等保2.0下网络设备安全配置
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
radius-server RD1 [HW-aaa-domain-ISP]
quit [HW-aaa]quit 4. 配 置 全 局 默 认 域 为
ISP [HW]domain ISP 5. 开启全局 dot1x,设置
dot1x 认证方式为 eap,重认 证5次
[HW]dot1x enable [HW]dot1x authentication-method eap [HW]dot1x retry 5 6. 在端口 0/0/1 上开启 802.1 认证和重认证功能 [HW]dot1x enable interface Ethernet 0/0/1 [HW]dot1x reauthenticate Ethernet 0/0/1
3. 配置流行为 TB1 [HW]traffic behavior TB1(流行为编号) [HW-behavior- TB1] filter permit [HW-behavior- TB1] quit 4. 配置流策略 QB1,绑定 流类型 TC1 和流行为 TB1 [HW]qos policy QB1(流 策略编号) [HW-qospolicy- QB1] classifier TC1 behavior TB1 [HW-qospolicy- QB1] quit 5. 在端口 0/0/1 上下发 流策略 QB1 [HW]inter Gigabit Ethernet 0/0/1 [HW-Gigabit Ethernet0/0/1]qos apply policy QB1 inbound [HW-Gigabit Ethernet0/0/1]quit
对象。
边界防护
[HW-radius-RD1]quit
等保 2.0 标准分为安全
等保 2.0 标准要求边界
[HW]radius-
通用要求和安全扩展要求, 防护“应能够对非授权设备 s e r v e r a u t h o r i z a t i o n
本文将以华为交换机为例, 私自联到内部网络的行为进 192.168.0.254 shared-key
从网络架构、边界防护、访问 行限制或检查”,即路由交换 cipher HW@2019
控制、入侵防范、集中管控等 设备端口应与用户计算机的
2. 创 建 aaa 认 证 方
五个部分探讨安全通用要求 MAC 地址、IP 地址绑定,严格 案 RZ1 并 配 置 认 证 方 式 为
下网络设备安全配置方法。
限制非授权设备对内部网络 radius
[HW-aaa-authen- RZ1]
的原则为各网络区域分配地 机配置方法如下 :
authentication-mode
址”。
1. 创 建 并 配 置 RADIUS radius
在 网 络 设 计 中,应 根 据 服务器模板 RD1
[HW-aaa-authen- RZ1]
业 务 功 能 和 安 全 防 护 要 求,
1. 配 置 高 级 ACL 3999, 禁用 TCP 135-139/445 端口 和 UDP135-139 端口
[HW]acl number 3999 (高级 ACL 编号)
[HW-acl-adv-3999]rule 0 deny tcp destinationport range 135 139
[ H W ] r a d i u s - s e r v e r quit
将不同用途服务器、数据存 template RD1( 认 证 服 务 器
3. 创建认证域 ISP,并在
储设备、管理网段、用户网段 模板 )
其上绑定 aaa 认证方案 RZ1
114 2019.09
[HW-acl-adv-3999]quit 2. 配置流类型 TC1,绑定 ACL 3999 [HW]traffic classifier TC1(流 类 型 编 号) [HW-classifier- TC1] if-match acl 3999(高 级 ACL 编号) [HW-classifier- TC1] quit
技 术 网 络 安 全 等 用标准下的网络设备安全配置。
radius-
级 保 护 测 评 要 求》
server
即 等 保 2.0 标 准 正 式 发 布, 等单独划分安全区域,通过 authentication 192.168.0.
等级保护上升到网络空间安 VLAN 逻辑隔离,各安全区域 25( 4 认证服务器 IP)181( 2 认
责任编辑:赵志远 投稿信箱:netadmin@
信息安全 Security
与 RADIUS 服务器模板 RD1 [HW-aaa]domain ISP(认
证域) [HW-aaa-domain-ISP]
authentication-scheme RZ1 [HW
[HW]aaa
网络架构
具体配置中推荐部署
[HW-aaa]
等保 2.0 标准要求网络 RADIUS 服务器,配置 802.1x authentication-scheme RZ1
架构“应划分不同的网络区 协 议 取 代 传 统 的“IP-MAC- ( 认证方案 )
域,并按照方便管理和控制 端口”静态绑定。华为交换
全,除了计算机信息系统外, 之间、服务器与客户端之间 证端口)
还包含网络安全基础设施、 网络边界应符合最小耦合设
[HW-radius-RD1]
云、移动互联网、物联网、工 计要求。
radius-server shared-key
业 控 制 系 统、大 数 据 安 全 等
cipher HW@2019( 认证秘钥 )
[HW-acl-adv-3999]rule 5 deny tcp destinationport eq 445
[HW-acl-adv-3999]rule 10 deny udp destinationport range 135 139
[HW-acl-adv-3999] rule 15 permit ip
Security 信息安全
责任编辑:赵志远 投稿信箱:netadmin@
等保 2.0 下网络设备安全配置
■ 北京 赵鹏
2019 年 5 月 编者按 : 等保 2.0 标准对单位信息系统网络安全防护
[HW-
13 日, 《信 息 安 全 提出新的要求,本文就针对等保 2.0 标准,探讨在安全通 radius-RD1]
访问控制 等保 2.0 标准要求访问
控 制“应 对 源 地 址、目 的 地 址、源 端 口、目 的 端 口 和 协 议 等 进 行 检 查,以 允 许 / 拒
绝数据包进出”,即路由交换 设备应配置访问控制列表 (ACL),防止非法数据包在局 域网内扩散。以在局域网内 防 范 勒 索 病 毒 为 例,配 置 华 为交换机如下 :
quit [HW-aaa]quit 4. 配 置 全 局 默 认 域 为
ISP [HW]domain ISP 5. 开启全局 dot1x,设置
dot1x 认证方式为 eap,重认 证5次
[HW]dot1x enable [HW]dot1x authentication-method eap [HW]dot1x retry 5 6. 在端口 0/0/1 上开启 802.1 认证和重认证功能 [HW]dot1x enable interface Ethernet 0/0/1 [HW]dot1x reauthenticate Ethernet 0/0/1
3. 配置流行为 TB1 [HW]traffic behavior TB1(流行为编号) [HW-behavior- TB1] filter permit [HW-behavior- TB1] quit 4. 配置流策略 QB1,绑定 流类型 TC1 和流行为 TB1 [HW]qos policy QB1(流 策略编号) [HW-qospolicy- QB1] classifier TC1 behavior TB1 [HW-qospolicy- QB1] quit 5. 在端口 0/0/1 上下发 流策略 QB1 [HW]inter Gigabit Ethernet 0/0/1 [HW-Gigabit Ethernet0/0/1]qos apply policy QB1 inbound [HW-Gigabit Ethernet0/0/1]quit
对象。
边界防护
[HW-radius-RD1]quit
等保 2.0 标准分为安全
等保 2.0 标准要求边界
[HW]radius-
通用要求和安全扩展要求, 防护“应能够对非授权设备 s e r v e r a u t h o r i z a t i o n
本文将以华为交换机为例, 私自联到内部网络的行为进 192.168.0.254 shared-key
从网络架构、边界防护、访问 行限制或检查”,即路由交换 cipher HW@2019
控制、入侵防范、集中管控等 设备端口应与用户计算机的
2. 创 建 aaa 认 证 方
五个部分探讨安全通用要求 MAC 地址、IP 地址绑定,严格 案 RZ1 并 配 置 认 证 方 式 为
下网络设备安全配置方法。
限制非授权设备对内部网络 radius
[HW-aaa-authen- RZ1]
的原则为各网络区域分配地 机配置方法如下 :
authentication-mode
址”。
1. 创 建 并 配 置 RADIUS radius
在 网 络 设 计 中,应 根 据 服务器模板 RD1
[HW-aaa-authen- RZ1]
业 务 功 能 和 安 全 防 护 要 求,
1. 配 置 高 级 ACL 3999, 禁用 TCP 135-139/445 端口 和 UDP135-139 端口
[HW]acl number 3999 (高级 ACL 编号)
[HW-acl-adv-3999]rule 0 deny tcp destinationport range 135 139
[ H W ] r a d i u s - s e r v e r quit
将不同用途服务器、数据存 template RD1( 认 证 服 务 器
3. 创建认证域 ISP,并在
储设备、管理网段、用户网段 模板 )
其上绑定 aaa 认证方案 RZ1
114 2019.09
[HW-acl-adv-3999]quit 2. 配置流类型 TC1,绑定 ACL 3999 [HW]traffic classifier TC1(流 类 型 编 号) [HW-classifier- TC1] if-match acl 3999(高 级 ACL 编号) [HW-classifier- TC1] quit
技 术 网 络 安 全 等 用标准下的网络设备安全配置。
radius-
级 保 护 测 评 要 求》
server
即 等 保 2.0 标 准 正 式 发 布, 等单独划分安全区域,通过 authentication 192.168.0.
等级保护上升到网络空间安 VLAN 逻辑隔离,各安全区域 25( 4 认证服务器 IP)181( 2 认
责任编辑:赵志远 投稿信箱:netadmin@
信息安全 Security
与 RADIUS 服务器模板 RD1 [HW-aaa]domain ISP(认
证域) [HW-aaa-domain-ISP]
authentication-scheme RZ1 [HW
[HW]aaa
网络架构
具体配置中推荐部署
[HW-aaa]
等保 2.0 标准要求网络 RADIUS 服务器,配置 802.1x authentication-scheme RZ1
架构“应划分不同的网络区 协 议 取 代 传 统 的“IP-MAC- ( 认证方案 )
域,并按照方便管理和控制 端口”静态绑定。华为交换
全,除了计算机信息系统外, 之间、服务器与客户端之间 证端口)
还包含网络安全基础设施、 网络边界应符合最小耦合设
[HW-radius-RD1]
云、移动互联网、物联网、工 计要求。
radius-server shared-key
业 控 制 系 统、大 数 据 安 全 等
cipher HW@2019( 认证秘钥 )
[HW-acl-adv-3999]rule 5 deny tcp destinationport eq 445
[HW-acl-adv-3999]rule 10 deny udp destinationport range 135 139
[HW-acl-adv-3999] rule 15 permit ip
Security 信息安全
责任编辑:赵志远 投稿信箱:netadmin@
等保 2.0 下网络设备安全配置
■ 北京 赵鹏
2019 年 5 月 编者按 : 等保 2.0 标准对单位信息系统网络安全防护
[HW-
13 日, 《信 息 安 全 提出新的要求,本文就针对等保 2.0 标准,探讨在安全通 radius-RD1]
访问控制 等保 2.0 标准要求访问
控 制“应 对 源 地 址、目 的 地 址、源 端 口、目 的 端 口 和 协 议 等 进 行 检 查,以 允 许 / 拒
绝数据包进出”,即路由交换 设备应配置访问控制列表 (ACL),防止非法数据包在局 域网内扩散。以在局域网内 防 范 勒 索 病 毒 为 例,配 置 华 为交换机如下 :