H3C交換機安全配置基線_第1頁
H3C交換機安全配置基線_第2頁
H3C交換機安全配置基線_第3頁
H3C交換機安全配置基線_第4頁
H3C交換機安全配置基線_第5頁
已閱讀5頁,還剩8頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、H3c交換機安全配置基線版本版本控制信息|更新日期更新人審批人V2.0創(chuàng)建2012年4月備注:1.若此文檔需要日后更新,請創(chuàng)建人填寫版本控制表格,否則刪除版本控制表格。第1章概述目的本文檔旨在指導系統(tǒng)管理人員進行 H3C交換機的安全配置。適用范圍本配置標準的使用者包括:網(wǎng)絡管理員、網(wǎng)絡安全管理員、網(wǎng)絡監(jiān)控人員。適用版本H3C交換機。實施例外條款第2章帳號管理、認證授權(quán)安全要求帳號配置默認級別*安全基線項 目名稱配置默認級別安全基線要求項安全基線編 號SBL-H3CSwitch-02-01-01安全基線項 說明交換機命令級別共分為訪問、監(jiān)控、系統(tǒng)、管理4個級別,分別對應標識0、1、2、3。配置登

2、錄默認級別為訪問級( 0-VISIT )檢測操作步 驟1、參考配置操作user-interface aux 0 8authentication-mode passworduser privilege level 0set authentication password cipher xxxuser-interface vty 0 4authentication-mode passworduser privilege level 0set authentication password cipher xxx2、補充說明無?;€符合性 判定依據(jù)1、判定條件用配置中沒有的用戶名去登錄,結(jié)果是不能登錄

3、2、參考檢測操作display current-configuration3、補充說明無。備注手工檢查口令密碼認證登錄安全基線項 目名稱密碼認證登錄安全基線要求項安全基線編 號SBL-H3CSwitch-02-02-01安全基線項 說明通過控制臺和遠程終端,需要密碼才能登錄.口令長度至少8位,并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應至少每 90天進行更換。檢測操作步 驟1、參考配置操作user-interface aux 0 8authentication-mode passworduser privilege level 0set auth

4、entication password cipher xxxuser-interface vty 0 4authentication-mode password/ 或 authentication-mode schemeuser privilege level 0set authentication password cipher xxx2、補充說明無?;€符合性 判定依據(jù)1、判定條件用配置中沒有的用戶名去登錄,結(jié)果是不能登錄2、參考檢測操作display current-configuration3、補充說明無。備注設(shè)置訪問級密碼安全基線項 目名稱設(shè)置訪問級密碼安全基線要求項安全基線編 號S

5、BL-H3CSwitch-02-02-02安全基線項 說明用戶可以無條件切換到比當前低的用戶級別,但是當使用AUX或VTY用戶界面登錄,并且從低級別往高級別切換時,需要輸入級別切換密碼(級別切換密他可以通過super password命令設(shè)直)。如果輸入的答碼錯誤或者沒有配 置級別切換密碼,切換操作失敗。因此,在進行切換操作前,請先配置級別 切換密碼。檢測操作步 驟1、參考配置操作 system-viewSysname super password level 1 cipher password1Sysname super password level 2 cipher password2Sy

6、sname super password level 3 cipher password32、補充說明無?;€符合性 判定依據(jù)1、判定條件Sysname display current-configuration備注加密口令安全基線項 目名稱加密口令安全基線要求項安全基線編 號SBL-H3CSwitch-02-02-03安全基線項 說明靜態(tài)口令必須使用不PJ逆加密算法加密后保存于配置文件中。檢測操作步 驟1、參考配置操作user-interface aux 0 8user privilege level 0set authentication passwordcipher xxxuser-in

7、terface vty 0 4user privilege level 0set authentication passwordcipher xxxsuper password level 1cipherpassword1super password level 2cipherpassword2super password level 3cipherpassword3基線符合性 判定依據(jù).判定條件用戶的加密口令在 config 文件中顯本的密義。.參考檢測操作display current-configuration備注第3章日志安全要求日志安全配置遠程日志服務器安全基線項 目名稱配置遠程日志

8、服務器安全基線要求項安全基線編 號SBL-H3CSwitch-03-01-01安全基線項 說明設(shè)備應支持遠程日志功能。所有設(shè)備日志均能通過遠程日志功能傳輸?shù)饺罩痉掌?。設(shè)備應支持至少一種通用的遠程標準日志接口,如SYSLOGFTP等。檢測操作步 驟1、參考配置操作h3c info-center enableh3c info-center loghost xxxxx channel loghost2、補充說明在系統(tǒng)模式下進行操作?;€符合性 判定依據(jù).判定條件是否止確配置了相應的日志服務器地址,日志服務器正確記錄了日志信息。.參考檢測操作display current-configuration

9、.補充說明無。備注根據(jù)應用場景的不向,如部署場景需開啟此功能,則強制要求此項。建議核心設(shè)備必選,其它根據(jù)實際情況啟用第4章IP協(xié)議安全要求4.1 IP協(xié)議4.1.1使用SSH加密管理安全基線項 目名稱使用SSH加密管理安全基線要求項安全基線編 號SBL-H3CSwitch-04-01-01安全基線項 說明對于使用IP協(xié)議進行遠程維護的設(shè)備,設(shè)備應配置使用 SSH等加密協(xié)議,關(guān)閉 TELNET。檢測操作步 驟1、參考配置操作#設(shè)置用戶界面 VTY 0到VTY 4支持SSH協(xié)議。 system-viewSysname user-interface vty 0 4Sysname-ui-vty0-4

10、authentication-mode schemeSysname-ui-vty0-4 protocol inbound ssh2、補充說明無。基線符合性 判定依據(jù)1.參考檢測操作2.補充說明無。備注4.1.2系統(tǒng)遠程管理服務只允許特定地址訪問安全基線項 目名稱系統(tǒng)遠程管理服務只允許特定地址訪問安全基線要求項安全基線編 號SBL-H3CSwitch-04-01-02安全基線項 說明系統(tǒng)遠程管理服務 TELNET SSH默認可以接受任何地址的連接,出于安全考 慮,應該只允許特定地址訪問。檢測操作步 驟1、參考配置操作Acl number 2000 User-interface vty 0 4 a

11、cl 2000 inbound2、補充說明無?;€符合性 判定依據(jù). 判定條件通過設(shè)定acl ,成功過濾非法的訪問。.參考檢測操作display current-configuration.補充說明無。備注第5章SNMP安全要求SNMP 安全修改SNMP默認通行字安全基線項 目名稱修改SNMP默認通行字安全基線要求項安全基線編 號SBL-H3CSwitch-05-01-01安全基線項 說明系統(tǒng)應修改SNMP勺Community默認通仃子,通仃子應符合口令強度要求。檢測操作步 驟1、參考配置操作snmp-agent community read xxxsnmp-agent community w

12、rite xxxx2、補充說明無?;€符合性 判定依據(jù)1.判定條件系統(tǒng)成功修改 SNMP的Community為用戶定義口令,非常規(guī) private 或者 public ,并且符合口令強度要求。.參考檢測操作display current-configuration.補充說明無。備注使用SNMPV2或以上版本安全基線項 目名稱SNMP版本安全基線要求項安全基線編 號SBL-H3CSwitch-05-01-02安全基線項 說明系統(tǒng)應配置為 SNMPV減以上版本。檢測操作步 驟1、參考配置操作snmp-agent sys-info version v32、補充說明無?;€符合性 判定依據(jù). 判定條件

13、成功使能snmpv2c、和v3版本。.參考檢測操作display current-configuration.補充說明無。備注SNMP訪問控制安全基線項 目名稱SNMP訪問控制安全基線要求項安全基線編 號SBL-H3CSwitch-05-01-03安全基線項 說明設(shè)置SNM昉問安全限制,只允許特定主機通過SNM助問網(wǎng)絡設(shè)備。檢測操作步 驟1、參考配置操作snmp-agent community read XXXX01 acl 20002、補充說明無。基線符合性 判定依據(jù). 判定條件通過設(shè)定acl來成功過濾特定的源才能進行訪問。.參考檢測操作display current-configurati

14、on.補充說明無。備注第6章其他安全要求其他安全配置關(guān)閉未使用的端口安全基線項 目名稱關(guān)閉未使用的端口安全基線要求項安全基線編 號SBL-H3CSwitch-06-01-01安全基線項 說明關(guān)閉未使用的端口。檢測操作步 驟1、參考配置操作HW-Ethernet3/0/0shutdown2、補充說明無?;€符合性 判定依據(jù).判定條件未使用端口狀態(tài)為 admin down。.參考檢測操作Display interface3.補充說明無。備注帳號登錄超時安全基線項 目名稱帳號登錄超時安全基線要求項安全基線編 號SBL-H3CSwitch-06-01-02安全基線項 說明配置定時帳號自動登出,登出后用戶需再次登錄才能進入系統(tǒng)。設(shè)置超時時 間為5分鐘.檢測操作步 驟1、參考配置操作設(shè)置超時時間為5分鐘 system-viewSysname user-interface console 0/Or user-interface aux 0 8Sysname-ui-console0 idle-timeout 5 02、補充說明無?;€符合性 判定依據(jù). 判定條件在超出設(shè)定時間后,用戶自動登出設(shè)備。.參考檢測操作display current-configuration configuration user-interface.補充說明無。備注關(guān)閉不需要的服務*安全基線

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論