HC防火墙安全配置基线

技术规范—安全产品杭州华三通信技术有限公司目录1.防火墙系列防火墙整体引导策略：1、要求采用指定架构（M9000的分布式架构、中低端的多核非X86架构等），屏蔽和抬高友商。

2、按照我司产品接口形态（含扩展槽）引导（接口速度越高、接口数量越大友商商务越高）。

3、强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。

4、要求实现多业务特性：出站链路负载均衡、多种VPN、智能安全策略。

5、要求支持完全虚拟化：SCF(多虚一)、SOP（一虚多）。

6、要求实配虚拟防火墙数量、IPsec VPN隧道数、SSL VPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSL VPN需License费用）等厂家的商务；7、要求支持基于IPV6的状态防火墙及攻击防范。

8、证书：要求提供CMMI4证书、IPv6 Ready认证证书。

1.1. M9000防火墙核心引导指标说明：9、要求支持采用控制、数据、业务相分离的全分布式架构。

10、要求每槽位支持100G接口≥2个、40G接口≥4个.11、要求接口数量引导32万兆接口（数量越大友商商务越高）。

12、强调整机最大吞吐量，及单位吞吐对应的新建数，并发数等关键性能指标。

13、要求实现多业务特性：出站链路负载均衡、多种VPN、智能安全策略。

14、要求支持完全虚拟化：SCF(多虚一)、SOP（一虚多）。

15、要求实配虚拟防火墙数量、IPsec VPN隧道数、SSL VPN数是为了增加华为（虚拟防火墙/VPN均需要License）、思科（虚拟防火墙/SSL VPN需License费用）等厂家的商务；16、要求支持基于IPV6的状态防火墙及攻击防范。

17、证书：本次招标引导的证书出来传统的公安部销售许可证证书外，我们要求提供CMMI4证书、IPv6 Ready认证证书。

1.2. M90061.3. M90101.4. M90141.5. 新一代防火墙F50X0核心引导指标说明：1、要求支持下一代深度安全特性，以及丰富的接口数量。

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

H3C设备安全配置基线目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)第2章帐号管理、认证授权安全要求 (6)2.1帐号管理 (6)2.1.1用户帐号分配* (6)2.1.2删除无关的帐号* (7)2.2口令 (8)2.2.1静态口令以密文形式存放 (8)2.2.2帐号、口令和授权 (10)2.2.3密码复杂度 (11)2.3授权 (11)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (11)第3章日志安全要求 (13)3.1日志安全 (13)3.1.1启用信息中心 (13)3.1.2开启NTP服务保证记录的时间的准确性 (14)3.1.3远程日志功能* (15)第4章IP协议安全要求 (17)4.1IP协议 (17)4.1.1VRRP认证 (17)4.1.2系统远程服务只允许特定地址访问 (17)4.2功能配置 (18)4.2.1SNMP的Community默认通行字口令强度 (18)4.2.2只与特定主机进行SNMP协议交互 (20)4.2.3配置SNMPV2或以上版本 (21)4.2.4关闭未使用的SNMP协议及未使用write权限 (21)第5章IP协议安全要求 (23)5.1其他安全配置 (23)5.1.1关闭未使用的接口 (23)5.1.2修改设备缺省BANNER语 (24)5.1.3配置定时账户自动登出 (24)5.1.4配置console口密码保护功能 (25)5.1.5端口与实际应用相符 (26)第1章概述1.1目的规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

H3C防⽕墙基本配置防⽕墙基础配置# 修改设备名称sysname KL_HC_JT_FW_01# 账号密码修改以及服务权限local-user admin class managepassword simple KLL!@#2021service-type ssh terminal httpsauthorization-attribute user-role level-3authorization-attribute user-role network-adminauthorization-attribute user-role network-operatorpassword-control login-attempt 10 exceed lock-time 30# 开启远程ssh，关闭telnetssh server enableundo telnet server enable# 远程登录⾝份认证line vty 0 4authentication-mode schemeuser-role network-admin# 开启web界⾯登录ip https enableundo ip http enable# 开启lldplldp global enable# 配置管理⼝地址,如果出现故障可以直连管理⼝登录防⽕墙security-zone name Managementimport interface GigabitEthernet 1/0/1quit# 配置地址interface GigabitEthernet1/0/11ip address 192.168.0.1 24undo shutdown# 防⽕墙安全策略配置# 允许local到所有区域security-policy ip # IP策略rule 1 name local-any # 序号1，名称local-anyaction pass # 动作pass允许通过logging enable # 记录⽇志source-zone Local # 源安全区域destination-zone Any # ⽬的安全区域rule 2 name trust-untrust # 序号2action pass # 动作pass允许通过logging enable # 记录⽇志source-zone trust # 源安全区域destination-zone untrust # ⽬的安全区域# 移动安全区域顺序move rule rule-id before insert-rule-id # 移动安全策略到哪条安全策略之前# 保存配置save f。

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

操作系统安全基线配置操作系统安全基线配置1、系统基本配置1.1、设置强密码策略1.1.1、密码复杂度要求1.1.2、密码长度要求1.1.3、密码历史记录限制1.2、禁用默认账户1.3、禁用不必要的服务1.4、安装最新的操作系统补丁1.5、配置防火墙1.6、启用日志记录功能1.7、安装安全审计工具2、访问控制2.1、确定用户账户和组织结构2.2、分配最小特权原则2.3、管理账户权限2.3.1、内置管理员账户2.3.2、各类用户账户2.4、用户认证和授权2.4.1、双因素身份验证2.4.2、权限管理2.5、用户追踪和监管2.5.1、记录登录和注销信息2.5.2、监控用户活动3、文件和目录权限管理3.1、配置文件和目录的ACL3.2、禁止匿名访问3.3、确保敏感数据的安全性3.4、审计文件和目录访问权限4、网络安全设置4.1、配置安全网络连接4.1.1、使用SSL/TLS加密连接4.1.2、配置安全的网络协议 4.2、网络隔离设置4.2.1、网络分段4.2.2、VLAN设置4.3、防御DDoS攻击4.4、加密网络通信4.5、网络入侵检测和预防5、应用程序安全配置5.1、安装可靠的应用程序5.2、更新应用程序到最新版本 5.3、配置应用程序的访问权限 5.4、定期备份应用程序数据5.5、应用程序安全策略6、数据保护与恢复6.1、定期备份数据6.2、加密敏感数据6.3、完整性保护6.4、数据恢复7、安全审计与监控7.1、审计日志管理7.1.1、配置日志记录7.1.2、日志监控和分析7.2、安全事件响应7.2.1、定义安全事件7.2.2、响应安全事件7.2.3、安全事件报告8、物理安全8.1、服务器和设备安全8.1.1、物理访问控制8.1.2、设备保护措施8.2、网络设备安全8.2.1、路由器和交换机的安全配置 8.2.2、网络设备的物理保护8.3、数据中心安全8.3.1、安全区域划分8.3.2、访问控制措施附件：无法律名词及注释：1、双因素身份验证：双因素身份验证是指通过两个或多个不同的身份验证要素来确认用户身份的一种安全措施。

华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。

华为USG防火墙是一款功能强大的网络安全设备，可用于保护企业网络免受网络攻击和安全威胁。

2. 配置步骤2.1 硬件连接在配置USG防火墙之前，请确保正确连接好相关硬件设备，包括USG防火墙、路由器和服务器等。

2.2 登录USG防火墙使用SSH客户端等工具，输入USG防火墙的IP地址和管理员账号密码进行登录。

2.3 配置基本参数登录USG防火墙后，根据实际需求配置以下基本参数：- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换（NAT）根据实际网络环境，配置网络地址转换（NAT）功能。

NAT 功能可以将内部IP地址转换为合法的公网IP地址，实现内网和外网的通信。

2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限，确保只有授权的用户或设备可以访问特定网络资源。

2.6 配置安全服务华为USG防火墙提供多种安全服务功能，例如防病毒、入侵检测和内容过滤等。

根据实际需求，配置相应的安全服务功能。

2.7 配置远程管理和监控配置远程管理和监控功能，可以通过远程管理工具对USG防火墙进行实时监控和管理。

3. 常见问题解答3.1 如何查看防火墙日志？登录USG防火墙的Web界面，找到"日志"选项，可以查看防火墙的各种日志信息，包括安全事件、连接记录等。

3.2 如何升级USG防火墙固件版本？4. 其他注意事项- 在配置USG防火墙之前，请先备份原有的配置文件，以防配置错误或损坏设备。

- 请勿将USG防火墙暴露在不安全的网络环境中，以免受到未授权的访问和攻击。

以上是华为USG防火墙的配置手册，希望能帮助到您。

如有其他问题，请随时联系我们的技术支持。

Huawei防火墙安全配置基线XXXXXX备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

H3C网络设备安全配置基线目录第1章基本安全配置 (3)2.1帐号管理 (3)2.1.1 用户账号分配 (3)2.1.2 配置默认级别 (4)2.2口令 (5)2.2.1 密码认证登录 (5)2.2.2 设置访问级密码 (6)2.2.3 加密口令 (7)2.3日志安全 (9)2.3.1 配置远程日志服务器 (9)2.4IP协议 (10)2.4.1使用SSH加密管理 (10)2.4.2系统远程管理服务只允许特定地址访问 (11)2.5SNMP安全 (12)2.5.1修改SNMP默认通行字 (12)2.5.2使用SNMPV2或以上版本 (13)2.5.3SNMP访问控制 (14)2.6其他安全配置 (15)2.6.1关闭未使用的端口 (15)2.6.2帐号登录超时 (16)2.6.3关闭不需要的服务 (17)第2章增强安全配置 (18)3.1安全防护 (18)3.1.1启用URPF功能 (18)第1章基本安全配置2.1帐号管理2.1.1 用户账号分配2.1.2 配置默认级别2.2 口令2.2.1 密码认证登录2.2.2 设置访问级密码2.2.3 加密口令2.3 日志安全2.3.1 配置远程日志服务器2.4IP 协议2.4.1使用SSH加密管理2.4.2系统远程管理服务只允许特定地址访问2.5SNMP安全2.5.1修改SNMP默认通行字2.5.2使用SNMPV2或以上版本2.5.3SNMP访问控制2.6其他安全配置2.6.1关闭未使用的端口2.6.2帐号登录超时2.6.3关闭不需要的服务第2章增强安全配置3.1安全防护3.1.1启用URPF功能。

Huawei防⽕墙安全配置基线Huawei防⽕墙安全配置基线XXXXXX备注：1.若此⽂档需要⽇后更新，请创建⼈填写版本控制表格，否则删除版本控制表格。

⽬录第1章概述 (1)1.1⽬的 (1)1.2适⽤范围 (1)1.3适⽤版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1⽤户帐号分配* (2)2.1.2删除⽆关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误⾃动锁定* (4)2.2⼝令 (5)2.2.1⼝令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使⽤加密协议 (5)第3章⽇志及配置安全要求 (7)3.1⽇志安全 (7)3.1.1记录⽤户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT⽇志 (8)3.1.4配置记录流量⽇志 (9)3.1.5配置⽇志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防⽕墙本⾝的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议⽹络层异常报⽂攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后⼀条必须是拒绝⼀切流量 (12)3.3.2配置访问规则应尽可能缩⼩范围 (13)3.3.3访问规则进⾏分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防⽕墙字符管理界⾯的bannner信息 (15)3.3.6关闭⾮必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端⼝或者服务的访问 (16)3.4.2防⽕墙各逻辑接⼝配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包⼤⼩* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使⽤SNMP V2或V3版本对防⽕墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外⽹⼝地址关闭对ping包的回应 (21)5.1.2对防⽕墙的管理地址做源地址限制 (21)5.1.3配置consol⼝密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 ⽬的本⽂档规定了XXXXXX管理信息系统部所维护管理的Huawei防⽕墙应当遵循的设备安全性设置标准，本⽂档旨在指导系统管理⼈员进⾏Huawei防⽕墙的安全配置。

1.1运维管控与安全审计系统
1.1.1绿盟堡垒机安全基线技术要求
1.1.1.1设备管理
转变传统 IT安全运维被动响应的模式，建立面向用户的集中、主动的运维安全管控模式，降低人为安全风险，满足合规要求，保障公司效益。

1.1.1.2用户账号与口令安全
应配置用户账号与口令安全策略，提高设备账户与口令安全。

1.1.1.3日志与审计
堡垒机支持“日志零管理”技术。

提供：日志信息自动备份维护、提供多种详细的日志报表模板、全程运维行为审计（包括字符会话审计、图形操作审计、数据库运维审计、文件传输审计）
1.1.1.4安全防护
堡垒机采用专门设计的安全、可靠、高效的硬件平台。

该硬件平台采用严格的设计和工艺标准，保证高可靠性。

操作系统经过优化和安全性处理，保证系统的安全性。

采用强加密的 SSL 传输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。

1.1运维监控系统
1.1.1Nagios和Centreon安全基线技术要求
监控工作主要由nagios完成，再通过ndo2db写入数据库，最后由centreon调用显示出来。

有了centreon后就可以用web来操作了。

防火墙的安全策略基线
防火墙的安全策略基线主要包括以下几个方面：
1. 包过滤：这是防火墙安全策略的基础，主要是根据数据包的源地址、目标地址、端口号等信息来判断是否允许该数据包通过。

根据防火墙的配置，可以允许或拒绝来自特定IP地址、子网或主机的所有通信。

2. 代理服务：防火墙可以作为代理服务器，对内网和外网之间的通信进行转发。

通过代理服务，防火墙可以控制内网用户对外网的访问，并可以对访问行为进行记录和审计。

3. 加密和身份验证：防火墙可以提供加密和身份验证功能，保证数据传输的安全性。

通过加密，可以保证数据在传输过程中不会被窃取或篡改；通过身份验证，可以保证只有授权用户才能访问网络资源。

4. 访问控制：防火墙可以基于用户的身份和访问权限进行控制，例如限制特定用户访问某些网站或使用某些应用程序。

5. 日志和审计：防火墙可以记录所有通过的数据包和访问行为，以便进行日志和审计。

通过对日志的分析，可以发现潜在的安全威胁和异常行为。

在建立防火墙的安全策略基线时，需要综合考虑网络的安全需求、业务需求以及风险评估结果等因素，制定合理的安全策略。

同时，还需要定期对防火墙的安全策略进行检查和更新，以应对网络威胁的变化。

服务器基线配置标准
服务器基线配置标准是一个用于确保服务器安全和稳定运行的重要标准。

以下是一些常见的服务器基线配置标准，这些标准可能会因不同的组织或应用场景而有所差异：
1. 操作系统和软件：确保服务器上安装的操作系统和软件都是最新版本，并且已经修复了所有已知的安全漏洞。

2. 账户管理：对服务器上的用户账户进行严格管理，禁止未经授权的用户访问。

3. 密码策略：实施强密码策略，要求用户使用复杂且独特的密码，并定期更换密码。

4. 访问控制：对服务器的访问权限进行严格控制，只允许授权用户访问。

5. 日志和监控：对服务器的运行状况进行实时监控，并对重要事件进行记录。

6. 安全审计：定期对服务器的安全进行审计，检查是否有任何潜在的安全风险。

7. 数据备份：定期备份服务器上的数据，以防数据丢失或损坏。

8. 防病毒和防火墙：在服务器上安装防病毒软件和防火墙，以防止恶意软件的入侵。

9. 配置管理：对服务器的配置进行统一管理，确保所有服务器都遵循相同的配置标准。

10. 物理安全：确保服务器所在的物理环境安全，如门禁系统、监控设备等。

这些标准可以根据实际需要进行修改和调整，但它们应该始终考虑到安全性、稳定性和可维护性等方面。

H3C设备安全配置基线目录第1章概述................................................................................................................................1.1目的....................................................................................................................................1.2适用范围............................................................................................................................1.3适用版本............................................................................................................................第2章帐号管理、认证授权安全要求 ....................................................................................2.1帐号管理............................................................................................................................2.1.1用户帐号分配* ..........................................................................................................2.1.2删除无关的帐号* ......................................................................................................2.2口令....................................................................................................................................2.2.1静态口令以密文形式存放 ........................................................................................2.2.2帐号、口令和授权 ....................................................................................................2.2.3密码复杂度 ................................................................................................................2.3授权....................................................................................................................................2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 ...........................................第3章日志安全要求 ................................................................................................................3.1日志安全............................................................................................................................3.1.1启用信息中心 ............................................................................................................3.1.2开启NTP服务保证记录的时间的准确性................................................................3.1.3远程日志功能* ..........................................................................................................第4章IP协议安全要求............................................................................................................4.1IP协议 ...............................................................................................................................4.1.1VRRP认证 ..................................................................................................................4.1.2系统远程服务只允许特定地址访问 ........................................................................4.2功能配置............................................................................................................................4.2.1SNMP的Community默认通行字口令强度 ............................................................4.2.2只与特定主机进行SNMP协议交互 ........................................................................4.2.3配置SNMPV2或以上版本 ........................................................................................4.2.4关闭未使用的SNMP协议及未使用write权限...................................................... 第5章IP协议安全要求............................................................................................................5.1其他安全配置....................................................................................................................5.1.1关闭未使用的接口 ....................................................................................................5.1.2修改设备缺省BANNER语 ........................................................................................5.1.3配置定时账户自动登出 ............................................................................................5.1.4配置console口密码保护功能..................................................................................5.1.5端口与实际应用相符 ................................................................................................概述目的规范配置H3C路由器、交换机设备，保证设备基本安全。

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address[ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。