H3C防火墙安全配置基线

H3C防火墙安全配置基线AHA12GAGGAGAGGAFFFFAFAF备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

AHA12GAGGAGAGGAFFFFAFAF目录第1章........................................ 概述11.1 目的 (1)1.2 适用范围 (1)1.3 适用版本 (1)1.4 实施 (1)1.5 例外条款 (1)第2章................... 帐号管理、认证授权安全要求22.1 帐号管理 (2)2.1.1 用户帐号分配* (2)2.1.2 删除无关的帐号* (3)2.1.3 帐户登录超时* (3)2.1.4 帐户密码错误自动锁定* (4)2.2 口令 (5)2.2.1 口令复杂度要求 (5)2.3 授权 (6)AHA12GAGGAGAGGAFFFFAFAF2.3.1 远程维护的设备使用加密协议 (6)第3章........................... 日志及配置安全要求73.1 日志安全 (7)3.1.1 记录用户对设备的操作 (7)3.1.2 开启记录NAT日志* (7)3.1.3 开启记录VPN日志* (8)3.1.4 配置记录拒绝和丢弃报文规则的日志 (8)3.2 告警配置要求 (9)3.2.1 配置对防火墙本身的攻击或内部错误告警 (9)3.2.2 配置TCP/IP协议网络层异常报文攻击告警 (9)3.2.3 配置DOS和DDOS攻击告警 (10)3.2.4 配置关键字内容过滤功能告警* (12)3.3 安全策略配置要求 (13)3.3.1 访问规则列表最后一条必须是拒绝一切流量 (13)3.3.2 配置访问规则应尽可能缩小范围 (13)3.3.3 ............... VPN用户按照访问权限进行分组*14AHA12GAGGAGAGGAFFFFAFAF3.3.4 配置NAT地址转换* (15)3.3.5 隐藏防火墙字符管理界面的bannner信息 (16)3.3.6 避免从内网主机直接访问外网的规则* (16)3.3.7 关闭非必要服务 (17)3.4 攻击防护配置要求 (17)3.4.1 拒绝常见漏洞所对应端口或者服务的访问 (17)3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能. 19第4章IP协议安全要求 (19)AHA12GAGGAGAGGAFFFFAFAF4.1 功能配置 (19)4.1.1 使用SNMP V2c或者V3以上的版本对防火墙远程管理19第5章................................. 其他安全要求225.1 其他安全配置 (22)5.1.1 外网口地址关闭对ping包的回应* (22)5.1.2 对防火墙的管理地址做源地址限制 (22)第6章................................... 评审与修订24AHA12GAGGAGAGGAFFFFAFAF第1章概述1.1目的本文档旨在指导系统管理人员进行H3C防火墙的安全配置。

H C交换机安全配置基
线
文件管理序列号：[K8UY-K9IO69-O6M243-OL889-F88688]
H3C交换机安全配置基线
备注：
1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本
控制表格。

目录
第1章概述
1.1目的
本文档旨在指导系统管理人员进行H3C交换机的安全配置。

1.2适用范围
本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本
H3C交换机。

1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1帐号
2.1.1配置默认级别*
2.2口令
2.2.1密码认证登录
2.2.2设置访问级密码
2.2.3加密口令
第3章日志安全要求
3.1日志安全
3.1.1配置远程日志服务器
第4章IP协议安全要求4.1IP协议
4.1.1使用SSH加密管理
4.1.2系统远程管理服务只允许特定地址访问
第5章SNMP安全要求
5.1SNMP安全
5.1.1修改SNMP默认通行字
5.1.2使用SNMPV2或以上版本
5.1.3SNMP访问控制
第6章其他安全要求6.1其他安全配置
6.1.1关闭未使用的端口
6.1.2帐号登录超时
6.1.3关闭不需要的服务*
第7章评审与修订。

平安区域之迟辟智美创作2.1.1 平安区域的概念平安区域（zone）是防火墙产物所引入的一个平安概念，是防火墙产物区别于路由器的主要特征. 对路由器，各个接口所连接的网络在平安上可以视为是平等的，没有明显的内外之分，所以即使进行一定水平的平安检查，也是在接口上完成的.这样，一个数据流双方向通过路由器时有可能需要进行两次平安规则的检查（入接口的平安检查和出接口的平安检查），以便使其符合每个接口上自力的平安宁义.而这种思路对防火墙来说不很适合，因为防火墙所承当的责任是呵护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分. 当一个数据流通过secpath防火墙设备的时候，根据其发起方向的分歧，所引起的把持是截然分歧的.由于这种平安级别上的分歧，再采纳在接口上检查平安战略的方式已经不适用，将造成用户在配置上的混乱.因此，secpath防火墙提出了平安区域的概念. 一个平安区域包括一个或多个接口的组合，具有一个平安级别.在设备内部，平安级别通过0～100的数字来暗示，数字越年夜暗示平安级别越高，不存在两个具有相同平安级另外区域.只有当数据在分属于两个分歧平安级另外区域（或区域包括的接口）之间流动的时候，才会激活防火墙的平安规则检查功能.数据在属于同一个平安区域的分歧接口间流动时不会引起任何检查. 2.1.2secpath防火墙上的平安区域 1. 平安区域的划分 secpath 防火墙上保管四个平安区域： 1 非受信区（untrust）：初级的平安区域，其平安优先级为5. 2 非军事化区（dmz）：中度级另外平安区域，其平安优先级为50. 3 受信区（trust）：较高级另外平安区域，其平安优先级为85. 4 本地域域（local）：最高级另外平安区域，其平安优先级为100. 另外，如认为有需要，用户还可以自行设置新的平安区域并界说其平安优先级别. dmz（de militarized zone，非军事化区）这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部份管制的区域.防火墙引用了这一术语，指代一个逻辑上和物理上都与内部网络和外部网络分离的区域.通常布置网络时，将那些需要被公共访问的设备（例如，www server、ftp server 等）放置于此. 因为将这些服务器放置于外部网络则它们的平安性无法保证；放置于内部网络，外部恶意用户则有可能利用某些服务的平安漏洞攻击内部网络.因此，dmz区域的呈现很好地解决了这些服务器的放置问题. 2. 接口、网络与平安区域的关系除local区域以外，在使用其他所有平安区域时，需要将平安区域分别与防火墙的特定接口相关联，即将接口加入到区域. 系统不允许两个平安区域具有相同的平安级别；而且同一接口不成以分属于两个分歧的平安区域. 平安区域与各网络的关联遵循下面的原则： 1 内部网络应安插在平安级别较高的区域 2 外部网络应安插在平安级别最低的区域 3 一些可对外部提供有条件服务的网络应安插在平安级别中等的dmz区具体来说，trust所属接口用于连接用户要呵护的网络；untrust所属接口连接外部网络；dmz区所属接口连接用户向外部提供服务的部份网络；从防火墙设备自己发起的连接即是从local区域发起的连接.相应的所有对防火墙设备自己的访问都属于向local区域发起访问连接.区域之间的关系如下图所示：3. 入方向与出方向分歧级另外平安区域间的数据流动都将激发防火墙进行平安战略的检查，而且可以为分歧流动方向设置分歧的平安战略.域间的数据流分两个方向： 1 入方向（inbound）：数据由初级另外平安区域向高级另外平安区域传输的方向； 2 出方向（outbound）：数据由高级另外平安区域向初级另外平安区域传输的方向. 在secpath防火墙上，判断数据传输是出方向还是入方向，总是相对高平安级另外一侧而言.根据上图所示，可以获得如下结论： 1 从dmz区到untrust区域的数据流为出方向，反之为入方向； 2 从trust区域到dmz区的数据流为出方向，反之为入方向； 3 从trust区域到untrust区域的数据流为出方向，反之为入方向. 路由器上数据流动方向的判定是以接口为主：由接口发送的数据方向称为出方向；由接口接收的数据方向称为入方向.这也是路由器有别于防火墙的重要特征. 在防火墙中，当报文从高优先级区域向低优先级区域发起连接时，即从trust区域向untrust区域和dmz区发起数据连接，或dmz区域向untrust区域发起连接时，必需明确配置缺省过滤规则. 由防火墙本地（local区域）发起或终止的报文不进行状态检测，这类报文的过滤由包过滤机制来完成. 2.1.3 平安区域的配置平安区域的配置包括：创立平安区域并进入平安区域视图配置平安区域的平安优先级配置平安区域的隶属接口进入域间视图 1. 创立平安区域并进入平安区域视图系统缺省保管四个平安区域：本地域域（local）、受信区域（trust）、非军事化区（dmz）和非受信区域（untrust），这四个区域无需创立也不能删除. 创立新的平安区域时，需要使用name关键字；进入保管的或已建立的平安区域视图时则不需要使用该关键字. 请在系统视图下进行下列配置.缺省情况下，系统预界说了四个平安区域，即local、trust、dmz和untrust区域.系统最年夜支持16个平安区域（包括四个保管的区域）. 2. 配置平安区域的平安优先级只能为用户自己创立的平安区域才华配置平安优先级.系统保管四个平安区域本地域域（local）、受信区域（trust）、非军事化区（dmz）和非受信区域（untrust）的平安优先级分别是100、85、50和5，优先级不成以重新配置.同一系统中，两个平安区域不允许配置相同的平安优先级. 请在平安区域视图下进行下列配置.缺省情况下，用户自界说的平安区域优先级为0.平安区域优先级一旦设定后，不允许再更改. 3. 配置平安区域的隶属接口除local区域以外，使用其他所有平安区域时需要将平安区域分别与防火墙的特定接口相关联，即需要将接口加入到区域.该接口既可以是物理接口，也可以是逻辑接口.可屡次使用该命令为平安区域指定多个接口，一个平安区域能够支持的最年夜接口数量为1024. 请在平安区域视图下进行下列配置.缺省情况下，平安区域中不包括任何接口，所有隶属关系都需要通过该add interface命令手工配置. 4. 进入域间视图当数据流在平安区域之间流动时，才会激发secpath防火墙进行平安战略的检查，即secpath防火墙的平安战略实施都是基于域间（例如untrust区域和trust区域之间）的，分歧的区域之间可以设置分歧的平安战略（例如包过滤战略、状态过滤战略等等）.因此，为了在区域间设置分歧的平安战略，第一步就是要进入域间视图. 进入域间视图后的平安战略的设置将在后文的各章中逐一介绍. 请在系统视图下进行下列配置.2.1.4 平安区域的显示与调试在完成上述配置后，在所有视图下执行display命令可以显示平安区域的配置情况，通过检查显示信息验证配置的效果.2.1.5 平安区域的典范配置举例 1. 组网需求某公司以secpath防火墙作为网络边防设备，设置三个平安区域：公司内部网络布置在trust区域，secpath防火墙的以太网口ethernet 0/0/0与之相连；公司对外提供服务的www server、ftp server等布置在dmz区，secpath防火墙的以太网口ethernet 1/0/0与之相连；外部网络则属于untrust区域，由secpath防火墙的以太网口ethernet 2/0/0连接. 现需要对防火墙进行一些基本配置，以为后面的平安战略的设置做好准备. 2. 组网图 3. 配置步伐 # 配置防火墙接口ethernet 0/0/0. [secpath] interface ethernet 0/0/0 [secpath-ethernet0/0/0] ip address 192.168.1.1 255.255.255.0 [secpath-ethernet0/0/0] quit # 配置防火墙接口ethernet 1/0/0. [secpath] interface ethernet1/0/0 [secpath-ethernet1/0/0] ip address 202.1.0.1255.255.0.0 [secpath-ethernet1/0/0] quit # 配置防火墙接口ethernet 2/0/0. [secpath] interface ethernet 2/0/0 [secpath-ethernet2/0/0] ip address 210.78.245.1255.255.255.0 [secpath-ethernet2/0/0] quit # 配置接口ethernet 0/0/0加入防火墙trust区域. [secpath] firewall zone trust [secpath-zone-trust] add interface ethernet0/0/0 [secpath-zone-trust] quit # 配置接口ethernet 1/0/0加入防火墙dmz域. [secpath] firewall zone dmz [secpath-zone-dmz] add interface ethernet 1/0/0 [secpath-zone-dmz]quit # 配置接口ethernet2/0/0加入防火墙untrust区域. [secpath] firewall zone untrust [secpath-zone-untrust] add interface ethernet 2/0/0 [secpath-zone-untrust] quit # 进入域间视图（例如进入trust和untrust的域间视图）准备配置平安战略（注：平安战略的配置后文各章讲述，本处不进行举例）. [secpath] firewall interzone trustuntrust [secpath-interzone-trust-untrust]。

H3C设备安全配置基线目录第1章概述31.1目的31。

2适用范围31.3适用版本3第2章帐号管理、认证授权安全要求42.1帐号管理42。

1。

1用户帐号分配*42.1。

2删除无关的帐号*52.2口令62.2.1静态口令以密文形式存放62.2。

2帐号、口令和授权72.2.3密码复杂度82.3授权92.3.1用IP协议进行远程维护的设备使用SSH等加密协议9第3章日志安全要求103。

1日志安全103.1.1启用信息中心103.1.2开启NTP服务保证记录的时间的准确性113。

1.3远程日志功能*12第4章IP协议安全要求134。

1IP协议134.1.1VRRP认证134.1.2系统远程服务只允许特定地址访问134.2功能配置144。

2.1SNMP的Community默认通行字口令强度144。

2.2只与特定主机进行SNMP协议交互154。

2。

3配置SNMPV2或以上版本164。

2。

4关闭未使用的SNMP协议及未使用write权限17第5章IP协议安全要求185。

1其他安全配置185.1。

1关闭未使用的接口185。

1.2修改设备缺省BANNER语195.1。

3配置定时账户自动登出195.1。

4配置console口密码保护功能205。

1.5端口与实际应用相符21第1章概述1.1目的规范配置H3C路由器、交换机设备,保证设备基本安全.1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器.第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号：SBL-H3C—02-01—013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享.4、参考配置操作：[H3C］local—user admin［H3C-luser—manage-admin］password hash admin@mmu2［H3C-luser-manage—admin］ authorization-attribute user-role level—15［H3C］local—user user[H3C—luser-network-user] password hash user＠nhesa[H3C—luser-network-user] authorization—attribute user—role network-operator5、安全判定条件：(1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看:…#local-user admin class managepassword hash ＄h＄6＄mmu2MlqLkGMnNyKy＄9R2lM4uRDsxuoWQ==service—type sshauthorization—attribute user-role level—15#local—user user class networkpassword hash $h＄6＄mmu2MlqLkGMnNyservice—type sshauthorization—attribute user—role network-operator＃对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号,表明符合安全要求。

H3C交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全（可选） (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

h3c防火墙的基本配置h3c防火墙的基本配置[F100-A]dis current-configuration#sysname F100-A#undo firewall packet-filter enablefirewall packet-filter default permit#undo insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user egb--aqpassword cipher ]#R=WG;'I/ZGL^3L[[\\1-A!!service-type telnetlevel 3#aspf-policy 1detect httpdetect smtpdetect ftpdetect tcpdetect udp#acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255 rule 1 deny#interface Virtual-T emplate1#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0#interface Ethernet1/0ip address 211.99.231.130 255.255.255.224ip address 211.99.231.132 255.255.255.224 sub ip address 211.99.231.133 255.255.255.224 sub ip address 211.99.231.134 255.255.255.224 sub ip address 211.99.231.135 255.255.255.224 sub ip address 211.99.231.136 255.255.255.224 sub ip address 211.99.231.137 255.255.255.224 sub ip address 211.99.231.138 255.255.255.224 sub ip address 211.99.231.139 255.255.255.224 sub ip address 211.99.231.131 255.255.255.224 subnat outbound 2000nat server protocol tcp global 211.99.231.136 3000 inside 192.168.0.6 3000nat server protocol tcp global 211.99.231.136 6000 inside 192.168.0.6 6000nat server protocol tcp global 211.99.231.132 ftp inside 192.168.0.3 ftpnat server protocol tcp global 211.99.231.132 5631 inside 192.168.0.3 5631nat server protocol tcp global 211.99.231.132 43958 inside 192.168.0.3 43958nat server protocol tcp global 211.99.231.134 ftp inside 192.168.0.4 ftpnat server protocol tcp global 211.99.231.134 www inside 192.168.0.4 wwwnat server protocol tcp global 211.99.231.134 5631 inside 192.168.0.4 5631nat server protocol tcp global 211.99.231.134 43958 inside 192.168.0.4 43958nat server protocol tcp global 211.99.231.135 ftp inside 192.168.0.5 ftpnat server protocol tcp global 211.99.231.135 58169 inside 192.168.0.5 58169nat server protocol tcp global 211.99.231.135 www inside 192.168.0.5 wwwnat server protocol tcp global 211.99.231.135 43958 inside 192.168.0.5 43958nat server protocol tcp global 211.99.231.136 ftp inside 192.168.0.6 ftpnat server protocol tcp global 211.99.231.136 smtp inside192.168.0.6 smtpnat server protocol tcp global 211.99.231.136 www inside 192.168.0.6 wwwnat server protocol tcp global 211.99.231.136 81 inside 192.168.0.6 81nat server protocol tcp global 211.99.231.136 82 inside 192.168.0.6 82nat server protocol tcp global 211.99.231.136 83 inside 192.168.0.6 83nat server protocol tcp global 211.99.231.136 84 inside 192.168.0.6 84nat server protocol tcp global 211.99.231.136 pop3 inside 192.168.0.6 pop3nat server protocol tcp global 211.99.231.136 1433 inside 192.168.0.6 1433nat server protocol tcp global 211.99.231.136 5150 inside 192.168.0.6 5150nat server protocol tcp global 211.99.231.136 5631 inside 192.168.0.6 5631nat server protocol tcp global 211.99.231.136 58169 inside 192.168.0.6 58169nat server protocol tcp global 211.99.231.136 8080 inside 192.168.0.6 8080nat server protocol tcp global 211.99.231.136 43958 inside 192.168.0.6 43958nat server protocol tcp global 211.99.231.138 smtp inside 192.168.0.8 smtpnat server protocol tcp global 211.99.231.138 www inside 192.168.0.8 www192.168.0.8 pop3nat server protocol tcp global 211.99.231.138 5631 inside 192.168.0.8 5631nat server protocol tcp global 211.99.231.138 58169 inside 192.168.0.8 58169nat server protocol tcp global 211.99.231.137 ftp inside 192.168.0.9 ftpnat server protocol tcp global 211.99.231.137 www inside 192.168.0.9 wwwnat server protocol tcp global 211.99.231.132 www inside 192.168.0.3 wwwnat server protocol tcp global 211.99.231.137 81 inside 192.168.0.9 81nat server protocol tcp global 211.99.231.137 82 inside 192.168.0.9 82nat server protocol tcp global 211.99.231.137 83 inside 192.168.0.9 83nat server protocol tcp global 211.99.231.137 1433 inside 192.168.0.9 1433nat server protocol tcp global 211.99.231.137 5631 inside 192.168.0.9 5631nat server protocol tcp global 211.99.231.137 43958 inside 192.168.0.9 43958nat server protocol tcp global 211.99.231.137 58169 inside 192.168.0.9 58169nat server protocol tcp global 211.99.231.136 88 inside 192.168.0.6 88nat server protocol tcp global 211.99.231.137 84 inside 192.168.0.9 84192.168.0.9 85nat server protocol tcp global 211.99.231.137 86 inside 192.168.0.9 86nat server protocol tcp global 211.99.231.137 87 inside 192.168.0.9 87nat server protocol tcp global 211.99.231.137 88 inside 192.168.0.9 88nat server protocol tcp global 211.99.231.137 smtp inside 192.168.0.9 smtpnat server protocol tcp global 211.99.231.137 8080 inside 192.168.0.9 8080nat server protocol tcp global 211.99.231.137 5080 inside 192.168.0.9 5080nat server protocol tcp global 211.99.231.137 1935 inside 192.168.0.9 1935nat server protocol udp global 211.99.231.137 5555 inside 192.168.0.9 5555nat server protocol tcp global 211.99.231.132 58169 inside 192.168.0.3 58169nat server protocol tcp global 211.99.231.134 58169 inside 192.168.0.4 58169nat server protocol tcp global 211.99.231.135 5631 inside 192.168.0.5 5631nat server protocol tcp global 211.99.231.136 6100 inside 192.168.0.6 6100nat server protocol tcp global 211.99.231.139 www inside 192.168.0.12 wwwnat server protocol tcp global 211.99.231.139 58169 inside 192.168.0.12 58169192.168.0.12 58189nat server protocol tcp global 211.99.231.139 5631 inside 192.168.0.12 5631nat serverprotocol tcp global 211.99.231.137 89 inside 192.168.0.9 89 nat server protocol tcp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol udp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol tcp global 211.99.231.133 www inside 192.168.0.13 wwwnat server protocol tcp global 211.99.231.135 1935 inside 192.168.0.5 1935nat server protocol tcp global 211.99.231.135 5080 inside 192.168.0.5 5080nat server protocol tcp global 211.99.231.132 1755 inside 192.168.0.3 1755nat server protocol tcp global 211.99.231.137 1755 inside 192.168.0.9 1755nat server protocol tcp global 211.99.231.137 554 inside 192.168.0.9 554nat server protocol tcp global 211.99.231.135 5551 inside 192.168.0.5 5551nat server protocol tcp global 211.99.231.131 www inside 192.168.0.204 wwwnat server protocol tcp global 211.99.231.134 81 inside 192.168.0.4 81nat server protocol tcp global 211.99.231.136 1935 inside 192.168.0.6 1935192.168.0.10 wwwnat server protocol udp global 211.99.231.137 dns inside 192.168.0.9 dnsnat server protocol tcp global 211.99.231.135 58189 inside 192.168.0.5 58189nat server protocol tcp global 211.99.231.141 www inside 192.168.0.11 www#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0set priority 85statistic enable ip inzonestatistic enable ip outzone#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5statistic enable ip inzonestatistic enable ip outzone#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#undo info-center enable#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 211.99.231.129 preference 1 #firewall defend ip-spoofingfirewall defend landfirewall defend smurffirewall defend fragglefirewall defend winnukefirewall defend icmp-redirectfirewall defend icmp-unreachablefirewall defend source-routefirewall defend route-recordfirewall defend tracertfirewall defend ping-of-deathfirewall defend tcp-flagfirewall defend ip-fragmentfirewall defend large-icmpfirewall defend teardropfirewall defend ip-sweepfirewall defend port-scanfirewall defend arp-spoofingfirewall defend arp-reverse-queryfirewall defend arp-floodfirewall defend frag-floodfirewall defend syn-flood enablefirewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood zone trustfirewall defend udp-flood zone trustfirewall defend syn-flood zone untrustfirewall defend udp-flood zone untrust#user-interface con 0authentication-mode passwordset authentication password cipher XB-'KG=+=J^UJ;&DL'U46Q!!user-interface aux 0user-interface vty 0 4authentication-mode scheme。

H3C 防火墙简单配置一、防火墙安全域分类1、缺省安全域：不需要通过命令zone name 配置就已经存在的安全域，名称为：Local（100）、Trust（85）、DMZ（50）、Untrust（5）和Management（100）。

2、非缺省安全域：通过命令zone name 创建的安全域。

二、安全域访问策略状态1、优先级访问策略状态，安全域之间的访问规则如下：1）在系统视图下，执行interzone policy default by-priority 命令，系统会工作在优先级访问策略状态。

2）同一安全域之间，默认访问策略为permit。

3）高优先级安全域到低优先级安全域之间，默认访问策略为permit。

4）安全域到Local 域之间，默认访问策略为permit。

5）Local 域到安全域之间，默认访问策略为permit。

6）低优先级安全域到高优先级安全域，默认访问策略为deny，如果要实现互通访问，需要配置域间策略。

2、无优先级访问策略状态，安全域之间访问规则如下：1）在系统视图下，执行undo interzone policy default by-priority 命令，系统会工作在无优先级访问策略状态。

（防火墙默认关闭优先级访问策略）2）无论是缺省安全域，还是非缺省安全域，都没有优先级的概念。

2、基本域间策略配置组网图3、配置步骤1）通过Console 口登录设备，开启优先级访问策略<Firewall> system-view[Firewall] interzone policy default by-priority2）通过Web方式配置防火墙用电脑接入防火墙的GigabitEthernet0/0接口，配置同一网段地址，即可通过Web登录192.168.0.1配置防火墙。

a、配置接口IP地址在左侧导航栏中选择“设备管理> 接口管理”配置接口GigabitEthernet0/1 的地址，进入如下界面。

H3C防⽕墙基本配置防⽕墙基础配置# 修改设备名称sysname KL_HC_JT_FW_01# 账号密码修改以及服务权限local-user admin class managepassword simple KLL!@#2021service-type ssh terminal httpsauthorization-attribute user-role level-3authorization-attribute user-role network-adminauthorization-attribute user-role network-operatorpassword-control login-attempt 10 exceed lock-time 30# 开启远程ssh，关闭telnetssh server enableundo telnet server enable# 远程登录⾝份认证line vty 0 4authentication-mode schemeuser-role network-admin# 开启web界⾯登录ip https enableundo ip http enable# 开启lldplldp global enable# 配置管理⼝地址,如果出现故障可以直连管理⼝登录防⽕墙security-zone name Managementimport interface GigabitEthernet 1/0/1quit# 配置地址interface GigabitEthernet1/0/11ip address 192.168.0.1 24undo shutdown# 防⽕墙安全策略配置# 允许local到所有区域security-policy ip # IP策略rule 1 name local-any # 序号1，名称local-anyaction pass # 动作pass允许通过logging enable # 记录⽇志source-zone Local # 源安全区域destination-zone Any # ⽬的安全区域rule 2 name trust-untrust # 序号2action pass # 动作pass允许通过logging enable # 记录⽇志source-zone trust # 源安全区域destination-zone untrust # ⽬的安全区域# 移动安全区域顺序move rule rule-id before insert-rule-id # 移动安全策略到哪条安全策略之前# 保存配置save f。

h3c防火墙配置教程H3C防火墙是一种常见的网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

通过配置H3C防火墙，可以实现对网络流量进行监控和管理，提高网络的安全性和稳定性。

下面将为您介绍H3C防火墙的配置教程。

首先，我们需要连接到H3C防火墙的管理界面。

可以通过网线将计算机连接到防火墙的管理口上。

然后，打开浏览器，输入防火墙的管理IP地址，登录到防火墙的管理界面。

登录成功后，我们可以开始配置防火墙的策略。

首先，配置入方向和出方向的安全策略。

点击“策略”选项卡，然后选择“安全策略”。

接下来，我们需要配置访问规则。

点击“访问规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件。

除了访问规则，我们还可以配置NAT规则。

点击“NAT规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件，并设置相应的转换规则。

配置完访问规则和NAT规则后，我们还可以进行其他配置，如VPN配置、远程管理配置等。

点击对应的选项卡，然后根据实际需求进行配置。

配置完成后，我们需要保存配置并生效。

点击界面上的“保存”按钮，然后点击“应用”按钮。

防火墙将会重新加载配置，并生效。

最后，我们需要进行测试，确保防火墙的配置可以实现预期的效果。

可以通过给防火墙配置规则的源地址发送网络流量进行测试，然后查看防火墙是否根据配置对流量进行了相应的处理。

总结起来，配置H3C防火墙需要连接到防火墙的管理界面，配置安全策略、访问规则、NAT规则等，保存配置并生效，最后进行测试。

通过这些步骤，可以配置H3C防火墙以提高网络的安全性和稳定性。

希望以上的H3C防火墙配置教程对您有所帮助。

如果还有其他问题，可以随时向我提问。

新手可以根据下面的配置一步一步操作，仔细一点儿就没问题了~！可以用超级终端配置，也可以用CRT配置如果配置了，还是不能上网，可以加我的QQ：1恢复出厂设置：Reset saved-configuration配置防火墙缺省允许报文通过：system-viewfirewall packet-filter default permit为防火墙的以太网接口（以Ethernet0/0为例）配置IP地址，并将接口加入到安全区域：interface Ethernet0/0ip address IP地址子网掩码quitfirewall zone trustadd interface Ethernet0/0quit添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限：local-user 登录账号password simple 登录密码service-type telnetlevel 3quitquitsysfirewall packet-filter default permitdialer-rule 1 ip permitacl number 3000rule 0 permit ipquitinterface Dialer1link-protocol pppppp chap user PPPOE账号ppp chap password simple PPPOE密码ip address ppp-negotiatedialer-group 1dialer bundle 1nat outbound 3000quitinterface Ethernet0/4pppoe-client dial-bundle-number 1firewall zone untrustadd interface Ethernet0/4add interface Dialer1quitfirewall zone trustadd interface Ethernet0/0quitip route-static Dialer 1 preference 60 save。

Huawei防火墙安全配置基线XXXXXX备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

1.路由器防火墙配置指导防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问，另一方面可以作为一个访问因特网的权限控制关口，控制内部网络用户对因特网进行Web访问或收发E-mail等。

通过合理的配置防火墙可以大大提高网络的安全性和稳定性。

防火墙配置指导防火墙的基本配置顺序如下：首先使能防火墙：1.ipv4：系统视图下输入firewall enableipv6：系统视图下输入firewall ipv6 enable然后配置acl2.acl number 2000rule 0 permit ip source 192.168.1.0 0.0.0.255rule 1 deny ip3.然后在接口上根据需要应用防火墙interface Ethernet0/1port link-mode routefirewall packet-filter2000 inboundip address 5.0.0.2 255.255.255.0基础配置举例：如前所说，在使能了防火墙后，就要按需求配置acl并应用在接口上，下面给出几个常见的需求的配置方法：1.禁止内网访问外网的某些地址用途：限制上网。

比如禁止访问100.0.0.1地址acl配置：[H3C]acl n 3000[H3C-acl-adv-3000]rule deny ip destination 100.0.0.1 0.0.0.0[H3C-acl-adv-3000]rule permit ip destination 200.0.0.0 0.0.0.255[H3C-acl-adv-3000]rule permit ip允许其它ip端口配置，在内网口入方向配置防火墙[H3C]int et0/1[H3C-Ethernet0/1]firewall packet-filter 3000 inbound备注：1）如果要禁止某个网段，则选择配置适当的掩码就可以了2）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙2.禁止外网某些地址访问内网用途：放置非法访问。

H3C防火墙安全配置基线1.假如此文档需要日后更新，请创建人填写版本控制表格，否如此删除版本控制表格。

目录第1章概述1目的1适用X围1适用版本1实施1例外条款1第2章某某管理、认证授权安全要求2某某管理2用户某某分配*2删除无关的某某*3某某登录超时*3某某密码错误自动锁定*4口令5口令复杂度要求5授权6远程维护的设备使用加密协议6第3章日志与配置安全要求7日志安全7记录用户对设备的操作7开启记录NAT日志*7开启记录VPN日志*8配置记录拒绝和丢弃报文规如此的日志8告警配置要求9配置对防火墙本身的攻击或内部错误告警9配置TCP/IP协议网络层异常报文攻击告警9配置DOS和DDOS攻击告警10配置关键字内容过滤功能告警*12安全策略配置要求13访问规如此列表最后一条必须是拒绝一切流量13配置访问规如此应尽可能缩小X围13用户按照访问权限进展分组*14配置NAT地址转换*15隐藏防火墙字符管理界面的bannner信息16防止从内网主机直接访问外网的规如此*16关闭非必要服务17攻击防护配置要求17拒绝常见漏洞所对应端口或者服务的访问17防火墙各逻辑接口配置开启防源地址欺骗功能19第4章IP协议安全要求19功能配置19使用SNMP V2c或者V3以上的版本对防火墙远程管理19第5章其他安全要求20其他安全配置20外网口地址关闭对ping包的回应*20对防火墙的管理地址做源地址限制21第6章评审与修订22第1章概述1.1 目的本文档旨在指导系统管理人员进展H3C防火墙的安全配置。

1.2 适用X围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本H3C防火墙。

1.4 实施1.5 例外条款第2章某某管理、认证授权安全要求2.1 某某管理2.1.1用户某某分配*2.1.2删除无关的某某*2.1.3某某登录超时*2.1.4某某密码错误自动锁定*2.2 口令2.2.1口令复杂度要求2.3 授权2.3.1远程维护的设备使用加密协议安全基线项远程维护使用加密协议安全基线要求项目名称安全基线编SBL-H3C-02-03-01号安全基线项对于防火墙远程管理的配置，必须是基于加密的协议。

H3C网络设备安全配置基线目录第1章基本安全配置 (3)2.1帐号管理 (3)2.1.1 用户账号分配 (3)2.1.2 配置默认级别 (4)2.2口令 (5)2.2.1 密码认证登录 (5)2.2.2 设置访问级密码 (6)2.2.3 加密口令 (7)2.3日志安全 (9)2.3.1 配置远程日志服务器 (9)2.4IP协议 (10)2.4.1使用SSH加密管理 (10)2.4.2系统远程管理服务只允许特定地址访问 (11)2.5SNMP安全 (12)2.5.1修改SNMP默认通行字 (12)2.5.2使用SNMPV2或以上版本 (13)2.5.3SNMP访问控制 (14)2.6其他安全配置 (15)2.6.1关闭未使用的端口 (15)2.6.2帐号登录超时 (16)2.6.3关闭不需要的服务 (17)第2章增强安全配置 (18)3.1安全防护 (18)3.1.1启用URPF功能 (18)第1章基本安全配置2.1帐号管理2.1.1 用户账号分配2.1.2 配置默认级别2.2 口令2.2.1 密码认证登录2.2.2 设置访问级密码2.2.3 加密口令2.3 日志安全2.3.1 配置远程日志服务器2.4IP 协议2.4.1使用SSH加密管理2.4.2系统远程管理服务只允许特定地址访问2.5SNMP安全2.5.1修改SNMP默认通行字2.5.2使用SNMPV2或以上版本2.5.3SNMP访问控制2.6其他安全配置2.6.1关闭未使用的端口2.6.2帐号登录超时2.6.3关闭不需要的服务第2章增强安全配置3.1安全防护3.1.1启用URPF功能。

(1) 组网需求一个公司通过SecPath防火墙连接到Internet。

公司内部网段为192.168.20.0/24。

由ISP分配给防火墙外部接口的地址范围为202.169.10.1～202.169.10.5。

其中防火墙的接口GigabitEthernet0/0连接内部网络，地址为192.168.20.1；接口GigabitEthernet0/1连接到Internet，地址为202.169.10.1。

WWW Server和FTP Server位于公司网络内部，地址分别为192.168.20.2和192.168.20.3。

要求公司内部网络可以通过防火墙的NAT功能访问Internet，并且外部的用户可以访问内部的WWW Server和Telnet Server。

(2) 组网图图1-1NAT配置组网图(3) 配置步骤第一步：创建允许内部网段访问所有外部资源的基本ACL，以供NAT 使用。

创建ACL的方法可参见5.2.1 ACL配置。

●点击“防火墙”目录中的“ACL”，在右边的ACL配置区域中单击<ACL配置信息>按钮。

●在“ACL编号”中输入基本ACL的编号2001（基本ACL的编号范围为2000～2999），单击<创建>按钮。

在下面的列表中选择此ACL，单击<配置>按钮。

●在ACL配置参数区域中，从“操作”下拉框中选择“Permit”，在“源IP地址”栏中输入192.168.20.0，“源地址通配符”中输入0.0.0.255，单击<应用>按钮。

第二步：创建NAT地址池。

●在“业务管理”目录下的“NAT”子目录中点击“地址池管理”，在右边的配置区域中单击<创建>按钮。

●在“地址池索引号”栏中输入1，“起始地址”栏中输入202.169.10.1，“结束地址”栏中输入202.169.10.5，单击<应用>按钮。

第三步：配置NAT转换类型。

安全区域2.1.1 安全区域的概念安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。

对于路由器，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。

这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查（入接口的安全检查和出接口的安全检查），以便使其符合每个接口上独立的安全定义。

而这种思路对于防火墙来说不很适合，因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分。

当一个数据流通过secpath防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。

由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。

因此，secpath防火墙提出了安全区域的概念。

一个安全区域包括一个或多个接口的组合，具有一个安全级别。

在设备内部，安全级别通过0～10 0的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。

只有当数据在分属于两个不同安全级别的区域（或区域包含的接口）之间流动的时候，才会激活防火墙的安全规则检查功能。

数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。

2.1.2 secpath防火墙上的安全区域1. 安全区域的划分secpath防火墙上保留四个安全区域：1 非受信区（untrust）：低级的安全区域，其安全优先级为5。

2 非军事化区（dmz）：中度级别的安全区域，其安全优先级为50。

3 受信区（trust）：较高级别的安全区域，其安全优先级为85。

4 本地区域（local）：最高级别的安全区域，其安全优先级为100。

此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。

dmz（de militarized zone，非军事化区）这一术语起源于军方，指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。

XX银行H3C交换机系列安全配置基线(V1.0)1 适用声明 (3)2 访问控制 (4)2.1 远程连接源地址限制 ........................................................... 31 3 安全审计 . (4)3.1 开启设备的日志功能 ............................................................ 8 ....... 4 入侵防范 . (9)4.1 配置防ARP 欺骗攻击 (9)4.2 配置常见的漏洞攻击和病毒过滤功能 (5)4.3配置ACL 规则 .................................................................... 4 5 网络设备防护 (11)5.1 限制管理员远程直接登录 ...................................................... 1.1.5.2 连接空闲时间设定 ............................................................ 1.25.3 远程登陆加密传输 ............................................................ 1.45.4 配置CONSOLE 口密码保护功能和连接超时 ......................................... 1.55.5 按照用户分配账号 ............................................................. 1.75.7 修改设备上存在的弱口令5.6 删除设备中无用的闲置账号............................................................... 1.8 1.9 ..... 5.8 配置和认证系统联动功能 .................................................................. 20 ...... 配置和认证系统联动功能 ........................................................................... 2.Q ......5.9 配置NTP 服务 ................................................................. 22 .........5.10 修改 SNMP 的 COMMUNITY 默认通行字 ............................................. 2.4.....5.11 使用SNMPV2或以上版本 ........................................................ 2.5 ......5.13 系统应关闭未使用的 SNMP 协议及未使用 RW 权限 5.14 关闭不必要的服务 (28)5.15 配置防源地址欺骗攻击 ........................................................ 2.9.5.16 禁止设备未使用或者空闲的端口 (30)5.12 设置SNMP 的访问安全限制.............................................................. 26 .................................. 2.7...1适用声明2访问控制2.1 配置ACL规则3安全审计3.1 开启设备的日志功能4入侵防范5网络设备防护5.25.3远程登陆加密传输5.4 con sole配置/检查项 按照用户分配账号适用等保级别1. 进入用户视图 <H3C>2. 用户视图切换到系统视图 <H3C> system-view En ter system view, return user view with Ctrl+Z. [H3C]3. 查看是否对于不同用户配置权限信息 [H3C]dis cur | in local-user 避免不同用户间共享账号 。

H3C交换机安全配置基线H3C交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全（可选） (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。