C交换机设备安全基线

C交换机设备安全基线文档编制序号：[KKIDT-LLE0828-LLETD298-POI08]

H3C设备安全配置基线目录

第1章概述

1.1目的

规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本

comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求

2.1帐号管理

2.1.1用户帐号分配*

1、安全基线名称：用户帐号分配安全

2、安全基线编号：SBL-H3C-02-01-01

3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：

[H3C] local-user admin

[H3C-luser-manage-admin] password hash admin@mmu2

[H3C-luser-manage-admin] authorization-attribute user-role level-15

[H3C] local-user user

[H3C-luser-network-user] password hash user@nhesa

[H3C-luser-network-user] authorization-attribute user-role network-operator

5、安全判定条件：

（1）配置文件中，存在不同的账号分配

（2）网络管理员确认用户与账号分配关系明确

6、检测操作：

使用命令dis cur命令查看：

…

#

local-user admin class manage

password hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==

service-type ssh

authorization-attribute user-role level-15

#

local-user user class network

password hash $h$6$mmu2MlqLkGMnNy

service-type ssh

authorization-attribute user-role network-operator

#

对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

2.1.2删除无关的帐号*

1、安全基线名称：删除无关的账号

2、安全基线编号：SBL-H3C-02-01-02

3、安全基线说明：应删除与设备运行、维护等工作无关的账号。

4、参考配置操作：

[H3C]undo local-user user class network

5、安全判定条件：

（1）配置文件存在多个账号

（2）网络管理员确认账号与设备运行、维护等工作无关

6、检测操作：

使用dis cur | include local-user命令查看：

[H3C]dis cur | include local-user

local-user admin class manage

local-user user1 class manage

若不存在无用账号则说明符合安全要求。

2.2口令

2.2.1静态口令以密文形式存放

1、安全基线名称：静态口令以密文形式存放

2、安全基线编号：SBL-H3C-02-02-01

3、安全基线说明：配置本地用户和super口令使用密文密码。

4、参考配置操作：

[H3C]local-user admin

[H3C-luser-manage-admin]password hash <密文password> .*.* snmp-agent sys-info version 3

…..

2.2.2关闭未使用的SNMP协议及未使用write权限

1、安全基线名称：关闭未使用的SNMP协议及未使用write权限

2、安全基线编号：SBL-H3C-04-02-04

3、安全基线说明：系统应及时关闭未使用的SNMP协议及未使用write权限

4、参考配置操作：

[H3C]undo snmp-agent community pipaxing

5、安全判定条件：

Snmp权限为read。

6、检测操作：

使用dis cur | include snmp命令查看，权限只有read：[H3C]dis cur | include snmp

…..

snmp-agent community read xiangyun

…..

第3章其他安全要求

3.1其他安全配置

3.1.1关闭未使用的接口

1、安全基线名称：关闭未使用的接口

2、安全基线编号：SBL-H3C-05-01-01

3、安全基线说明：关闭未使用的接口

4、参考配置操作：

[H3C]int g1/0/10

[H3C-GigabitEthernet1/0/10]shutdown

5、安全判定条件：

未使用接口应该管理员down。

6、检测操作：

[H3C]dis cur

….

#

interface GigabitEthernet1/0/10

port link-mode bridge

combo enable fiber

shutdown

#

….

3.1.2修改设备缺省BANNER语

1、安全基线名称：修改设备缺省BANNER语

2、安全基线编号：SBL-H3C-05-01-02

3、安全基线说明：要修改设备缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。

4、参考配置操作：

[H3C]header login

Please input banner content, and quit with the character '%'.

5、安全判定条件：

欢迎界面、提示符等不包含敏感信息。