XX銀行H3C交換機(jī)安全基線配置

1、XXXXXX 銀行銀行銀行 H3CH3CH3C 交換機(jī)系列安全配置基線交換機(jī)系列安全配置基線交換機(jī)系列安全配置基線(V1.0)(V1.0)(V1.0)XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 1 頁目 錄1適用聲明適用聲明.22訪問控制訪問控制.32.1遠(yuǎn)程連接源地址限制.213安全審計(jì)安全審計(jì).33.1開啟設(shè)備的日志功能.64入侵防范入侵防范.74.1配置防 ARP 欺騙攻擊.74.2配置常見的漏洞攻擊和病毒過濾功能.44.3配置 ACL 規(guī)則.35網(wǎng)絡(luò)設(shè)備防護(hù)網(wǎng)絡(luò)設(shè)備防護(hù).85.1限制管理員遠(yuǎn)程直接登錄.85.2連接空閑時(shí)間設(shè)定.95.3遠(yuǎn)程登陸加密傳輸.105.4配置C

2、ONSOLE口密碼保護(hù)功能和連接超時(shí).115.5按照用戶分配賬號.125.6刪除設(shè)備中無用的閑置賬號.135.7修改設(shè)備上存在的弱口令.135.8配置和認(rèn)證系統(tǒng)聯(lián)動功能.14配置和認(rèn)證系統(tǒng)聯(lián)動功能.145.9配置 NTP 服務(wù) .155.10修改 SNMP 的COMMUNITY默認(rèn)通行字.165.11使用 SNMPV2 或以上版本.175.12設(shè)置 SNMP 的訪問安全限制.185.13系統(tǒng)應(yīng)關(guān)閉未使用的 SNMP 協(xié)議及未使用 RW 權(quán)限.195.14關(guān)閉不必要的服務(wù).195.15配置防源地址欺騙攻擊.205.16禁止設(shè)備未使用或者空閑的端口.21XX 銀行科技安全室H3C 交換機(jī)安全基線配

3、置與檢查列表第 2 頁1適用聲明適用人員適用人員IT 部的網(wǎng)絡(luò)維護(hù)人員、安全評估人員、安全審計(jì)人員適用版本適用版本H3C 同系列的網(wǎng)絡(luò)交換機(jī)適用等保一級適用等保一級項(xiàng)適用等保二級適用等保二級項(xiàng)適用等保三級適用等保三級項(xiàng)適用等保四級適用等保四級項(xiàng)參考依據(jù)參考依據(jù)H3C 交換機(jī)配置手冊GB/T 20270-2006 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求GB/T 20011-2005 信息安全技術(shù) 路由器安全評估準(zhǔn)則JR/T 0068-2012 網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求GB/T 25070-2010 信息安全技術(shù) 信息系統(tǒng)等

4、級保護(hù)安全設(shè)計(jì)技術(shù)要求JR/T 0071-2012 金融行業(yè)信息系統(tǒng)信息安全等級保護(hù)實(shí)施指引XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 3 頁2訪問控制2.1配置 ACL 規(guī)則配置/檢查項(xiàng)配置ACL規(guī)則適用等保級別 等保一至四級檢查步驟1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 ACL 匹配路由是否按照業(yè)務(wù)需求設(shè)置H3Cdis cur | in aclH3Cdis this acl配置步驟設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源 IP 地址、通信協(xié)議 TC

5、P 或 UDP、目的IP 地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置 ACL 列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source destination 4.配置流分類，定義基于 ACL 的匹配規(guī)則。H3Ctraffic classifier tc1H3C-classifier-tc

6、1 if-match acl 20005.配置流行為H3C traffic behavior tb1XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 4 頁H3C-behavior-tb1 deny6.定義流策略，將流分類與流行為關(guān)聯(lián)。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb17.應(yīng)用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound備注2.2配置常見

7、的漏洞攻擊和病毒過濾功能配置/檢查項(xiàng)配置常見的漏洞攻擊和病毒過濾功能適用等保級別檢查步驟1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看ACL中是否匹配漏洞攻擊和病毒攻擊H3Cdis current-configuration | in acl配置步驟設(shè)備應(yīng)配置 ACL，通過 ACL 列表來過濾一些常見的漏洞攻擊和病毒攻擊。4.進(jìn)入用戶視圖5.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with

8、 Ctrl+Z.H3C6.配置 ACL 列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source destination source-port eq ftp-data XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 5 頁7.配置流分類，定義基于 ACL 的匹配規(guī)則。H3Ctraffic classifier tc1H3C-classifier-tc1 if-match acl 20008.配置流行為H3C traffic behavior tb1H3C-behavi

9、or-tb1 deny9.定義流策略，將流分類與流行為關(guān)聯(lián)。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb110. 應(yīng)用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound備注XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 6 頁3安全審計(jì)3.1開啟設(shè)備的日志功能配置/檢查項(xiàng)配置設(shè)備的日志功能適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換

10、到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看日志功能是否按照需求配置H3Cdis cur | in info-center配置步驟要求相關(guān)安全審計(jì)信息應(yīng)收集設(shè)備登錄信息日志和設(shè)備事件信息日志，同時(shí)提供 SYSLOG 服務(wù)器的設(shè)置方式，所有的日志信息可以均可以遠(yuǎn)程存儲到日志服務(wù)器。并且必須保證日志服務(wù)器的安全性。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.開啟日志功能H3

11、C info-center enable4.配置日志信息輸出到控制臺，用戶可以在控制臺上查看到日志信息，了解到設(shè)備的運(yùn)行情況H3C info-center console channel 05.配置日志信息輸出到日志緩沖區(qū)H3C info-center logbuffer channel 46.配置日志信息輸出到日志服務(wù)器H3C info-center loghost XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 7 頁備注4入侵防范4.1配置防 ARP 欺騙攻擊配置/檢查項(xiàng)配置防ARP欺騙攻擊適用等保級別檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 syst

12、em-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 ARP 地址欺騙 H3Cdis current-configuration | in anti-attack配置步驟配置設(shè)備的防 ARP 欺騙攻擊功能，可以有效的減少 ARP 攻擊對網(wǎng)絡(luò)造成的影響。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置防止 ARP 地址欺騙H3C arp anti-attack entry-check fixed-m

13、ac enable 適用于靜態(tài)配置IP 地址，但網(wǎng)絡(luò)存在冗余鏈路的情況。當(dāng)鏈路切換時(shí)，ARP 表項(xiàng)中的接口信息可以快速改變H3C arp anti-attack entry-check fixed-all enable 適用于靜態(tài)配置 IP地址，網(wǎng)絡(luò)沒有冗余鏈路，同一 IP 地址用戶不會從不同接口接入 S5300 的情況H3C arp anti-attack entry-check send-mac enable 適用于動態(tài)分配IP 地址，有冗余鏈路的網(wǎng)絡(luò)XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 8 頁4.配置防止 ARP 網(wǎng)關(guān)沖突H3C arp anti-attack ga

14、teway-duplicate enable 備注5網(wǎng)絡(luò)設(shè)備防護(hù)5.1限制管理員遠(yuǎn)程直接登錄配置/檢查項(xiàng)限制具備管理員權(quán)限的用戶遠(yuǎn)程直接登錄適用等保級別檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否存在高級別權(quán)限密碼H3Cdis cur | in acl4.查看是否對于 user 用戶密碼進(jìn)行配置H3Cdis cur | in local-user配置步驟遠(yuǎn)程管理員應(yīng)先以普通權(quán)限用戶登錄后，再切換到管理員權(quán)限執(zhí)行相應(yīng)操作。1.進(jìn)入用戶視圖2.由戶視圖切換

15、到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.設(shè)置用戶由低級別權(quán)限切換到高級別權(quán)限的密碼H3C super password level 3 cipher anbang1234.進(jìn)入 aaa 視圖H3Caaa5.配置具備遠(yuǎn)程登陸用戶 user1 的權(quán)限信息。XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 9 頁配置用戶 user1 權(quán)限等級為 Level 1,具有 telnet 服務(wù)。H3C-aaa local-user user1 password cipher anbang1234H3

16、C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 16.配置遠(yuǎn)程登陸用戶的認(rèn)證方式為 aaa 認(rèn)證H3C user-interface vty0 4H3C-ui-vty0-4 authentication-mode aaa備注5.2連接空閑時(shí)間設(shè)定配置/檢查項(xiàng)設(shè)置用戶登錄設(shè)備的空閑時(shí)間適用等保級別 等保一至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 AAA

17、 下是否有相關(guān)的用戶口令配置H3Cdis cur | in aaa配置步驟用戶登錄交換機(jī)后，如果在設(shè)定的時(shí)間內(nèi)沒有任何操作，則斷開連接，用戶如果需要繼續(xù)操作，則需要重新輸入口令。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進(jìn)入 aaa 視圖，配置用戶 user1 的超時(shí)時(shí)間為 5 分鐘。H3CaaaH3C-aaa local-user user1 password cipher anbang1234XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 10 頁H

18、3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1H3C-aaa local-user user1 idle-timeout 5 備注5.3遠(yuǎn)程登陸加密傳輸配置/檢查項(xiàng)遠(yuǎn)程登陸加密傳輸適用等保級別 等保一至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看相關(guān) SSH 配置H3Cdis cur | in ssh配置步驟如果通過遠(yuǎn)程對交換機(jī)進(jìn)行管理維護(hù)，特別是通

19、過互聯(lián)網(wǎng)以及不安全的公共網(wǎng)絡(luò)，設(shè)備應(yīng)配置使用 SSH 加密協(xié)議。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.生成本地密鑰對H3C rsa local-key-pair create4.創(chuàng)建 ssh 用戶和密碼H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode aaaH3C-ui-vty0-4 protocol inbound sshH3C-ui-vty0-4 ssh user abc authenti

20、cation-type passwordXX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 11 頁H3Cstelnet server enableH3Cssh user abc service-type stelnetH3CaaaH3C-aaa local-user abc password simple abcH3C-aaa local-user abc service-type ssh5.使能 stelnet 服務(wù) H3Cstelnet server enable備注5.4配置 console 口密碼保護(hù)功能和連接超時(shí)配置/檢查項(xiàng)設(shè)置用戶通過console口登錄交換機(jī)時(shí)的密碼適用

21、等保級別 等保一至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否存在對 CONSOLE 口的口令配置H3Cdis cur | in user-interface配置步驟用戶通過 console 口登錄交換機(jī)時(shí)，需要輸入密碼，并且用戶登錄交換機(jī)后，如果在設(shè)定的時(shí)間內(nèi)沒有任何操作，則斷開連接，用戶如果需要繼續(xù)操作，則需要重新輸入口令。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return us

22、er view with Ctrl+Z.H3C3.配置登錄 console 口時(shí)的口令和超時(shí)時(shí)間 H3C user-interface console 0XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 12 頁H3C-ui-console0 authentication-mode passwordH3C-ui-console0 set authentication password cipher anbang123H3C-ui-console0 idle-timeout 5 備注5.5按照用戶分配賬號配置/檢查項(xiàng)按照用戶分配賬號適用等保級別檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到

23、系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否對于不同用戶配置權(quán)限信息H3Cdis cur | in local-user配置步驟避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進(jìn)入 aaa 視圖H3Caaa4.為不同的用戶配置不同的權(quán)限信息。 配置用戶 user1 具有 telnet 權(quán)限，user2 具有

24、ftp 權(quán)限。H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user2 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user2 service-type ftpXX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 13 頁H3C-aaa local-user user1 level 1H3C-aaa local-user user2 level 1備注5.6刪除設(shè)

25、備中無用的閑置賬號配置/檢查項(xiàng)刪除設(shè)備中無用的閑置賬號適用等保級別等保二至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看設(shè)備中是否存在限制的用戶賬號和信息H3Cdis cur | in local-user配置步驟定期檢查設(shè)備賬號配置，刪除與設(shè)備運(yùn)行，維護(hù)等無關(guān)的賬號。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進(jìn)入 aaa 視

26、圖H3Caaa4.刪除設(shè)備中無用的賬號。H3C-aaa undo local-user user1備注5.7修改設(shè)備上存在的弱口令配置/檢查項(xiàng)修改設(shè)備上存在的弱口令適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 14 頁2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看用戶的密碼信息H3Cdis cur | in local-user配置步驟對于采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令長度至少 8 位，并包括數(shù)字、小寫字母、大寫字母

27、和特殊符號 4 類中至少 2 類，且用戶口令加密存儲。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.進(jìn)入 aaa 視圖，配置用戶 user1 的口令，并且口令加密存儲。H3Caaa H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1備注5.8配置和認(rèn)證系統(tǒng)聯(lián)動功能配置/

28、檢查項(xiàng)配置和認(rèn)證系統(tǒng)聯(lián)動功能適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3CXX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 15 頁3.查看是否配置了認(rèn)證服務(wù)系統(tǒng)H3Cdis cur | in radius-server配置步驟設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強(qiáng)制要求。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view

29、 with Ctrl+Z.H3C3.配置 RADIUS 服務(wù)器模板 testH3Cradius-server template test4.配置 RADIUS 認(rèn)證服務(wù)器的 IP 地址、端口。H3C-radius-testradius-server authentication 18125.配置 RADIUS 服務(wù)器密鑰、重傳次數(shù)H3C-radius-testradius-server shared-key cipher helloH3C-radius-testradius-server retransmit 26.配置認(rèn)證方案 1，認(rèn)證模式為先 RADIUS，如果沒有響應(yīng)，則

30、不認(rèn)證H3CaaaH3C-aaaauthentication-scheme 1H3C-aaaauthentication-mode radius none7.配置 ab 域，在域下應(yīng)用認(rèn)證方案 1、RADIUS 模板 testH3C-aaa domain abH3C-aaa-domain-abauthentication-scheme 1H3C-aaa-domain-abradius-server test備注5.9配置 NTP 服務(wù)配置/檢查項(xiàng)配置NTP服務(wù)適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 16 頁2.用戶視圖切換到

31、系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 NTP 相關(guān)配置是否正確H3Cdis cur | in ntp配置步驟開啟 NTP 服務(wù)，保證日志功能記錄的時(shí)間的準(zhǔn)確性，同時(shí)交換機(jī)和 NTP SERVER 之間要開啟認(rèn)證功能。1 進(jìn)入用戶視圖2由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3在交換機(jī)上使能 NTP 功能，配置驗(yàn)證密鑰并聲明該密鑰可信 H3C ntp-service authentic

32、ation enableH3C ntp-service authentication-keyid 1 authentication-mode md5 HelloH3C ntp-service reliable authentication-keyid 14 配置 NTP 服務(wù)器，并使用已配置的驗(yàn)證密鑰。H3C ntp-service unicast-server authentication-keyid 1備注5.10 修改 SNMP 的 community 默認(rèn)通行字配置/檢查項(xiàng)修改SNMP的community默認(rèn)通行字，通行字應(yīng)符合口令強(qiáng)度要求適用等保級別 等保二至四級檢查

33、步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewXX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 17 頁Enter system view, return user view with Ctrl+Z.H3C3.查看 COMMUNITY 是否存在默認(rèn)通行字H3Cdis cur | in acl配置步驟應(yīng)修改 SNMP 的 Community 默認(rèn)通行字，通行字應(yīng)符合口令強(qiáng)度要求。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.修改 SNMP

34、 的默認(rèn)通行字H3C snmp-agent community read 1234abcdH3C snmp-agent community write 1234abcd備注5.11使用 SNMPV2 或以上版本配置/檢查項(xiàng)使用SNMPV2或以上版本適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 SNMP 的運(yùn)行版本H3Cdis cur | in snmp-agent配置步驟應(yīng)配置 SNMP 使用 SNMPv2 或者以上版本，加強(qiáng)安全

35、性。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 18 頁 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置 SNMP 版本。H3C snmp-agent sys-info version v3備注5.12 設(shè)置 SNMP 的訪問安全限制配置/檢查項(xiàng)設(shè)置SNMP的訪問安全限制適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with C

36、trl+Z.H3C3.查看 SNMP 的訪問安全限制H3Cdis cur | in snmp-agent配置步驟設(shè)置 SNMP 訪問安全限制，只允許特定主機(jī)通過 SNMP 訪問網(wǎng)絡(luò)設(shè)備。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置可以訪問交換機(jī)的 ACL 列表。H3C acl 2001H3C-acl-basic-2001 rule 5 permit source 4.應(yīng)用 ACL 到 SNMP 配置。H3C snmp-agent co

37、mmunity write 1234abcd acl 2001H3C snmp-agent community read 1234abcd acl 2001XX 銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 19 頁備注5.13 系統(tǒng)應(yīng)關(guān)閉未使用的 SNMP 協(xié)議及未使用 RW 權(quán)限配置/檢查項(xiàng)關(guān)閉未使用的SNMP協(xié)議及未使用RW權(quán)限適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看 SNMP 協(xié)議的 RW 相關(guān)配置H3Cdis

38、 cur | in RW配置步驟如不需要提供 SNMP 服務(wù)的，要求禁止 SNMP 協(xié)議服務(wù)，注意在禁止時(shí)刪除一些 SNMP 服務(wù)的默認(rèn)配置。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.配置可以訪問交換機(jī)的 ACL 列表。H3C Undo snmp enableH3Cundo snmp-agent community RWuser備注5.14 關(guān)閉不必要的服務(wù)配置/檢查項(xiàng)關(guān)閉不必要的服務(wù)適用等保級別 等保二至四級檢查步驟1.進(jìn)入用戶視圖2.用戶視圖切換到系統(tǒng)視圖XX

39、銀行科技安全室H3C 交換機(jī)安全基線配置與檢查列表第 20 頁 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看存在哪些協(xié)議如:FTP,HTTP,DHCP 等。H3Cdis cur配置步驟關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的服務(wù)，如:FTP,HTTP,DHCP SERVER 等。1.進(jìn)入用戶視圖2.由戶視圖切換到系統(tǒng)視圖 system-viewEnter system view, return user view with Ctrl+Z.H3C3.關(guān)閉設(shè)備的 ftp 服務(wù)。H3C undo ftp server備注5.15 配置防源地址欺騙攻擊配置/檢查項(xiàng)配置防源地址欺騙攻擊適用等保級別檢查步驟1.進(jìn)入用戶視圖2.