HuaWei路由器安全配置规范
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.1.4. 静态口令加密
【目的】静态口令必须使用不可逆加密算法加密后保存于配置文件中。 【具体配置】
Page 2 of 10
HuaWei 路由器安全配置规范
super password level 3 cipher N`C55QK<`=/Q=^Q`MAF4<1!! local-user 8011 password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
Page 3 of 10
[Router-aaa-domain-default]radius-server shiva
2.2. 关闭不必要的服务
HuaWei 路由器安全配置规范
2.2.1. 关闭不必要的服务
【目的】关闭网络设备不必要的服务,比如 FTP、TFTP 服务等。 【具体配置】
undo ftp server
用户用相应的操作权限登录设备后,不具有最高权限级别 3,这时有些操作不 能做,例如修改 aaa 的配置。这时如果想使用管理员权限必须提高用户级别。
2.3.2. SSH
【目的】对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密 协议。
【具体配置】 #rsa peer-public-key quidway002 public-key-code begin
HuWei 路由器安全配置规范
1. 概述
HuaWei 路由器安全配置规范
1.1. 目的
本规范明确了华为路由器安全配置方面的基本要求。为了提高华为网络设备的 安全性而提出的。
1.2. 范围
本规范适用于 XXXX 使用的华为路由器。
Page 1 of 10
2. 配置标准
2.1. AAA
HuaWei 路由器安全配置规范
2.1.5. 最小权限
【目的】在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
【具体配置】
aaa local-user 8011 password cipher 8011 local-user 8011 service-type telnet local-user 8011 level 0 # user-interface vty 0 4 authentication-mode aaa
2.1.6. Radius 认证
【目的】在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
【具体配置】
#对远程登录用户先用 RADIUS 服务器进行认证,如果没有响应,则不认 证。 #认证服务器 IP 地址为 129.7.66.66,无备用服务器,端口号为默认值 1812。 # 配置 RADIUS 服务器模板。 [Router] radius-server template shiva # 配置 RADIUS 认证服务器 IP 地址和端口。 [Router-radius-shiva]radius-server authentication 129.7.66.66 1812 # 配置 RADIUS 服务器密钥、重传次数。 [Router-radius-shiva] radius-server shared-key it-is-my-secret [Router-radius-shiva] radius-server retransmit 2 [Router-radius-shiva] quit # 进入 AAA 视图。 [Router] aaa # 配置认证方案 r-n,认证方法为先 RADIUS,如果没有响应,则不认证。 [Router–aaa] authentication-scheme r-n [Router-aaa-authen-r-n] authentication-mode radius none [Router-aaa-authen-r-n] quit # 配置 default 域,在域下采用 r-n 认证方案、缺省的计费方案(不计 费),shiva 的 RADIUS 模板。 [Router-aaa] domain default [Router-aaa-domain-default] authentication-scheme r-n
Page 4 of 10
HuaWei 路由器安全配置规范
308186028180739A291ABDA704F5D93DC8FDF84C427463199 1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9 C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0 E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8 28D55A36F1CDDC4BB45504F020125 public-key-code end peer-public-key end # aaa local-user client001 password simple huawei local-user client002 password simple quidway authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # ssh user client002 assign rsa-key quidway002 ssh user client001 authentication-type password ssh user client002 authentication-type RSA # user-interface con 0 user-interface vty 0 4 authentication-mode aaa protocol inbound ssh #
2.3. 登录要求
2.3.1. 管理员远程登录
【目的】限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应 先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。
【具体配置】 super password level 3 cipher superPWD aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user1 level 2 # user-interface vty 0 4 authentication-mode aaa
2.1.2. 删除无关帐号
【目的】应删除与设备运行、维护等工作无关的账号。 【具体配置】
aaa undo local-user test
2.1.3. 静态口令位数
【目的】对于采用静态口令认证技术的设备,口令长度至少 6 位,并包括数 字、小写字母、大写字母和特殊符号 4 类中至少 2 类。
【具体配置】 aaa local-user uHale Waihona Puke Baiduer1 password cipher NumABC%$
2.1.1. 按照用户分配帐号
【目的】避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共 享。
【具体配置】 aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user2 password cipher PWD2 local-user user2 service-type ftp # user-interface vty 0 4 authentication-mode aaa
【目的】静态口令必须使用不可逆加密算法加密后保存于配置文件中。 【具体配置】
Page 2 of 10
HuaWei 路由器安全配置规范
super password level 3 cipher N`C55QK<`=/Q=^Q`MAF4<1!! local-user 8011 password cipher N`C55QK<`=/Q=^Q`MAF4<1!!
Page 3 of 10
[Router-aaa-domain-default]radius-server shiva
2.2. 关闭不必要的服务
HuaWei 路由器安全配置规范
2.2.1. 关闭不必要的服务
【目的】关闭网络设备不必要的服务,比如 FTP、TFTP 服务等。 【具体配置】
undo ftp server
用户用相应的操作权限登录设备后,不具有最高权限级别 3,这时有些操作不 能做,例如修改 aaa 的配置。这时如果想使用管理员权限必须提高用户级别。
2.3.2. SSH
【目的】对于使用 IP 协议进行远程维护的设备,设备应配置使用 SSH 等加密 协议。
【具体配置】 #rsa peer-public-key quidway002 public-key-code begin
HuWei 路由器安全配置规范
1. 概述
HuaWei 路由器安全配置规范
1.1. 目的
本规范明确了华为路由器安全配置方面的基本要求。为了提高华为网络设备的 安全性而提出的。
1.2. 范围
本规范适用于 XXXX 使用的华为路由器。
Page 1 of 10
2. 配置标准
2.1. AAA
HuaWei 路由器安全配置规范
2.1.5. 最小权限
【目的】在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
【具体配置】
aaa local-user 8011 password cipher 8011 local-user 8011 service-type telnet local-user 8011 level 0 # user-interface vty 0 4 authentication-mode aaa
2.1.6. Radius 认证
【目的】在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权
限。
【具体配置】
#对远程登录用户先用 RADIUS 服务器进行认证,如果没有响应,则不认 证。 #认证服务器 IP 地址为 129.7.66.66,无备用服务器,端口号为默认值 1812。 # 配置 RADIUS 服务器模板。 [Router] radius-server template shiva # 配置 RADIUS 认证服务器 IP 地址和端口。 [Router-radius-shiva]radius-server authentication 129.7.66.66 1812 # 配置 RADIUS 服务器密钥、重传次数。 [Router-radius-shiva] radius-server shared-key it-is-my-secret [Router-radius-shiva] radius-server retransmit 2 [Router-radius-shiva] quit # 进入 AAA 视图。 [Router] aaa # 配置认证方案 r-n,认证方法为先 RADIUS,如果没有响应,则不认证。 [Router–aaa] authentication-scheme r-n [Router-aaa-authen-r-n] authentication-mode radius none [Router-aaa-authen-r-n] quit # 配置 default 域,在域下采用 r-n 认证方案、缺省的计费方案(不计 费),shiva 的 RADIUS 模板。 [Router-aaa] domain default [Router-aaa-domain-default] authentication-scheme r-n
Page 4 of 10
HuaWei 路由器安全配置规范
308186028180739A291ABDA704F5D93DC8FDF84C427463199 1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9 C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0 E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8 28D55A36F1CDDC4BB45504F020125 public-key-code end peer-public-key end # aaa local-user client001 password simple huawei local-user client002 password simple quidway authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default # ssh user client002 assign rsa-key quidway002 ssh user client001 authentication-type password ssh user client002 authentication-type RSA # user-interface con 0 user-interface vty 0 4 authentication-mode aaa protocol inbound ssh #
2.3. 登录要求
2.3.1. 管理员远程登录
【目的】限制具备管理员权限的用户远程登录。远程执行管理员权限操作,应 先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。
【具体配置】 super password level 3 cipher superPWD aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user1 level 2 # user-interface vty 0 4 authentication-mode aaa
2.1.2. 删除无关帐号
【目的】应删除与设备运行、维护等工作无关的账号。 【具体配置】
aaa undo local-user test
2.1.3. 静态口令位数
【目的】对于采用静态口令认证技术的设备,口令长度至少 6 位,并包括数 字、小写字母、大写字母和特殊符号 4 类中至少 2 类。
【具体配置】 aaa local-user uHale Waihona Puke Baiduer1 password cipher NumABC%$
2.1.1. 按照用户分配帐号
【目的】避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共 享。
【具体配置】 aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user2 password cipher PWD2 local-user user2 service-type ftp # user-interface vty 0 4 authentication-mode aaa