XX银行H3C交换机安全基线配置

《XX银行H3C交换机安全基线配置》由会员分享，可在线阅读，更多相关《XX银行H3C交换机安全基线配置（29页珍藏版）》请在装配图网上搜索。

1、XX银行H3C交换机系列安全配置基线(V1.0)目录1 适用声明22 访问控制32.1 远程连接源地址限制 213 安全审计33.1 开启设备的日志功能 64 入侵防范74.1 配置防 ARP欺骗攻击 74.2 配置常见的漏洞攻击和病毒过滤功能 44.3 配置ACL规则35 网络设备防护85.1 限制管理员远程直接登录 85.2 连接空闲时间设定 95.3 远程登陆加密传输 105.4 配置CONSOLE 口密码保护功能和连接超时 115.5 按照用户分配账号125.6 删除设备中无用的闲置账号 135.7 修改设备上存在的弱口令 135.8 配置和认证系统联动功能 14配置和认证系统联动功能

2、 145.9 配置NTP服务155.10 修改SNMP的COMMUNITY 默认通行字 165.11 使用SNMPV2或以上版本 175.12 设置SNMP的访问安全限制 185.13 系统应关闭未使用的 SNMP协议及未使用 RW权限 195.14 关闭不必要的服务 195.15 配置防源地址欺骗攻击 205.16 禁止设备未使用或者空闲的端口 211适用声明适用人员IT部的网络维护人员、安全评估人员、安全审计人员适用版本H3C同系列的网络交换机适用等保一级项适用等保二级项适用等保三级项适用等保四级项参考依据H3C交换机配置手册GB/T 20270-2006信息安全技术网络基础安全技术要求G

3、B/T 20011-2005信息安全技术路由器安全评估准则JR/T 0068-2012网上银行系统信息安全通用规范GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求GB/T 25070-2010信息安全技术信息系统等级保护安全设计技术要求JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引2访问控制2.1 配置ACL规则H3C-behavior-tb1 de ny6. 定义流策略，将流分类与流行为关联。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb17. 应用流策略

4、到接口。H3C in terface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 in bou nd备注2.2配置常见的漏洞攻击和病毒过滤功能3安全审计3.1开启设备的日志功能配置/检查项配置设备的日志功能适用等保级别等保二至四级1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.查看日志功能是否按照需求配置H3Cdis cur | in info-center要求相关安全审计信息

5、应收集设备登录信息日志和设备事件信息日志，冋时 提供SYSLOG服务器的设置方式， 所有的日志信息可以均可以远程存储到日 志服务器。并且必须保证日志服务器的安全性。1.进入用户视图2.由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C配置步骤3.开启日志功能H3C in fo-ce nter e nable4.配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了 解到设备的运行情况H3C info-cen ter con sole cha nnel 05.配置日志信息输出到日志缓冲区H

6、3C in fo-ce nter logbuffer cha nnel 46.配置日志信息输出到日志服务器H3C in fo-ce nter loghost 1.1.1.1备注4入侵防范4.配置防止ARP网关冲突H3C arp an ti-attackgateway-duplicateen able备注5网络设备防护5.1限制管理员远程直接登录配置/检查项限制具备管理员权限的用户远程直接登录适用等保级别1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.查看是否存在

7、咼级别权限密码H3Cdis cur | in acl4.查看是否对于user用户密码进行配置H3Cdis cur | in local-user远程管理员应先以普通权限用户登录后，再切换到管理员权限执行相应操作。1.进入用户视图2.由户视图切换到系统视图配置步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.设置用户由低级别权限切换到高级别权限的密码H3C super password level 3 cipher anbang1234. 进入aaa视图H3Caaa5.配置具备远程登陆用户user1的权限信息。

8、配置用户user1权限等级为Level 1,具有tel net服务。H3C-aaa local-user userl password cipher anban g1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 16.配置远程登陆用户的认证方式为aaa认证H3C user-i nteface vty0 4备注H3C-ui-vty0-4authe nticati on-m ode aaa5.2连接空闲时间设定配置/检查项 设置用户登录设备的空闲时间适用等保级别等保一至四级1. 进入用户视

9、图2. 用户视图切换到系统视图 system-view检查步骤En ter system view, return user view with Ctrl+Z.H3C3. 查看AAA下是否有相关的用户口令配置H3Cdis cur | in aaa用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户 如果需要继续操作，则需要重新输入口令。1. 进入用户视图2. 由户视图切换到系统视图配置步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 进入aaa视图，配置用户 user1的超时时间为5分钟。H3

10、Caaa H3C-aaa local-user user1 password cipher anban g1234 H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1H3C-aaa local-user user1 idle-timeout 5备注配置/检查项远程登陆加密传输适用等保级别等保一至四级5.3远程登陆加密传输1. 进入用户视图2. 用户视图切换到系统视图 system-view检查步骤En ter system view, return user view with Ctrl+Z.

11、H3C3. 查看相关SSH配置H3Cdis cur | in ssh如果通过远程对交换机进行管理维护，特别是通过互联网以及不安全的公共 网络，设备应配置使用 SSH加密协议。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C配置步骤3.生成本地密钥对H3C rsa local-key-pair create4. 创建ssh用户和密码H3C user-i ntefacevty 04H3C-ui-vtyO-4 authe nticatio n-modeaaaH3C-ui-vt

12、y0-4 protocolinbound sshH3C-ui-vty0-4 sshuser abc authe nticati on-typepasswordH3Cstel net serveren ableH3CaaaH3C-aaa local-userH3C-aaa local-user5.使能stelnet服务H3Cssh user abcservice-typestel netabc password simple abcabc service-type ssh备注5.4 配置con sole 口密码保护功能和连接超时H3Cste In etserveren able配置/检查项设置用

13、户通过con sole 口登录交换机时的密码适用等保级别等保一至四级1. 进入用户视图2. 用户视图切换到系统视图 system-view检查步骤En ter system view, return user view with Ctrl+Z.H3C3. 查看是否存在对 CONSOLE 口的口令配置H3Cdis cur | in user- in terface用户通过console 口登录交换机时，需要输入密码，并且用户登录交换机后, 如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作, 则需要重新输入口令。1. 进入用户视图2. 由户视图切换到系统视图配置步骤 system-

14、viewEn ter system view, return user view with Ctrl+Z.H3C3. 配置登录con sole 口时的口令和超时时间H3C user- in terface con sole 0H3C-ui-c on soleOauthe nticati on-m ode passwordH3C-ui-c on soleOset authe nticati on password cipher anban g123H3C-ui-co nsole0 idle-timeout 5备注5.5按照用户分配账号配置/检查项按照用户分配账号 适用等保级别1. 进入用户视图2

15、. 用户视图切换到系统视图检查步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 查看是否对于不同用户配置权限信息H3Cdis cur | in local-user避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.配置步骤H3C配置用户user1具有telnet权限，user2具有ftp权限。H3C-aaa local-user

16、 user1 password cipher anban g1234H3C-aaa local-user user2 password cipher anban g1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user2 service-type ftpH3C-aaa local-user user1 level 1H3C-aaa local-user user2 level 1备注5.6删除设备中无用的闲置账号配置/检查项删除设备中无用的闲置账号适用等保级别等保二至四级1.进入用户视图En ter sys

17、tem view, retur n user view with Ctrl+Z.配置步骤1.进入用户视图H3Caaa检查步骤H3C3. 查看设备中是否存在限制的用户账号和信息H3Cdis cur | in local-user定期检查设备账号配置，删除与设备运行，维护等无关的账号。4. 删除设备中无用的账号。H3C-aaa undo local-user user1备注5.7修改设备上存在的弱口令配置/检查项修改设备上存在的弱口令适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEn ter system view, return user

18、view with Ctrl+Z.H3C3.查看用户的密码信息H3Cdis cur | in local-user对于米用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号 4类中至少2类，且用户口令加密存储。1.进入用户视图2.由户视图切换到系统视图配置步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.进入aaa视图，配置用户 user1的口令，并且口令加密存储。H3CaaaH3C-aaa local-user user1 password cipher anban g123

19、4H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1备注5.8配置和认证系统联动功能配置/检查项配置和认证系统联动功能适用等保级别等保二至四级1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.查看是否配置了认证服务系统H3Cdis cur | in radius-server设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要 求。1. 进入用户视图

20、2. 由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 配置RADIUS服务器模板testH3Cradius-server template test4. 配置RADIUS认证服务器的IP地址、端口。配置步骤H3C-radius-testradius-server authe ntication 1.1.1.1 18125. 配置RADIUS服务器密钥、重传次数H3C-radius-testradius-server shared-key cipher helloH3C-radius-te

21、stradius-server retra nsmit 26. 配置认证方案1,认证模式为先 RADIUS，如果没有响应，则不认证H3CaaaH3C-aaaauthe nticati on-scheme 1H3C-aaaauthe nticati on-m ode radius none7. 配置ab域，在域下应用认证方案1、RADIUS模板testH3C-aaa doma in abH3C-aaa-doma in-abauthe nticati on-scheme 1H3C-aaa-doma in-abradius-server test备注5.9 配置NTP服务配置/检杳项配置NTP服务适

22、用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 查看NTP相关配置是否正确H3Cdis cur | in ntp开启NTP服务，保证日志功能记录的时间的准确性，同时交换机和NTPSERVER之间要开启认证功能。1. 进入用户视图2 .由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C配置步骤3. 在交换机上使能 NTP功能，配置验证密钥

23、并声明该密钥可信H3C n tp-service authe nticati on en ableH3C ntp-service authentication-keyid 1 authentication-mode md5HelloH3C n tp-service reliable authe nticati on-keyid 14. 配置NTP服务器，并使用已配置的验证密钥。H3C ntp-service unicast-server 2222 authentication-keyid 1备注5.10修改SNMP的community 默认通行字配置/检查项修改SNMP的community默认

24、通仃字，通仃字应符合口令强度要求适用等保级别等保二至四级1.进入用户视图检查步骤2. 用户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 查看COMMUNITY是否存在默认通行字H3Cdis cur | in acl应修改SNMP的Community默认通行字，通行字应符合口令强度要求。1. 进入用户视图2. 由户视图切换到系统视图配置步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 修改SNMP的默认通

25、行字H3C sn mp-age nt commu nity read 1234abcdH3C sn mp-age nt commu nity write 1234abcd备注5.11使用SNMPV2或以上版本配置/检查项使用SNMPV2或以上版本适用等保级别等保二至四级1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.查看SNMP的运行版本H3Cdis cur | in sn mp-age nt应配置SNMP使用SNMPv2或者以上版本，加强安全性。1.进入用户视

26、图配置步骤2.由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.配置SNMP版本。H3C sn mp-age nt sys-i nfo version v3备注5.12设置SNMP的访问安全限制5.13系统应关闭未使用的 SNMP协议及未使用 RW权限配置/检查项关闭未使用的SNMP协议及未使用RW权限适用等保级别等保二至四级1. 进入用户视图2. 用户视图切换到系统视图 system-view检查步骤En ter system view, return user view with Ctr

27、l+Z.H3C3. 查看SNMP协议的RW相关配置H3Cdis cur | in RW如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除 一些SNMP服务的默认配置。1. 进入用户视图2. 由户视图切换到系统视图配置步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 配置可以访问交换机的 ACL列表。H3C Un do snmp en able备注H3C undo sn mp-age nt com mun ity RWuser5.14关闭不必要的服务配置/检查项关闭不必要的服务适用等保级别

28、等保二至四级1.进入用户视图检查步骤2.用户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.查看存在哪些协议如：FTP,HTTP,DHCP 等。H3Cdis cur关闭网络设备不必要的服务，如：FTP,HTTP,DHCP SERVER等。1. 进入用户视图2. 由户视图切换到系统视图配置步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 关闭设备的ftp服务。H3C undo ftp server备注5.15

29、配置防源地址欺骗攻击配置/检查项配置防源地址欺骗攻击适用等保级别1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.查看是否含有URPF的相关配置H3Cdis cur | in urpf配置设备使用单播逆向路径转发（URPF ）技术可以解决源地址欺骗造成的网络安全问题。1.进入用户视图配置步骤2.由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C3.在接口上使能URP

30、F功能。H3C in terface gigabitethernet 1/0/0H3C-GigabitEthernet1/0/0ip urpf strict备注5.16禁止设备未使用或者空闲的端口5.17远程连接源地址限制配置/检查项远程登陆源地址限制等保二至四级适用等保级别1. 进入用户视图2. 用户视图切换到系统视图检查步骤 system-viewEn ter system view, return user view with Ctrl+Z.H3C3. 查看ACL是否正确匹配到需要控制的路由H3Cdis cur | in acl对登陆设备的源IP地址进行过滤，防止某些获得登录密码的用户从非法的地 址登录到设备上。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEn ter system view, return user view with Ctrl+Z.H3C配置步骤3. 创建acl规则，配置只允许特定源IP地址的acl。H3C acl 30014. 在用户接口视图下应用acl规则。H3C user-i nteface vty 0 4H3C-ui-vty0-4 acl 3001 in bou ndH3C-ui-vty0-4 quit备注