H3C交换机设备安全基线
H3C设备安全配置基线
目录
第1章概述 (4)
1.1目的 (4)
1.2适用范围 (4)
1.3适用版本 (4)
第2章帐号管理、认证授权安全要求 (5)
2.1帐号管理 (5)
2.1.1用户帐号分配* (5)
2.1.2删除无关的帐号* (6)
2.2口令 (7)
2.2.1静态口令以密文形式存放 (7)
2.2.2帐号、口令和授权 (8)
2.2.3密码复杂度 (9)
2.3授权 (10)
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 (10)
第3章日志安全要求 (11)
3.1日志安全 (11)
3.1.1启用信息中心 (11)
3.1.2开启NTP服务保证记录的时间的准确性 (12)
3.1.3远程日志功能* (13)
第4章IP协议安全要求 (14)
4.1IP协议 (14)
4.1.1VRRP认证 (14)
4.1.2系统远程服务只允许特定地址访问 (14)
4.2功能配置 (15)
4.2.1SNMP的Community默认通行字口令强度 (15)
4.2.2只与特定主机进行SNMP协议交互 (16)
4.2.3配置SNMPV2或以上版本 (17)
4.2.4关闭未使用的SNMP协议及未使用write权限 (18)
第5章IP协议安全要求 (19)
5.1其他安全配置 (19)
5.1.1关闭未使用的接口 (19)
5.1.2修改设备缺省BANNER语 (20)
5.1.3配置定时账户自动登出 (20)
5.1.4配置console口密码保护功能 (21)
5.1.5端口与实际应用相符 (22)
第1章概述
1.1目的
规范配置H3C路由器、交换机设备,保证设备基本安全。
1.2适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
comwareV7版本交换机、路由器。
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配*
1、安全基线名称:用户帐号分配安全
2、安全基线编号:SBL-H3C-02-01-01
3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password hash admin@mmu2
[H3C-luser-manage-admin] authorization-attribute user-role level-15
[H3C]local-user user
[H3C-luser-network-user] password hash user@nhesa
[H3C-luser-network-user] authorization-attribute user-role network-operator
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令dis cur命令查看:
…
local-user admin class manage
password hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==
service-type ssh
authorization-attribute user-role level-15
#
local-user user class network
password hash $h$6$mmu2MlqLkGMnNy
service-type ssh
authorization-attribute user-role network-operator
#
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
2.1.2删除无关的帐号*
1、安全基线名称:删除无关的账号
2、安全基线编号:SBL-H3C-02-01-02
3、安全基线说明:应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:
[H3C]undo local-user user class network
5、安全判定条件:
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用dis cur | include local-user命令查看:
[H3C]dis cur | include local-user
local-user admin class manage
local-user user1 class manage
若不存在无用账号则说明符合安全要求。
2.2口令
2.2.1静态口令以密文形式存放
1、安全基线名称:静态口令以密文形式存放
2、安全基线编号:SBL-H3C-02-02-01
3、安全基线说明:配置本地用户和super口令使用密文密码。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password hash<密文password> //配置本地用户密文密码[H3C]super password hash<密文password> //配置super密码使用密文加密
5、安全判定条件:
配置文件中没有明文密码字段。
6、检测操作:
使用dis cur显示本地用户账号和super密码为密文密码
#
local-user admin class manage
password hash
$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCE UU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ==
service-type ssh telnet
authorization-attribute user-role level-15
#
local-user user1 class manage
password hash
$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ==
authorization-attribute user-role network-operator
#
#
super password role network-admin hash
$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySG Yft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ==
#
2.2.2帐号、口令和授权
1、安全基线名称:账号、口令和授权安全基线
2、安全基线编号:SBL-H3C-02-02-02
3、安全基线说明:通过认证系统,确认远程用户身份,判断是否为合法的网络用户。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password hash pipaxing@xiangyun
[H3C-luser-manage-admin]authorization-attribute user-role level-15
[H3C]domain admin
[H3C-isp-admin]authentication default local
5、安全判定条件:
账号和口令的配置,指定了认证的系统。
6、检测操作:
[H3C]dis cur
…
#
domain admin
#
domain system
#
domain default enable system
#
2.2.3密码复杂度
1、安全基线名称:密码复杂度
2、安全基线编号:SBL-H3C-02-02-03
3、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。
4、参考配置操作:
[H3C]local-user admin
[H3C-luser-manage-admin]password pipaxing@xiangyun
5、安全判定条件:
密码强度符合要求,密码至少90天进行更换。
2.3授权
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议
1、安全基线名称:用IP协议进行远程维护设备
2、安全基线编号:SBL-H3C-02-03-01
3、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
4、参考配置操作:
[H3C]ssh server enable
[H3C]local-user admin
[H3C-luser-manage-admin]service-type ssh
5、安全判定条件:
配置文件中只允许SSH等加密协议连接。
6、检测操作:
使用dis cur | include ssh命令:
[H3C]dis cur | include ssh
ssh server enable
service-type ssh
ssh 服务为enable状态表明符合安全要求。
第3章日志安全要求
3.1日志安全
3.1.1启用信息中心
1、安全基线名称:启用信息中心
2、安全基线编号:SBL-H3C-03-01-01
3、安全基线说明:启用信息中心,记录与设备相关的事件。
4、参考配置操作:
[H3C]info-center enable
5、安全判定条件:
(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:
使用dis info-center有显示Information Center: Enabled类似信息,如:
[H3C]dis info-center
Information Center: Enabled
Console: Enabled
Monitor: Enabled
Log host: Enabled
10.1.0.20,
port number: 514, host facility: local7
10.1.0.95,
port number: 514, host facility: local7
10.1.0.99,
port number: 514, host facility: local7
Log buffer: Enabled
Max buffer size 1024, current buffer size 512
Current messages 512, dropped messages 0, overwritten messages 3736 Log file: Enabled
Security log file: Disabled
Information timestamp format:
Log host: Date
Other output destination: Date
3.1.2开启NTP服务保证记录的时间的准确性
1、安全基线名称:日志记录时间准确性
2、安全基线编号:SBL-H3C-03-01-02
3、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。
4、参考配置操作:
配置ntp客户端,服务器地址为192.168.1.1:
[H3C]ntp-service enable
[H3C]ntp-service unicast-server 192.168.1.1
5、安全判定条件:
日志记录时间准确。
6、检测操作:
[H3C]dis cur | include ntp
ntp-service enable
ntp-service unicast-server 192.168.1.1
3.1.3远程日志功能*
1、安全基线名称:远程日志功能
2、安全基线编号:SBL-H3C-03-01-03
3、安全基线说明:配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
4、参考配置操作:
[H3C]info-center loghost *.*.*.* //配置接收日志的服务器地址
[H3C]info-center source default loghost level emergency //配置发送的日志级别
5、安全判定条件:
日志服务器能够正确接收网络设备发送的日志。
6、检测操作:
使用命令dis cur | include info-center查看:
[H3C]dis cur | include info-center
undo copyright-info enable
info-center loghost 10.1.0.20
info-center loghost 10.1.0.95
info-center loghost 10.1.0.99
info-center source default loghost level emergency
第4章IP协议安全要求
4.1IP协议
4.1.1VRRP认证
1、安全基线名称:VRRP认证
2、安全基线编号:SBL-H3C-04-01-01
3、安全基线说明:VRRP启用认证,防止非法设备加入到VRRP组中。
4、安全判定条件:
查看VRRP组,只存在正确的设备。
5、检测操作:
使用命令dis vrrp
4.1.2系统远程服务只允许特定地址访问
1、安全基线名称:系统远程服务只允许特定地址访问
2、安全基线编号:SBL-H3C-04-01-02
3、安全基线说明:设备以UDP/TCP协议对外提供服务,供外部主机进行访问,如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配置设备,只允许特定主机访问。
4、参考配置操作:
通过配置访问控制列表ACL,只允许特定的地址访问设备的服务,如:
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule 0 permit tcp source 10.18.54.12 0 destination 10.1.0.50 0 destination-port eq 443
[H3C-acl-ipv4-adv-3000]rule 65534 deny ip
5、安全判定条件:
在相关端口上绑定相应的ACL。
6、检测操作:
使用dis cur命令查看:
#
interface Vlan-interface10
ip address 10.1.0.50 255.255.255.0
packet-filter 3000 inbound
#
4.2功能配置
4.2.1SNMP的Community默认通行字口令强度
1、安全基线名称:SNMP协议的community团体字
2、安全基线编号:SBL-H3C-04-02-01
3、安全基线说明:修改SNMP的community默认团体字,字符串应符合口令强度要求。
4、参考配置操作:
[H3C]snmp-agent community read
[H3C] snmp-agent communitywrite
5、安全判定条件:
Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
6、检测操作:
使用命令dis cur | include snmp查看:
[H3C]dis cur | include snmp
snmp-agent
snmp-agent local-engineid 800063A280A4F25325010000000001
snmp-agent community read xiangyun_read
snmp-agent community writexiangyun_write
snmp-agent sys-info version v3
snmp-agent trap enable arp
snmp-agent trap enable radius
snmp-agent trap enable stp
7、补充:
若设备不需要使用SNMP协议应关闭SNMP功能,若需要用到应使用V2版本以上的SNMP协议。
4.2.2只与特定主机进行SNMP协议交互
1、安全基线名称:只与特定主机进行SNMP协议交互
2、安全基线编号:SBL-H3C-04-02-02
3、安全基线说明:设备只与特定主机进行SNMP协议交互
4、参考配置操作:
使用ACL限制只与特定主机进行SNMP交互
[H3C]acl advanced name acl_snmp
[H3C-acl-ipv4-adv-acl_snmp]rule permit ip source 11.11.1.10 0
[H3C-acl-ipv4-adv-acl_snmp]rule deny ip source any
[H3C]snmp-agent community read xiangyun acl name acl_snmp 5、安全判定条件:
Snmp绑定了acl
6、检测操作:
使用dis cur | include snmp命令查看:
[H3C]dis cur | include snmp
snmp-agent
snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun
snmp-agent sys-info version 3
snmp-agent trap enable arp
snmp-agent trap enable radius
snmp-agent trap enable stp
snmp-agent community read xiangyun acl name acl_snmp
4.2.3配置SNMPV2或以上版本
1、安全基线名称:配置SNMPv2或以上版本
2、安全基线编号:SBL-H3C-04-02-03
3、安全基线说明:系统应配置SNMPv2或以上版本
4、参考配置操作:
[H3C]snmp-agent sys-info version v3
5、安全判定条件:
系统可以成功使用snmpv2或v3版本协议。
6、检测操作:
使用dis cur | include snmp命令查看:
[H3C]dis cur | include snmp
…..
snmp-agent sys-info version 3
…..
4.2.4关闭未使用的SNMP协议及未使用write权限
1、安全基线名称:关闭未使用的SNMP协议及未使用write权限
2、安全基线编号:SBL-H3C-04-02-04
3、安全基线说明:系统应及时关闭未使用的SNMP协议及未使用write权限
4、参考配置操作:
[H3C]undo snmp-agent community pipaxing
5、安全判定条件:
Snmp权限为read。
6、检测操作:
使用dis cur | include snmp命令查看,权限只有read:
[H3C]dis cur | include snmp
…..
snmp-agent community read xiangyun
…..
第5章其他安全要求5.1其他安全配置
5.1.1关闭未使用的接口
1、安全基线名称:关闭未使用的接口
2、安全基线编号:SBL-H3C-05-01-01
3、安全基线说明:关闭未使用的接口
4、参考配置操作:
[H3C]int g1/0/10
[H3C-GigabitEthernet1/0/10]shutdown
5、安全判定条件:
未使用接口应该管理员down。
6、检测操作:
[H3C]dis cur
….
#
interface GigabitEthernet1/0/10
port link-mode bridge
combo enable fiber
shutdown
….
5.1.2修改设备缺省BANNER语
1、安全基线名称:修改设备缺省BANNER语
2、安全基线编号:SBL-H3C-05-01-02
3、安全基线说明:要修改设备缺省BANNER语,BANNER最好不要有系统平台或地址等有碍安全的信息。
4、参考配置操作:
[H3C]header login
Please input banner content, and quit with the character '%'.
5、安全判定条件:
欢迎界面、提示符等不包含敏感信息。
6、检测操作:
通过远程登录或console口登录查看设备提示信息。
5.1.3配置定时账户自动登出
1、安全基线名称:配置账号定时自动退出
2、安全基线编号:SBL-H3C-05-01-03
3、安全基线说明:如Telnet、ssh、console登录连接超时退出
4、参考配置操作:
配置vty登录3分钟无操作自动退出:
[H3C]user-interface vty 0 4
交换机的端口安全配置
【实验文档】【实验0021】【交换机的端口安全配置】 【实验名称】 交换机的端口安全配置。 【实验目的】 掌握交换机的端口安全功能,控制用户的安全接入。 【背景描述】 你是一个公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的IP 地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。例如:某员工分配的IP地址是172.16.1.55/24,主机MAC地址是00-06-1B-DE-13-B4。该主机连接在1台2126G 上边。 【技术原理】 交换机端口安全功能,是指针对交换机的端口进行安全属性的配置,从而控制用户的安全接入。交换机端口安全主要有两种类项:一是限制交换机端口的最大连接数,二是针对交换机端口进行MAC地址、IP地址的绑定。 限制交换机端口的最大连接数可以控制交换机端口下连的主机数,并防止用户进行恶意的ARP欺骗。 交换机端口的地址绑定,可以针对IP地址、MAC地址、IP+MAC进行灵活的绑定。可以实现对用户进行严格的控制。保证用户的安全接入和防止常见的内网的网络攻击。如ARP欺骗、IP、MAC地址欺骗,IP地址攻击等。 配置了交换机的端口安全功能后,当实际应用超出配置的要求,将产生一个安全违例,产生安全违例的处理方式有3种: ? protect 当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包。 ? restrict 当违例产生时,将发送一个Trap通知。 ? shutdown 当违例产生时,将关闭端口并发送一个Trap通知。 当端口因为违例而被关闭后,在全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来。 【实现功能】 针对交换机的所有端口,配置最大连接数为1,针对PC1主机的接口进行IP+MAC地址绑定。【实验设备】 S2126G交换机(1台),PC(1台)、直连网线(1条)
XX银行H3C交换机安全基线配置
X X银行H3C交换机系列安全配置基线
目录 1适用声明 (2) 2访问控制 (3) 2.1配置ACL规则 (3) 2.2配置常见的漏洞攻击和病毒过滤功能 (4) 3安全审计 (6) 3.1开启设备的日志功能 (6) 4入侵防范 (7) 4.1配置防ARP欺骗攻击 (7) 5网络设备防护 (8) 5.1限制管理员远程直接登录 (8) 5.2连接空闲时间设定 (9) 5.3远程登陆加密传输 (10) 5.4配置CONSOLE口密码保护功能和连接超时 (11) 5.5按照用户分配账号 (12) 5.6删除设备中无用的闲置账号 (13) 5.7修改设备上存在的弱口令 (13) 5.8配置和认证系统联动功能 (14) 配置和认证系统联动功能 (14) 5.9配置NTP服务 (15) 5.10修改SNMP的COMMUNITY默认通行字 (16) 5.11使用SNMPV2或以上版本 (17) 5.12设置SNMP的访问安全限制 (18) 5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19) 5.14关闭不必要的服务 (19) 5.15配置防源地址欺骗攻击 (20) 5.16禁止设备未使用或者空闲的端口 (21) 5.17远程连接源地址限制 (21)
1 适用声明 适用人员IT部的网络维护人员、安全评估人员、安全审计人员 适用版本H3C同系列的网络交换机 适用等保一级项 适用等保二级项 适用等保三级项 适用等保四级项 参考依据《H3C交换机配置手册》 《GB/T 20270-2006 信息安全技术网络基础安全技术要求》 《GB/T 20011-2005 信息安全技术路由器安全评估准则》 《JR/T 0068-2012 网上银行系统信息安全通用规范》 《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》 《GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要 求》 《JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引》
华为交换机安全防范技术
在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。 1.广播风暴抑制比 可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置: broadcast-suppression ratio 2.为VLAN指定广播风暴抑制比 同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。 MAC地址控制技术 以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。 1.设置最多可学习到的MAC地址数
华为交换机配置命令
华为交换机配置命令
华为交换机配置指令 视图切换指令
打开以太网端口:[Switch-ethernet port-id]undo shutdown 设置以太网端口描述字符串:[Switch-ethernet port-id]description text 设置以太网端口的双工模式:[Switch-ethernet port-id]duplex { auto| full| half } 设置以太网端口的速率:[Switch-ethernet port-id]speed { 10 | 100 | 1000 | auto } 设置以太网端口的MDI模式:[Switch-ethernet port-id]mdi {across| auto | normal } 开启以太网端口的流量控制功能:[Switch-ethernet port-id]flow-control display查看指令 查看版本信息:
交换机安全技术操作规程(正式)
编订:__________________ 单位:__________________ 时间:__________________ 交换机安全技术操作规程 (正式) Standardize The Management Mechanism To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑
文件编号:KG-AO-4732-39 交换机安全技术操作规程(正式) 使用备注:本文档可用在日常工作场景,通过对管理机制、管理原则、管理方法以及管理机构进行设置固定的规范,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常工作或活动达到预期的水平。下载后就可自由编辑。 一、职责:(1)根据加热制度(或按煤气组长要求),调节煤气流量,烟道吸力保持稳定。 (2)负责设备日常检查,按规定时间和程序进行交换和巡回检查,发现问题及时处理或汇报。 (3)准确填写各项数据,计算本班加热制度平均数值,保持记录整洁。 (4)负责交换机的特殊操作和事故处理。 (5)维护好所属设备,并保持所属区域周围的卫生清洁。 二、工艺流程 加热煤气流向:回炉煤气总管 1号2号回炉煤气总管煤气预热器 1号2号地下室煤气主管加减考克孔板盒交换考克横排管喷嘴煤气上立管直立砖煤气道立火道底部与空气混合燃烧。
空气流向:开闭器进风口小烟道蓄热室(篦子砖格子砖)斜道区上升立火道斜道口与煤气混合燃烧。 废弃流向:上升立火道底部跨越孔下降气流立火道斜道区蓄热室(篦子砖格子砖)小烟道开闭器 分烟道总烟道烟囱排出。 荒煤气流向:炭化室顶空间上升管桥管阀体集气 管n型管吸气管气液分离器初冷器鼓风机电捕焦油器脱硫塔硫铵饱和器终冷塔洗苯塔回炉加热。 生产工艺流程:各单种煤1至5号料仓皮带秤煤1皮带破碎机煤2皮带煤仓摇臂给料器加煤车碳化室推焦车拦焦车熄焦车熄焦塔晾焦台焦1皮带转运站焦2皮带焦厂外运 三、设备构造及型号 63孔焦炉系双联火道废弃循环下喷单热式焦炉,
Microsoft Windows安全配置基线
Windows 系统安全配置基线 中国移动通信有限公司管理信息系统部 2012年 04月
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述 (5) 1.1目的 (5) 1.2适用范围 (5) 1.3适用版本 (5) 1.4实施 (5) 1.5例外条款 (5) 第2章帐户管理、认证授权 (6) 2.1帐户 (6) 2.1.1 管理缺省帐户 (6) 2.1.2 按照用户分配帐户* (6) 2.1.3 删除与设备无关帐户* (7) 2.2口令 (7) 2.2.1密码复杂度 (7) 2.2.2密码最长留存期 (8) 2.2.3帐户锁定策略 (8) 2.3授权 (8) 2.3.1远程关机 (8) 2.3.2本地关机 (9) 2.3.3用户权利指派* (9) 2.3.4授权帐户登陆* (10) 2.3.5授权帐户从网络访问* (10) 第3章日志配置操作 (11) 3.1日志配置 (11) 3.1.1审核登录 (11) 3.1.2审核策略更改 (11) 3.1.3审核对象访问 (11) 3.1.4审核事件目录服务器访问 (12) 3.1.5审核特权使用 (12) 3.1.6审核系统事件 (13) 3.1.7审核帐户管理 (13) 3.1.8审核过程追踪 (13) 3.1.9日志文件大小 (14) 第4章IP协议安全配置 (15) 4.1IP协议 (15) 4.1.1启用SYN攻击保护 (15) 第5章设备其他配置操作 (17) 5.1共享文件夹及访问权限 (17) 5.1.1关闭默认共享 (17)
5.1.2共享文件夹授权访问* (17) 5.2防病毒管理 (18) 5.2.1数据执行保护 (18) 5.3W INDOWS服务 (18) 5.3.1 SNMP服务管理 (18) 5.3.2系统必须服务列表管理* (19) 5.3.3系统启动项列表管理* (19) 5.3.4远程控制服务安全* (19) 5.3.5 IIS安全补丁管理* (20) 5.3.6活动目录时间同步管理* (20) 5.4启动项 (21) 5.4.1关闭Windows自动播放功能 (21) 5.5屏幕保护 (21) 5.5.1设置屏幕保护密码和开启时间* (21) 5.6远程登录控制 (22) 5.6.1限制远程登陆空闲断开时间 (22) 5.7补丁管理 (23) 5.7.1操作系统补丁管理* (23) 5.7.2操作系统最新补丁管理* (23) 第6章评审与修订 (24)
H3C交换机设备安全基线
H3C设备安全配置基线 目录 第 1 章概述 (5) 1.1 目的 (5) 1.2 适用范围 (5) 1.3 适用版本 (5) 第 2 章帐号管理、认证授权安全要求 (6) 2.1 帐号管理 (6) 2.1.1 用户帐号分配* (6) 2.1.2 删除无关的帐号* (7) 2.2 口令 (8) 2.2.1 静态口令以密文形式存放 (8) 2.2.2 帐号、口令和授权 (9) 2.2.3 密码复杂度 (10) 2.3 授权 (11) 2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (11) 第 3 章日志安全要求 (13) 3.1 日志安全 (13) 3.1.1 启用信息中心 (13)
3.1.2 开启NTP服务保证记录的时间的准确性 (14) 3.1.3 远程日志功能* (15) 第4章IP协议安全要求 (17) 4.1 IP 协议 (17) 4.1.1 VRRP认证 (17) 4.1.2 系统远程服务只允许特定地址访问 (17) 4.2 功能配置 (18) 4.2.1 SNMP的Community默认通行字口令强度 (18) 4.2.2 只与特定主机进行SNMP协议交互 (19) 4.2.3 配置SNMPV2或以上版本 (20) 424 关闭未使用的SNMP协议及未使用write权限 (21) 第 5 章IP 协议安全要求 (23) 5.1 其他安全配置 (23) 5.1.1 关闭未使用的接口 (23) 5.1.2 修改设备缺省BANNER语 (24) 5.1.3 配置定时账户自动登出 (24) 5.1.4 配置console 口密码保护功能 (25) 5.1.5 端口与实际应用相符 (26)
华为交换机DHCP snooping配置教程
华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性,在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。 使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。 图1 配置DHCP Snooping 基本功能组网图 如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。 全局使能DHCP Snooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN 10)使能DHCP Snooping 功能。 当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN使能DHCP Snooping功能。 请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。 1、使能DHCP Snooping功能 [Huawei]dhcp snooping enable ? ipv4 DHCPv4 Snooping ipv6 DHCPv6 Snooping vlan Virtual LAN
信息安全配置基线(整理)
Win2003 & 2008操作系统安全配置要求 2.1. 帐户口令安全 帐户分配:应为不同用户分配不同的帐户,不允许不同用户间共享同一帐户。 帐户锁定:应删除或锁定过期帐户、无用帐户。 用户访问权限指派:应只允许指定授权帐户对主机进行远程访问。 帐户权限最小化:应根据实际需要为各个帐户分配最小权限。 默认帐户管理:应对Administrator帐户重命名,并禁用Guest(来宾)帐户。 口令长度及复杂度:应要求操作系统帐户口令长度至少为8位,且应为数字、字母和特殊符号中至少2类的组合。 口令最长使用期限:应设置口令的最长使用期限小于90天。 口令历史有效次数:应配置操作系统用户不能重复使用最近 5 次(含 5 次)已使用过的口令。 口令锁定策略:应配置当用户连续认证失败次数为 5次,锁定该帐户30分钟。 2.2. 服务及授权安全 服务开启最小化:应关闭不必要的服务。 SNMP服务接受团体名称设置:应设置SNMP接受团体名称不为public或弱字符串。 系统时间同步:应确保系统时间与NTP服务器同步。 DNS服务指向:应配置系统DNS指向企业内部DNS服务器。 2.3. 补丁安全 系统版本:应确保操作系统版本更新至最新。 补丁更新:应在确保业务不受影响的情况下及时更新操作系统补丁。 2.4. 日志审计 日志审核策略设置:应合理配置系统日志审核策略。 日志存储规则设置:应设置日志存储规则,保证足够的日志存储空间。 日志存储路径:应更改日志默认存放路径。 日志定期备份:应定期对系统日志进行备份。 2.5. 系统防火墙:应启用系统自带防火墙,并根据业务需要限定允许通讯的应用程序或端口。 2.6. 防病毒软件:应安装由总部统一部署的防病毒软件,并及时更新。 2.7. 关闭自动播放功能:应关闭 Windows 自动播放功能。 2.8. 共享文件夹 删除本地默认共享:应关闭 Windows本地默认共享。 共享文件权限限制:应设置共享文件夹的访问权限,仅允许授权的帐户共享此文件夹。 2.9. 登录通信安全 禁止远程访问注册表:应禁止远程访问注册表路径和子路径。 登录超时时间设置:应设置远程登录帐户的登录超时时间为30 分钟。 限制匿名登录:应禁用匿名访问命名管道和共享。
各类操作系统安全基线配置
各类操作系统安全配 置要求及操作指南 检查模块支持系统版本号 Windows Windows 2000 以上 Solaris Solaris 8 以上 AIX AIX 5.X以上 HP-UNIX HP-UNIX 11i以上 Linux 内核版本2.6以上 Oracle Oracle 8i以上 SQL Server Microsoft SQL Server 2000 以上 MySQL MySQL 5.x以上 IIS IIS 5.x以上 Apache Apache 2.x 以上 Tomcat Tomcat 5.x以上 WebLogic WebLogic 8.X以上
Windows操作系统 安全配置要求及操作指南 I 目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 授权 (5) 4.4 补丁 (7) 4.5 防护软件 (8) 4.6 防病毒软件 (8) 4.7 日志安全要求 (9) 4.8 不必要的服务 (11) 4.9 启动项 (12) 4.10 关闭自动播放功能 (13) 4.11 共享文件夹 (13) 4.12 使用NTFS 文件系统 (14) 4.13 网络访问 (15) 4.14 会话超时设置 (16)
H3C交换机安全配置基线
H3C交换机安全配置基线(Version 1.0) 2012年12月
目录 1 引言 (1) 2 适用范围 (1) 3 缩略语 (1) 4 安全基线要求项命名规则 (2) 5 文档使用说明 (2) 6 注意事项 (3) 7 安全配置要求 (3) 7.1 账号管理 (3) 7.1.1 运维账号共享管理 (3) 7.1.2 删除与工作无关账号 (3) 7.2 口令管理 (4) 7.2.1 静态口令加密 (4) 7.2.2 静态口令运维管理 (4) 7.3 认证管理 (5) 7.3.1 RADIUS认证(可选) (5) 7.4 日志审计 (6) 7.4.1 RADIUS记账(可选) (6) 7.4.2 启用信息中心 (6) 7.4.3 远程日志功能 (7) 7.4.4 日志记录时间准确性 (7)
7.5 协议安全 (7) 7.5.1 BPDU防护 (8) 7.5.2 根防护 (8) 7.5.3 VRRP认证 (8) 7.6 网络管理 (9) 7.6.1 SNMP协议版本 (9) 7.6.2 修改SNMP默认密码 (9) 7.6.3 SNMP通信安全(可选) (10) 7.7 设备管理 (10) 7.7.1 交换机带内管理方式 (10) 7.7.2 交换机带内管理通信 (11) 7.7.3 交换机带内管理超时 (11) 7.7.4 交换机带内管理验证 (12) 7.7.5 交换机带内管理用户级别 (12) 7.7.6 交换机带外管理超时 (13) 7.7.7 交换机带外管理验证 (13) 7.8 端口安全 (13) 7.8.1 使能端口安全 (13) 7.8.2 端口MAC地址数 (14) 7.8.3 交换机VLAN划分 (14) 7.9 其它 (15) 7.9.1 交换机登录BANNER管理 (15)
H3C交换机安全配置基线
H3C交换机安全配置基线
备注: 1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目录 第1章概述................................................... 错误!未定义书签。 目的 .................................................... 错误!未定义书签。 适用范围 ................................................ 错误!未定义书签。 适用版本 ................................................ 错误!未定义书签。 实施 .................................................... 错误!未定义书签。 例外条款 ................................................ 错误!未定义书签。第2章帐号管理、认证授权安全要求.............................. 错误!未定义书签。 帐号 .................................................... 错误!未定义书签。 配置默认级别* ....................................... 错误!未定义书签。 口令 .................................................... 错误!未定义书签。 密码认证登录........................................ 错误!未定义书签。 设置访问级密码 ...................................... 错误!未定义书签。 加密口令............................................ 错误!未定义书签。第3章日志安全要求 ........................................... 错误!未定义书签。 日志安全 ................................................ 错误!未定义书签。 配置远程日志服务器 .................................. 错误!未定义书签。第4章IP协议安全要求....................................... 错误!未定义书签。 IP协议.................................................. 错误!未定义书签。 使用SSH加密管理 .................................... 错误!未定义书签。 系统远程管理服务只允许特定地址访问 .................. 错误!未定义书签。第5章SNMP安全要求......................................... 错误!未定义书签。 SNMP安全................................................ 错误!未定义书签。 修改SNMP默认通行字 ................................. 错误!未定义书签。 使用SNMPV2或以上版本 ............................... 错误!未定义书签。 SNMP访问控制.......................................... 错误!未定义书签。第6章其他安全要求 ........................................... 错误!未定义书签。 其他安全配置 ............................................ 错误!未定义书签。 关闭未使用的端口 .................................... 错误!未定义书签。 帐号登录超时........................................ 错误!未定义书签。 关闭不需要的服务* ................................... 错误!未定义书签。第7章评审与修订............................................. 错误!未定义书签。
华为交换机的配置S2700
华为交换机的配置——S2700
Windows系统安全配置基线
Windows系统安全配置基线
目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 第2章安装前准备工作 (1) 2.1需准备的光盘 (1) 第3章操作系统的基本安装 (1) 3.1基本安装 (1) 第4章账号管理、认证授权 (2) 4.1账号 (2) 4.1.1管理缺省账户 (2) 4.1.2删除无用账户 (2) 4.1.3用户权限分离 (3) 4.2口令 (3) 4.2.1密码复杂度 (3) 4.2.2密码最长生存期 (4) 4.2.3密码历史 (4) 4.2.4帐户锁定策略 (5) 4.3授权 (5) 4.3.1远程关机 (5) 4.3.2本地关机 (6) 4.3.3隐藏上次登录名 (6) 4.3.4关机清理内存页面 (7) 4.3.5用户权利指派 (7) 第5章日志配置操作 (8) 5.1日志配置 (8) 5.1.1审核登录 (8) 5.1.2审核策略更改 (8) 5.1.3审核对象访问 (8) 5.1.4审核事件目录服务器访问 (9) 5.1.5审核特权使用 (9) 5.1.6审核系统事件 (10) 5.1.7审核账户管理 (10) 5.1.8审核过程追踪 (10) 5.1.9日志文件大小 (11) 第6章其他配置操作 (11)
6.1共享文件夹及访问权限 (11) 6.1.1关闭默认共享 (11) 6.2防病毒管理 (12) 6.2.1防病毒软件保护 (12) 6.3W INDOWS服务 (12) 6.3.1 系统服务管理 (12) 6.4访问控制 (13) 6.4.1 限制Radmin管理地址 (13) 6.5启动项 (13) 6.4.1关闭Windows自动播放功能 (13) 6.4.3配置屏保功能 (14) 6.4.4补丁更新 (14) 持续改进 (15)
华为交换机安全基线
华为设备安全配置基线目录
概述 目的 规范配置华为路由器、交换机设备,保证设备基本安全。 适用范围 本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。 适用版本 华为交换机、路由器。
帐号管理、认证授权安全要求 帐号管理 1.1.1用户帐号分配* 1、安全基线名称:用户帐号分配安全 2、安全基线编号:SBL-HUAWEI-02-01-01 3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作: [Huawei]aaa [Huawei-aaa]local-user admin password cipher admin123 [Huawei-aaa]local-user admin privilege level 15 [Huawei-aaa]local-user admin service-type ssh [Huawei-aaa]local-user user password cipher user123 [Huawei-aaa]local-user user privilege level 4 [Huawei-aaa]local-user user service-type ssh 5、安全判定条件: (1)配置文件中,存在不同的账号分配 (2)网络管理员确认用户与账号分配关系明确 6、检测操作: 使用命令dis cur命令查看: … # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15 local-user admin service-type ssh local-user user password cipher "=LP!6$^-IYNZP local-user user privilege level 4 local-user user service-type ssh # 对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。 1.1.2删除无关的帐号* 1、安全基线名称:删除无关的账号 2、安全基线编号:SBL-HUAWEI-02-01-02 3、安全基线说明:应删除与设备运行、维护等工作无关的账号。 4、参考配置操作:
华为数据中心5800交换机01-09 端口安全配置
9端口安全配置关于本章 9.1 简介 介绍端口安全的定义和目的。 9.2 原理描述 通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安 全的实现原理。 9.3 应用场景 介绍端口安全常见的应用场景。 9.4 配置注意事项 介绍端口安全的配置注意事项。 9.5 缺省配置 介绍端口安全的缺省配置。 9.6 配置端口安全 端口安全(Port Security)功能将设备接口学习到的MAC地址变为安全MAC地址(包 括安全动态MAC和Sticky MAC),可以阻止除安全MAC和静态MAC之外的主机通过 本接口和交换机通信,从而增强设备安全性。 9.7 配置举例 结合组网需求、配置思路来了解实际网络中端口安全的应用场景,并提供配置文件。 9.1 简介 介绍端口安全的定义和目的。 端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址 (包括安全动态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而 增强设备的安全性。
9.2 原理描述 通过介绍安全MAC地址的分类和超过安全MAC地址限制数后的保护动作,说明端口安 全的实现原理。 安全MAC地址的分类 安全MAC地址分为:安全动态MAC与Sticky MAC。 表9-1安全MAC地址的说明 l接口使能端口安全功能时,接口上之前学习到的动态MAC地址表项将被删除,之后学习到的MAC地址将变为安全动态MAC地址。 l接口使能Sticky MAC功能时,接口上的安全动态MAC地址表项将转化为Sticky MAC地址, 之后学习到的MAC地址也变为Sticky MAC地址。 l接口去使能端口安全功能时,接口上的安全动态MAC地址将被删除,重新学习动态MAC地 址。 l接口去使能Sticky MAC功能时,接口上的Sticky MAC地址,会转换为安全动态MAC地址。超过安全MAC地址限制数后的动作 接口上安全MAC地址数达到限制后,如果收到源MAC地址不存在的报文,端口安全则 认为有非法用户攻击,就会根据配置的动作对接口做保护处理。缺省情况下,保护动 作是丢弃该报文并上报告警。
2016年华为交换机配置步骤讲解
恢复出厂设置:
ip address 10.120.3.1 255.255.255.0 ///////////////////////////////////////////////////////////////////// management-vlan 1571 interface vlan 1571 ip address 10.120.211.1 255.255.255.0 //////////////////////////////////////////// Switch#con term Switch(config)#inter inter vlan 1166 Switch(config-if)#ip addresss 10.120.6.3 255.255.255.0 Switch(config-if)#exit Switch(config)#ip default-gateway 10.120.6.254 幼儿园的交换机 DHCP服务器210.36.64.80的设置:
新建作用域。。。业务VLAN 核心交换机端的设置: 1、
华为交换机安全配置基线
华为交换机安全配置基线(Version 1.0) 2012年12月
目录 1 引言 (1) 2 适用范围 (1) 3 缩略语 (1) 4 安全基线要求项命名规则 (2) 5 文档使用说明 (2) 6 注意事项 (3) 7 安全配置要求 (3) 7.1 账号管理 (3) 7.1.1 运维账号共享管理 (3) 7.1.2 删除与工作无关账号 (3) 7.2 口令管理 (4) 7.2.1 静态口令加密 (4) 7.2.2 静态口令运维管理 (5) 7.3 认证管理 (5) 7.3.1 RADIUS认证(可选) (5) 7.4 日志审计 (6) 7.4.1 RADIUS记账(可选) (6) 7.4.2 启用信息中心 (7) 7.4.3 远程日志功能 (8) 7.4.4 日志记录时间准确性 (8)
7.5 协议安全 (8) 7.5.1 BPDU防护 (8) 7.5.2 根防护 (9) 7.5.3 VRRP认证 (9) 7.6 网络管理 (10) 7.6.1 SNMP协议版本 (10) 7.6.2 修改SNMP默认密码 (10) 7.6.3 SNMP通信安全(可选) (11) 7.7 设备管理 (11) 7.7.1 交换机带内管理方式 (11) 7.7.2 交换机带内管理通信 (12) 7.7.3 交换机带内管理超时 (12) 7.7.4 交换机带内管理验证 (13) 7.7.5 交换机带内管理用户级别 (13) 7.7.6 交换机带外管理超时 (14) 7.7.7 交换机带外管理验证 (14) 7.8 端口安全 (14) 7.8.1 使能端口安全 (14) 7.8.2 端口MAC地址数 (15) 7.8.3 交换机VLAN划分 (15) 7.9 其它 (16) 7.9.1 交换机登录BANNER管理 (16)