H3C交换机安全配置基线
H3C三层交换机安全配置规范
H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
重要等级高配置指南1、参考配置操作#interface Ten-GigabitEthernet0/1 //进入端口视图shutdown //执行shutdown命令,关闭端口#检测方法及判定依据1、符合性判定依据端口关闭,不能使用。
2、参考检测方法通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。
备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interface console 0[ H3C-ui-console0] authentication-mode password[ H3C-ui-console0] set authentication password cipher xxxxxxxx检测方法及判定依据1、符合性判定依据通过console口,只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。
备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。
重要等级中配置指南1、参考配置操作local-user user1service-type telnetuser privilede level 2#local-user user2service-type ftpuser privilede level 3#2、补充操作说明1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;2、避免使用h3c、admin等简单易猜的账号名称;检测方法及判定依据1、符合性判定依据各账号都可以正常使用,不同用户有不同的账号。
H3C-5120交换机安全设置
H3C-5120交换机安全设置一、安全设置概述H3C-5120交换机是一种功能丰富且常用的网络设备,但在网络环境中,安全性是至关重要的。
本文档旨在提供关于H3C-5120交换机安全设置的详细指南,以确保网络的安全性和稳定性。
二、物理安全设置1. 安全的位置安装交换机:H3C-5120交换机应该被安装在物理上安全的位置,避免被未授权的人员操作或恶意存取。
2. 限制访问:交换机的机柜应该配备可靠的锁,只开放给授权人员,以确保物理访问的安全性。
三、管理安全设置1. 管理口安全:交换机的管理口应只开放给授权的管理人员,禁止其他用户访问。
2. 密码设置:对于管理员账户和特权模式账户,应设置强密码,并定期更换。
3. 远程访问控制:限制远程访问交换机的IP地址和登录方式,仅允许授权的主机和用户访问。
四、网络安全设置1. VLAN划分:使用VLAN划分将不同的网络隔离开来,以增加网络的安全性。
2. ACL设置:通过配置访问控制列表(ACL),限制对交换机的某些服务或端口的访问权限,防止未经授权的访问和攻击。
3. 网络隔离:为敏感数据和重要设备建立独立的网络,禁止普通访问,以增强网络的安全性。
4. 安全升级:定期检查和安装最新的固件升级,以修补已知的安全漏洞,确保交换机的安全性。
五、日志和监控设置1. 日志配置:启用交换机的日志功能,并设置合适的日志级别,以便追踪和分析安全事件和故障。
2. 告警设置:配置告警,以便在出现异常情况时及时通知管理员,以便采取相应的措施。
3. 安全监控:使用网络安全工具对交换机进行实时监控,以及时发现和阻止任何潜在的安全威胁。
六、更新和维护1. 定期备份:定期备份交换机的配置文件,以防止数据丢失或设备故障时进行恢复。
2. 系统更新:定期检查和更新交换机的操作系统,以确保安全补丁和功能更新的及时安装。
七、培训和教育1. 培训管理人员:对交换机安全设置进行培训,使其了解和掌握最佳实践。
2. 用户教育:对网络用户进行安全意识教育,包括密码安全、远程访问规范和网络行为规范等。
XX银行H3C交换机安全基线配置
X X银行H3C交换机系列安全配置基线(V1.0)目录1适用声明 (2)2访问控制 (3)2.1远程连接源地址限制 (21)3安全审计 (3)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)4.2配置常见的漏洞攻击和病毒过滤功能 (4)4.3配置ACL规则 (3)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)1 适用声明2 访问控制2.1配置ACL规则3 安全审计3.1开启设备的日志功能4 入侵防范5 网络设备防护5.2连接空闲时间设定5.3远程登陆加密传输5.4配置console口密码保护功能和连接超时5.6删除设备中无用的闲置账号5.7修改设备上存在的弱口令5.8配置和认证系统联动功能5.9配置NTP服务5.10修改SNMP的community默认通行字5.11使用SNMPV2或以上版本5.12设置SNMP的访问安全限制5.13系统应关闭未使用的SNMP协议及未使用RW权限5.14关闭不必要的服务5.17远程连接源地址限制。
H3C交换机与路由器的基本配置
H3C交换机与路由器的基本配置交换机的基本配置:传统的基于集线器的局域网中所有的站点都处于同一个“冲突域”中,这里的“冲突域”是.指CSMA/CD算法中每个站点所监听的网络范围。
处于同一个冲突域中的站点在任意时刻只能有一个站点占用信道,这意味着传统以太网的带宽被各个站点在统计意义上均分的,这决定了传统形式的以太网不具有可伸缩性。
局域网交换机可以让通信的双方拥有一条不受干扰的信道,当一个站点想发送一802.3帧是,他就向交换机发送一标准帧,交换机通过检查帧头的目的地址并将此帧通过高速背板总线从连接目的站点的端口发出。
高速背板总线的设计可以保证同时通信的若干站点互不影响。
对交换机的配置有多中方法:通过Console口,通过telnet等。
用Console口对交换机进行配置是最常用的方法,也是对没有经过任何配置的交换机进行配置单唯一途径,配置过程如下:1(用Console电缆把交换机和PC机进行连接,RJ—45的一端插在交换机的Console口,另一端与计算机的串口相连。
2(在PC机上打开超级终端应用程序建立与交换机的连接,在PC上点击开始,以此选择程序,附件,通讯,单击“超级终端”,弹出“连接描述”对话框,在名称框输入名称并在图标框选择一个图标(名称和图标可以自由设置,不会影响对交换机的配置),然后点击确定,弹出COM1属性对话框,设置波特率为:9600 数据位为:8 奇偶效验为:无停止位为:1 流量控制为:无,点击“确定”,进入配置编辑窗口。
3(在编辑窗口对交换机进行配置在缺省模式下我们进入交换机是处在用户视图下4(恢复交换机的缺省配置在用户试图下首先使用以下命令<Quidway>reset saved—configuration 清空配置<Quidway>reboot 重启交换机5(VLAN配置:<Quidway>system-view 进入系统试图[Quidway]valn 2 交换机默认所有的端口都属于valn 1,vlan 1既不能创建也不能删除[Quidway-vlan2]port ethernet 0/10 to ethernet 0/12 把以太端口10到12加入到vlan2[Quidway-vlan2]display current-configuration 查看配置信息配置了vlan之后,处于不同vlan的主机不能直接通讯,vlan具有隔离网络的作用,从而实现网络安全。
H3C交换机安全配置基线
7.7 设备管理 ......................................................................................................................... 10 7.7.1 交换机带内管理方式 .......................................................................................... 10 7.7.2 交换机带内管理通信 .......................................................................................... 11 7.7.3 交换机带内管理超时 .......................................................................................... 11 7.7.4 交换机带内管理验证 .......................................................................................... 12 7.7.5 交换机带内管理用户级别 .................................................................................. 12 7.7.6 交换机带外管理超时 .......................................................................................... 13 7.7.7 交换机带外管理验证 .......................................................................................... 13
H3C核心交换机配置
H3C核心交换机配置H3C核心交换机配置H3C每年将销售额的15%以上用于研发投入,在中国的'北京、杭州和深圳设有研发机构,在北京和杭州设有可靠性试验室以及产品鉴定测试中心。
以下是店铺整理的关于H3C核心交换机配置,希望大家认真阅读!1、核心交换机新建用户admin密码admin@h3c,并关联远程登录服务,如telnet web网页登录、ssh远程登录。
并开启telnet、web登录服务、ftp服务#local-user adminpassword cipher admin@h3cauthorization-attribute level 3service-type telnetservice-type ftpservice-type web#telnet server enable#ip http enable#user-interface vty 0 15authentication-mode scheme2、如需新增vlan网段,先新建对应vlan,新建网关、把网线口加入到此vlan,这里例举新增vlan11,网关172.30.162.1/24,把0/0/27-0/0/28口添加到vlan162#vlan 162port GigabitEthernet 0/0/27 to GigabitEthernet 0/0/28#interface Vlan-interface162ip address 172.30.162.1 255.255.255.03、开启DHCP自动获取功能,此功能一般只需要在核心交换机上开启,比如这里开启vlan162网段的DHCP功能,并禁止分配172.30.162.1-100#dhcp server ip-pool 162network 172.30.162.0 mask 255.255.255.0gateway-list 172.30.162.1dns-list 88.0.0.216 88.0.0.218#dhcp enable#dhcp server forbidden-ip 172.30.162.1 172.30.162.100关闭192.168.11.0网段的DHCP自动获取功能#undo dhcp server ip-pool 114、下联交换机口必须配置成trunk口,并允许所有vlan通过,比如2槽位板卡,开启trunk配置,这里例举2/0/1和2/0/2口要下接接入交换机#interface GigabitEthernet2/0/1port link-type trunkport trunk permit vlan 10 20 30 40 50 80 162 500 1000#interface GigabitEthernet2/0/2port link-type trunkport trunk permit vlan 10 20 30 40 50 80 162 500 10005、查看交换机端口使用情况,可查看端口激活状态up或者DOWN,端口工作速率,端口模式,端口对应的vlan号dis interface briefThe brief information of interface(s) under route mode: Link: ADM - administratively down; Stby - standbyProtocol: (s) - spoofingInterface Link Protocol Main IP DescriptionM-E0/0/0 DOWN DOWN --NULL0 UP UP(s) --Vlan1 UP UP --Vlan10 UP UP 192.168.10.1 POSVlan20 UP UP 192.168.20.1 KELIUVlan30 UP UP 192.168.30.1 MENJINVlan40 UP UP 192.168.40.1 TINGCHECHANGVlan50 UP UP 172.15.0.1 KEYONG-WIFI-IPVlan80 UP UP 192.168.80.1 OFFICE-WIFI-IPVlan162 UP UP 172.30.162.1 OFFICEVlan500 UP UP 192.168.60.1 AP-IPVlan1000 UP UP 172.16.100.1 MANGENT&TO-F100-E-G Vlan1101 UP UP 11.1.1.2 TO-CISCO-11.1.1.1Vlan1102 UP UP 11.1.1.6 TO-CISCO-11.1.1.5The brief information of interface(s) under bridge mode: Link: ADM - administratively down; Stby - standbySpeed or Duplex: (a)/A - auto; H - half; F - fullType: A - access; T - trunk; H - hybridInterface Link Speed Duplex Type PVID DescriptionBAGG1 UP 2G(a) F(a) A 1000 TO-F100-E-GBAGG2 UP 2G(a) F(a) T 1 WLAN-COTROLGE0/0/1 DOWN auto A T 1GE0/0/2 DOWN auto A T 1GE0/0/3 DOWN auto A T 16、查看各个vlan所有在线电脑ip,可通过命令查看在线ip地址-mac地址-学习来源(所接端口),下面列举查看管理vlan 1000网段交换机在线情况,可以看到下列ip的交换机都在正常工作,都在线dis arp vlan 1000Type: S-Static D-Dynamic M-MultiportIP Address MAC Address VLAN ID Interface Aging Type172.16.100.36 5cdd-703f-6e50 1000 GE0/0/13 18 D172.16.100.14 7425-8aef-811a 1000 GE0/0/13 13 D172.16.100.37 e468-a38e-ee5b 1000 GE0/0/14 3 D172.16.100.2 70ba-ef69-4adf 1000 BAGG1 3 D172.16.100.3 70f9-6d0d-e4d6 1000 BAGG2 15 D【H3C核心交换机配置】。
H3C交换机端口安全模式配置
H3C交换机端口安全模式配置H3C交换机端口安全模式配置用户网络访问控制是我们在进行网络管理和网络设备配置时经常要用到一项网络技术应用。
其实在用户的网络访问控制方面,最直接、最简单的方法就是配置基于端口的安全模式,不仅Cisco交换机如此,H3C交换机也有类似的功能,而且看起来功能更加强大。
下面跟yjbys 店铺一起来学习一下H3C以太网交换机端口安全模式配置方法!在H3C以太网交换机上可配置的端口安全模式总体来说是可分为两大类:控制MAC地址学习类和认证类。
控制MAC地址学习类无需对接入用户进行认证,但是可以允许或者禁止自动学习指定用户MAC 地址,也就是允许或者禁止把对应MAC地址添加到本地交换机的MAC地址表中,通过这种方法就可以实现用户网络访问的控制。
认证类则是利用MAC地址认证或IEEE 802.1X认证机制,或者同时结合这两种认证来实现对接入用户的网络访问控制。
配置了安全模式的H3C以太网交换机端口,在收到用户发送数据报文后,首先在本地MAC地址表中查找对应用户的MAC地址。
如果该报文的源MAC地址已经在本地交换机中的MAC地址表中则直接转发该报文,否则根据端口所在安全模式进行相应的处理,并在发现非法报文后触发端口执行相应的安全防护特性。
在H3C以太网交换机中可配置的端口安全模式及各自的工作原理如下。
1. autoLearn模式与secure模式在autoLearn(自动学习)端口安全模式下,可通过手工配置,或动态学习MAC地址,此时得到的MAC地址称为Secure MAC(安全MAC地址)。
在这种模式下,只有源MAC为Secure MAC的报文才能通过该端口;但在端口下的Secure MAC地址表项数超过端口允许学习的最大安全MAC地址数后,该端口也不会再添加新的Secure MAC,并且端口会自动转变为Secure模式。
如果直接将端口安全模式设置为Secure模式,则将立即禁止端口学习新的MAC地址,只有源MAC地址是原来已在交换机上静态配置,或者已动态学习到的MAC地址的报文才能通过该端口转发。
H3C_S3600系列交换机配置
第二十四页,编辑于星期三:一点一分。
STP 的基本原理
STP 采用的协议报文是BPDU(Bridge Protocol Data Unit,桥协议数据单元
),也称为配置消息。
STP 通过在设备之间传递BPDU 来确定网络的拓扑结构。 BPDU 中包含了足够的信息来保证设备完成生成树的计算过程。
在系统视图下键入 interface gigabitethernet 1/1/1
第六页,编辑于星期三:一点一分。
配置系统名
用途
用户名是设备的名字,目的是让用户更加方便 的使用设备. 配置命令
sysname
第七页,编辑于星期三:一点一分。
接口描述
用途 接口描述是为了指明接口的一些属性,如是什么接口,
■ 用途
通过镜像来抓取网络流量,帮助分析网络问题.
■ 配置命令
monitor-port Ethernet 0/1 both (监控端口) mirroring-port Ethernet0/2 both(源端口)
第十二页,编辑于星期三:一点一分。
目录
■ 基本命令 ■ 交换 ■ 网络管理 ■ 安全管理
【举例】 # 将以太网端口Ethernet1/0/1 设置为Trunk 端口。
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C] interface ethernet1/0/1 [H3C-Ethernet1/0/1] port link-type trunk
H3CS3600系列交换机配置
华为交换机安全基线
华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时,需要遵循的一套安
全配置准则和最佳实践,以确保交换机的安全性和可靠性。
以下是
一些常见的华为交换机安全基线配置要点:
1. 管理口安全:禁用默认管理口,为管理口设置强密码,并限制访
问管理口的IP地址范围。
2. 字典攻击防护:启用密码强度检查功能,配置登录失败锁定策略,限制登录尝试次数。
3. AAA认证和授权:使用AAA认证机制,确保用户身份验证的安全性。
采用RBAC角色权限控制,为不同的用户分配不同的权限。
4. SSH安全:优先使用SSH协议进行交换机访问和管理,并配置安全性较高的SSH版本和密码加密算法。
5. 网络访问控制:配置ACL访问控制列表,限制允许通过交换机的IP地址、端口、协议和服务。
6. 网络流量监测和报警:启用网络流量监测功能,及时发现异常流
量和攻击行为,并设置报警机制。
7. 系统日志和审计:启用系统日志功能,记录关键操作和事件,以便后期追踪和审计。
8. 端口安全:为交换机端口绑定MAC地址,限制端口下连接设备的数量,防止非法设备接入网络。
9. VLAN隔离:使用VLAN隔离不同的用户和设备,限制内部访问和互相通信。
10. 升级和补丁管理:及时升级交换机固件到最新版本,安装安全漏洞的补丁,以防止已知的攻击和漏洞利用。
以上只是一些常见的华为交换机安全基线配置要点,具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。
建议在配置安全策略前,参考华为官方文档、安全手册和最佳实践指南,确保正确和合适地配置华为交换机的安全性。
H3C交换机设备安全基线
H3C设备安全配置基线目录第1章概述 (5)1.1目的 (5)1.2适用范围 (5)1.3适用版本 (5)第2章帐号管理、认证授权安全要求 (6)2.1帐号管理 (6)2.1.1用户帐号分配* (6)2.1.2删除无关的帐号* (7)2.2口令 (8)2.2.1静态口令以密文形式存放 (8)2.2.2帐号、口令和授权 (10)2.2.3密码复杂度 (11)2.3授权 (11)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (11)第3章日志安全要求 (13)3.1日志安全 (13)3.1.1启用信息中心 (13)3.1.2开启NTP服务保证记录的时间的准确性 (14)3.1.3远程日志功能* (15)第4章IP协议安全要求 (17)4.1IP协议 (17)4.1.1VRRP认证 (17)4.1.2系统远程服务只允许特定地址访问 (17)4.2功能配置 (18)4.2.1SNMP的Community默认通行字口令强度 (18)4.2.2只与特定主机进行SNMP协议交互 (20)4.2.3配置SNMPV2或以上版本 (21)4.2.4关闭未使用的SNMP协议及未使用write权限 (21)第5章IP协议安全要求 (23)5.1其他安全配置 (23)5.1.1关闭未使用的接口 (23)5.1.2修改设备缺省BANNER语 (24)5.1.3配置定时账户自动登出 (24)5.1.4配置console口密码保护功能 (25)5.1.5端口与实际应用相符 (26)第1章概述1.1目的规范配置H3C路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本comwareV7版本交换机、路由器。
第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-H3C-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
华为设备(交换机)安全配置基线
华为设备(交换机)安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误!未定义书签。
2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
H3C安全配置指导-IP_Source_Guard配置
1.1.3 动态获取绑定表项
动态获取绑定表项是指通过获取其它模块生成的用户信息来生成绑定表项。目前,可为 IP Source Guard 提供表项信息的模块包括 DHCP Snooping、DHCP 中继和 DHCP 服务器模块。 这种动态获取绑定表项的方式,通常适用于局域网络中主机较多,且主机使用 DHCP 动态获取 IP 地址的情况。其原理是每当局域网内的主机通过 DHCP 服务器获取到 IP 地址时,作为 DHCP Snooping 或 DHCP 中继的设备上就会生成一条 DHCP Snooping 表项或 DHCP 中继表项,并相应 地增加一条 IP Source Guard 绑定表项以允许该用户访问网络。如果某个用户私自设置 IP 地址,则 不会触发设备生成相应的 DHCP 表项,IP Source Guard 也不会增加相应的绑定表项,因此该用户 的报文将会被丢弃。
1-1
IP Source Guard 的绑定功能是针对接口的,一个接口配置了绑定功能后,仅对该接口接收的报文 进行限制,其它接口不受影响。
1.1.2 静态配置绑定表项
静态配置绑定表项是指通过命令行手工配置绑定表项,该方式适用于局域网络中主机数较少且主机 使用静态配置 IP 地址的情况,比如在接入某重要服务器的接口上配置绑定表项,仅允许该接口接收 与该服务器通信的报文。
缺省情况下,接口的IPv4端口 绑定功能处于关闭状态
IPv4端口绑定功能可多次配 置,最后一次的配置生效
1.3.2 配置IPv4 静态绑定表项
H3C交换机安全配置基线
H3C交换机安全配置基线 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 ..................................................................................................... 错误!未定义书签。
目的 .......................................................................................................... 错误!未定义书签。
适用范围 .................................................................................................. 错误!未定义书签。
适用版本 .................................................................................................. 错误!未定义书签。
实施 .......................................................................................................... 错误!未定义书签。
例外条款 .................................................................................................. 错误!未定义书签。
第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。
华为交换机安全基线
华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................... 错误!未定义书签。
2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备,保证设备基本安全。
1.2适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本华为交换机、路由器。
第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称:用户帐号分配安全2、安全基线编号:SBL-HUAWEI-02-01-013、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
H3C交换机安全配置基线
H3C交换机安全配置基线备注:1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号 (2)2.1.1配置默认级别* (2)2.2口令 (3)2.2.1密码认证登录 (3)2.2.2设置访问级密码 (4)2.2.3加密口令 (4)第3章日志安全要求 (6)3.1日志安全 (6)3.1.1配置远程日志服务器 (6)第4章IP协议安全要求 (7)4.1IP协议 (7)4.1.1使用SSH加密管理 (7)4.1.2系统远程管理服务只允许特定地址访问 (7)第5章SNMP安全要求 (9)5.1SNMP安全 (9)5.1.1修改SNMP默认通行字 (9)5.1.2使用SNMPV2或以上版本 (9)5.1.3SNMP访问控制 (10)第6章其他安全要求 (12)6.1其他安全配置 (12)6.1.1关闭未使用的端口 (12)6.1.2帐号登录超时 (12)6.1.3关闭不需要的服务* (13)第7章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行H3C交换机的安全配置。
1.2 适用范围本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3 适用版本H3C交换机。
1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号2.1.1配置默认级别*2.2 口令2.2.1密码认证登录2.2.2设置访问级密码2.2.3加密口令第3章日志安全要求3.1 日志安全3.1.1配置远程日志服务器第4章IP协议安全要求4.1 IP协议4.1.1使用SSH加密管理4.1.2系统远程管理服务只允许特定地址访问第5章SNMP安全要求5.1 SNMP安全5.1.1修改SNMP默认通行字5.1.2使用SNMPV2或以上版本5.1.3SNMP访问控制第6章其他安全要求6.1 其他安全配置6.1.1关闭未使用的端口6.1.2帐号登录超时6.1.3关闭不需要的服务*第7章评审与修订。
H3CS5120-LI系列以太网交换机配置教程
H3C S5120-LI系列以太网交换机配置教程交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能。
本文下面带来了部分H3C S5120-LI系列以太网交换机配置指导,有需要的朋友可以参考下,希望对大家有帮助具体步骤配置通过HTTP方式登录设备操作命令说明进入系统视图system-view-启动HTTP服务器ip http enable必选缺省情况下,Web服务器为启动状态配置HTTP服务的端口号ip http port port-number可选缺省情况下,HTTP服务的端口号为80如果重复执行此命令,HTTP服务将使用最后一次配置的端口号配置HTTP服务与ACL关联ip http acl acl-number可选缺省情况下,没有ACL与HTTP服务关联通过将HTTP服务与ACL关联,可以过滤掉来自某些客户端的请求,只允许通过ACL过滤的客户端访问设备创建本地用户(进入本地用户视图)local-user user-name必选缺省情况下,无本地用户配置本地认证口令password { cipher | simple }password必选缺省情况下,无本地认证口令配置Web登录的用户级别authorization-attribute level level必选缺省情况下,没有配置Web登录的用户级别配置Web登录用户的服务类型service-type telnet必选缺省情况下,没有配置用户的服务类型退出至系统视图quit-创建VLAN接口并进入VLAN接口视图interface vlan-interface vlan-interface-id必选如果该VLAN接口已经存在,则直接进入该VLAN接口视图配置VLAN接口的IP地址ip address ip-address { mask | mask-length }必选缺省情况下,没有配置VLAN接口的IP地址配置通过HTTPS方式登录设备操作命令说明进入系统视图system-view-配置HTTPS服务与SSL服务器端策略关联ip https ssl-server-policy policy-name必选缺省情况下,没有SSL服务器端策略与HTTPS服务关联l 关闭HTTPS服务后,系统将自动取消HTTPS服务与SSL服务器端策略的关联。
h3c交换机配置教程【图文】
h3c交换机配置教程【图文】精品文档h3c交换机配置教程【图文】其实不同厂家型号的交换机设置都是差不多的,只是不同厂家的交换机设置的命令是不同的!但只要我们知道一种交换机的设置并找一下相关的资料,就很容易设置好不同的交换机!下面学优网为大家整理了关于h3c交换机配置教程【图文】,希望对你有所帮助。
比方说,你们公司新增加了办公室,网络端口不够用了,你们IT主管让你加一个交换机到机房并设置好。
首先的条件是你公司的网络有vlan的划分(在核心交换机上),比如说vlan ,vlan,vlan4等!那么我们怎么来设置好一个交换机呢?大家可能会想到很多,觉得交换机很难设置,其实只要我们在设置之前想好要做哪些事情,它还是很容易的!我们一般要设置的有: 交换机的名称、管理ip地址(这个也可以不设置的)、登陆的用户和密码以及划分合适的vlan 等。
至于其它的很多功能设置我们一般是不需要改,如果要真的改,那就拿出说明书吧!好了,先给大家看看H3C交换机的登陆界面。
大家看到的上面这个界面就是登陆后出现的,看没看到这个提示,表于你已经进入了交换机的用户操作界面,交换机的名称是 H3C ,这是它给我们的信息。
下面我们看一1 / 5精品文档下在这个用户操作介面下都可以执行哪些命令,输入一个问号得到帮助(很多东西我们都不需要记住的,只要输入”?”问号帮助命令,它就会提示你怎么操做了!),如下图所示。
在用户操作模式下显示的这些命令都是很简单的,也没有什么特别的说明,因为如果要改变交换机的设置,需要进入交换机的系统模式,输入system-view 就可以进入系统修改模式了,如下图所示!看一下系统模式下的命令都有哪些:还真是很多呀!看到这么多命令各位的脑袋是不是又大起来了,没关系的,别紧张,想一想我们们应该完成的任务吧,其实用不到那么多命令的!用sysname 命令设置交换机的名称,如下图:2 / 5精品文档接下来设置管理vlan和管理ip , 管理vlan和管理ip大家可能不明白是什么意思! 每个交换机默认都是有一个vlan 1存在的,在H3C交换机里,这个vlan 1默认就是管理vlan, 管理ip就是用来远程管理这个交换机的ip地址 ,管理ip要设置在管理vlan上,如果我们公司核心交换机上没有设置vlan 1 ,也就是说vlan 1是没有ip地址定义的,那么我们就要设置其它的vlan为管理vlan,这样才能设置ip 地址,才能远程管理交换机!一个交换机里只能有一个管理vlan存在,所以我们要先删除原来的管理vlan , 设置新的管理vlan , 命令如下: 删除原来的管理vlan , 用undo 命令(undo 是取消设置的命令)。
H3CNE交换机端口安全配置(802.1x 端口隔离 端口绑定) 交换机-端口绑定与端口安全
H3C端口绑定与端口安全端口安全:1.启用端口安全功能[H3C]port-security enable2.配置端口允许接入的最大MAC地址数[H3C-Ethernet1/0/3]port-security max-mac-count count-value缺省情况下,最大数不受限制为03.配置端口安全模式[H3C-Ethernet1/0/3]port-security port-mode { autolearn |noRestriction… }4.手动添加Secure MAC地址表项[H3C-Ethernet1/0/3] mac-address security mac-address vlan vlan-id5.配置Intrusion Protection(Intrusion Protection被触发后,设置交换机采取的动作)[H3C-Ethernet1/0/3]port-security intrusion-mode { blockmac | disableport | disableport -temporarily }验证命令:display port-security [ interface interface-list ] 显示端口安全配置的相关信息display mac-address security [ interface interface-type interface-number ] [ vlan vlan-id ]显示Secure MAC地址的配置信息端口+IP+MAC绑定方法一:[H3C]am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106 interface Ethernet 1/0/3方法二:[H3C-Ethernet1/0/3] am user-bind mac-addr B888-E37B-CE2C ip-addr 192.168.1.106验证命令:[H3C]display am user-bind 显示端口绑定的配置信息端口+IP绑定[H3C-Ethernet1/0/3] am user-bind ip-addr 192.168.1.106注:交换机只要接收一个3层表项,交换机使用动态ARP产生一条arp条目。
H3C s2108交换机配置方式
【技术】网络交换机配置技巧全攻略交换机的配置一直以来是非常神秘的,不仅对于一般用户,对于绝大多数网管人员来说也是如此,同时也是作为网管水平高低衡量的一个重要而又基本的标志。
这主要在两个原因,一是绝大多数企业所配置的交换机都是桌面非网管型交换机,根本不需任何配置,纯属“傻瓜”型,与集线器一样,接上电源,插好网线就可以正常工作;另一方面多数中、小企业老总对自己的网管员不是很放心,所以即使购买的交换机是网管型的,也不让自己的网管人员来配置,而是请厂商工程师或者其它专业人员来配置,所以这些中、小企业网管员也就很难有机会真正自己动手来配置一台交换机。
交换机的详细配置过程比较复杂,而且具体的配置方法会因不同品牌、不同系列的交换机而有所不同,本文教给大家的只是通用配置方法,有了这些通用配置方法,我们就能举一反三,融会贯通。
通常网管型交换机可以通过两种方法进行配置:一种就是本地配置;另一种就是远程网络配置两种方式,但是要注意后一种配置方法只有在前一种配置成功后才可进行,下面分别讲述。
一、本地配置方式本地配置我们首先要遇到的是它的物理连接方式,然后还需要面对软件配置,在软件配置方面我们主要以最常见的思科的“Catalyst 1900”交换机为例来讲述。
因为要进行交换机的本地配置就要涉及到硬、软件的连接了,所以下面我们分这两步来说明配置的基本连接过程。
1.物理连接因为笔记本电脑的便携性能,所以配置交换机通常是采用笔记本电脑进行,在实在无笔记本的情况下,当然也可以采用台式机,但移动起来麻烦些。
交换机的本地配置方式是通过计算机与交换机的“Console”端口直接连接的方式进行通信的,它的连接图如图1所示。
图1可进行网络管理的交换机上一般都有一个“Console”端口(这个在前面介绍集线器时已作介绍,交换机也一样),它是专门用于对交换机进行配置和管理的。
通过Console端口连接并配置交换机,是配置和管理交换机必须经过的步骤。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C交换机安全配置基线(Version 1.0)
2012年12月
目录
1 引言 (1)
2 适用范围 (1)
3 缩略语 (1)
4 安全基线要求项命名规则 (2)
5 文档使用说明 (2)
6 注意事项 (3)
7 安全配置要求 (3)
7.1 账号管理 (3)
7.1.1 运维账号共享管理 (3)
7.1.2 删除与工作无关账号 (3)
7.2 口令管理 (4)
7.2.1 静态口令加密 (4)
7.2.2 静态口令运维管理 (4)
7.3 认证管理 (5)
7.3.1 RADIUS认证(可选) (5)
7.4 日志审计 (6)
7.4.1 RADIUS记账(可选) (6)
7.4.2 启用信息中心 (6)
7.4.3 远程日志功能 (7)
7.4.4 日志记录时间准确性 (7)
7.5 协议安全 (7)
7.5.1 BPDU防护 (8)
7.5.2 根防护 (8)
7.5.3 VRRP认证 (8)
7.6 网络管理 (9)
7.6.1 SNMP协议版本 (9)
7.6.2 修改SNMP默认密码 (9)
7.6.3 SNMP通信安全(可选) (10)
7.7 设备管理 (10)
7.7.1 交换机带内管理方式 (10)
7.7.2 交换机带内管理通信 (11)
7.7.3 交换机带内管理超时 (11)
7.7.4 交换机带内管理验证 (12)
7.7.5 交换机带内管理用户级别 (12)
7.7.6 交换机带外管理超时 (13)
7.7.7 交换机带外管理验证 (13)
7.8 端口安全 (13)
7.8.1 使能端口安全 (13)
7.8.2 端口MAC地址数 (14)
7.8.3 交换机VLAN划分 (14)
7.9 其它 (15)
7.9.1 交换机登录BANNER管理 (15)
7.9.2 交换机空闲端口管理 (15)
7.9.3 禁用版权信息显示 (16)
附录A 安全基线配置项应用统计表 (17)
附录B 安全基线配置项应用问题记录表 (19)
附录C 中国石油NTP服务器列表 (20)
1 引言
本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。
本文档旨在对信息系统的安全配置审计、加固操作起到指导性作用。
本文档主要起草人:靖小伟、杨志贤、张志伟、滕征岑、裴志宏、刘磊、叶铭、王勇、吴强。
2 适用范围
本文档适用于中国石油使用的H3C系列交换机,明确了H3C系列交换机在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。
3 缩略语
4 安全基线要求项命名规则
安全基线要求项是安全基线的最小单位,每一个安全基线要求项对应一个基本的可执行的安全规范明细,安全基线要求项命名规则为“安全基线–一级分类–二级分类–类型编号–明细编号”,如SBL-Switch-H3C-01-01,代表“安全基线–交换机– H3C –账号类–运维账号共享管理“。
5 文档使用说明
1> 随着信息技术发展,路由器与交换机在功能上逐渐融合,具有共同点,部分路由器上配有交换板卡,可以实现服务器与终端计算机接入;部分交换机配有路由引擎,可以实现路由功能。
虽然两者具有一定共同点,但从路由器与交换机在生产环境中的应用定位出发,本系列文档分为路由器安全基线(侧重于路由协议等)和交换机安全基线(侧重于局域网交换与端口安全等)。
2> H3C交换机可以通过命令行、Web、NMS等多种方式管理,本文档中涉及的操作,均在命令行下完成。
3> 命令行中需要用户定义的名称与数值,文档中均以<>标出,用户根据需要自行定义。
例如local-user <name1>,表示创建账号名称为name1的本地用户,password cipher < password1>,表示本地用户name1的密码为passowrd1。
4> 由于各信息系统对于H3C系列交换机的要求不尽相同,因此对于第7章安全配置要求中的安全基线要求项,各信息系统根据实际情况选择性进行配置,并填写附录A《安全基线配置项应用统计表》。
5> 在第7章安全配置要求中,部分安全基线要求项提供了阈值,如“交换机带内管理设置登录超时,超时时间不宜设置过长,参考值为5分钟。
”,此阈值为参考值,通过借鉴GCC、中国石油企标、国内外大型企业信息安全最佳实践等资料得出。
各信息系统如因业
务需求无法应用此阈值,在附录A《安全基线配置项应用统计表》的备注项进行说明。
6 注意事项
由于H3C系列交换机普遍应用于重要生产环境,对于本文档中安全基线要求项,实施前需要在测试环境进行验证后应用。
在应用安全基线配置项的过程中,如遇到技术性问题,填写附录B《安全基线配置项应用问题记录表》。
在应用安全基线配置前需要备份交换机的配置文件,以便出现故障时进行回退。
7 安全配置要求
7.1 账号管理
7.1.1 运维账号共享管理
7.1.2 删除与工作无关账号
7.2 口令管理
7.2.1 静态口令加密
7.2.2 静态口令运维管理
7.3 认证管理
7.3.1 RADIUS认证(可选)
7.4 日志审计
7.4.1 RADIUS记账(可选)
7.4.2 启用信息中心
7.4.3 远程日志功能
7.4.4 日志记录时间准确性
7.5 协议安全
7.5.1 BPDU防护
7.5.2 根防护
7.5.3 VRRP认证
7.6 网络管理
7.6.1 SNMP协议版本
7.6.2 修改SNMP默认密码
7.6.3 SNMP 通信安全(可选)
7.7 设备管理
7.7.1 交换机带内管理方式
7.7.2 交换机带内管理通信
7.7.3 交换机带内管理超时
7.7.4 交换机带内管理验证
7.7.5 交换机带内管理用户级别
7.7.6 交换机带外管理超时
7.7.7 交换机带外管理验证
7.8 端口安全
7.8.1 使能端口安全
7.8.2 端口MAC地址数
7.8.3 交换机VLAN划分
7.9 其它
7.9.1 交换机登录BANNER管理
7.9.2 交换机空闲端口管理
7.9.3 禁用版权信息显示
附录A 安全基线配置项应用统计表
附录B 安全基线配置项应用问题记录表
附录C 中国石油NTP服务器列表。