华为交换机安全配置基线

华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

9端口安全配置关于本章9.1 简介介绍端口安全的定义和目的。

9.2 原理描述通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作，说明端口安全的实现原理。

9.3 应用场景介绍端口安全常见的应用场景。

9.4 配置注意事项介绍端口安全的配置注意事项。

9.5 缺省配置介绍端口安全的缺省配置。

9.6 配置端口安全端口安全（Port Security）功能将设备接口学习到的MAC地址变为安全MAC地址（包括安全动态MAC和Sticky MAC），可以阻止除安全MAC和静态MAC之外的主机通过本接口和交换机通信，从而增强设备安全性。

9.7 配置举例结合组网需求、配置思路来了解实际网络中端口安全的应用场景，并提供配置文件。

9.1 简介介绍端口安全的定义和目的。

端口安全（Port Security）通过将接口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC和Sticky MAC），阻止非法用户通过本接口和交换机通信，从而增强设备的安全性。

9.2 原理描述通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作，说明端口安全的实现原理。

安全MAC地址的分类安全MAC地址分为：安全动态MAC与Sticky MAC。

表9-1安全MAC地址的说明l接口使能端口安全功能时，接口上之前学习到的动态MAC地址表项将被删除，之后学习到的MAC地址将变为安全动态MAC地址。

l接口使能Sticky MAC功能时，接口上的安全动态MAC地址表项将转化为Sticky MAC地址，之后学习到的MAC地址也变为Sticky MAC地址。

l接口去使能端口安全功能时，接口上的安全动态MAC地址将被删除，重新学习动态MAC地址。

l接口去使能Sticky MAC功能时，接口上的Sticky MAC地址，会转换为安全动态MAC地址。

超过安全MAC地址限制数后的动作接口上安全MAC地址数达到限制后，如果收到源MAC地址不存在的报文，端口安全则认为有非法用户攻击，就会根据配置的动作对接口做保护处理。

S2720, S5700, S6720 系列以太网交换机V200R013C00配置指南-基础配置文档版本04发布日期2019-03-27版权所有 © 华为技术有限公司 2019。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：前言读者对象本文档适用于负责配置和管理交换机的网络工程师。

您应该熟悉以太网基础知识，且具有丰富的网络部署与管理经验。

符号约定在本文中可能出现下列标志，它们所代表的含义如下。

命令行格式约定在本文中可能出现下列命令行格式，它们所代表的含义如下。

接口编号约定本手册中出现的接口编号仅作示例，并不代表设备上实际具有此编号的接口，实际使用中请以设备上存在的接口编号为准。

安全约定l密码配置约定–配置密码时请尽量选择密文模式(cipher)。

为充分保证设备安全，请用户不要关闭密码复杂度检查功能，并定期修改密码。

–配置明文模式的密码时，请不要以“%^%#......%^%#”、“%#%#......%#%#”、“%@%@......%@%@”或者“@%@%.....@%@%”作为起始和结束符。

因为用这些字符为起始和结束符的是合法密文（本设备可以解密的密文），配置文件会显示与用户配置相同的明文密码。

华为交换机安全基线
华为交换机安全基线是指在使用华为交换机时，需要遵循的一套安
全配置准则和最佳实践，以确保交换机的安全性和可靠性。

以下是
一些常见的华为交换机安全基线配置要点：
1. 管理口安全：禁用默认管理口，为管理口设置强密码，并限制访
问管理口的IP地址范围。

2. 字典攻击防护：启用密码强度检查功能，配置登录失败锁定策略，限制登录尝试次数。

3. AAA认证和授权：使用AAA认证机制，确保用户身份验证的安全性。

采用RBAC角色权限控制，为不同的用户分配不同的权限。

4. SSH安全：优先使用SSH协议进行交换机访问和管理，并配置安全性较高的SSH版本和密码加密算法。

5. 网络访问控制：配置ACL访问控制列表，限制允许通过交换机的IP地址、端口、协议和服务。

6. 网络流量监测和报警：启用网络流量监测功能，及时发现异常流
量和攻击行为，并设置报警机制。

7. 系统日志和审计：启用系统日志功能，记录关键操作和事件，以便后期追踪和审计。

8. 端口安全：为交换机端口绑定MAC地址，限制端口下连接设备的数量，防止非法设备接入网络。

9. VLAN隔离：使用VLAN隔离不同的用户和设备，限制内部访问和互相通信。

10. 升级和补丁管理：及时升级交换机固件到最新版本，安装安全漏洞的补丁，以防止已知的攻击和漏洞利用。

以上只是一些常见的华为交换机安全基线配置要点，具体安全配置还需根据实际的网络环境和安全需求来进行定制化配置。

建议在配置安全策略前，参考华为官方文档、安全手册和最佳实践指南，确保正确和合适地配置华为交换机的安全性。

华为交换机基本配置命令详解华为交换机基本配置命令详解1、配置文件相关命令[Quidway]display current-configuration 显示当前生效的配置[Quidway]display saved-configuration 显示flash中配置文件，即下次上电启动时所用的配置文件reset saved-configuration 檫除旧的配置文件reboot 交换机重启display version 显示系统版本信息2、基本配置[Quidway]super password 修改特权用户密码[Quidway]sysname 交换机命名[Quidway]interface ethernet 1/0/1 进入接口视图[Quidway]interface vlan 1进入接口视图[Quidway-Vlan-interfacex]ip address 10.1.1.11 255.255.0.0 配置VLAN的IP 地址[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.1.1.1静态路由＝网关3、telnet配置[Quidway]user-interface vty 0 4 进入虚拟终端[S3026-ui-vty0-4]authentication-mode password 设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple xmws123 设置口令[S3026-ui-vty0-4]user privilege level 3 用户级别4、端口配置[Quidway-Ethernet1/0/1]duplex {half|full|auto} 配置端口工作状态[Quidway-Ethernet1/0/1]speed {10|100|auto} 配置端口工作速率[Quidway-Ethernet1/0/1]flow-control 配置端口流控[Quidway-Ethernet1/0/1]mdi {across|auto|normal} 配置端口平接扭接[Quidway-Ethernet1/0/1]port link-type {trunk|access|hybrid} 设置端口工作模式[Quidway-Ethernet1/0/1]undo shutdown 激活端口[Quidway-Ethernet1/0/2]quit 退出系统视图5、链路聚合配置[DeviceA] link-aggregation group 1 mode manual 创建手工聚合组1 [Qw_A] interface ethernet 1/0/1 将以太网端口Ethernet1/0/1加入聚合组1[Qw_A-Ethernet1/0/1] port link-aggregation group 1[Qw_A-Ethernet1/0/1] interface ethernet 1/0/2 将以太网端口Ethernet1/0/1加入聚合组1[Qw_A-Ethernet1/0/2] port link-aggregation group 1[Qw_A] link-aggregation group 1 service-type tunnel # 在手工聚合组的基础上创建t unnel业务环回组。

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

For personal use only in study and research; not for commercial use华为交换机基本配置命令一、单交换机VLAN划分命令命令解释system 进入系统视图system-view 进入系统视图quit 退到系统视图undo vlan 20 删除vlan 20sysname 交换机命名disp vlan 显示vlanvlan 20 创建vlan(也可进入vlan 20)port e1/0/1 to e1/0/5 把端口1-5放入VLAN 20 中5700系列单个端口放入VLAN●[Huawei]int g0/0/1● [Huawei]port link-type access（注：接口类型access，hybrid、trunk）● [Huawei]port default vlan 10批量端口放入VLAN●[Huawei]port-group 1●[Huawei-port-group-1]group-member ethernet G0/0/1 to ethernet G0/0/20 ●[Huawei-port-group-1]port hybrid untagged vlan 3删除group（组） vlan 200内的15端口●[Huawei]int g0/0/15●[Huawei-GigabitEthernet0/0/15]undo port hybrid untagged vlan 200通过group端口限速设置●[Huawei]Port-group 2●[Huawei]group-member g0/0/2 to g0/0/23●[Huawei]qos lr outbound cir 2000 cbs 20000disp vlan 20 显示vlan里的端口20int e1/0/24 进入端口24undo port e1/0/10 表示删除当前VLAN端口10disp curr 显示当前配置●return返回●Save 保存●info-center source DS channel 0 log state off trap state off 通过关闭日志信息命令改变DS模块来实现（关闭配置后的确认信息显示）●info-center source DS channel 0 log state on trap state on 通过打开日志信息命令改变DS模块来实现（打开配置后的确认信息显示）二、配置交换机支持TELNEsystem 进入系统视图sysname 交换机命名int vlan 1 进入VLAN 1ip address 192.168.3.100 255.255.255.0 配置IP地址user-int vty 0 4 进入虚拟终端authentication-mode password (aut password) 设置口令模式set authentication password simple 222 (set aut pass sim 222) 设置口令user privilege level 3(use priv lev 3) 配置用户级别disp current-configuration （disp cur) 查看当前配置disp ip int 查看交换机VLAN IP配置删除配置必须退到用户模式reset saved-configuration(reset saved) 删除配置Reboot 重启交换机三、跨交换机VLAN的通讯在sw1上：vlan 10 建立VLAN 10int e1/0/5 进入端口5port access vlan 10 把端口5加入vlan 10vlan 20 建立VLAN 20int e1/0/15 进入端口15port access vlan 20 把端口15加入VLAN 20int e1/0/24 进入端口24port link-type trunk 把24端口设为TRUNK端口port trunk permit vlan all 同上在SW2上:vlan 10 建立VLAN 10int e1/0/20 进入端口20port access vlan 10 把端口20放入VLAN 10int e1/0/24 进入端口24port link-type trunk 把24端口设为TRUNK端口port trunk permit vlan all (port trunk permit vlan 10 只能为vlan 10使用)24端口为所有VLAN使用disp int e1/0/24 查看端口24是否为TRUNKundo port trunk permit vlan all 删除该句四、路由的配置命令system 进入系统模式sysname 命名int e1/0 进入端口ip address 192.168.3.100 255.255.255.0 设置IPundo shutdown 打开端口disp ip int e1/0 查看IP接口情况disp ip int brief 查看IP接口情况user-int vty 0 4 进入口令模式authentication-mode password(auth pass) 进入口令模式set authentication password simple 222 37 设置口令user privilege level 3 进入3级特权save 保存配置reset saved-configuration 删除配置（用户模式下运行）undo shutdown 配置远程登陆密码int e1/4ip route 192.168.3.0(目标网段）255.255.255.0 192.168.12.1（下一跳：下一路由器的接口）静态路由ip route 0.0.0.0 0.0.0.0 192.168.12.1 默认路由disp ip rout 显示路由列表华3C AR-18E1/0（lan1-lan4)E2/0(wan0)E3/0(WAN1)路由器连接使用直通线。

Huawei防火墙安全配置基线XXXXXX备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................... 错误!未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

2009-07-24发布2009-07-24实施中国联通公司发布目录前言 (II)1 范围 (1)2 定义与缩略语 (1)2.1 定义 (1)2.2 缩略语 (1)3 安全配置要求 (1)3.1 password的加密 (1)3.2 Super 密码的使用 (1)3.3 用户口令设置 (2)3.4 用户权限设置 (2)3.5 VTY的数量限制 (2)3.6 VTY的访问限制 (2)3.7 禁用Telnet方式访问系统 (3)3.8 SSH的使用 (3)3.9 SNMP服务设置 (3)3.10 SNMP服务的共同体字符串设置 (4)3.11 SNMP服务的访问控制设置 (4)3.12 登录超时设置 (4)3.13 禁用不使用的端口 (4)3.14 禁用AUX端口 (5)3.15 禁用FTP服务 (5)3.16 启用STP服务 (5)3.17 启用OSPF (5)3.18 交换机802.1X认证配置 (6)3.19 日志审计 (6)4 审批与修订 (6)前言为确保中国联通信息系统的网络支撑和内网信息安全，指导各省级分公司做好华为路由交换系统的安全维护相关工作，在研究国际先进企业最佳实践的基础上，结合中国联通内网信息安全现状和实际需求，特制定本配置指南。

本文档为首次发布，其他相关要求将根据需要陆续发布。

本文档由中国联合网络通信有限公司管理信息系统部提出并归口管理。

本文档起草单位：中国联合网络通信有限公司、系统集成公司。

本文档主要起草人：李爽，冯磊。

本文档解释单位：中国联合网络通信有限公司管理信息系统部。

1范围本文档规定了中国联通范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。

本指南适用于中国联通华为路由交换系统，适用版本：华为路由交换本指南适用于中国联通集团总部、各直属单位、各省级分公司。

2定义与缩略语2.1定义下列定义适用于本文档：路由器：是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。

H3C交换机安全配置基线备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号 (2)2.1.1配置默认级别* (2)2.2口令 (3)2.2.1密码认证登录 (3)2.2.2设置访问级密码 (4)2.2.3加密口令 (4)第3章日志安全要求 (6)3.1日志安全 (6)3.1.1配置远程日志服务器 (6)第4章IP协议安全要求 (7)4.1IP协议 (7)4.1.1使用SSH加密管理 (7)4.1.2系统远程管理服务只允许特定地址访问 (7)第5章SNMP安全要求 (9)5.1SNMP安全 (9)5.1.1修改SNMP默认通行字 (9)5.1.2使用SNMPV2或以上版本 (9)5.1.3SNMP访问控制 (10)第6章其他安全要求 (12)6.1其他安全配置 (12)6.1.1关闭未使用的端口 (12)6.1.2帐号登录超时 (12)6.1.3关闭不需要的服务* (13)第7章评审与修订 (15)第1章概述1.1 目的本文档旨在指导系统管理人员进行H3C交换机的安全配置。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本H3C交换机。

1.4 实施1.5 例外条款第2章帐号管理、认证授权安全要求2.1 帐号2.1.1配置默认级别*2.2 口令2.2.1密码认证登录2.2.2设置访问级密码2.2.3加密口令第3章日志安全要求3.1 日志安全3.1.1配置远程日志服务器第4章IP协议安全要求4.1 IP协议4.1.1使用SSH加密管理4.1.2系统远程管理服务只允许特定地址访问第5章SNMP安全要求5.1 SNMP安全5.1.1修改SNMP默认通行字5.1.2使用SNMPV2或以上版本5.1.3SNMP访问控制第6章其他安全要求6.1 其他安全配置6.1.1关闭未使用的端口6.1.2帐号登录超时6.1.3关闭不需要的服务*第7章评审与修订。

一、拿到一台新的华为设备，我们首先要进行本地配置，比如配置密码，开启远程控制，配置用户设置权限等。

系统默认是没有开启telnet远程的，很多配置是需要我们在本地配置中开启的。

下面我们讲解华为设备的安全登录设置。

注：我们使用的是华为ensp模拟器进行讲解。

1.1、不同网络设备的需求和工作模式互不相同，其具体配置方法也会有较大的不同。

但所有的交换机/路由器都有一些共同的部分，可以把这些部分作为基本的模板用于最初的配置。

配置图如下：1、在路由器AR1设置本地登录用户视图(console端口)登录密码<Huawei>system-view //进入系统视图[Huawei]user-interface console 0//进入用户视图[Huawei-ui-console0]authentication-mode password //配置用户视图密码，最长16位Please configure the login password (maximum length 16):wltx //输入密码wltx[Huawei-ui-console0]set authentication password cipher 123 //修改用户视图验证密码，可跟56位密文[Huawei-ui-console0]return //回到用户视图，如前面的是<Huawei>，说明回到了用户视图。

<Huawei>save//保存配置The current configuration will be written to the device.Are you sure to continue? (y/n)[n]:y //按y确认保存<Huawei>quit //退出Configuration console exit please press any key to log onLogin authenticationPassword: //再次登录用户视图需要输入密码此时登录则需要输入密码才能进入用户视图，如果要取消安全认证，则执行以下命令。

7 IPv6基础配置关于本章IPv6协议栈是IPv6网络中路由协议和应用协议的支撑。

7.1 IPv6概述IPv6是网络层协议的第二代标准协议，也被称为IPng（IP Next Generation），它是Internet工程任务组（IETF）设计的一套规范。

7.2 设备支持的IPv6特性IPv6基本功能包括IPv6地址配置、ICMPv6差错报文控制、IPv6邻居发现、PMTU、TCP6。

7.3 缺省配置介绍IPv6的缺省配置。

7.4 配置接口的IPv6地址为网络设备配置IPv6地址，使该设备可以与网络上其他设备进行通信。

7.5 配置ICMPv6差错报文控制配置ICMPv6差错报文控制可以减少网络流量、防止遭到恶意攻击。

7.6 配置IPv6邻居发现IPv6邻居发现ND（Neighbor Discovery）是IPv6协议的一个基本的组成部分。

邻居发现协议代替了IPv4中的ARP协议和ICMP路由设备发现消息，另外IPv6邻居发现还实现了重定向协议的所有功能，并具有邻居不可达检测机制。

7.7 配置PMTU当设备作为源节点向目的节点发送IPv6报文时，通过PMTU指导报文分片，中间设备不需要分片，以减轻中间设备的工作压力，有效利用网络资源并得到最佳的吞吐量。

7.8 配置TCP6通过对TCP6报文的相关设置，可以提高网络的性能。

7.9 维护维护包括清除IPv6运行信息和监控IPv6运行状况。

7.10 配置举例配置示例中包括组网需求、配置思路等。

7.1 IPv6概述IPv6是网络层协议的第二代标准协议，也被称为IPng（IP Next Generation），它是Internet工程任务组（IETF）设计的一套规范。

IPv4协议是目前广泛部署的因特网协议。

在因特网发展初期，IPv4以其协议简单、易于实现、互操作性好的优势而得到快速发展。

然而，随着因特网的迅猛发展，IPv4设计的不足也日益明显，主要有:●地址空间不足：IPv4地址已经消耗殆尽，其主要解决方法（如CIDR，NAT）同样存在种种问题。

华为设备安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1用户帐号分配* (5)2.1.2删除无关的帐号* (6)2.2口令 (7)2.2.1静态口令以密文形式存放 (7)2.2.2帐号、口令和授权 ................................................................ 错误！未定义书签。

2.2.3密码复杂度 (8)2.3授权 (8)2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1启用信息中心 (10)3.1.2开启NTP服务保证记录的时间的准确性 (11)3.1.3远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1VRRP认证 (13)4.1.2系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1SNMP的Community默认通行字口令强度 (15)4.2.2只与特定主机进行SNMP协议交互 (16)4.2.3配置SNMPV2或以上版本 (17)4.2.4关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1关闭未使用的接口 (19)5.1.2修改设备缺省BANNER语 (20)5.1.3配置定时账户自动登出 (20)5.1.4配置console口密码保护功能 (21)5.1.5端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

南京师范大学随园校区3、4、5舍布线安装工程项目招标公告南京师范大学因教学科研的需要，对随园校区3、4、5舍布线安装工程项目进行邀请招标采购，现欢迎符合相关条件的合格投标人投标。

一、招标项目名称随园校区3、4、5舍布线安装工程项目二、项目编号：15010四、招标文件发布信息招标文件发布时间：自招标公告在“南京师范大学主页招标信息”发布之日起至投标截止时间止。

招标文件在“南京师范大学主页招标信息”上免费下载。

有关本次招标的事项若存在变动或修改，敬请及时关注“南京师范大学主页招标信息”发布的信息更正公告。

五、投标文件接收信息投标文件接收时间：2015年3月20 日上午9：15-9：30投标文件接收截止时间：2015年3月20日上午9：30投标文件接收地点：南师大仙林校区（南京市文苑路1号）厚生楼514室招标办投标文件接收人：任霞马志良。

六、开标有关信息开标时间： 2015年3月20日上午10：00开标地点：南师大仙林校区（南京市文苑路1号）厚生楼五楼会议室七、本次招标联系事项采购人：南京师范大学联系人：任霞马志良咨询电话：、网址：/purchase/八、投标文件制作份数要求：正本份数：壹份，副本份数：肆份九、本次招标投标保证金本次招标不收取投标保证金。

南京师范大学招投标管理办公室2015年3月1日南师大随园校区3、4、5舍学生公寓布线安装工程项目招标文件项目编号15010一、概述：1、工程名称：南师大随园校区3、4、5舍布线安装工程项目2、施工地点：南师大随园校区3、4、5舍；3、施工内容：详见附件一的工程量清单及要求；4、承包方式：包工包料；5、质量要求：按国家现行施工规范施工，达到合格标准。

工程所需主要材料须选用知名品牌合格产品，并符合国家环保要求；6、工期要求：承诺的最短工期(日历天数)；7、质量保证期：自工程竣工验收合格之日起至少三年（线材要求质保20年，需附原厂授权及保证）。

二、投标单位要求：1、具有独立法人资质；2、具有电子工程或智能化安装工程三级或三级以上资质；项目经理具有二级建造师或以上资质；3、具有有效期内的安全施工许可证，若在施工期内发生安全问题，由中标单位承担；4、具有相关的工程业绩及良好信誉。

华为交换机安全加固配置适用6506-7806SNMP安全（SNMP communitySNMP ACL：严格限制对设备SNMP进程访问的源IP地址，目前应该只允许网络管理地址段对设备的SNMP进程进行访问。

）acl number 2001 match-order autorule 0 permit source 61.139.59.4 0rule 1 permit source 61.139.59.5 0rule 2 permit source 61.139.59.92 0quitsnmp-agent community read gasj acl 2001display current-configuration configuration acl-basic （查看）远程终端访问安全acl number 2000 match-order auto rule 5 permit source 61.139.59.0 0.0.0.255rule 10 permit source 61.157.237.0 0.0.0.255rule 15 permit source 61.157.235.0 0.0.0.255rule 20 permit source 125.66.18.0 0.0.0.255rule 25 permit source 222.214.70.0 0.0.0.255rule 30 permit source 222.215.0.0 0.0.0.255rule 35 permit source 61.157.236.0 0.0.0.255rule 40 permit source 61.139.14.245 0rule 45 permit source 61.139.29.102 0rule 50 permit source 221.237.191.67 0rule 55 permit source 221.237.191.72 0rule 60 permit source 222.213.4.10 0rule 65 permit source 222.213.4.11 0quituser-interface vty 0 4acl 2000 inbounddisplay cur conf user-interface（查看）SNMP设置snmp-agentsnmp-agent local-engineid 800007DB000FE2395BB06877snmp-agent community read gasjsnmp-agent community read Rw1cigg!snmp-agent sys-info version allsnmp-agent target-host trap address udp-domain 61.139.59.4 udp-port 161 params securityname publicsnmp-agent trap enable configurationsnmp-agent trap enable systemsnmp-agent trap enable standardsnmp-agent trap enable vrrpsnmp-agent trap enable bgpsnmp-agent trap enable flash。