华为交换机安全基线
《华为交换机安全基线》由会员分享,可在线阅读,更多相关《华为交换机安全基线(28页珍藏版)》请在装配图网上搜索。
1、华为设备安全配备基线目录第1章概述41.1目的41.2适用范围41.3适用版本4第2章帐号管理、认证授权安全要求62.1帐号管理62.1.1用户帐号分配*62.1.2删除无关的帐号*72.2口令82.2.1静态口令以密文形式存放82.2.2帐号、口令和授权92.2.3密码复杂度102.3授权112.3.1用IP协议进行远程维护的设备使用SSH等加密协议11第3章日志安全要求123.1日志安全123.1.1启用信息中心123.1.2开启NTP服务保证记录的时间的准确性133.1.3远程日志功能*14第4章IP协议安全要求154.1IP协议154.1.1VRRP认证154.1.2系统远程服务只允许
2、特定地址访问154.2功能配置164.2.1SNMP的Community默认通行字口令强度164.2.2只与特定主机进行SNMP协议交互174.2.3配置SNMPV2或以上版本184.2.4关闭未使用的SNMP协议及未使用write权限19第5章IP协议安全要求205.1其他安全配置205.1.1关闭未使用的接口205.1.2修改设备缺省BANNER语215.1.3配置定时账户自动登出215.1.4配置console口密码保护功能225.1.5端口与实际应用相符23第1章 概述1.1 目的规范配备华为路由器、互换机设备,保证设备基本安全。1.2 合用范畴本配备原则的使用者涉及:网络管理员、网络
3、安全管理员、网络监控人员。1.3 合用版本华为互换机、路由器。第2章 帐号管理、认证授权安全规定2.1 帐号管理2.1.1 顾客帐号分派*1、安全基线名称:顾客帐号分派安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线阐明:应按照顾客分派帐号,避免不同顾客间共享帐号,避免顾客帐号和设备间通信使用的帐号共享。4、参照配备操作:HuaweiaaaHuawei-aaa local-user admin password cipher admin123Huawei-aaa local-user admin privilege level 15Huawei-aaa local-us
4、er admin service-type sshHuawei-aaa local-user user password cipher user123Huawei-aaa local-user user privilege level 4Huawei-aaa local-user user service-type ssh5、安全鉴定条件:(1)配备文献中,存在不同的账号分派(2)网络管理员确认顾客与账号分派关系明确6、检测操作:使用命令dis cur命令查看:#aaa authentication-scheme default authorization-scheme default acc
5、ounting-scheme default domain default domain default_admin local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type sshlocal-user user password cipher =LP!6$-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示成
6、果与运维人员名单,如果运维人员之间不存在共享账号,表白符合安全规定。2.1.2 删除无关的帐号*1、安全基线名称:删除无关的账号2、安全基线编号:SBL-HUAWEI-02-01-023、安全基线阐明:应删除与设备运营、维护等工作无关的账号。4、参照配备操作:HuaweiaaaHuawei-aaaundo local-user user5、安全鉴定条件:(1)配备文献存在多种账号(2)网络管理员确认账号与设备运营、维护等工作无关6、检测操作:使用dis cur | include local-user命令查看:Huaweidis cur | include local-user local-u
7、ser admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type ssh若不存在无用账号则阐明符合安全规定。2.2 口令2.2.1 静态口令以密文形式寄存1、安全基线名称:静态口令以密文形式寄存2、安全基线编号:SBL-HUAWEI-02-02-013、安全基线阐明:配备本地顾客和super口令使用密文密码。4、参照配备操作:Huaweiaaa Huawei-aaalocal-user admin password cipher ad
8、min123Huaweisuper password cipher admin1235、安全鉴定条件:配备文献中没有明文密码字段。6、检测操作:查看本地顾客密码:Huaweidis cur | include local-user local-user admin password cipher =LP!6$-IYNZPO3JBXBHA! local-user admin privilege level 15 local-user admin service-type ssh查看super密码:Huaweidis cur | include supersuper password level
9、3 cipher mPZr=2!Zu:|l#3M#3Icf# #2.2.2 密码复杂度1、安全基线名称:密码复杂度2、安全基线编号:SBL-HUAWEI-02-02-023、安全基线阐明:对于采用静态口令认证技术的设备,口令长度至少8位,并涉及数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设立相似的口令。密码应至少每90天进行更换。4、参照配备操作:Huaweiaaa Huawei-aaalocal-user admin password cipher adminxiangyun5、安全鉴定条件:密码强度符合规定,密码至少90天进行更换。2.3 授权2.3.1 用IP合同进行
10、远程维护的设备使用SSH等加密合同1、安全基线名称:用IP合同进行远程维护设备2、安全基线编号:SBL-HUAWEI-02-03-013、安全基线阐明:使用IP合同进行远程维护设备,应配备使用SSH等加密合同连接。4、参照配备操作:HuaweiaaaHuawei-aaa local-user admin password cipher admin123Huawei-aaa local-user admin privilege level 15Huawei-aaa local-user admin service-type sshHuaweirsa local-key-pair createHu
11、aweistelnet server enable Huaweissh user admin service-type stelnet Huaweissh user admin authentication-type passwordHuaweiuser-interface vty 0 4Huawei-ui-vty0-4protocol inbound ssh5、安全鉴定条件:配备文献中只容许SSH等加密合同连接。6、检测操作:使用dis cur | include ssh命令:Huaweidis cur | include ssh local-user admin service-type
12、sshssh user adminssh user admin authentication-type passwordssh user admin service-type stelnet第3章 日记安全规定3.1 日记安全3.1.1 启用信息中心1、安全基线名称:启用信息中心2、安全基线编号:SBL-HUAWEI-03-01-013、安全基线阐明:启用信息中心,记录与设备有关的事件。4、参照配备操作:HUAWEIinfo-center enable5、安全鉴定条件:(1)设备应配备日记功能,能对顾客登录进行记录,记录内容涉及顾客登录使用的账号,登录与否成功,登录时间,以及远程登录使用的IP
13、地址。(2)记录顾客登录设备后所进行的所有操作。6、检测操作:使用dis info-center有显示Information Center: Enabled类似信息,如:Huaweidis info-center Information Center:enabledLog host:Console: channel number : 0, channel name : console Monitor: channel number : 1, channel name : monitor SNMP Agent: channel number : 5, channel name : snmpage
14、nt Log buffer: enabled,max buffer size 1024, current buffer size 512,current messages 56, channel number : 4, channel name : logbufferdropped messages 0, overwritten messages 0 Trap buffer: enabled,max buffer size 1024, current buffer size 256,current messages 4, channel number:3, channel name:trapb
15、ufferdropped messages 0, overwritten messages 0 Information timestamp setting: log - date, trap - date, debug - date millisecond Sent messages = 1227, Received messages = 1226 IO Reg messages = 0 IO Sent messages = 03.1.2 启动NTP服务保证记录的时间的精确性1、安全基线名称:日记记录时间精确性2、安全基线编号:SBL-HUAWEI-03-01-023、安全基线阐明:启动NTP
16、服务,保证日记功能记录的时间的精确性。4、参照配备操作:配备ntp客户端,服务器地址为192.168.1.1:Huaweintp-service authentication enable Huaweintp-service unicast-server 192.168.1.15、安全鉴定条件:日记记录时间精确。6、检测操作:Huaweidis cur | include ntpntp-service authentication enablentp-service unicast-server 192.168.1.13.1.3 远程日记功能*1、安全基线名称:远程日记功能2、安全基线编号:S
17、BL-HUAWEI-03-01-033、安全基线阐明:配备远程日记功能,使设备能通过远程日记功能传播到日记服务器。4、参照配备操作:HUAWEIinfo-center loghost *.*.*.* /配备接受日记的服务器地址Huaweiinfo-center source default channel loghost log level emergencies /配备发送的日记级别5、安全鉴定条件:日记服务器可以对的接受网络设备发送的日记。6、检测操作:使用命令dis cur | include info-center查看:Huaweidis cur | include info-cent
18、erinfo-center source default channel 2 log level emergencies第4章 IP合同安全规定4.1 IP合同4.1.1 VRRP认证1、安全基线名称:VRRP认证2、安全基线编号:SBL-HUAWEI-04-01-013、安全基线阐明:VRRP启用认证,避免非法设备加入到VRRP组中。4、安全鉴定条件:查看VRRP组,只存在对的的设备。5、检测操作:使用命令dis vrrp4.1.2 系统远程服务只容许特定地址访问1、安全基线名称:系统远程服务只容许特定地址访问2、安全基线编号:SBL-HUAWEI-04-01-023、安全基线阐明:设备以U
19、DP/TCP合同对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配备设备,只容许特定主机访问。4、参照配备操作:通过配备访问控制列表ACL,只容许特定的地址访问设备的服务,如:HUAWEIacl number 3000HUAWEI-acl-adv-3000 rule 0 permit tcp source 10.18.54.12 0 destination 10.1.0.50 0 destination-port eq 443HUAWEI-acl-adv-3000 rule 65534 deny ipHuaweitraf
20、fic behavior 1Huawei-behavior-1permitHuaweitraffic policy 1Huawei-classifier-1if-match acl 3000 Huaweitraffic policy 1Huawei-trafficpolicy-1classifier 1 behavior 1Huaweivlan 20Huawei-vlan20traffic-policy 1 inbound5、安全鉴定条件:在有关端口上绑定相应的ACL。6、检测操作:使用dis cur命令查看:#acl number 3000 rule 5 permit tcp source
21、10.18.1.1 0#traffic classifier 1 operator and if-match acl 3000#traffic behavior 1 permit#traffic policy 1 classifier 1 behavior 1#drop-profile default#vlan 20 traffic-policy 1 inbound#4.2 功能配备4.2.1 SNMP的Community默认通行字口令强度1、安全基线名称:SNMP合同的community团队字2、安全基线编号:SBL-HUAWEI-04-02-013、安全基线阐明:修改SNMP的commun
22、ity默认团队字,字符串应符合口令强度规定。4、参照配备操作:HUAWEIsnmp-agent community read HUAWEI snmp-agent community write 5、安全鉴定条件:Community非默认,口令长度至少8位,并涉及数字、小写字母、大写字母和特殊符号4类中至少2类。6、检测操作:使用命令dis cur | include snmp查看:HUAWEIdis cur | include snmp snmp-agent snmp-agent local-engineid 800063A280A4F00001 snmp-agent community re
23、ad xiangyun_readsnmp-agent community write xiangyun_write snmp-agent sys-info version v3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp7、补充:若设备不需要使用SNMP合同应关闭SNMP功能,若需要用到应使用V2版本以上的SNMP合同。4.2.2 只与特定主机进行SNMP合同交互1、安全基线名称:只与特定主机进行SNMP合同交互2、安全基线编号:SBL-HUAWEI-04-02-023、
24、安全基线阐明:设备只与特定主机进行SNMP合同交互4、参照配备操作:使用ACL限制只与特定主机进行SNMP交互HUAWEIacl number HUAWEI-acl-adv- rule 0 permit ip source 10.18.54.12 0 HUAWEI-acl-adv- rule 65534 deny ip HUAWEIsnmp-agent community read xiangyun acl 5、安全鉴定条件:Snmp绑定了acl6、检测操作:使用dis cur | include snmp命令查看:HUAWEIdis cur | include snmp snmp-agent
25、 snmp-agent local-engineid 800063A280A4F00001 snmp-agent community read xiangyun snmp-agent sys-info version 3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp snmp-agent community read xiangyun acl 4.2.3 配备SNMPV2或以上版本1、安全基线名称:配备SNMPv2或以上版本2、安全基线编号:SBL-HUAWEI-04-02
26、-033、安全基线阐明:系统应配备SNMPv2或以上版本4、参照配备操作:HUAWEIsnmp-agent sys-info version v35、安全鉴定条件:系统可以成功使用snmpv2或v3版本合同。6、检测操作:使用dis cur | include snmp命令查看:HUAWEIdis cur | include snmp.snmp-agent sys-info version 3.4.2.4 关闭未使用的SNMP合同及未使用write权限1、安全基线名称:关闭未使用的SNMP合同及未使用write权限2、安全基线编号:SBL-HUAWEI-04-02-043、安全基线阐明:系统应
27、及时关闭未使用的SNMP合同及未使用write权限4、参照配备操作:Huaweiundo snmp-agent community write pipaxing5、安全鉴定条件:Snmp权限为read。6、检测操作:使用dis cur | include snmp命令查看,权限只有read:HUAWEIdis cur | include snmp.snmp-agent community read xiangyun.第5章 IP合同安全规定5.1 其她安全配备5.1.1 关闭未使用的接口1、安全基线名称:关闭未使用的接口2、安全基线编号:SBL-HUAWEI-05-01-013、安全基线阐明:
28、关闭未使用的接口4、参照配备操作:HUAWEIint g1/0/10HUAWEI-GigabitEthernet1/0/10shutdown5、安全鉴定条件:未使用接口应当管理员down。6、检测操作:HUAWEIdis cur.# interface GigabitEthernet1/0/10 port link-mode bridge combo enable fiber shutdown#.5.1.2 修改设备缺省BANNER语1、安全基线名称:修改设备缺省BANNER语2、安全基线编号:SBL-HUAWEI-05-01-023、安全基线阐明:要修改设备缺省BANNER语,BANNER最
29、佳不要有系统平台或地址等有碍安全的信息。4、参照配备操作:Huaweiheader login information 需要显示的登录信息5、安全鉴定条件:欢迎界面、提示符等不涉及敏感信息。6、检测操作:通过远程登录或console口登录查看设备提示信息。5.1.3 配备定期账户自动登出1、安全基线名称:配备账号定期自动退出 2、安全基线编号:SBL-HUAWEI-05-01-033、安全基线阐明:如Telnet、ssh、console登录连接超时退出4、参照配备操作:配备vty登录3分钟无操作自动退出:HUAWEI user-interface vty 0 4HUAWEI-line-vty0
30、-4idle-timeout 35、安全鉴定条件:每种登录方式均设备了超时退出时间。6、检测操作:使用dis cur查看:HUAWEIdis cur#line vty 0 4 authentication-mode scheme user-role level-4 idle-timeout 3 0#5.1.4 配备console口密码保护功能1、安全基线名称:配备console口密码保护2、安全基线编号:SBL-HUAWEI-05-01-043、安全基线阐明:配备console口密码保护4、参照配备操作:Huaweiuser-interface console 0Huawei-ui-conso
31、le0authentication-mode passwordHuawei-ui-console0set authentication password cipher admin1235、安全鉴定条件:通过console口登录,确认需要密码。6、检测操作:使用命令dis cur查看:HUAWEIdis cur#user-interface con 0 authentication-mode password set authentication password cipher t(e+hKEBi%Tn/.IV8e#5.1.5 端口与实际应用相符1、安全基线名称:端口与实际应用相符2、安全基线编号:SBL-HUAWEI-05-01-053、安全基线阐明:系统使用的端口默认无描述,安全事件解决及后期日记查询较为不变,出于安全考虑,应当将使用的端口添加符合实际应用的描述。4、参照配备操作:HUAWEIint g1/0/10HUAWEI-GigabitEthernet1/0/10description shangxinag5、安全鉴定条件:正在使用的端口配备了相应的描述。6、检测操作:使用dis cur命令查看相应使用的端口与否有描述:HUAWEIdis cur.#interface GigabitEthernet1/0/10 description shangxinag #
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
