性判定依據判定條件在超出設定時間后，用戶自動登出設備。參考檢測操作displaycurrent-configurationconfigurationuser-interface補充說明無。備注關閉不需要的服務*安全基線項目名稱關閉不需要的服務安全基線要求項安全基線編號SBL-H3CSwitch-06-01-03安全基線項說明關閉網絡設備不必要的服務