華為設(shè)備(交換機)安全配置基線

華為設(shè)備（交換機）安全配置基線目錄TOC\o"1-5"\h\z\o"CurrentDocument"第1章概述 4\o"CurrentDocument"目的 4\o"CurrentDocument"適用范圍 4\o"CurrentDocument"適用版本 4\o"CurrentDocument"第2章帳號管理、認證授權(quán)安全要求 5帳號管理 5用戶帳號分配* 5\o"CurrentDocument"刪除無關(guān)的帳號* 6\o"CurrentDocument"口令 7\o"CurrentDocument"靜態(tài)口令以密文形式存放 7帳號、口令和授權(quán) 錯誤！未定義書簽。\o"CurrentDocument"密碼復(fù)雜度 8\o"CurrentDocument"授權(quán) 8\o"CurrentDocument"用IP協(xié)議進行遠程維護的設(shè)備使用SSH等加密協(xié)議 8\o"CurrentDocument"第3章日志安全要求 10日志安全 10啟用信息中心 10\o"CurrentDocument"開啟NTP服務(wù)保證記錄的時間的準確性 11\o"CurrentDocument"遠程日志功能* 12\o"CurrentDocument"第4章ip協(xié)議安全要求 13IP協(xié)議 13VRRP認證 13\o"CurrentDocument"系統(tǒng)遠程服務(wù)只允許特定地址訪問 13功能配置 15\o"CurrentDocument"SNMP的Community默認通行字口令強度 15\o"CurrentDocument"只與特定主機進行SNMP協(xié)議交互 16\o"CurrentDocument"配置SNMPV2或以上版本 17\o"CurrentDocument"關(guān)閉未使用的SNMP協(xié)議及未使用write權(quán)限 18\o"CurrentDocument"第5章IP協(xié)議安全要求 19其他安全配置 19關(guān)閉未使用的接口 19\o"CurrentDocument"修改設(shè)備缺省BANNER語 20\o"CurrentDocument"配置定時賬戶自動登出 20\o"CurrentDocument"配置console口密碼保護功能 21\o"CurrentDocument"端口與實際應(yīng)用相符 22第1章概述目的規(guī)范配置華為路由器、交換機設(shè)備，保證設(shè)備基本安全。適用范圍本配置標(biāo)準的使用者包括：網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)監(jiān)控人員。適用版本華為交換機、路由器。第2章帳號管理、認證授權(quán)安全要求帳號管理用戶帳號分配*1、安全基線名稱：用戶帳號分配安全2、安全基線編號：SBL-HUAWEI-02-01-013、安全基線說明：應(yīng)按照用戶分配帳號，避免不同用戶間共享帳號，避免用戶帳號和設(shè)備間通信使用的帳號共享。4、參考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei-aaa]local-useradminprivilegelevel15[Huawei-aaa]local-useradminservice-typessh[Huawei-aaa]local-useruserpasswordcipheruser123[Huawei-aaa]local-useruserprivilegelevel4[Huawei-aaa]local-useruserservice-typessh5、安全判定條件：（1）配置文件中，存在不同的賬號分配（2）網(wǎng)絡(luò)管理員確認用戶與賬號分配關(guān)系明確6、檢測操作：使用命令discur命令查看：#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipher=LP!6$A-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typesshlocal-useruserpasswordcipher=LP!6$A-IYNZPlocal-useruserprivilegelevel4local-useruserservice-typessh#對比命令顯示結(jié)果與運維人員名單，如果運維人員之間不存在共享賬號，表明符合安全要求。2.1.2刪除無關(guān)的帳號*1、安全基線名稱：刪除無關(guān)的賬號2、安全基線編號：SBL-HUAWEI-02-01-023、安全基線說明：應(yīng)刪除與設(shè)備運行、維護等工作無關(guān)的賬號。4、參考配置操作：[Huawei]aaa[Huawei-aaa]undolocal-useruser5、安全判定條件：（1）配置文件存在多個賬號（2）網(wǎng)絡(luò)管理員確認賬號與設(shè)備運行、維護等工作無關(guān)6、檢測操作：使用discur|includelocal-user命令查看：[Huawei]discur|includelocal-userlocal-useradminpasswordcipher=LP!6$A-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typessh若不存在無用賬號則說明符合安全要求?？诹铎o態(tài)口令以密文形式存放1、安全基線名稱：靜態(tài)口令以密文形式存放2、安全基線編號：SBL-HUAWEI-02-02-013、安全基線說明：配置本地用戶和super口令使用密文密碼。4、參考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei]superpasswordcipheradmin1235、安全判定條件：配置文件中沒有明文密碼字段。6、檢測操作：查看本地用戶密碼：[Huawei]discur|includelocal-userlocal-useradminpasswordcipher=LP!6$A-IYNZPO3JBXBHA!!local-useradminprivilegelevel15local-useradminservice-typessh查看super密碼：[Huawei]discur|includesupersuperpasswordlevel3ciphermPZr=2!Z<@u:|l#3MA#3Icf##密碼復(fù)雜度1、安全基線名稱：密碼復(fù)雜度2、安全基線編號：SBL-HUAWEI-02-02-023、安全基線說明：對于采用靜態(tài)口令認證技術(shù)的設(shè)備，口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。且5次以內(nèi)不得設(shè)置相同的口令。密碼應(yīng)至少每90天進行更換。4、參考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin@xiangyun5、安全判定條件：密碼強度符合要求，密碼至少90天進行更換。授權(quán)用IP協(xié)議進行遠程維護的設(shè)備使用SSH等加密協(xié)議66、檢測操作：44、參考配置操作：1、安全基線名稱：用IP協(xié)議進行遠程維護設(shè)備2、安全基線編號：SBL-HUAWEI-02-03-013、安全基線說明：使用IP協(xié)議進行遠程維護設(shè)備，應(yīng)配置使用SSH等加密協(xié)議連接。4、參考配置操作：[Huawei]aaa[Huawei-aaa]local-useradminpasswordcipheradmin123[Huawei-aaa]local-useradminprivilegelevel15[Huawei-aaa]local-useradminservice-typessh[Huawei]rsalocal-key-paircreate[Huawei]stelnetserverenable[Huawei]sshuseradminservice-typestelnet[Huawei]sshuseradminauthentication-typepassword[Huawei]user-interfacevty04[Huawei-ui-vty0-4]protocolinboundssh5、安全判定條件：配置文件中只允許SSH等加密協(xié)議連接。6、檢測操作：使用discur|includessh命令：[Huawei]discur|includesshlocal-useradminservice-typesshsshuseradminsshuseradminauthentication-typepasswordsshuseradminservice-typestelnet第3章日志安全要求日志安全啟用信息中心1、安全基線名稱：啟用信息中心2、安全基線編號：SBL-HUAWEI-03-01-013、安全基線說明：啟用信息中心，記錄與設(shè)備相關(guān)的事件。[HUAWEI]info-centerenable5、安全判定條件：（1）設(shè)備應(yīng)配置日志功能，能對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄使用的IP地址。（2）記錄用戶登錄設(shè)備后所進行的所有操作。6、檢測操作：使用disinfo-center有顯示InformationCenter:Enabled類似信息，如：[Huawei]disinfo-centerInformationCenter:enabledLoghost:Console:channelnumber:0,channelname:consoleMonitor:channelnumber:1,channelname:monitorSNMPAgent:channelnumber:5,channelname:snmpagentLogbuffer:enabled,maxbuffersize1024,currentbuffersize512,currentmessages56,channelnumber:4,channelname:logbufferdroppedmessages0,overwrittenmessages0Trapbuffer:enabled,maxbuffersize1024,currentbuffersize256,currentmessages4,channelnumber:3,channelname:trapbufferdroppedmessages0,overwrittenmessages0Informationtimestampsetting:log-date,trap-date,debug-datemillisecondSentmessages=1227,Receivedmessages=1226IORegmessages=0IOSentmessages=0開啟NTP服務(wù)保證記錄的時間的準確性1、安全基線名稱：日志記錄時間準確性2、安全基線編號：SBL-HUAWEI-03-01-023、安全基線說明：開啟NTP服務(wù)，保證日志功能記錄的時間的準確性。4、參考配置操作：配置ntp客戶端，服務(wù)器地址為：[Huawei]ntp-serviceauthenticationenable[Huawei]ntp-serviceunicast-server5、安全判定條件：日志記錄時間準確。22、安全基線編號：SBL-HUAWEI-#每種登錄方式均設(shè)備了超時退出時間。6、檢測操作：使用discur查看：[HUAWEI]discur…#linevty04authentication-modeschemeuser-rolelevel-4idle-timeout30#…配置console口密碼保護功能1、安全基線名稱：配置console口密碼保護2、安全基線編號：SBL-HUAWEI-05-01-