H3C三层交换机安全配置规范
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C三层交换机安全配置规范
4.1管理平面安全配置
4.1.1管理口防护
4.1.1.1关闭未使用的管理口
项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1
配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。
重要等级高
配置指南1、参考配置操作
#
interface Ten-GigabitEthernet0/1 //进入端口视图
shutdown //执行shutdown命令,关闭端口
#
检测方法
及
判定依据1、符合性判定依据
端口关闭,不能使用。
2、参考检测方法
通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。
备注
4.1.1.2配置console口密码保护
项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1
配置说明设备应配置console口密码保护
重要等级高
配置指南1、参考配置操作
[H3C]user-interface console 0
[ H3C-ui-console0] authentication-mode password
[ H3C-ui-console0] set authentication password cipher xxxxxxxx
检测方法
及
判定依据1、符合性判定依据
通过console口,只有输入正确密码才能进入配置试图
2、参考检测方法
PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。
备注
4.1.2账号与口令
4.1.2.1避免共享账号
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1
配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。
重要等级中
配置指南1、参考配置操作
#
local-user user1
service-type telnet
user privilede level 2
#
local-user user2
service-type ftp
user privilede level 3
#
2、补充操作说明
1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;
2、避免使用h3c、admin等简单易猜的账号名称;
检测方法
及
判定依据1、符合性判定依据
各账号都可以正常使用,不同用户有不同的账号。
2、参考检测方法
(1)用display current-configuration configuration luser命令查看配置是否正确
(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用
(3)使用配置中没有的账号无法登录
3、补充说明
每个账号都有对应的使用人员,确保没有多余账号
备注
4.1.2.2禁止无关账号
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-02-v1
配置说明应禁止配置与设备运行、维护等工作无关的账号;
重要等级高
配置指南如有无关账号,参考如下配置进行删除
#
undo local-user username
#
检测方法
及
判定依据1、符合性判定依据
不存在工作无关账号
2、参考检测方法
通过display local-user来查看是否存在无关账号
备注
4.1.2.3管理默认账号与口令
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-03-v1
配置说明应删除或锁定默认或缺省账号与口令。
重要等级高
配置指南#
undo local-user username
#
检测方法
及
判定依据1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过display password来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.4口令长度和复杂度
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-04-v1
配置说明对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。);
重要等级高
配置指南1、参考配置操作
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类,每类多余4个。
password-control enable
password-control length 8
password-control composition type-number 3 type-length 4
检测方法
及
判定依据1、符合性判定依据
密码强度和策略符合安全要求
2、参考检测方法
通过display password来看密码策略
通过telnet方式登录设备,输入密码来检测密码安全性
备注
4.1.2.5口令加密
项目编号NOMD-2013-SC-H3C(L3SW)-01-02-05-v1
配置说明静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。如使用enable secret配置Enable密码,不使用enable password 配置Enable密码。
重要等级高