HuaWei路由器安全配置规范

HuaWei 路由器安全配置规范
【目的】系统应修改 SNMP 的 Community 默认通行字，通行字应符合口令强度 要求。
【具体配置】 snmp-agent community read XXXX01
2.6.3. SNMP 版本
【目的】系统应配置为 SNMPV2 或以上版本。 【具体配置】
snmp-agent sys-info version v3
2.1.5. 最小权限
【目的】在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权
限。
【具体配置】
aaa local-user 8011 password cipher 8011 local-user 8011 service-type telnet local-user 8011 level 0 # user-interface vty 0 4 authentication-mode aaa
2.1.4. 静态口令加密
【目的】静态口令必须使用不可逆加密算法加密后保存于配置文件中。 【具体配置】
Page 2 of 10
HuaWei 路由器安全配置规范
super password level 3 cipher N`C55QK<`=/Q=^Q`MAF4<1!! local-user 8011 password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
Page 3 of 10
[Router-aaa-domain-default]radius-server shiva
2.2. 关闭不必要的服务
HuaWei 路由器安全配置规范
2.2.1. 关闭不必要的服务
【目的】关闭网络设备不必要的服务，比如 FTP、TFTP 服务等。 【具体配置】
undo ftp server
2.3. 登录要求
2.3.1. 管理员远程登录
【目的】限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应 先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。
【具体配置】 super password level 3 cipher superPWD aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user1 level 2 # user-interface vty 0 4 authentication-mode aaa
用户用相应的操作权限登录设备后，不具有最高权限级别 3，这时有些操作不 能做，例如修改 aaa 的配置。这时如果想使用管理员权限必须提高用户级别。
2.3.2. SSH
【目的】对于使用 IP 协议进行远程维护的设备，设备应配置使用 SSH 等加密 协议。
【具体配置】 #rsa peer-public-key quidway002 public-key-code begin
2.1.1. 按照用户分配帐号
【目的】避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共 享。
【具体配置】 aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user2 password cipher PWD2 local-user user2 service-type ftp # user-interface vty 0 4 authentication-mode aaa
【具体配置】 info-center loghost 202.38.1.10 facility local4 language english
2.5. 动态路由协议认证
2.5.1. OSPF 认证
【目的】动态路由协议口令要求配置 MD5 加密。 【具体配置】
ospf 2 area 0.0.0.0 authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!!
Page 4 of 10
HuaWei 路由器安全配置规范
308186028180739A291ABDA704F5D93DC8FDF84C427463199 1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9 C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0 E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8 28D55A36F1CDDC4BB45504F020125 public-key-code end peer-public-key end # aaa local-user client001 password simple huawei local-user client002 password simple quidway authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # ssh user client002 assign rsa-key quidway002 ssh user client001 authentication-type password ssh user client002 authentication-type RSA # user-interface con 0 user-interface vty 0 4 authentication-mode aaa protocol inbound ssh #
2.6.4. SNMP 访问限制
【目的】设置 SNMP 访问安全限制，只允许特定主机通过 SNMP 访问网络设备。 【具体配置】
snmp-agent community read XXXX01 acl 2000
2.7. 其他安全要求
2.7.1. NTP 服务
【目的】开启 NTP 服务，保证日志功能记录的时间的准确性。路由器与 NTP SERVER 之间要开启认证功能。
2.5.2. 路由策略
【目的】制定路由策略，禁止发布或接收不安全的路由信息。 【具体配置】
acl number 2000 rule 5 permit source 2.2.2.2 0 route-policy dd permit node 0 if-match acl 2000 ospf 2 area 0.0.0.0 authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!! filter route-policy dd import
HuWei 路由器安全配置规范
1. 概述
HuaWei 路由器安全配置规范
1.1. 目的
本规范明确了华为路由器安全配置方面的基本要求。为了提高华为网络设备的 安全性而提出的。
1.2. 范围
本规范适用于 XXXX 使用的华为路由器。
Page 1 of 10
2. 配置标准
2.1. AAA
HuaWei 路由器安全配置规范
2.1.2. 删除无关帐号
【目的】应删除与设备运行、维护等工作无关的账号。 【具体配置】
aaa undo local-user test
2.1.3. 静态口令位数
【目的】对于采用静态口令认证技术的设备，口令长度至少 6 位，并包括数 字、小写字母、大写字母和特殊符号 4 类中至少 2 类。
【具体配置】 aaa local-user user1 password cipher NumABC%$
2.4. 日志
2.4.1. 登录日志
【目的】设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录 使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的 IP 地址。
【具体配置】 info-center console channel 0
2.4.2. 操作日志
【目的】设备应配置日志功能，记录用户对设备的操作。例如：账号创建、删 除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的计费数 据、身份数据、涉及通信隐私数据。记录需要包含用户账号，操作时间，操作内容 以及操作结果。
2.3.3. 登陆超时
【目的】配置定时账户自动登出，登出后用户需再次登录才能进入系统。
【具体配置】
user-interface vty 0 4 idle-timeout 20 0
2.3.4. Console 登录密码
【目的】配置 consol 口密码保护功能
【具体配置】
user-interface con 0 set authentication password cipher consolPWD
2.6. SNMP 协议
2.6.1. 关闭不使用的 SNMP 协议
【目的】系统应关闭未使用的 SNMP 协议及未使用 RW 权限。 【具体配置】
Page 7 of 10
Undo snmp enable6.2. SNMP 协议默认通行字
2.1.6. Radius 认证
【目的】在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权
限。
【具体配置】
#对远程登录用户先用 RADIUS 服务器进行认证，如果没有响应，则不认 证。 #认证服务器 IP 地址为 129.7.66.66，无备用服务器，端口号为默认值 1812。 # 配置 RADIUS 服务器模板。 [Router] radius-server template shiva # 配置 RADIUS 认证服务器 IP 地址和端口。 [Router-radius-shiva]radius-server authentication 129.7.66.66 1812 # 配置 RADIUS 服务器密钥、重传次数。 [Router-radius-shiva] radius-server shared-key it-is-my-secret [Router-radius-shiva] radius-server retransmit 2 [Router-radius-shiva] quit # 进入 AAA 视图。 [Router] aaa # 配置认证方案 r-n，认证方法为先 RADIUS，如果没有响应，则不认证。 [Router–aaa] authentication-scheme r-n [Router-aaa-authen-r-n] authentication-mode radius none [Router-aaa-authen-r-n] quit # 配置 default 域，在域下采用 r-n 认证方案、缺省的计费方案（不计 费），shiva 的 RADIUS 模板。 [Router-aaa] domain default [Router-aaa-domain-default] authentication-scheme r-n
Page 5 of 10
2.3.5. 登录源限制
HuaWei 路由器安全配置规范
【目的】系统远程管理服务 TELNET、SSH 默认可以接受任何地址的连接，出于
安全考虑，应该只允许特定地址访问。
【具体配置】
Acl 2000 Rule permit ip source 10.0.0.1 0 User-interface vty 0 4 acl 2000 inbound
【具体配置】 info-center logbuffer channel 4
2.4.3. 安全事件日志
【目的】设备应配置日志功能，记录对与设备相关的安全事件。 【具体配置】
info-center enable
Page 6 of 10
2.4.4. 远程日志
HuaWei 路由器安全配置规范
【目的】设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输 到日志服务器。设备应支持至少一种通用的远程标准日志接口，如 SYSLOG、FTP 等。