H3C交换机设备安全基线

H3C 设备安全配置基线目录第 1 章 概述 . 错误 ! 未定义书签目的 . 错误 !未定义书签适用范围 . 错误 !未定义书签适用版本 . 错误 !未定义书签第 2 章 帐号管理、认证授权安全要求 . 错误 ! 未定义书签帐号管理 . 错误 !未定义书签用户帐号分配 * . 错误!未定义书签删除无关的帐号 * . 错误!未定义书签口令 . 错误 !未定义书签静态口令以密文形式存放 . 错误 !未定义书签关闭未使用的 SNM 助议及未使用 write 权限. 错误!未定义书签第 3 章 其他安全要求 . 错误 ! 未定义书签其他安全配置 . 错误!未定义书签关闭未使用的接口 . 错误!未定义书签修改设备缺省 BANNERS. 错误!未定义书签配置定时账户自动登出 . 错误!未定义书签配置 console 口密码保护功能 . 错误 ! 未定义书签端口与实际应用相符 . 错误!未定义书签第1章 概述1.1 目的规范配置 H3C 路由器、交换机设备，保证设备基本安全。1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员1.3 适用版本comwareV7 版本交换机、路由器。第2章 帐号管理、认证授权安全要求2.1 帐号管理2.1.1用户帐号分配 *1、安全基线名称：用户帐号分配安全2、安全基线编号： SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐 号和设备间通信使用的帐号共享。4、参考配置操作：H3C local-user adminH3C-luser-manage-admin password hash adminmmu2H3C-luser-manage-admin authorization-attribute user-role level-15H3C local-user userH3C-luser-network-user password hash usernhesaH3C-luser-network-user authorization-attribute user-role networkoperator 5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令 dis cur 命令查看：#local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ=service-type sshauthorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator#对比命令显示结果与运维人员名单， 如果运维人员之间不存在共享账号， 表明 符合安全要求。2.1.2删除无关的帐号 *1、安全基线名称：删除无关的账号2、安全基线编号： SBL-H3C-02-01-023、安全基线说明：应删除与设备运行、维护等工作无关的账号4、参考配置操作：H3Cundo local-user user class network5、安全判定条件：（1）配置文件存在多个账号（2）网络管理员确认账号与设备运行、维护等工作无关6、检测操作：使用 dis cur | include local-user命令查看：H3Cdis cur | include local-userlocal-user admin class managelocal-user user1 class manage若不存在无用账号则说明符合安全要求。2.2 口令2.2.1静态口令以密文形式存放1、安全基线名称：静态口令以密文形式存放2、安全基线编号： SBL-H3C-02-02-013、安全基线说明：配置本地用户和 super 口令使用密文密码。4、参考配置操作：H3Clocal-user adminH3C-luser-manage-adminpassword hash .*.*snmp-agent sys-info version 3222关闭未使用的 SNMF 协议及未使用 write 权限1、安全基线名称：关闭未使用的 SNM 协议及未使用 write 权限2、安全基线编号： SBL-H3C-04-02-043、 安全基线说明：系统应及时关闭未使用的SNM 协议及未使用 write 权限4、参考配置操作：H3Cundo snmp-agent community pipaxing 5、安全判定条件：Snmp 权限为 read。6、检测操作：使用 dis cur | include snmp 命令查看，权限只有H3Cdis cur | include snmpsnmp-agent community read xiangyunread ：第3章 其他安全要求3.1 其他安全配置3.1.1关闭未使用的接口1、安全基线名称：关闭未使用的接口2、安全基线编号： SBL-H3C-05-01-013、安全基线说明：关闭未使用的接口4、参考配置操作：H3Cint g1/0/10H3C-GigabitEthernet1/0/10shutdown5、安全判定条件：未使用接口应该管理员 down。6、检测操作：H3Cdis cur# interface GigabitEthernet1/0/10 port link-mode bridge combo enable fiber shutdown#3.1.2修改设备缺省 BANNERS1、安全基线名称：修改设备缺省 BANNE 语2、安全基线编号： SBL-H3C-05-01-023、安全基线说明：要修改设备缺省 BANNE 语，BANNER好不要有系统平台或地 址等有碍安全的信息。4、参考配置操作：H3Cheader loginPlease input banner content, and quit with the character %.5、安全判定条件： 欢迎界面、提示符等不包含敏感信息。6、检测操作：通过远程登录或 console 口登录查看设备提示信息1、安全基线名称：配置账号定时自动退出2、安全基线编号： SBL-H3C-05-01-033、安全基线说明：如 Telnet 、ssh、 console 登录连接超时退出4、参考配置操作：配置 vty 登录 3 分钟无操作自动退出：H3C user-interface vty 0 4 H3C-line-vty0-4idle-timeout 33.1.3配置定时账户自动登出5、安全判定条件： 每种登录方式均设备了超时退出时间。6、检测操作：使用 dis cur 查看：H3Cdis cur#line vty 0 4authentication-mode scheme user-role level-4idle-timeout 3 0 #3.1.4 配置 console 口密码保护功能1、安全基线名称：配置 console 口密码保护2、安全基线编号：SBL-H3C-05-01-043、安全基线说明： 配置 console 口密码保护4、参考配置操作：H3Cuser-interface aux 0 H3C-line-aux0authentication-mode passwordH3C-line-aux0set authentication password simple admin1235、安全判定条件：通过 console 口登录，确认需要密码。6、检测操作：使用命令 dis cur 查看：H3Cdis curline aux 0 authentication-mode passworduser-role network-adminset authentication password hash $h$6$QpooKvn4vB7WJP7u/J9oscewiEEVfvQ=#3.1.5 端口与实际应用相符1、安全基线名称：端口与实际应用相符2、安全基线编号： SBL-H3C-05-01-053、安全基线说明：系统使用的端口默认无描述，安全事件处理及后期日志查询较 为不变，出于安全考虑，应该将使用的端口添加符合实际应用的描述。4、参考配置操作：H3Cint g1/0/10H3C-GigabitEthernet1/0/10description shangxinag5、安全判定条件：正在使用的端口配置了相应的描述。6、检测操作：使用 dis cur 命令查看对应使用的端口是否有描述：H3Cdis cur#interface GigabitEthernet1/0/10 port link-mode bridge description shangxinag comboenable fiber#