您的位置:360文档中心› H3C三层交换机安全配置规范

H3C三层交换机安全配置规范

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C三层交换机安全配置规范

4.1管理平面安全配置

4.1.1管理口防护

4.1.1.1关闭未使用的管理口

项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1

配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。

重要等级高

配置指南1、参考配置操作

#

interface Ten-GigabitEthernet0/1 //进入端口视图

shutdown //执行shutdown命令,关闭端口

#

检测方法

判定依据1、符合性判定依据

端口关闭,不能使用。

2、参考检测方法

通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。

备注

4.1.1.2配置console口密码保护

项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1

配置说明设备应配置console口密码保护

重要等级高

配置指南1、参考配置操作

[H3C]user-interface console 0

[ H3C-ui-console0] authentication-mode password

[ H3C-ui-console0] set authentication password cipher xxxxxxxx

检测方法

判定依据1、符合性判定依据

通过console口,只有输入正确密码才能进入配置试图

2、参考检测方法

PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。

备注

4.1.2账号与口令

4.1.2.1避免共享账号

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1

配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。

重要等级中

配置指南1、参考配置操作

local-user user1

service-type telnet

user privilede level 2

#

local-user user2

service-type ftp

user privilede level 3

#

2、补充操作说明

1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;

2、避免使用h3c、admin等简单易猜的账号名称;

检测方法

判定依据1、符合性判定依据

各账号都可以正常使用,不同用户有不同的账号。

2、参考检测方法

(1)用display current-configuration configuration luser命令查看配置是否正确

(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用

(3)使用配置中没有的账号无法登录

3、补充说明

每个账号都有对应的使用人员,确保没有多余账号

备注

4.1.2.2禁止无关账号

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-02-v1

配置说明应禁止配置与设备运行、维护等工作无关的账号;

重要等级高

配置指南如有无关账号,参考如下配置进行删除

#

undo local-user username

#

检测方法

判定依据1、符合性判定依据

不存在工作无关账号

2、参考检测方法

通过display local-user来查看是否存在无关账号

备注

4.1.2.3管理默认账号与口令

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-03-v1

配置说明应删除或锁定默认或缺省账号与口令。

重要等级高

配置指南#

undo local-user username

#

检测方法

判定依据1、符合性判定依据

密码强度和策略符合安全要求

2、参考检测方法

通过display password来看密码策略

通过telnet方式登录设备,输入密码来检测密码安全性

备注

4.1.2.4口令长度和复杂度

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-04-v1

配置说明对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。);

重要等级高

配置指南1、参考配置操作

对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类,每类多余4个。

password-control enable

password-control length 8

password-control composition type-number 3 type-length 4

检测方法

判定依据1、符合性判定依据

密码强度和策略符合安全要求

2、参考检测方法

通过display password来看密码策略

通过telnet方式登录设备,输入密码来检测密码安全性

备注

4.1.2.5口令加密

项目编号NOMD-2013-SC-H3C(L3SW)-01-02-05-v1

配置说明静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。如使用enable secret配置Enable密码,不使用enable password 配置Enable密码。

重要等级高

配置指南1、参考配置操作

#

local-user admin

password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU

#

检测方法

判定依据1、符合性判定依据

相关文档
最新文档