华为交换机安全基线
华为交换机安全基线
华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关系明确6、检测操作:使用命令dis cur命令查看:#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
华为交换机安全测评指导书
2)radiusschemeradius1
primaryauthentication10.1.1.1primaryaccounting10.1.1.2
b)登录地址限制;
检查:输入命令displaycurrent-configuration
序号
测评指标
测评项
检查方法
预期结果
3
网络设备防护(G3)
a)登录用户身份鉴别;
检查:输入命令displaycurrent-configuration
1)查看配置文件,是否存在类似如下登录口令设置:
user-interfacevty04userprivilegelevel3
setauthenticationpasswordciper******
f)具有登录失败处理功能;
检查:输入命令displaycurrent-configuration
检查配置文件中是否存在类似如下配置项:
user-interfacevty04idle-timeout50
存在类似如下配置:
user-interfacevty04idle-timeout50
序号
测评指标
测评项
使用了异地备份功能。
c)冗余的网络拓扑结构;
检查:查看网络拓扑结构,看是否采用了冗余技术来避免关键节点存在单点故障。
拓扑结构冗余。
d)提供硬件冗余。
检查:查看主要交换机是否有硬件冗余。
设备硬件冗余。
local-useruser1level1
local-useruser2level3
4
备份和恢复(A3)
a)提供本地数据备份与恢复;
华为交换机安全配置基线
华为交换机安全配置基线(Version 1.0)2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证(可选) (5)7.4 日志审计 (6)7.4.1 RADIUS记账(可选) (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全(可选) (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。
华为交换机安全基线
华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时,需要遵循的一套安
全配置准则和最佳实践,以确保交换机的安全性和可靠性。
以下是
一些常见的华为交换机安全基线配置要点:
1. 管理口安全:禁用默认管理口,为管理口设置强密码,并限制访
问管理口的IP地址范围。
2. 字典攻击防护:启用密码强度检查功能,配置登录失败锁定策略,限制登录尝试次数。
3. AAA认证和授权:使用AAA认证机制,确保用户身份验证的安全性。
采用RBAC角色权限控制,为不同的用户分配不同的权限。
4. SSH安全:优先使用SSH协议进行交换机访问和管理,并配置安全性较高的SSH版本和密码加密算法。
5. 网络访问控制:配置ACL访问控制列表,限制允许通过交换机的IP地址、端口、协议和服务。
6. 网络流量监测和报警:启用网络流量监测功能,及时发现异常流
量和攻击行为,并设置报警机制。
7. 系统日志和审计:启用系统日志功能,记录关键操作和事件,以便后期追踪和审计。
8. 端口安全:为交换机端口绑定MAC地址,限制端口下连接设备的数量,防止非法设备接入网络。
9. VLAN隔离:使用VLAN隔离不同的用户和设备,限制内部访问和互相通信。
10. 升级和补丁管理:及时升级交换机固件到最新版本,安装安全漏洞的补丁,以防止已知的攻击和漏洞利用。
以上只是一些常见的华为交换机安全基线配置要点,具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。
建议在配置安全策略前,参考华为官方文档、安全手册和最佳实践指南,确保正确和合适地配置华为交换机的安全性。
华为TSM终端安全管理系统
华为TSM终端安全管理系统综述随着企业和组织网络规模的增大,分支机构、移动办公、访客等增加了网络中的接入点,使存在于各层的网络漏洞成倍的增加,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源的访问权限,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码传播等安全事故,使企业业务和声誉受损。
通过全面端点安全评估和统一配置,华为Secospace TSM (Terminal Security Management,终端安全管理)系统,在端点接入网络前主动进行安全状态评估,建立基于用户角色的网络访问机制,并为不符合安全基线的终端提供系统漏洞修复,从而将病毒屏蔽在网络之外,为企业和组织构建一个完整、简单和易于管理的终端安全环境。
纵深化防御:结合终端层、网络层、应用层形成纵深安全防御体系,为企业和组织构筑完整的网络安全防线——在终端层主动评估终端安全状态,与网络层的安全接入控制设备联动实现基于用户角色的访问控制,并协同应用层的补丁、资产管理,主动阻止和隔离风险,有效增强整网对抗风险的能力。
一体化部署:为应对日益复杂的安全攻击,往往需要部署多家厂商的终端管理产品,而这些解决方案间缺乏关联度,难以一体化运作,造成采购成本昂贵、结构复杂和难以维护。
针对企业需要简化IT解决方案的实际需求,TSM系统整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。
全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。
TSM系统以安全策略为中心,通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程,为企业提供全方位内网终端安全管理和保护,持续改进企业安全状况,提升企业信息安全管理水平。
主要功能:•网络安全接入控制,发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问,防止非法用户和不安全的终端接入内网,并根据用户身份授权访问指定的内网资源;•终端安全基线管理,集中配置终端的安全基线,全面评估终端的安全状态,对不符合安全基线的终端进行隔离、修复,提高终端的安全防护水平,保证企业整网的安全;•用户行为管理,审计并控制终端用户违法企业管理制度的行为,如非法外联、计算机外设、网络访问行为等,防止计算机和网络资源的滥用和恶意破话,规范终端用户使用IT资源的行为,提高企业整网的可用性和效率;•补丁和软件分发,提供智能、高效的补丁和软件分发功能,准确的评估系统漏洞,在最大限度降低网络带宽占用率的同时,帮助及时终端更新补丁,消除终端的安全漏洞;•企业资产安全审计,动态收集企业软、硬件资产信息,跟踪企业资产变更,帮助管理员全面了解终端资产状况,提供企业整网的IT管理水平。
华为设备(交换机)安全配置基线
华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。
2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
Huawei防火墙安全配置基线
Huawei防火墙安全配置基线XXXXXX备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。
H3C交换机安全配置基线
H3C交换机安全配置基线 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 ..................................................................................................... 错误!未定义书签。
目的 .......................................................................................................... 错误!未定义书签。
适用范围 .................................................................................................. 错误!未定义书签。
适用版本 .................................................................................................. 错误!未定义书签。
实施 .......................................................................................................... 错误!未定义书签。
例外条款 .................................................................................................. 错误!未定义书签。
第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。
华为交换机安全基线
华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................... 错误!未定义书签。
2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
华为路由交换设备安全配置指南(基线)
2009-07-24发布2009-07-24实施中国联通公司发布目录前言 (II)1 范围 (1)2 定义与缩略语 (1)2.1 定义 (1)2.2 缩略语 (1)3 安全配置要求 (1)3.1 password的加密 (1)3.2 Super 密码的使用 (1)3.3 用户口令设置 (2)3.4 用户权限设置 (2)3.5 VTY的数量限制 (2)3.6 VTY的访问限制 (2)3.7 禁用Telnet方式访问系统 (3)3.8 SSH的使用 (3)3.9 SNMP服务设置 (3)3.10 SNMP服务的共同体字符串设置 (4)3.11 SNMP服务的访问控制设置 (4)3.12 登录超时设置 (4)3.13 禁用不使用的端口 (4)3.14 禁用AUX端口 (5)3.15 禁用FTP服务 (5)3.16 启用STP服务 (5)3.17 启用OSPF (5)3.18 交换机802.1X认证配置 (6)3.19 日志审计 (6)4 审批与修订 (6)前言为确保中国联通信息系统的网络支撑和内网信息安全,指导各省级分公司做好华为路由交换系统的安全维护相关工作,在研究国际先进企业最佳实践的基础上,结合中国联通内网信息安全现状和实际需求,特制定本配置指南。
本文档为首次发布,其他相关要求将根据需要陆续发布。
本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。
本文档起草单位:中国联合网络通信有限公司、系统集成公司。
本文档主要起草人:李爽,冯磊。
本文档解释单位:中国联合网络通信有限公司管理信息系统部。
1范围本文档规定了中国联通范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。
本指南适用于中国联通华为路由交换系统,适用版本:华为路由交换本指南适用于中国联通集团总部、各直属单位、各省级分公司。
2定义与缩略语2.1定义下列定义适用于本文档:路由器:是用于连接多个逻辑上分开的网络,所谓逻辑网络是代表一个单独的网络或者一个子网。
华为交换机基本配置6个实验报告
华为交换机基本配置6个实验报告随着信息技术的发展,网络设备的应用越来越广泛。
作为网络通信设备中的一种,交换机在局域网中起着至关重要的作用。
华为交换机是当前市场上应用较为广泛的一种交换机品牌,其功能强大,性能稳定。
针对华为交换机的基本配置,我们可以进行一些实验来深入了解和掌握其使用方法。
在本文中,我们将围绕华为交换机的基本配置展开六个实验报告,从简单到复杂,由浅入深地探讨华为交换机的使用方法和技巧。
通过这些实验,我们将对华为交换机的基本配置有一个全面、深刻的理解,为日后的网络设备使用和管理提供有力的支持。
一、实验报告一:华为交换机的基本连接和登录在第一个实验中,我们将学习如何连接并登录华为交换机,这是使用交换机的第一步。
我们将了解到交换机的基本连接方法,学习如何通过终端设备登录交换机,并进行基本的配置操作。
通过这个实验,我们可以对华为交换机的使用环境和登录方法有一个清晰的认识。
二、实验报告二:VLAN的配置和管理VLAN是虚拟局域网的简称,对局域网进行划分可以提高网络的安全性和管理效果。
在这个实验中,我们将学习如何在华为交换机上进行VLAN的配置和管理,包括VLAN的创建、VLAN口的划分和端口的配置等操作。
通过这个实验,我们可以深入了解VLAN的应用和管理,为实际网络的划分和管理奠定基础。
三、实验报告三:静态路由的配置和使用在现代网络中,路由是实现不同网络之间通信的关键设备。
在这个实验中,我们将学习如何在华为交换机上配置和使用静态路由,包括路由表的设置、路由信息的添加和删除等操作。
通过这个实验,我们可以掌握静态路由的配置方法,为不同网络之间的通信建立起有效的桥梁。
四、实验报告四:访问控制列表(ACL)的配置和管理访问控制列表是在网络设备上实现对数据包进行过滤和控制的重要工具。
在这个实验中,我们将学习如何在华为交换机上配置和管理访问控制列表,包括ACL规则的设置、ACL的应用和优先级的调整等操作。
华为TSM终端安全管理系统
华为TSM终端安全管理系统综述随着企业和组织网络规模的增大,分支机构、移动办公、访客等增加了网络中的接入点,使存在于各层的网络漏洞成倍的增加,以利益驱动的专业黑客往往锁定企业终端为目标,利用终端中的安全漏洞,获取对重要资源的访问权限,进而对核心业务系统发起攻击,造成数据被窃听或破坏,核心业务中断、恶意代码传播等安全事故,使企业业务和声誉受损。
通过全面端点安全评估和统一配置,华为Secospace TSM (Terminal Security Management,终端安全管理)系统,在端点接入网络前主动进行安全状态评估,建立基于用户角色的网络访问机制,并为不符合安全基线的终端提供系统漏洞修复,从而将病毒屏蔽在网络之外,为企业和组织构建一个完整、简单和易于管理的终端安全环境。
纵深化防御:结合终端层、网络层、应用层形成纵深安全防御体系,为企业和组织构筑完整的网络安全防线——在终端层主动评估终端安全状态,与网络层的安全接入控制设备联动实现基于用户角色的访问控制,并协同应用层的补丁、资产管理,主动阻止和隔离风险,有效增强整网对抗风险的能力。
一体化部署:为应对日益复杂的安全攻击,往往需要部署多家厂商的终端管理产品,而这些解决方案间缺乏关联度,难以一体化运作,造成采购成本昂贵、结构复杂和难以维护。
针对企业需要简化IT解决方案的实际需求,TSM系统整合接入控制、强制安全策略遵从、员工行为管理、补丁管理、资产管理和软件分发等于一体,为企业建立一个一体化、完整的终端安全管理体系,有效降低IT部署复杂度,提高成本效益。
全方位保护: 企业内部信息安全管理是以安全法规为基础、安全技术为支撑、业务流程和安全管理为保障的系统工程。
TSM系统以安全策略为中心,通过策略检查、接入控制、行为审计和补丁修复建立不断完善的PDCA防护过程,为企业提供全方位内网终端安全管理和保护,持续改进企业安全状况,提升企业信息安全管理水平。
主要功能:•网络安全接入控制,发现并控制内部员工、外来访客和合作伙伴等对企业网络资源的访问,防止非法用户和不安全的终端接入内网,并根据用户身份授权访问指定的内网资源;•终端安全基线管理,集中配置终端的安全基线,全面评估终端的安全状态,对不符合安全基线的终端进行隔离、修复,提高终端的安全防护水平,保证企业整网的安全;•用户行为管理,审计并控制终端用户违法企业管理制度的行为,如非法外联、计算机外设、网络访问行为等,防止计算机和网络资源的滥用和恶意破话,规范终端用户使用IT资源的行为,提高企业整网的可用性和效率;•补丁和软件分发,提供智能、高效的补丁和软件分发功能,准确的评估系统漏洞,在最大限度降低网络带宽占用率的同时,帮助及时终端更新补丁,消除终端的安全漏洞;•企业资产安全审计,动态收集企业软、硬件资产信息,跟踪企业资产变更,帮助管理员全面了解终端资产状况,提供企业整网的IT管理水平。
华为交换机和路由器基本安全登录配置命令
一、拿到一台新的华为设备,我们首先要进行本地配置,比如配置密码,开启远程控制,配置用户设置权限等。
系统默认是没有开启telnet远程的,很多配置是需要我们在本地配置中开启的。
下面我们讲解华为设备的安全登录设置。
注:我们使用的是华为ensp模拟器进行讲解。
1.1、不同网络设备的需求和工作模式互不相同,其具体配置方法也会有较大的不同。
但所有的交换机/路由器都有一些共同的部分,可以把这些部分作为基本的模板用于最初的配置。
配置图如下:1、在路由器AR1设置本地登录用户视图(console端口)登录密码<Huawei>system-view //进入系统视图[Huawei]user-interface console 0//进入用户视图[Huawei-ui-console0]authentication-mode password //配置用户视图密码,最长16位Please configure the login password (maximum length 16):wltx //输入密码wltx[Huawei-ui-console0]set authentication password cipher 123 //修改用户视图验证密码,可跟56位密文[Huawei-ui-console0]return //回到用户视图,如前面的是<Huawei>,说明回到了用户视图。
<Huawei>save//保存配置The current configuration will be written to the device.Are you sure to continue? (y/n)[n]:y //按y确认保存<Huawei>quit //退出Configuration console exit please press any key to log onLogin authenticationPassword: //再次登录用户视图需要输入密码此时登录则需要输入密码才能进入用户视图,如果要取消安全认证,则执行以下命令。
(完整版)安全基线
安全基线项目项目简介:安全基准项目主要帮助客户降低由于安全控制不足而引起的安全风险。
安全基准项目在NIST、CIS、OVAL等相关技术的基础上,形成了一系列以最佳安全实践为标准的配置安全基准。
二. 安全基线的定义2.1 安全基线的概念安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。
信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。
不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。
2.2 安全基线的框架在充分考虑行业的现状和行业最佳实践,并参考了运营商下发的各类安全政策文件,继承和吸收了国家等级保护、风险评估的经验成果等基础上,构建出基于业务系统的基线安全模型如图2.1所示:图 2.1 基线安全模型基线安全模型以业务系统为核心,分为业务层、功能架构层、系统实现层三层架构:1. 第一层是业务层,这个层面中主要是根据不同业务系统的特性,定义不同安全防护的要求,是一个比较宏观的要求。
2. 第二层是功能架构层,将业务系统分解为相对应的应用系统、数据库、操作系统、网络设备、安全设备等不同的设备和系统模块,这些模块针对业务层定义的安全防护要求细化为此层不同模块应该具备的要求。
3. 第三层是系统实现层,将第二层模块根据业务系统的特性进一步分解,如将操作系统可分解为Windows、Solaris等系统模块,网络设备分解为华为路由器、Cisco路由器等系统模块……这些模块中又具体的把第二层的安全防护要求细化到可执行和实现的要求,称为Windows安全基线、华为路由器安全基线等。
下面以运营商的WAP系统为例对模型的应用进行说明:首先WAP系统要对互联网用户提供服务,存在互联网的接口,那么就会受到互联网中各种蠕虫的攻击威胁,在第一层中就定义需要防范蠕虫攻击的要求。
安全运维配置基线检查
操作系统配置
包括操作系统的访问控制、安 全更新、日志记录等配置。
数据库配置
包括数据库的访问控制、加密 、日志记录等配置。
物理环境安全
包括机房的物理访问控制、物 理安全监控等配置。
02
基线配置概述
基线定义
要点一
基线(Baseline)
在安全运维领域,基线是指一组经过认可的标准配置或最 佳实践,用于确保系统、网络或应用程序的安全性和稳定 性。
将操作系统产生的日志保存到安全的位置,并定期进 行备份,以防止日志被篡改或丢失。
日志分析与报警
通过日志分析工具,实时监测和分析系统日志,发现 异常行为及时报警。
资源控制与安全管理
资源使用监控
监控操作系统的CPU、内存、磁盘等资源的使用情况,确 保系统资源充足并合理分配。
01
恶意软件防护
安装防病毒软件,定期更新病毒库,防 止恶意软件对操作系统的攻击和破坏。
数据保护
加强对应用系统中数据的保护,包括数据加密、数据备份、数据恢 复等方面,确保数据的机密性、完整性和可用性。
08
总结与展望
检查工作成果总结
基线检查覆盖率
完成了对网络中大部分设备的基线检查,覆盖率达到了预定目标。
安全漏洞发现
在检查过程中,发现并修复了多个安全漏洞,提高了系统的安全性。
配置规范性提升
通过对设备配置的基线检查,使得设备配置更加规范,减少了潜在的安全风险。
运维效率提高
基线检查的自动化工具提高了检查效率,减少了人工操作的时间和成本。
未来工作展望
扩大基线检查范围
将基线检查的范围扩大到更多类型的设备和 系统,提高整体安全性。
华为交换机安全系统基线
华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................ 错误!未定义书签。
2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
IT主流设备安全基线技术规范
IT主流设备安全基线技术规范1范围本规范适用于中国xx电网有限责任公司及所属单位管理信息大区所有信息系统相关主流支撑平台设备。
2规范性提及文件下列文件对于本规范的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本规范。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。
――中华人民共和国计算机信息系统安全维护条例――中华人民共和国国家安全法――中华人民共和国激进国家秘密法――计算机信息系统国际联网保密管理规定――中华人民共和国计算机信息网络国际联网管理暂行规定――iso27001标准/iso27002指南――公通字[2021]43号信息安全等级维护管理办法――gb/t21028-2021信息安全技术服务器安全技术要求――gb/t20269-2021信息安全技术信息系统安全管理要求――gb/t22239-2021信息安全技术信息系统安全等级维护基本建议――gb/t22240-2021信息安全技术信息系统安全等级维护定级指南3术语和定义安全基线:指针对it设备的安全特性,挑选最合适的安全控制措施,定义相同it设备的最高安全布局建议,则该最高安全布局建议就称作安全基线。
管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。
生产控制大区可以分为控制区(安全区i)和非控制区(安全区ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。
根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。
4总则4.1指导思想紧紧围绕公司打造出经营型、服务型、一体化、现代化的国内领先、国际知名企业的战略总体目标,为二要弘扬南网方略,确保信息化建设,提升信息安全防水能力,通过规范it主流设备安全基线,创建公司管理信息大区it主流设备安全防水的最低标准,同时实现公司it主流设备整体防护的技术措施标准化、规范化、指标化。
华为S2700 S3700系列交换机 01-10 安全
10安全关于本章本章主要介绍安全管理的相关概念和相关配置,主要包括:端口隔离、用户静态绑定、AAA配置、802.1X和MAC认证。
10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。
S2700SI系列交换机不支持此功能。
10.2 用户静态绑定用户静态绑定信息由用户手工配置,支持的绑定方式包括IP+PORT、MAC+PORT、IP+MAC+PORT、IP+PORT+VLAN、MAC+PORT+VLAN、IP+MAC+PORT+VLAN。
S2700SI系列交换机不支持此功能。
10.3 AAA配置AAA是Authentication,Authorization,Accounting(认证、授权和计费)的简称,它提供了一个对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
在S2700系列交换机中仅是支持用户管理功能。
10.4 802.1X介绍802.1X的基本配置包括全局和接口802.1X参数配置。
10.5 MAC认证介绍MAC地址认证的基本配置包括全局配置和接口配置,使用MAC地址认证的特性。
10.1 端口隔离提供配置和查询隔离模式、双向隔离、单向隔离的功能。
S2700SI系列交换机不支持此功能。
端口隔离模式可以配置为二层三层都隔离或者二层隔离三层互通,最常用的就是同一个小组成员两两之间不能二层互通,却可以通过访问公共资源。
如打印机、服务器等。
10.1.1 双向隔离提供配置隔离模式和双向隔离的新建、查询、修改、删除的功能。
背景信息●同一端口隔离组的接口之间互相隔离,不同端口隔离组的接口之间不隔离。
●交换机支持64个隔离组,编号为1~64。
操作步骤●配置隔离模式说明●缺省情况下,端口隔离模式为L2(二层隔离三层互通)。
●隔离模式选择应用后,会把双向隔离和单向隔离的配置都应用于该模式。
●切换下方的双向隔离和单向隔离标签不影响隔离模式的配置功能。
●S2700(除S2700-52P-PWR-EI)系列交换机不支持此功能。
网络设备安全基线
6
SNMP协议
设置SNMP读写密码
7
帐号管理
开启日志审计功能
8
二层安全要求
端口配置广播抑制
9
其它安全要求
禁止未使用或空闲的端口 启用源地址路由检查(二层不适 用)
10
其它安全要求
华为交换机安全基线: 共10项,适用于华为交换机 (注意: 部分配置完成后需要重启服务)
操作指南 加固方法: 全局模式下启用如下命令: Quidway# undo ftp server 加固方法: 全局模式下启用如下命令: Quidway# undo ntp-service 加固方法: 全局模式下启用如下命令: Quidway# undo dhcp server 加固方法: 全局模式下启用如下命令: Quidway# hgmpserver disable Quidway# undo hgmpserver 加固方法: 全局模式下启用如下命令: 方法一: 用户终端的本地口令认证 # user-interface vty 0 4 # authentication-mode password # set authentication password [simple | cipher] xxxxx 方法二: 本地用户名/密码认证 # local-user xxx password [simple | cipher] xxx # user-interface vty 0 4 # authentication-mode local 方法三: 本地AAA认证 # aaa enable # aaa authentication-scheme login default local # local-user xxx password [simple | cipher] xxx # authentication-mode scheme default 方法四: 远程RADIUS认证 # aaa-enable # aaa authentication-scheme login xxx radius # radius-server xxx.xxx.xxx.xxx authentication-port xxxx # authentication-mode scheme xxx 其中,xxx为认证方法表名 加固方法: 全局模式下启用如下命令: snmp-agent community read xxxxxxxx snmp-agent community write xxxxxxxx 加固方法: 全局模式下启用如下命令: 第一种: SNMP TRAP的方式 #snmp-agent target-host trap ip-address #snmp-agent trap enable 第二种: SYSLOG的方式 #info-center loghost 10.113.0.41
华为交换机安全加固配置
华为交换机安全加固配置适用6506-7806SNMP安全(SNMP communitySNMP ACL:严格限制对设备SNMP进程访问的源IP地址,目前应该只允许网络管理地址段对设备的SNMP进程进行访问。
)acl number 2001 match-order autorule 0 permit source 61.139.59.4 0rule 1 permit source 61.139.59.5 0rule 2 permit source 61.139.59.92 0quitsnmp-agent community read gasj acl 2001display current-configuration configuration acl-basic (查看)远程终端访问安全acl number 2000 match-order auto rule 5 permit source 61.139.59.0 0.0.0.255rule 10 permit source 61.157.237.0 0.0.0.255rule 15 permit source 61.157.235.0 0.0.0.255rule 20 permit source 125.66.18.0 0.0.0.255rule 25 permit source 222.214.70.0 0.0.0.255rule 30 permit source 222.215.0.0 0.0.0.255rule 35 permit source 61.157.236.0 0.0.0.255rule 40 permit source 61.139.14.245 0rule 45 permit source 61.139.29.102 0rule 50 permit source 221.237.191.67 0rule 55 permit source 221.237.191.72 0rule 60 permit source 222.213.4.10 0rule 65 permit source 222.213.4.11 0quituser-interface vty 0 4acl 2000 inbounddisplay cur conf user-interface(查看)SNMP设置snmp-agentsnmp-agent local-engineid 800007DB000FE2395BB06877snmp-agent community read gasjsnmp-agent community read Rw1cigg!snmp-agent sys-info version allsnmp-agent target-host trap address udp-domain 61.139.59.4 udp-port 161 params securityname publicsnmp-agent trap enable configurationsnmp-agent trap enable systemsnmp-agent trap enable standardsnmp-agent trap enable vrrpsnmp-agent trap enable bgpsnmp-agent trap enable flash。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为设备安全配置基线目录概述目的规范配置华为路由器、交换机设备,保证设备基本安全。
适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
适用版本华为交换机、路由器。
帐号管理、认证授权安全要求帐号管理1.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件:(1)配置文件中,存在不同的账号分配(2)网络管理员确认用户与账号分配关系明确6、检测操作:使用命令dis cur命令查看:…#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
1.1.2删除无关的帐号*1、安全基线名称:删除无关的账号2、安全基线编号:SBL-HUAWEI-02-01-023、安全基线说明:应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]undo local-user user5、安全判定条件:(1)配置文件存在多个账号(2)网络管理员确认账号与设备运行、维护等工作无关6、检测操作:使用dis cur | include local-user命令查看:[Huawei]dis cur | include local-userlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type ssh若不存在无用账号则说明符合安全要求。
口令1.1.3静态口令以密文形式存放1、安全基线名称:静态口令以密文形式存放2、安全基线编号:SBL-HUAWEI-02-02-013、安全基线说明:配置本地用户和super口令使用密文密码。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei]super password cipher admin1235、安全判定条件:配置文件中没有明文密码字段。
6、检测操作:查看本地用户密码:[Huawei]dis cur | include local-userlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type ssh查看super密码:[Huawei]dis cur | include supersuper password level 3 cipher mPZr=2!Z<@u:|l#3M^#3Icf# #1.1.4密码复杂度1、安全基线名称:密码复杂度2、安全基线编号:SBL-HUAWEI-02-02-023、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
4、参考配置操作:[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin@xiangyun5、安全判定条件:密码强度符合要求,密码至少90天进行更换。
授权1.1.5用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称:用IP协议进行远程维护设备2、安全基线编号:SBL-HUAWEI-02-03-013、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
4、参考配置操作:[Huawei]aaa[Huawei-aaa] local-user admin password cipher admin123[Huawei-aaa] local-user admin privilege level 15[Huawei-aaa] local-user admin service-type ssh[Huawei]rsa local-key-pair create[Huawei]stelnet server enable[Huawei]ssh user admin service-type stelnet[Huawei]ssh user admin authentication-type password[Huawei]user-interface vty 0 4[Huawei-ui-vty0-4]protocol inbound ssh5、安全判定条件:配置文件中只允许SSH等加密协议连接。
6、检测操作:使用dis cur | include ssh命令:[Huawei]dis cur | include sshlocal-user admin service-type sshssh user adminssh user admin authentication-type passwordssh user admin service-type stelnet日志安全要求日志安全1.1.6启用信息中心1、安全基线名称:启用信息中心2、安全基线编号:SBL-HUAWEI-03-01-013、安全基线说明:启用信息中心,记录与设备相关的事件。
4、参考配置操作:[HUAWEI]info-center enable5、安全判定条件:(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:使用dis info-center有显示Information Center: Enabled类似信息,如:[Huawei]dis info-centerInformation Center:enabledLog host:Console:channel number : 0, channel name : consoleMonitor:channel number : 1, channel name : monitorSNMP Agent:channel number : 5, channel name : snmpagentLog buffer:enabled,max buffer size 1024, current buffer size 512,current messages 56, channel number : 4, channel name : logbufferdropped messages 0, overwritten messages 0Trap buffer:enabled,max buffer size 1024, current buffer size 256,current messages 4, channel number:3, channel name:trapbufferdropped messages 0, overwritten messages 0Information timestamp setting:log - date, trap - date, debug - date millisecondSent messages = 1227, Received messages = 1226IO Reg messages = 0 IO Sent messages = 01.1.7开启NTP服务保证记录的时间的准确性1、安全基线名称:日志记录时间准确性2、安全基线编号:SBL-HUAWEI-03-01-023、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。
4、参考配置操作:[Huawei]ntp-service authentication enable5、安全判定条件:日志记录时间准确。
6、检测操作:[Huawei]dis cur | include ntpntp-service authentication enable1.1.8远程日志功能*1、安全基线名称:远程日志功能2、安全基线编号:SBL-HUAWEI-03-01-033、安全基线说明:配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
4、参考配置操作:[HUAWEI]info-center loghost *.*.*.*snmp-agent sys-info version 3…..1.1.9关闭未使用的SNMP协议及未使用write权限1、安全基线名称:关闭未使用的SNMP协议及未使用write权限2、安全基线编号:SBL-HUAWEI-04-02-043、安全基线说明:系统应及时关闭未使用的SNMP协议及未使用write权限4、参考配置操作:[Huawei]undo snmp-agent community write pipaxing5、安全判定条件:Snmp权限为read。