XX银行H3C交换机安全基线配置

合集下载

XX银行H3C交换机安全基线配置(20200912190106)

XX银行H3C交换机安全基线配置(20200912190106)

XX 银行H3C 交换机系列安全配置基线(V1.0)1 适用声明 (2)2 访问控制 (3)2.1 远程连接源地址限制 (21)3 安全审计 (3)3.1 开启设备的日志功能 (6)4 入侵防范 (7)4.1 配置防ARP欺骗攻击 (7)4.2 配置常见的漏洞攻击和病毒过滤功能 (4)4.3 配置ACL规则 (3)5 网络设备防护 (8)5.1 限制管理员远程直接登录 (8)5.2 连接空闲时间设定 (9)5.3 远程登陆加密传输 (10)5.4 配置CONSOLE 口密码保护功能和连接超时 (11)5.5 按照用户分配账号 (12)5.6 删除设备中无用的闲置账号 (13)5.7 修改设备上存在的弱口令 (13)5.8 配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9 配置NTP服务 (15)5.10 修改SNMP的COMMUNITY 默认通行字 (16)5.11 使用SNMPV2或以上版本 (17)5.12 设置SNMP的访问安全限制 (18)5.13 系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14 关闭不必要的服务 (19)5.15 配置防源地址欺骗攻击 (20)5.16 禁止设备未使用或者空闲的端口 (21)1适用声明2访问控制2.1 配置ACL规则[H3C-behavior-tb1] de ny6. 定义流策略,将流分类与流行为关联。

[H3C] traffic policy tp1[H3C-trafficpolicy-tp1] classifier tc1 behavior tb17. 应用流策略到接口。

[H3C] in terface gigabitethernet 0/0/1[H3C-GigabitEthernet0/0/1] traffic-policy tp1 in bou nd 备注2.2 配置常见的漏洞攻击和病毒过滤功能3安全审计3.1 开启设备的日志功能备注4入侵防范5网络设备防护1. 进入用户视图配置/检查项远程登陆加密传输适用等保级别等保一至四级<H3C>2. 用户视图切换到系统视图<H3C> system-view检查步骤En ter system view, return user view with Ctrl+Z.[H3C]3. 查看相关SSH配置[H3C]dis cur | in ssh如果通过远程对交换机进行管理维护,特别是通过互联网以及不安全的公共网络,设备应配置使用SSH加密协议。

HC交换机安全配置基线

HC交换机安全配置基线

H C交换机安全配置基
线
文件管理序列号:[K8UY-K9IO69-O6M243-OL889-F88688]
H3C交换机安全配置基线
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本
控制表格。

目录
第1章概述
1.1目的
本文档旨在指导系统管理人员进行H3C交换机的安全配置。

1.2适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本
H3C交换机。

1.4实施
1.5例外条款
第2章帐号管理、认证授权安全要求
2.1帐号
2.1.1配置默认级别*
2.2口令
2.2.1密码认证登录
2.2.2设置访问级密码
2.2.3加密口令
第3章日志安全要求
3.1日志安全
3.1.1配置远程日志服务器
第4章IP协议安全要求4.1IP协议
4.1.1使用SSH加密管理
4.1.2系统远程管理服务只允许特定地址访问
第5章SNMP安全要求
5.1SNMP安全
5.1.1修改SNMP默认通行字
5.1.2使用SNMPV2或以上版本
5.1.3SNMP访问控制
第6章其他安全要求6.1其他安全配置
6.1.1关闭未使用的端口
6.1.2帐号登录超时
6.1.3关闭不需要的服务*
第7章评审与修订。

XX银行H3C交换机安全基线配置

XX银行H3C交换机安全基线配置

X X银行H3C交换机系列安全配置基线(V1.0)目录1适用声明 (2)2访问控制 (3)2.1远程连接源地址限制 (21)3安全审计 (3)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)4.2配置常见的漏洞攻击和病毒过滤功能 (4)4.3配置ACL规则 (3)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)1 适用声明2 访问控制2.1配置ACL规则3 安全审计3.1开启设备的日志功能4 入侵防范5 网络设备防护5.2连接空闲时间设定5.3远程登陆加密传输5.4配置console口密码保护功能和连接超时5.6删除设备中无用的闲置账号5.7修改设备上存在的弱口令5.8配置和认证系统联动功能5.9配置NTP服务5.10修改SNMP的community默认通行字5.11使用SNMPV2或以上版本5.12设置SNMP的访问安全限制5.13系统应关闭未使用的SNMP协议及未使用RW权限5.14关闭不必要的服务5.17远程连接源地址限制。

H3C交换机端口安全模式配置

H3C交换机端口安全模式配置

H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。

其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。

下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法!在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。

控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC 地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。

认证类则是利用MAC地址认证或IEEE 802.1X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。

配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。

如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。

在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。

1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。

在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。

如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。

H3C交换机安全配置基线

H3C交换机安全配置基线

H3C交换机安全配置基线(Version 1.0)2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全(可选) (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。

h3c交换机配置步骤教程

h3c交换机配置步骤教程

h3c交换机配置步骤教程其实不同厂家型号的交换机设置都是差不多的,只是不同厂家的交换机设置的命令是不同的!但只要我们知道一种交换机的设置并找一下相关的资料,就很容易设置好不同的交换机!今天小编就来给你介绍一下h3c交换机配置步骤教程,希望你能够使用上!h3c交换机配置步骤教程比方说,你们公司新增加了办公室,网络端口不够用了,你们IT主管让你加一个交换机到机房并设置好。

首先的条件是你公司的网络有vlan的划分(在核心交换机上),比如说vlan 2 ,vlan 3,vlan4等!那么我们怎么来设置好一个交换机呢?大家可能会想到很多,觉得交换机很难设置,其实只要我们在设置之前想好要做哪些事情,它还是很容易的!我们一般要设置的有: 交换机的名称、管理ip地址(这个也可以不设置的)、登陆的用户和密码以及划分合适的vlan 等。

至于其它的很多功能设置我们一般是不需要改,如果要真的改,那就拿出说明书吧!好了,先给大家看看H3C交换机的登陆界面。

大家看到的上面这个界面就是登陆后出现的,看没看到这个提示,表于你已经进入了交换机的用户操作界面,交换机的名称是H3C ,这是它给我们的信息。

下面我们看一下在这个用户操作介面下都可以执行哪些命令,输入一个问号得到帮助(很多东西我们都不需要记住的,只要输入”?”问号帮助命令,它就会提示你怎么操做了!),如下图所示。

在用户操作模式下显示的这些命令都是很简单的,也没有什么特别的说明,因为如果要改变交换机的设置,需要进入交换机的系统模式,输入system-view 就可以进入系统修改模式了,如下图所示!看一下系统模式下的命令都有哪些:还真是很多呀!看到这么多命令各位的脑袋是不是又大起来了,没关系的,别紧张,想一想我们们应该完成的任务吧,其实用不到那么多命令的!用sysname 命令设置交换机的名称,如下图:接下来设置管理vlan和管理ip , 管理vlan和管理ip大家可能不明白是什么意思! 每个交换机默认都是有一个vlan 1存在的,在H3C交换机里,这个vlan 1默认就是管理vlan, 管理ip就是用来远程管理这个交换机的ip地址,管理ip要设置在管理vlan上,如果我们公司核心交换机上没有设置vlan 1 ,也就是说vlan 1是没有ip地址定义的,那么我们就要设置其它的vlan为管理vlan,这样才能设置ip 地址,才能远程管理交换机!一个交换机里只能有一个管理vlan存在,所以我们要先删除原来的管理vlan , 设置新的管理vlan , 命令如下:删除原来的管理vlan , 用undo 命令(undo 是取消设置的命令)。

H3C交换机设备安全基线

H3C交换机设备安全基线

H3C设备安全配置基线目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)第2章帐号管理、认证授权安全要求 (6)2.1帐号管理 (6)2.1.1用户帐号分配* (6)2.1.2删除无关的帐号* (7)2.2口令 (8)2.2.1静态口令以密文形式存放 (8)2.2.2帐号、口令和授权 (10)2.2.3密码复杂度 (11)2.3授权 (11)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (11)第3章日志安全要求 (13)3.1日志安全 (13)3.1.1启用信息中心 (13)3.1.2开启NTP服务保证记录的时间的准确性 (14)3.1.3远程日志功能* (15)第4章IP协议安全要求 (17)4.1IP协议 (17)4.1.1VRRP认证 (17)4.1.2系统远程服务只允许特定地址访问 (17)4.2功能配置 (18)4.2.1SNMP的Community默认通行字口令强度 (18)4.2.2只与特定主机进行SNMP协议交互 (20)4.2.3配置SNMPV2或以上版本 (21)4.2.4关闭未使用的SNMP协议及未使用write权限 (21)第5章IP协议安全要求 (23)5.1其他安全配置 (23)5.1.1关闭未使用的接口 (23)5.1.2修改设备缺省BANNER语 (24)5.1.3配置定时账户自动登出 (24)5.1.4配置console口密码保护功能 (25)5.1.5端口与实际应用相符 (26)第1章概述1.1目的规范配置H3C路由器、交换机设备,保证设备基本安全。

1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-H3C-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。

[ZA]H3C交换机设备安全基线029

[ZA]H3C交换机设备安全基线029

H3C设备安全配置基线目录第1章概述41.1追求41.2适用范围41.3适用版本4第2章帐号管理、认证授权安全要求62.1帐号管理62.1.1用户帐号分配*62.1.2删除无关的帐号*72.2口令82.2.1静态口令以密文形式存放82.2.2帐号、口令和授权92.2.3密码复杂度102.3授权112.3.1用IP协议进行远程维护的设备使用SSH等加密协议11第3章日志安全要求123.1日志安全123.1.1启用信息中心123.1.2开启NTP服务保证记录的进度的准确性133.1.3远程日志功能*14第4章IP协议安全要求154.1IP协议154.1.1VRRP认证154.1.2系统远程服务只允许特定地址访问154.2功能配置164.2.1SNMP的Community默认通行字口令强度164.2.2只与特定主机进行SNMP协议交互174.2.3配置SNMPV2或以上版本184.2.4关闭未使用的SNMP协议及未使用write权限19第5章IP协议安全要求205.1其他安全配置205.1.1关闭未使用的接口205.1.2修改设备缺省BANNER语21 5.1.3配置定时账户自动登出215.1.4配置console口密码保护功能22 5.1.5端口与实际应用相符23第1章概述1.1追求规范配置H3C路由器、交换机设备,保证设备基本安全。

1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-H3C-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。

4、参考配置制作:[H3C]local-user admin[H3C-luser-manage-admin]password hash admin@mmu2[H3C-luser-manage-admin] authorization-attribute user-role level-15[H3C]local-user user[H3C-luser-network-user] password hash user@nhesa[H3C-luser-network-user] authorization-attribute user-role network-operator5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关系明确6、检测制作:使用命令dis cur命令查看:…#local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==service-type sshauthorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。

H3C交换机安全配置基线

H3C交换机安全配置基线

H3C交换机安全配置基线 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

H3C防火墙安全系统配置基线

H3C防火墙安全系统配置基线

H3C防火墙安全配置基线1.假如此文档需要日后更新,请创建人填写版本控制表格,否如此删除版本控制表格。

目录第1章概述1目的1适用X围1适用版本1实施1例外条款1第2章某某管理、认证授权安全要求2某某管理2用户某某分配*2删除无关的某某*3某某登录超时*3某某密码错误自动锁定*4口令5口令复杂度要求5授权6远程维护的设备使用加密协议6第3章日志与配置安全要求7日志安全7记录用户对设备的操作7开启记录NAT日志*7开启记录VPN日志*8配置记录拒绝和丢弃报文规如此的日志8告警配置要求9配置对防火墙本身的攻击或内部错误告警9配置TCP/IP协议网络层异常报文攻击告警9配置DOS和DDOS攻击告警10配置关键字内容过滤功能告警*12安全策略配置要求13访问规如此列表最后一条必须是拒绝一切流量13配置访问规如此应尽可能缩小X围13用户按照访问权限进展分组*14配置NAT地址转换*15隐藏防火墙字符管理界面的bannner信息16防止从内网主机直接访问外网的规如此*16关闭非必要服务17攻击防护配置要求17拒绝常见漏洞所对应端口或者服务的访问17防火墙各逻辑接口配置开启防源地址欺骗功能19第4章IP协议安全要求19功能配置19使用SNMP V2c或者V3以上的版本对防火墙远程管理19第5章其他安全要求20其他安全配置20外网口地址关闭对ping包的回应*20对防火墙的管理地址做源地址限制21第6章评审与修订22第1章概述1.1 目的本文档旨在指导系统管理人员进展H3C防火墙的安全配置。

1.2 适用X围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本H3C防火墙。

1.4 实施1.5 例外条款第2章某某管理、认证授权安全要求2.1 某某管理2.1.1用户某某分配*2.1.2删除无关的某某*2.1.3某某登录超时*2.1.4某某密码错误自动锁定*2.2 口令2.2.1口令复杂度要求2.3 授权2.3.1远程维护的设备使用加密协议安全基线项远程维护使用加密协议安全基线要求项目名称安全基线编SBL-H3C-02-03-01号安全基线项对于防火墙远程管理的配置,必须是基于加密的协议。

H3C交换机安全配置基线

H3C交换机安全配置基线

H3C交换机安全配置基线备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号 (2)2.1.1配置默认级别* (2)2.2口令 (3)2.2.1密码认证登录 (3)2.2.2设置访问级密码 (4)2.2.3加密口令 (4)第3章日志安全要求 (6)3.1日志安全 (6)3.1.1配置远程日志服务器 (6)第4章IP协议安全要求 (7)4.1IP协议 (7)4.1.1使用SSH加密管理 (7)4.1.2系统远程管理服务只允许特定地址访问 (7)第5章SNMP安全要求 (9)5.1SNMP安全 (9)5.1.1修改SNMP默认通行字 (9)5.1.2使用SNMPV2或以上版本 (9)5.1.3SNMP访问控制 (10)第6章其他安全要求 (12)6.1其他安全配置 (12)6.1.1关闭未使用的端口 (12)6.1.2帐号登录超时 (12)6.1.3关闭不需要的服务* (13)第7章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行H3C交换机的安全配置。

1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本H3C交换机。

1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号2.1.1配置默认级别*2.2 口令2.2.1密码认证登录2.2.2设置访问级密码2.2.3加密口令第3章日志安全要求3.1 日志安全3.1.1配置远程日志服务器第4章IP协议安全要求4.1 IP协议4.1.1使用SSH加密管理4.1.2系统远程管理服务只允许特定地址访问第5章SNMP安全要求5.1 SNMP安全5.1.1修改SNMP默认通行字5.1.2使用SNMPV2或以上版本5.1.3SNMP访问控制第6章其他安全要求6.1 其他安全配置6.1.1关闭未使用的端口6.1.2帐号登录超时6.1.3关闭不需要的服务*第7章评审与修订。

H3C三层交换机安全配置规范

H3C三层交换机安全配置规范

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令,关闭端口#检测方法及判定依据1、符合性判定依据端口关闭,不能使用。

2、参考检测方法通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口,只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;2、避免使用h3c、admin等简单易猜的账号名称;检测方法及判定依据1、符合性判定依据各账号都可以正常使用,不同用户有不同的账号。

H3C三层交换机安全配置规范

H3C三层交换机安全配置规范

H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。

重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令,关闭端口#检测方法及判定依据1、符合性判定依据端口关闭,不能使用。

2、参考检测方法通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。

备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口,只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。

备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。

重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;2、避免使用h3c、admin等简单易猜的账号名称;检测方法及判定依据1、符合性判定依据各账号都可以正常使用,不同用户有不同的账号。

H3C交换机基础配置命令详解

H3C交换机基础配置命令详解

H3C交换机基础配置命令详解交换机的配置华为与H3C比较类似,这里面我们今天就来了解下,基础的配置命令,大家可以重点看下vlan的划分,这个在项目应用中较多。

一、基本配置<H3C> //用户直行模式提示符,用户视图<H3C>system-view //进入配置视图[H3C] sysname xxx //设置主机名成为xxx这里使用修改特权用户密码一、用户配置<H3C>system-view[H3C]super passwordH3C //设置用户分级密码[H3C]undo superpassword //删除用户分级密码[H3C]localuser bigheap 1234561 //Web网管用户设置,1(缺省)为管理级用户,缺省admin,admin[H3C]undo localuserbigheap //删除Web网管用户[H3C]user-interface aux0 //只支持0[H3C-Aux]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-Aux]undoidle-timeout //恢复默认值[H3C]user-interface vty0 //只支持0和1[H3C-vty]idle-timeout 250 //设置超时为2分50秒,若为0则表示不超时,默认为5分钟[H3C-vty]undoidle-timeout //恢复默认值[H3C-vty]set authentication password123456 //设置telnet密码,必须设置[H3C-vty]undo set authenticationpassword //取消密码[H3C]displayusers //显示用户[H3C]displayuser-interface //用户界面状态三、VLAN配置[H3C]vlan 2 //创建VLAN2[H3C]undo vlanall //删除除缺省VLAN外的所有VLAN,缺省VLAN不能被删除[H3C-vlan2]port Ethernet 0/4 to Ethernet0/7 //将4到7号端口加入到VLAN2中,此命令只能用来加access端口,不能用来增加trunk或者hybrid端口[H3C-vlan2]port-isolateenable //打开VLAN内端口隔离特性,不能二层转发,默认不启用该功能[H3C-Ethernet0/4]port-isolate uplink-portvlan 2 //设置4为VLAN2的隔离上行端口,用于转发二层数据,只能配置一个上行端口,若为trunk,则建议允许所有VLAN通过,隔离不能与汇聚同时配置[H3C]display vlanall //显示所有VLAN的详细信息S1550E支持基于端口的VLAN,通过创建不同的user-group来实现,一个端口可以属于多个user-group,不属于同一个user-group的端口不能互相通信[H3C]user-group20 //创建user-group 20,默认只存在user-group 1[H3C-UserGroup20]port Ethernet 0/4 toEthernet 0/7 //将4到7号端口加入到VLAN20中,初始时都属于user-group 1中[H3C]display user-group20 //显示user-group 20的相关信息四、交换机IP配置[H3C]vlan 20 //创建vlan[H3C]management-vlan 20 //管理vlan[H3C]interface vlan-interface20 //进入并管理vlan20[H3C]undo interface vlan-interface20 //删除管理VLAN接口[H3C-Vlan-interface20]ip address192.168.1.2 255.255.255.0 //配置管理VLAN接口静态IP地址(缺省为192.168.0.234) [H3C-Vlan-interface20]undo ipaddress //删除IP地址[H3C-Vlan-interface20]ip gateway192.168.1.1 //指定缺省网关(默认无网关地址)[H3C-Vlan-interface20]undo ip gateway[H3C-Vlan-interface20]shutdown //关闭接口[H3C-Vlan-interface20]undoshutdown //开启[H3C]display ip //显示管理VLAN接口IP的相关信息[H3C]display interface vlan-interface20 //查看管理VLAN的接口信息<H3C>debuggingip //开启IP调试功能<H3C>undo debugging ip五、DHCP客户端配置[H3C-Vlan-interface20]ip addressdhcp-alloc // 管理VLAN接口通过DHCP方式获取IP地址[H3C-Vlan-interface20]undo ip addressdhcp-alloc // 取消[H3C]display dhcp //显示DHCP客户信息<H3C>debuggingdhcp-alloc //开启DHCP调试功能<H3C>undo debugging dhcp-alloc六、端口配置[H3C]interface Ethernet0/3 //进入端口[H3C-Ethernet0/3]shutdown //关闭端口[H3C-Ethernet0/3]speed100 //速率可为10,100,1000和auto(缺省)[H3C-Ethernet0/3]duplexfull //双工,可为half,full和auto(缺省) 光口和汇聚后不能配置[H3C-Ethernet0/3]flow-control //开启流控,默认为关闭[H3C-Ethernet0/3]broadcast-suppression20 //设置抑制广播百分比为20%,可取5,10,20,100,缺省为100,同时组播和未知单播也受此影响[H3C-Ethernet0/3]loopbackinternal //内环测试[H3C-Ethernet0/3]loopbackexternal //外环测试,需插接自环头,必须为全双工或者自协商模式[H3C-Ethernet0/3]port link-typetrunk //设置链路的类型为trunk,可为access(缺省),trunk[H3C-Ethernet0/3]port trunk pvid vlan20 //设置20为该trunk 的缺省VLAN,默认为1(trunk线路两端的PVID必须一致) [H3C-Ethernet0/3]port access vlan20 //将当前access端口加入指定的VLAN[H3C-Ethernet0/3]port trunk permit vlanall //允许所有的VLAN通过当前的trunk端口,可多次使用该命令[H3C-Ethernet0/3]mdiauto //设置以太端口为自动监测,normal(缺省)为直通线,across为交叉线[H3C]link-aggregation Ethernet 0/1 toEthernet 0/4 //将1-4口加入汇聚组,1为主端口,两端需要同时配置,设置了端口镜像以及端口隔离的端口无法汇聚[H3C]undo link-aggregation Ethernet0/1 //删除该汇聚组[H3C]link-aggregation modeegress //配置端口汇聚模式为根据目的MAC地址进行负荷分担,可选为ingress,egress和both,缺省为both[H3C]monitor-port Ethernet0/2 //将该端口设置为镜像端口,必须先设置镜像端口,删除时必须先删除被镜像端口,而且它们不能同在一个端口,该端口不能在汇聚组中,设置新镜像端口时,新取代旧,被镜像不变[H3C]mirroring-port Ethernet 0/3 toEthernet 0/4 both //将端口3和4设置为被镜像端口,both为同时监控接收和发送的报文,inbound表示仅监控接收的报文,outbound表示仅监控发送的报文[H3C]display mirror[H3C]display interface Ethernet 0/3<H3C>resetcounters //清除所有端口的统计信息[H3C]display link-aggregation Ethernet0/3 //显示端口汇聚信息[H3C-Ethernet0/3]virtual-cable-test //诊断该端口的电路状况七、集群配置S2100只能作为成员交换机加入集群中,加入后系统名改为'集群名_成员编号.原系统名'的格式.即插即用功能通过两个功能实现: 集群管理协议MAC组播地址协商和管理VLAN协商[H3C]cluster enable //启用群集功能,缺省为启用[H3C]cluster //进入群集视图[H3C-cluster]administrator-address H-H-Hname switch H-H-H为命令交换机的MAC,加入switch集群[switch_1.H3C-cluster]undoadministrator-address //退出集群[H3C]displaycluster //显示集群信息[H3C]management-vlan2 //集群报文只能在管理VLAN中转发,同一集群需在同一个管理VLAN中,需在建立集群之前指定管理VLAN八、QOS优先级配置QoS配置步骤:设置端口的优先级,设置交换机信任报文的优先级方式,队列调度,端口限速[H3C-Ethernet0/3]priority7 //设置端口优先级为7,默认为0[H3C]priority-trustcos //设置交换机信任报文的优先级方式为cos(802.1p优先级,缺省值),还可以设为dscp方式(dscp优先级方式) [H3C]queue-scheduler hq-wrr 2 4 68 //设置队列调度算法为HQ-WRR(默认为WRR),权重为2,4,6,8[H3C-Ethernet0/3]line-rate inbound29 //将端口进口速率限制为2Mbps,取1-28时,速率为rate*8*1024/125,即64,128,192...1.792M;29-127时,速率为(rate-27)*1024,即2M,3M,4M...100M,千兆时可继续往下取,128-240时,速率为(rate-115)*8*1024,即104M,112M,120M...1000M[H3C]displayqueue-scheduler //显示队列调度模式及参数[H3C]displaypriority-trust //显示优先级信任模式九、系统管理[H3C]mac-address blackhole H-H-H vlan1 //在VLAN1中添加黑洞MAC[H3C]mac-address static H-H-H interfaceEthernet 0/1 vlan 1 //在VLAN1中添加端口一的一个mac[H3C]mac-address timer aging500 //设置MAC地址表的老化时间为500s[H3C]display mac-address[H3C]display arp[H3C]mac-address port-binding H-H-Hinterface Ethernet 0/1 vlan 1 配置端口邦定[H3C]display mac-address port-binding[H3C]display saved-configuration[H3C]display current-configuration<H3C>save[H3C]restoredefault //恢复交换机出厂默认配置,恢复后需重启才能生效[H3C]display version<H3C>reboot[H3C]display device[H3C]sysname bigheap[H3C]info-centerenable //启用系统日志功能,缺省情况下启用[H3C]info-center loghost ip192.168.0.3 //向指定日志主机(只能为UNIX或LINUX,不能为Windows)输出信息,需先开启日志功能,缺省关闭[H3C]info-center loghost level8 //设置系统日志级别为8,默认为5.级别说明:1.emergencies 2.alerts 3.critical4.errors 5.warnings 6.notifications rmational 8.debugging<H3C>terminaldebugging //启用控制台对调试信息的显示,缺省控制台为禁用<H3C>terminallogging //启用控制台对日志信息的显示,缺省控制台为启用<H3C>terminaltrapping //启用控制台对告警信息的显示,缺省控制台为启用[H3C]displayinfo-center //显示系统日志的配置和缓冲区记录的信息[H3C]displaylogbuffer //显示日志缓冲区最近记录的指定数目的日志信息[H3C]displaytrapbuffer //显示告警缓冲区最近记录的指定数目的日志信息<H3C>resetlogbuffer //清除日志缓冲区的信息<H3C>resettrapbuffer //清除告警缓冲区的信息十、网络协议配置NDP即是邻居发现协议,S1550E只能开启或关闭NDP,无法配置,默认有效保留时间为180s,NDP报文发送的间隔60s[H3C]ndp enable //缺省情况下是开启的[H3C-Ethernet0/3]ndpenable //缺省情况下开启[H3C]display ndp //显示NDP配置信息[H3C]display ndp interface Ethernet0/1 //显示指定端口NDP 发现的邻居信息<H3C>debugging ndp interface Ethernet0/1// HABP协议即HuaweiAuthentication Bypass Protocol,华为鉴权旁路协议,是用来解决当交换机上同时配置了802.1x和HGMPv1/v2时,未经授权和认证的端口上将过滤HGMP报文,从而使管理设备无法管理下挂的交换机的问题。

H3C三层交换机安全配置规范标准

H3C三层交换机安全配置规范标准
#
检测方法

判定依据1、符合性判定依据
不存在工作无关账号
2、参考检测方法
通过display local-user来查看是否存在无关账号
备注
4.1.2.3管理默认账号与口令
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-03-v1
配置说明应删除或锁定默认或缺省账号与口令。
重要等级高
配置指南#
undo local-user username
#
检测方法

判定依据1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过display password来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.4口令长度和复杂度
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-04-v1
每个账号都有对应的使用人员,确保没有多余账号
备注
4.1.2.2禁止无关账号
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-02-v1
配置说明应禁止配置与设备运行、维护等工作无关的账号;
重要等级高
配置指南如有无关账号,参考如下配置进行删除
#
undo local-user username
重要等级高
配置指南1、参考配置操作
#
local-user admin
password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU
#
检测方法

判定依据1、符合性判定依据
密码以密文形式存在设备配置中
2、参考检测方法

h3c交换机配置教程

h3c交换机配置教程

h3c交换机配置教程H3C交换机是中国华三公司生产的一种网络设备,广泛应用于企业网络中。

以下是H3C交换机的基本配置教程。

首先,要进入交换机的配置模式,可以通过串口或者网络连接进入交换机的CLI界面。

登录后输入用户名和密码进行身份验证。

接下来,需要配置交换机的基本网络设置。

例如配置管理IP 地址,用于管理交换机。

可以通过以下命令进行配置:```sysip address ip-address mask```其中,ip-address是设定的IP地址,mask是设定的子网掩码。

然后,需要配置交换机的VLAN。

VLAN是虚拟局域网,可以将交换机中的端口划分到不同的VLAN中,实现不同VLAN之间的隔离。

通过以下命令进行配置:```vlan [vlan-id]name vlan-namequit```其中,vlan-id是VLAN的ID号,vlan-name是VLAN的名称。

接下来,需要配置交换机的端口。

可以将端口划分到不同的VLAN中,或者配置端口的速率、双工模式等。

例如,配置端口1划分到VLAN2中,并设置为全双工模式:```interface GigabitEthernet 1/0/1port link-type accessport default vlan 2port duplex fullquit```然后,需要配置交换机的链路聚合。

链路聚合可以将多个物理链路捆绑成一个逻辑链路,提高带宽和冗余性。

通过以下命令进行配置:```interface Eth-Trunk [trunk-id]trunkport [port-list] mode [mode]quit```其中,trunk-id是链路聚合组的ID号,port-list是捆绑的物理端口列表,mode是链路聚合的模式。

最后,还可以配置交换机的安全性和监控功能。

例如,配置交换机的密码安全性,可以通过以下命令进行配置:```password-recovery enableaaalocal-user admin password irreversible-cipher [password]local-user admin service-type terminallocal-user admin privilege level 15```其中,password是设定的密码。

交换机设备安全基线

交换机设备安全基线

H3C设备安全配置基线目录第1章概述................................................................................................................................1.1目的....................................................................................................................................1.2适用范围............................................................................................................................1.3适用版本............................................................................................................................第2章帐号管理、认证授权安全要求 ....................................................................................2.1帐号管理............................................................................................................................2.1.1用户帐号分配* ..........................................................................................................2.1.2删除无关的帐号* ......................................................................................................2.2口令....................................................................................................................................2.2.1静态口令以密文形式存放 ........................................................................................2.2.2帐号、口令和授权 ....................................................................................................2.2.3密码复杂度 ................................................................................................................2.3授权....................................................................................................................................2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ...........................................第3章日志安全要求 ................................................................................................................3.1日志安全............................................................................................................................3.1.1启用信息中心 ............................................................................................................3.1.2开启NTP服务保证记录的时间的准确性................................................................3.1.3远程日志功能* ..........................................................................................................第4章IP协议安全要求............................................................................................................4.1IP协议 ...............................................................................................................................4.1.1VRRP认证 ..................................................................................................................4.1.2系统远程服务只允许特定地址访问 ........................................................................4.2功能配置............................................................................................................................4.2.1SNMP的Community默认通行字口令强度 ............................................................4.2.2只与特定主机进行SNMP协议交互 ........................................................................4.2.3配置SNMPV2或以上版本 ........................................................................................4.2.4关闭未使用的SNMP协议及未使用write权限...................................................... 第5章IP协议安全要求............................................................................................................5.1其他安全配置....................................................................................................................5.1.1关闭未使用的接口 ....................................................................................................5.1.2修改设备缺省BANNER语 ........................................................................................5.1.3配置定时账户自动登出 ............................................................................................5.1.4配置console口密码保护功能..................................................................................5.1.5端口与实际应用相符 ................................................................................................概述目的规范配置H3C路由器、交换机设备,保证设备基本安全。

H3C交换机安全配置基线

H3C交换机安全配置基线

H3C交换机安全配置基线H3C交换机安全配置基线(Version 1.0)2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (4)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (6)7.4.3 远程日志功能 (7)7.4.4 日志记录时间准确性 (7)7.5 协议安全 (7)7.5.1 BPDU防护 (8)7.5.2 根防护 (8)7.5.3 VRRP认证 (8)7.6 网络管理 (9)7.6.1 SNMP协议版本 (9)7.6.2 修改SNMP默认密码 (9)7.6.3 SNMP通信安全(可选) (10)7.7 设备管理 (10)7.7.1 交换机带内管理方式 (10)7.7.2 交换机带内管理通信 (11)7.7.3 交换机带内管理超时 (11)7.7.4 交换机带内管理验证 (12)7.7.5 交换机带内管理用户级别 (12)7.7.6 交换机带外管理超时 (13)7.7.7 交换机带外管理验证 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址数 (14)7.8.3 交换机VLAN划分 (14)7.9 其它 (15)7.9.1 交换机登录BANNER管理 (15)7.9.2 交换机空闲端口管理 (15)7.9.3 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

X X银行H3C交换机系列安全配置基线目录1适用声明 (2)2访问控制 (3)2.1配置ACL规则 (3)2.2配置常见的漏洞攻击和病毒过滤功能 (4)3安全审计 (6)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)5.17远程连接源地址限制 (21)1 适用声明适用人员IT部的网络维护人员、安全评估人员、安全审计人员适用版本H3C同系列的网络交换机适用等保一级项适用等保二级项适用等保三级项适用等保四级项参考依据《H3C交换机配置手册》《GB/T 20270-2006 信息安全技术网络基础安全技术要求》《GB/T 20011-2005 信息安全技术路由器安全评估准则》《JR/T 0068-2012 网上银行系统信息安全通用规范》《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》《GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求》《JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引》2 访问控制2.1配置ACL规则配置/检查项配置ACL规则适用等保级别等保一至四级检查步骤1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看ACL匹配路由是否按照业务需求设置[H3C]dis cur | in acl[H3C]dis this acl配置步骤设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP 地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.配置ACL列表[H3C]acl number 2000[H3C-acl-basic-2000]rule tcp source 1.1.1.1 destination4.配置流分类,定义基于ACL的匹配规则。

[H3C]traffic classifier tc1[H3C-classifier-tc1] if-match acl 20005.配置流行为[H3C] traffic behavior tb1[H3C-behavior-tb1] deny6.定义流策略,将流分类与流行为关联。

[H3C] traffic policy tp1[H3C-trafficpolicy-tp1] classifier tc1 behavior tb17.应用流策略到接口。

[H3C] interface gigabitethernet 0/0/1[H3C-GigabitEthernet0/0/1] traffic-policy tp1 inbound 备注2.2配置常见的漏洞攻击和病毒过滤功能配置/检查项配置常见的漏洞攻击和病毒过滤功能适用等保级别检查步骤1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看ACL中是否匹配漏洞攻击和病毒攻击[H3C]dis current-configuration | in acl配置步骤设备应配置ACL,通过ACL列表来过滤一些常见的漏洞攻击和病毒攻击。

4.进入用户视图<H3C>5.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]6.配置ACL列表[H3C]acl number 2000[H3C-acl-basic-2000]rule tcp source 1.1.1.1 destination source-port eq ftp-data7.配置流分类,定义基于ACL的匹配规则。

[H3C]traffic classifier tc1[H3C-classifier-tc1] if-match acl 20008.配置流行为[H3C] traffic behavior tb1[H3C-behavior-tb1] deny9.定义流策略,将流分类与流行为关联。

[H3C] traffic policy tp1[H3C-trafficpolicy-tp1] classifier tc1 behavior tb110.应用流策略到接口。

[H3C] interface gigabitethernet 0/0/1[H3C-GigabitEthernet0/0/1] traffic-policy tp1 inbound 备注3 安全审计3.1开启设备的日志功能配置/检查项配置设备的日志功能适用等保级别等保二至四级检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看日志功能是否按照需求配置[H3C]dis cur | in info-center配置步骤要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志,同时提供SYSLOG服务器的设置方式,所有的日志信息可以均可以远程存储到日志服务器。

并且必须保证日志服务器的安全性。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.开启日志功能[H3C]4.配置日志信息输出到控制台,用户可以在控制台上查看到日志信息,了解到设备的运行情况[H3C] console channel 05.配置日志信息输出到日志缓冲区[H3C] logbuffer channel 46.配置日志信息输出到日志服务器[H3C] info-center loghost备注4 入侵防范4.1配置防ARP欺骗攻击配置/检查项配置防ARP欺骗攻击适用等保级别检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看ARP地址欺骗[H3C]dis current-configuration | in anti-attack配置步骤配置设备的防ARP欺骗攻击功能,可以有效的减少ARP攻击对网络造成的影响。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.配置防止ARP地址欺骗[H3C] arp anti-attack entry-check fixed-mac enable 适用于静态配置IP地址,但网络存在冗余链路的情况。

当链路切换时,ARP表项中的接口信息可以快速改变[H3C] arp anti-attack entry-check fixed-all enable适用于静态配置IP 地址,网络没有冗余链路,同一IP地址用户不会从不同接口接入S5300的情况[H3C] arp anti-attack entry-check send-mac enable适用于动态分配IP地址,有冗余链路的网络4.配置防止ARP网关冲突[H3C]备注5 网络设备防护5.1限制管理员远程直接登录配置/检查项限制具备管理员权限的用户远程直接登录适用等保级别检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看是否存在高级别权限密码[H3C]dis cur | in acl4.查看是否对于user用户密码进行配置[H3C]dis cur | in local-user配置步骤远程管理员应先以普通权限用户登录后,再切换到管理员权限执行相应操作。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.设置用户由低级别权限切换到高级别权限的密码[H3C] super password level 3 cipher anbang@1234.进入aaa视图[H3C]aaa5.配置具备远程登陆用户user1的权限信息。

配置用户user1权限等级为Level 1,具有telnet服务。

[H3C-aaa] local-user user1 password cipher anbang@1234[H3C-aaa] local-user user1 service-type telnet[H3C-aaa] local-user user1 level 16.配置远程登陆用户的认证方式为aaa认证[H3C] user-interface vty0 4[H3C-ui-vty0-4]authentication-mode aaa备注5.2连接空闲时间设定配置/检查项设置用户登录设备的空闲时间适用等保级别等保一至四级检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看AAA下是否有相关的用户口令配置[H3C]dis cur | in aaa配置步骤用户登录交换机后,如果在设定的时间内没有任何操作,则断开连接,用户如果需要继续操作,则需要重新输入口令。

相关文档
最新文档