《H3C交换机加固方法参考(测试设备型号S5800)》由会员分享,可在线阅读,更多相关《H3C交换机加固方法参考(测试设备型号S5800)(18页珍藏版)》请在金锄头文库上搜索。
1、华三交换机加固 目录1.用户管理11.1创建用户11.2密码认证登录12.设备管理22.1本地管理22.2远程管理22.3限制 IP 访问32.4登录超时33.网络服务34.安全防护44.1BANNER44.2ACL访问控制列表44.3空闲端口管理44.4MAC地址绑定54.5NTP服务64.6协议安全配置(可选)64.7设备版本管理65.日志与审计75.1SNMP协议安全75.2日志审计85.3转存日志(可选)86.路由配置96.1静态路由配置96.2动态路由的配置(OSPF)97.Trunk接口与VLAN标签98.QOS大类108.1通过接口所有入流量进行流量监管108.2通过端口所有出流
2、量进行端口限速108.3基于ACL的流量监管108.4基于ACL的流量限速108.5基于ACL的流量统计111. 用户管理1.1 创建用户【安全要求】应按照用户性质分别创建账号,禁止不同用户间共享账号,禁止人员和设备通信公用账号。【配置要求】创建管理员和普通用户对应的账户,厂站端只能分配普通用户账户,厂站账户应实名制管理,只有查看、ping等权限。【配置方法】:创建三个用户,分别为管理员、操作员和审计员 system-viewH3C local-user super class manage /创建“super”用户H3C-luser-manage-super password simple
3、* /加密密码*(dis时显示密文)H3C-luser-manage-super service-type ssh terminal /定义登录方式包含ssh和本地H3C-luser-manage-super authorization-attribute user-role network-admin /定义此用户为“管理员”权限H3C local-user operator class manage /创建“operator”用户H3C password simple * H3C-luser-manage-operator service-type ssh terminalH3C-luse
4、r-manage-operator authorization-attribute user-role network-operator /network-operator 操作员H3C local-user audit class manage /创建“audit”用户H3C-luser-manage-audit password simple *H3C-luser-manage-audit service-type ssh terminalH3C-luser-manage-audit authorization-attribute user-role security-audit /net
5、work-operator 审计员network-admin、security-audit、network-operator为H3C设备固化的三种角色,权限分别对应level-15、level-1、level-2。1.2 密码认证登录【安全要求】通过控制台和远程终端登录设备,应输入用户名和口令,口令长度不能小于8位,要求是数字、字母和特殊字符的混合,不得与用户名相同。口令应3个月定期更换和加密存储。【配置要求】配置只有使用用户名和密码的组合才能登录设备,密码强度采用技术手段予以校验通过,并对密码进行加密存储、定期更换。【配置方法】开启ssh服务,设置ssh访问控制,设置密码失败和超时策略H3C
6、 public-key local create rsa /生成RSA密钥对The range of public key modulus is (512 2048).If the key modulus is greater than 512, it will take a few minutes.Press CTRL+C to abort.Input the modulus length default = 1024:1024H3C public-key local create dsa /生成DSA密钥对The range of public key modulus is (512 20
7、48).If the key modulus is greater than 512, it will take a few minutes.Press CTRL+C to abort.Input the modulus length default = 1024:1024sshH3C ssh server enable / 开启ssh服务H3C undo ssh server compatible-ssh1x enable /关闭兼容SSH version1版本 H3C ssh server acl 3000 /ssh服务应用编号3000的访问控制列表H3C ssh server authe
8、ntication-retries 3 /注意authentication-敲au然后TAB补全 ,密码错误次数3次自动退出,但不锁定。H3C ssh server authentication-timeout 120 /SSH登录过程中密钥交换运算量比较大,如果设备性能较低,需要配置较长的认证超时时间。通过ssh server authentication-timeout命令可以修改服务器端配置的认证超时时间。H3C password-control login-attempt 5 exceed lock-time 5 /登录失败5次锁定5分钟。2. 设备管理 2.1 本地管理【安全要求】对
9、于通过本地 Console 口进行维护的设备, 设备应配置使用用户名和口令进行认证。【配置要求】人员本地登录应通过 Console 口输入用户名和口令。 【配置方法】设置串口的登录策略(consle)H3C line console 0 /进入aux接口配置H3C-line-console0 authentication-mode scheme /设置用户密码认证模式开启前,需要配置相应的用户权限和登录方式,登录方式须包含terminal。 Console默认登录user-role network-admin,但是操作员、审计员仍能登录,无法获取超级权限。2.2 远程管理【安全要求】对于使用
10、IP 协议进行远程维护的设备, 设备应配置使用 SSH 等加密协议,采用 SSH 服务代替 telnet 实施远程管理, 提高设备管理安全性。【配置要求】人员运程登录应使用 SSH 协议, 禁止使用 telnet、rlogin 其他协议远程登录。 【配置方法】H3C line vty 0 4 H3C-line-vty0-4 authentication-mode schemeH3C-line-vty0-4 protocol inbound ssh 2.3 限制 IP 访问【安全要求】公共网络服务 SSH、SNMP 默认可以接受任何地址的连接, 为保障网络安全,应只允许特定地址访问。【配置要求】
11、配置访问控制列表, 只允许网管系统、 审计系统、 主站核心设备地址能访问网络设备管理服务。 SSH 和 SNMP 地址不同时应启用不同的访问控制列表。 【配置方法】旧设备H3C line vty 0 4H3C-line-vty0-4 acl 2000 inbound新设备H3C ssh server acl 2000 /前提得先配置访问控制列表2000-H3C snmp-agent community read simple * acl 2000 配置团体字*权限为读权限,远程服务器地址根据ACL2000来确定,注意需要使用simple,否则需要输入加密后字符串(ACL 为哪些服务器可以来采集
12、)2.4 登录超时【安全要求】应配置账户超时自动退出, 退出后用户需再次登录才能进入系统。【配置要求】Console 口或远程登录后超过 5 分钟无动作应自动退出。H3C line console 0 进入console接口配置H3C-line-console0 idle-timeout 5 0 登录超时5分钟H3C line vty 0 4 H3C-line-vty0-4 idle-timeout 5 0 登录超时5分钟3. 网络服务【安全要求】禁用不必要的公共网络服务;网络服务采取白名单方式管理,只允许开放SNMP、SSH、NTP等特定服务。【配置要求】禁用TCP SMALL SERVER
13、S。(Cisco有,华为华三没有)禁用UDP SMALL SERVERS。(Cisco有,华为华三没有)禁用Finger。(Cisco有,华为华三没有)禁用HTTP SERVER。禁用BOOTP SERVER。(Cisco有,华为华三没有)关闭DNS查询功能,如要使用该功能,则显式配置DNS SERVER。禁用DHCP服务【配置方法】H3C undo ip http enableH3C undo ftp server enableH3C undo telnet server enableH3C undo dns serverH3C undo dhcp enable4. 安全防护4.1 BANN
14、ER【安全要求】应修改缺省BANNER语句,BANNER不应出现含有系统平台或地址等有碍安全的信息,防止信息泄露。【配置要求】修改网络设备的 banner 信息,如修改 login Banner 信息,EXEC Banner 信息等。H3C undo header incoming / 配置Modem登录用户进入用户视图时的显示信息。 H3C undo header legal /配置登录用户进入用户视图前的授权信息。 H3C undo header login /配置登录验证时的显示信息。 H3C undo header motd /登录终端界面前显示信息。H3C undo header shell /配置非Modem登录用户进入用户视图时的显示信息。4.2 ACL访问控制列表【安全要求】应设置 ACL 访问控制列表,控制并规范网络访问行为。【配置要求】根据具体业
