H3C交换机设备安全基线
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C设备安全配置基线
目录
第 1 章概述 (5)
1.1 目的 (5)
1.2 适用范围 (5)
1.3 适用版本 (5)
第 2 章帐号管理、认证授权安全要求 (6)
2.1 帐号管理 (6)
2.1.1 用户帐号分配* (6)
2.1.2 删除无关的帐号* (7)
2.2 口令 (8)
2.2.1 静态口令以密文形式存放 (8)
2.2.2 帐号、口令和授权 (9)
2.2.3 密码复杂度 (10)
2.3 授权 (11)
2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (11)
第 3 章日志安全要求 (13)
3.1 日志安全 (13)
3.1.1 启用信息中心 (13)
3.1.2 开启NTP服务保证记录的时间的准确性 (14)
3.1.3 远程日志功能* (15)
第4章IP协议安全要求 (17)
4.1 IP 协议 (17)
4.1.1 VRRP认证 (17)
4.1.2 系统远程服务只允许特定地址访问 (17)
4.2 功能配置 (18)
4.2.1 SNMP的Community默认通行字口令强度 (18)
4.2.2 只与特定主机进行SNMP协议交互 (19)
4.2.3 配置SNMPV2或以上版本 (20)
424 关闭未使用的SNMP协议及未使用write权限 (21)
第 5 章IP 协议安全要求 (23)
5.1 其他安全配置 (23)
5.1.1 关闭未使用的接口 (23)
5.1.2 修改设备缺省BANNER语 (24)
5.1.3 配置定时账户自动登出 (24)
5.1.4 配置console 口密码保护功能 (25)
5.1.5 端口与实际应用相符 (26)
第1章概述
1.1 目的
规范配置H3C路由器、交换机设备,保证设备基本安全。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员1.3 适用版本
comwareV7版本交换机、路由器。
第2章帐号管理、认证授权安全要求2.1 帐号管理
2.1.1 用户帐号分配*
1、安全基线名称:用户帐号分配安全
2、安全基线编号:SBL-H3C-02-01-01
3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[H3C] local-user admin
[H3C-luser-manage-admin] password hash admin@mmu2
[H3C-luser-manage-admin] authorization-attribute user-role level-15
[H3C] local-user user
[H3C-luser-network-user] password hash user@nhesa
[H3C-luser-network-user] authorization-attribute user-role network
operator
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令dis cur 命令查看:local-user admin class manage
password hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==
service-type ssh
authorization-attribute user-role level-15
#
local-user user class network
password hash $h$6$mmu2MlqLkGMnNy
service-type ssh
authorization-attribute user-role network-operator
# 对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
2.1.2 删除无关的帐号*
1、安全基线名称:删除无关的账号
2、安全基线编号:SBL-H3C-02-01-02
3、安全基线说明:应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:
[H3C]undo local-user user class network
5、安全判定条件:
(1)配置文件存在多个账号
2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用dis cur | include local-user 命令查看:
[H3C]dis cur | include local-user
local-user admin class manage
local-user user1 class manage 若不存在无用账号则说明符合安全要求。
2.2 口令
2.2.1 静态口令以密文形式存放
1、安全基线名称:静态口令以密文形式存放
2、安全基线编号:SBL-H3C-02-02-01
3、安全基线说明:配置本地用户和super 口令使用密文密码。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password hash < 密文password> // 配置本地用户密文密码[H3C]super password hash < 密文password> // 配置super 密码使用密文加密
5、安全判定条件:配置文件中没有明文密码字段。
6、检测操作:
使用dis cur 显示本地用户账号和super 密码为密文密码