H3C三层交换机安全配置规范

H3C三层交换机安全配置规范
4.1管理平面安全配置
4.1.1管理口防护
4.1.1.1关闭未使用的管理口
项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1
配置说明设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。

重要等级高
配置指南1、参考配置操作
#
interface Ten-GigabitEthernet0/1 //进入端口视图
shutdown //执行shutdown命令，关闭端口
#
检测方法
及
判定依据1、符合性判定依据
端口关闭，不能使用。

2、参考检测方法
通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注
4.1.1.2配置console口密码保护
项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1
配置说明设备应配置console口密码保护
重要等级高
配置指南1、参考配置操作
[H3C]user-interface console 0
[ H3C-ui-console0] authentication-mode password
[ H3C-ui-console0] set authentication password cipher xxxxxxxx
检测方法
及
判定依据1、符合性判定依据
通过console口，只有输入正确密码才能进入配置试图
2、参考检测方法
PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注
4.1.2账号与口令
4.1.2.1避免共享账号
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1
配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。

重要等级中
配置指南1、参考配置操作
local-user user1
service-type telnet
user privilede level 2
#
local-user user2
service-type ftp
user privilede level 3
#
2、补充操作说明
1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；
2、避免使用h3c、admin等简单易猜的账号名称；
检测方法
及
判定依据1、符合性判定依据
各账号都可以正常使用，不同用户有不同的账号。

2、参考检测方法
（1）用display current-configuration configuration luser命令查看配置是否正确
（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用
（3）使用配置中没有的账号无法登录
3、补充说明
每个账号都有对应的使用人员，确保没有多余账号
备注
4.1.2.2禁止无关账号
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-02-v1
配置说明应禁止配置与设备运行、维护等工作无关的账号；
重要等级高
配置指南如有无关账号，参考如下配置进行删除
#
undo local-user username
#
检测方法
及
判定依据1、符合性判定依据
不存在工作无关账号
2、参考检测方法
通过display local-user来查看是否存在无关账号
备注
4.1.2.3管理默认账号与口令
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-03-v1
配置说明应删除或锁定默认或缺省账号与口令。

重要等级高
配置指南#
undo local-user username
#
检测方法
及
判定依据1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过display password来看密码策略
通过telnet方式登录设备，输入密码来检测密码安全性
备注
4.1.2.4口令长度和复杂度
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-04-v1
配置说明对于采用静态口令认证技术的设备：应支持口令长度及复杂度验证机制（强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成，自动拒绝用户设置不符合复杂度要求的口令。

）；
重要等级高
配置指南1、参考配置操作
对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类，每类多余4个。

password-control enable
password-control length 8
password-control composition type-number 3 type-length 4
检测方法
及
判定依据1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过display password来看密码策略
通过telnet方式登录设备，输入密码来检测密码安全性
备注
4.1.2.5口令加密
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-05-v1
配置说明静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。

如使用enable secret配置Enable密码，不使用enable password配置Enable 密码。

重要等级高
配置指南1、参考配置操作
#
local-user admin
password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU
#
检测方法
及
判定依据1、符合性判定依据
密码以密文形式存在设备配置中
2、参考检测方法
通过display current-configuration命令查看账号密码以密文形式显示
备注
4.1.2.6口令变更周期
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-06-v1
配置说明口令定期更改，最长不得超过90天。

重要等级高
配置指南1、参考配置操作
对于采用静态口令认证技术的设备，账户口令的生存期不长于90天，提前7天告警。

password-control enable
password-control aging 90
password-control alert-before-expire 7
检测方法
及
判定依据1、符合性判定依据
口令更改周期为90天，提前7天会自动告警
2、参考检测方法
通过display password-control来查看密码策略
备注
4.1.2.7账户锁定策略
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-07-v1
配置说明应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。

重要等级高
配置指南1、参考配置操作
password-control login-attempt 5 exceed lock-time 60
一般设置为5次。

检测方法
及
判定依据1、符合性判定依据
账号密码输入连续多次错误，账号被锁定。

2、参考检测方法
模拟登录测试，连续输5次密码，该账号被锁定。

备注
4.1.3认证
4.1.3.1使用认证服务器认证
项目编号NOMD-2013-SC-H3C(L3SW)-01-03-01-v1
配置说明设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求。

重要等级中
配置指南1、参考配置操作
[FW] radius scheme rad
# 配置主、备认证服务器的IP地址为10.1.1.1，认证端口号为1812。

[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与认证服务器交互报文时的共享密钥为expert。

[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。

[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。

使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。

[FW] domain bbb
[FW-isp-bbb] authentication login radius-scheme rad
[FW-isp-bbb] quit
2、补充操作说明
（1）、配置认证方式，可通过radius和本地认证；
（2）、10.1.1.10和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备；
（3）、port 1812是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置；
（4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。

检测方法
及
判定依据1、符合性判定依据
（1）、可以正常ping通Radius服务器的IP地址；
（2）、用户可以登录为正常；
（3）、如果要让Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。

2、参考检测方法
用户发起TELNET连接，在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后，可成功进入用户界面，并可以使用级别为0、1、2、3的命令。

# 可以通过如下命令查看到AAA用户的连接信息。

[FW] display connection
Index=1 ,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
备注
4.1.3.2会话超时配置
项目编号NOMD-2013-SC-H3C(L3SW)-01-03-02-v1
配置说明配置定时账户自动登出。

如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。

重要等级高
配置指南1、参考配置操作
#
user-interface con 0
idle-timeout 5 0
user-interface aux 0
idle-timeout 5 0
user-interface vty 0 4
idle-timeout 5 0
#
save
2、补充操作说明
以上配置是系统在5分钟没有管理流量就让用户自动退出。

超时时间一般设置为5-10分钟。

检测方法
及
判定依据1、符合性判定依据
当闲置时间超时（这里设了5分钟），用户会自动退出设备
2、参考检测方法
1)、使用display current-configuration configuration user-interface查看配置结果
2)、在终端上用telnet方式登录,输入用户名密码
3)、让用户处于空闲状态，查看当时间超时是否自动登出
备注
4.1.4授权
4.1.4.1分级权限控制
项目编号NOMD-2013-SC-H3C(L3SW)-01-04-01-v1
配置说明原则上应采用预定义级别的授权方法，实现对不同用户权限的控制，满足用户最小授权的要求。

重要等级中
配置指南1、参考配置操作
#
local-user user1
service-type telnet
user privilede level 2
#
local-user user2
service-type ftp
user privilede level 3
#
检测方法
及
判定依据1、符合性判定依据
各账号都可以正常使用，且能够输入的命令权限不同
2、参考检测方法
（1）用display current-configuration configuration luser命令查看配置是否正确
（2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令
备注
4.1.4.2利用认证服务器进行权限控制
项目编号NOMD-2013-SC-H3C(L3SW)-01-04-02-v1
配置说明除本地采用预定义级别进行外，设备可通过与认证服务器（RADIUS服务器或TACACS 服务器）联动的方式实现对用户的授权。

并建议采用逐条授权的方式，尽量避免或减少使用一次性授权的方式。

重要等级中
配置指南1、参考配置操作
[FW] radius scheme rad
# 配置主、备授权服务器的IP地址为10.1.1.1，认证端口号为1812。

[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与授权服务器交互报文时的共享密钥为expert。

[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。

[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。

使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。

[FW] domain bbb
[FW-isp-bbb] authorization login radius-scheme rad
[FW-isp-bbb] quit
2、Radius服务器向发送用户授权信息，需要在Radius服务器上装字典文件并做相应配置。

检测方法
及
判定依据1、符合性判定依据
（1）、用户可以登录为正常；
（2）、用户只能够配置Radius服务器规定的命令
2、参考检测方法
用户发起TELNET连接，在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后，可成功进入用户界面，并可以使用级别为0、1、2、3的命令。

# 可以通过如下命令查看到AAA用户的连接信息。

[FW] display connection
Index=1 ,Username=hello@bbb
IP=192.168.1.58
IPv6=N/A
Total 1 connection(s) matched.
备注
4.1.4.3授权粒度控制
项目编号NOMD-2013-SC-H3C(L3SW)-01-04-03-v1
配置说明原则上应采用对命令组或命令进行授权的方法，实现对用户权限细粒度的控制的能
力，满足用户最小授权的要求。

重要等级中
配置指南1、参考配置操作
[FW] radius scheme rad
# 配置主、备授权服务器的IP地址为10.1.1.1，认证端口号为1812。

[FW-radius-rad] primary authentication 10.1.1.1 1812
[FW-radius-rad] secondary authentication 10.1.1.2 1812
# 配置与授权服务器交互报文时的共享密钥为expert。

[FW-radius-rad] key authentication expert
# 配置向RADIUS服务器发送的用户名携带域名。

[FW-radius-rad] user-name-format with-domain
# 配置RADIUS服务器的服务类型。

使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[FW-radius-rad] server-type extended
[FW-radius-rad] quit
# 配置ISP域的AAA方法。

[FW] domain bbb
[FW-isp-bbb] authorization login radius-scheme rad
[FW-isp-bbb] quit
2、Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。

检测方法
及
判定依据1、符合性判定依据
通过账号登录测试，每个账号的权限不同
2、参考检测方法
通过radius服务器，查看每个账号的权限
备注
4.1.5记账
4.1.
5.1记录用户登录日志
项目编号NOMD-2013-SC-H3C(L3SW)-01-05-01-v1
配置说明采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户登录日志的记录和审计。

记录和审计范围应包括但不限于：用户登录的方式、使用的账号名、登录是否成功、登录时间、以及远程登录时用户使用的IP地址。

重要等级高
配置指南1、参考配置操作
设备缺省就对用户登录实施日志。

如果修改了缺省配置不对用户登录实施日志的话，请增加以下配置：
#
info-center enable
info-center source default channel logbuffer log level informational state on
#
save
检测方法
及
判定依据1、符合性判定依据
可以在informational级别日志中查看到用户名、登录时间和源IP等内容。

2、参考检测方法
（1）使用display current-configuration | begin info-center命令查看配置；
（2）在终端上使用tetlnet方式登录,输入用户名密码；
（3）使用display logbuffer 命令查看日志。

备注
4.1.
5.2记录用户操作行为日志
项目编号NOMD-2013-SC-H3C(L3SW)-01-05-02-v1
配置说明采用本地或采用与认证服务器(RADIUS或TACACS服务器)联动（优选方式）的方式，实现对用户操作行为的记录和审计，记录和审计范围应包括但不限于：账号创建、删除和权限修改，口令修改，设备配置修改，执行操作的行为和操作结果等。

重要等级高
配置指南1、参考配置操作
缺省就对用户修改配置实施日志。

如果修改了缺省配置不对实施日志的话，请增加以下配置：info-center source default channel console log level informational state on
save
2、补充操作说明
缺省方式日志输出
输出方向的缺省输出规则
输出方向允许输出的模块LOG TRAP DEBUG
开关级别开关级别开关级别
控制台default（所有模块）开informational 开debugging 开debugging
监视终端default（所有模块）开informational 开debugging 开debugging
日志主机default（所有模块）开informational 开debugging 关debugging
告警缓冲区default（所有模块）关informational 开informational 关debugging
日志缓冲区default（所有模块）开informational 关debugging 关debugging
SNMP模块default（所有模块）关debugging 开informational 关debugging
Web页面default（所有模块）开debugging 开debugging 关debugging
日志文件default（所有模块）开debugging 开debugging 关debugging
检测方法
及
判定依据1、符合性判定依据
可以使用display logbuffer 命令查看日志。

2、检测操作
（1）使用display current-configuration | begin info-center命令查看配置；
（2）在终端上使用tetlnet方式登录,输入用户名密码；
（3）使用display logbuffer 命令查看日志。

备注
4.1.6远程管理
4.1.6.1VTY端口防护策略
项目编号NOMD-2013-SC-H3C(L3SW)-01-06-01-v1
配置说明应限制VTY口的数量，通常情况下VTY口数量不超过16个。

应设定VTY口的防护策略，避免由于恶意攻击或者错误操作等导致VTY口不可用情况的发生。

（如：网管系统尽量采用snmp方式对设备进行操作，避免使用对设备CPU负载较大的telnet方式。

）
重要等级高
配置指南1、参考配置操作
user-interface vty 0 4
authentication-mode scheme
2、补充操作说明
设置访问密码，避免非法访问
检测方法
及
判定依据1、符合性判定依据
对vty口的数量不超过5个，其对起进行了访问限制。

2、参考检测方法
1) Display current-configuration
2) 通过登录测试，只有输入密码才能访问设备
超出在线用户数限制，则无法通过vty口访问设备
备注
4.1.6.2VTY端口访问的认证
项目编号NOMD-2013-SC-H3C(L3SW)-01-06-02-v1
配置说明对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。

重要等级高
配置指南1、参考配置操作
user-interface vty 0 4
authentication-mode scheme
#
2、补充操作说明
以上配置是对VTY口访问采用服务器认证或本地认证的方式。

检测方法
及
判定依据1、符合性判定依据
通过telnet登录，只能通过用户名、密码本地或远程登录。

2、参考检测方法
登录设备，查看是否需要用户名、密码进行认证。

备注
4.1.6.3远程主机IP地址段限制
项目编号NOMD-2013-SC-H3C(L3SW)-01-06-03-v1
配置说明应通过ACL限制可远程管理设备的IP地址段
重要等级高
配置指南1、参考配置操作
Acl number 2000
rule 1 permit source 192.168.0.0 0.0.255.255
rule 2 permit source 2::1 0 //匹配某个地址的用户--Ipv6
User-interface vty 0 4
acl 2000 inbound
检测方法
及
判定依据1、符合性判定依据
通过设定acl，成功过滤非法的访问。

2、参考检测方法
display current-configuration
通过模拟账号登录设备，如果不是ACL所允许的IP地址，则无法登录。

备注
4.1.6.4远程管理通信安全
项目编号NOMD-2013-SC-H3C(L3SW)-01-06-04-v1
配置说明使用SSH或带SSH的telnet等加密的远程管理方式。

重要等级高
配置指南1、参考配置操作
# 设置用户界面VTY 0 到VTY 4 支持SSH 协议。

<Sysname> system-view
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
[Sysname-ui-vty0-4] protocol inbound ssh
检测方法
及
判定依据1、符合性判定依据
通过telnet无法登录，只能以SSH方式登录
2、参考检测方法
通过SSH方式登录设备，成功。

Telnet登录，则失败。

备注
4.1.7SNMP安全
4.1.7.1使用SNMP V3版本
项目编号NOMD-2013-SC-H3C(L3SW)-01-07-01-v1
配置说明对于支持SNMP V3版本的设备，必须使用V3版本SNMP协议。

重要等级高
配置指南1、参考配置操作
snmp-agent sys-info version v3
检测方法
及
判定依据 1. 符合性判定依据
成功使能snmpv2c、和v3版本。

2. 参考检测操作
display current-configuration
备注
4.1.7.2访问IP地址范围限制
项目编号NOMD-2013-SC-H3C(L3SW)-01-07-02-v1
配置说明应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。

重要等级高
配置指南1、参考配置操作
snmp-agent community read XXXX acl 2000
检测方法
及
判定依据 1. 符合性判定依据
通过设定acl来成功过滤特定的源才能进行访问。

2. 参考检测操作
display current-configuration
备注
4.1.7.3SNMP服务读写权限管理
项目编号NOMD-2013-SC-H3C(L3SW)-01-07-03-v1
配置说明应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。

重要等级高
配置指南1、参考配置操作
snmp-agent community read xxx
snmp-agent community write xxxx
检测方法
及
判定依据1、符合性判定依据
开启了snmp READ权限，视情况配置write权限。

2、参考检测操作
display current-configuration
备注
4.1.7.4修改SNMP默认的Community字符串
项目编号NOMD-2013-SC-H3C(L3SW)-01-07-04-v1
配置说明应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。

重要等级高
配置指南1、参考配置操作
snmp-agent community read xxx
snmp-agent community write xxxx
检测方法
及
判定依据 1. 符合性判定依据
系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。

2. 参考检测操作
display current-configuration
备注
4.1.7.5Community字符串加密
项目编号NOMD-2013-SC-H3C(L3SW)-01-07-05-v1
配置说明建议支持对SNMP协议RO、RW的Community字符串的加密存放。

重要等级高
配置指南1、参考配置操作
SNMP V3支持加密功能，例如配置使用的用户名为managev3user，认证方式为MD5，认证密码为authkey，加密算法为DES56，加密密码是prikey
[Sysname] snmp-agent group v3 managev3group read-view test write-view test [Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 authkey privacy-mode des56 prikey
检测方法
及
判定依据1、符合性判定依据
Community字符串经过加密存储。

2、参考检测方法。