收藏
下载资源

H3C交换机安全配置基线

上传人:汽*** 文档编号:460080400 上传时间:2023-12-20 格式:DOCX 页数:17 大小:28KB
返回 下载 相关 举报
H3C交换机安全配置基线_第1页
第1页 / 共17页
H3C交换机安全配置基线_第2页
第2页 / 共17页
H3C交换机安全配置基线_第3页
第3页 / 共17页
H3C交换机安全配置基线_第4页
第4页 / 共17页
H3C交换机安全配置基线_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《H3C交换机安全配置基线》由会员分享,可在线阅读,更多相关《H3C交换机安全配置基线(17页珍藏版)》请在金锄头文库上搜索。

1、H3C 交换机安全配置基线版本版本控制信息更新日期更新人审批人V2.0创建2012年4月备注:1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。第1章 概述 11.1目的 11.2 适用范围 11.3 适用版本 11.4实施 11.5例外条款 1第2章帐号管理、认证授权安全要求 22.1 错误!未定义书签。2.1.1配置默认级别*2.2.2口令 32.2.1密码认证登录3.2.2.2设置访问级密码4.2.2.3 加密口令4.第3章日志安全要求 63.1 日志安全 63.1.1配置远程日志服务器6.第4章IP协议安全要求74.1 IP 协议74.1.1 使用SSH加密管

2、理7.4.1.2 系统远程管理服务只允许特定地址访问7.第 5 章SNMP 安全要求 95.1 SNMP 安全95.1.1 修改SNMP默认通行字9.5.1.2 使用SNMPV2或以上版本9.5.1.3 SNMP访问控制10第6章 其他安全要求 126.1 其他安全配置126.1.1 关闭未使用的端口126.1.2 帐号登录超时126.1.3 关闭不需要的服务*13第7章 评审与修订 15第1章 概述1.1 目的本文档旨在指导系统管理人员进行H3C交换机的安全配置1.2 适用范围网络监控人员。本配置标准的使用者包括:网络管理员、网络安全管理员1.3 适用版本H3C 交换机。1.4 实施1.5

3、例外条款第2章 帐号管理、认证授权安全要求2.12.1.1 配置默认级别*安全基线项 目名称配置默认级别安全基线要求项安全基线编SBL-H3CSwi tch-02-01-01号安全基线项交换机命令级别共分为访问、监控、系统、管理4个级别,分别对应标识0、说明1、2、3。配置登录默认级别为访问级(0-VISIT)检测操作步 骤1、参考配置操作user-in terface aux 0 8aut hen tica ti on-mode passworduser privilege level 0set aut hen tica tion password cipher xxxuser-in ter

4、face vty 0 4aut hen tica ti on-mode passworduser privilege level 0set aut hen tica tion password cipher xxx2、补充说明无。基线符合性 判定依据1、判定条件用配置中没有的用户名去登录,结果是不能登录2、参考检测操作vH3CdispIay curre nt-configura tion3、补充说明无。备注手工检查2.2 口令2.2.1密码认证登录安全基线项密码认证登录安全基线要求项目名称安全基线编SBL-H3CSwi tch-02-02-01号安全基线项通过控制台和远程终端,需要密码才能登录

5、.口令长度至少8位,并包括数说明字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置 相同的口令。密码应至少毎90天进行更换。检测操作步 骤1、参考配置操作user-in terface aux 0 8aut hen tica ti on-mode password user privilege level 0set aut hen tica tion password cipher xxx user-in terface vty 0 4aut hen tica ti on-mode password或 authentication-mode schemeuser privile

6、ge level 0set aut hen tica tion password cipher xxx2、补充说明无。基线符合性 判定依据1、判定条件用配置中没有的用户名去登录,结果是不能登录2、参考检测操作vH3CdispIay curre nt-configura tion3、补充说明无。备注2.2.2 设置访问级密码安全基线项 目名称设置访问级密码安全基线要求项安全基线编SBL-H3CSwi tch-02-02-02号安全基线项用户可以无条件切换到比当前低的用户级别,但是当使用AUX或VTY用户说明界面登录,并且从低级别往高级别切换时,需要输入级别切换密码(级别切 换密码可以通过supe

7、r password命令设置丿。如果输入的密码错误或者没有 配置级别切换密码,切换操作失败。因此,在进行切换操作前,请先配置级 别切换密码。检测操作步 骤1、参考配置操作vSysname sys tem-viewSysname super password level 1 cipher password】 Sysname super password level 2 cipher password2 Sysname super password level 3 cipher password32、补充说明无。基线符合性 判定依据1、判定条件Sysname display curre nt-co

8、nfigura tion备注2.2.3 加密口令安全基线项 目名称加密口令安全基线要求项安全基线编SBL-H3CSwi tch-O2-O2-O3号安全基线项静态口令必须使用不可逆加密算法加密后保存于配置文件中。说明检测操作步 骤1、参考配置操作user-in terface aux 0 8user privilege level 0set authentication password cipher xxxuser-in terface vty 0 4user privilege level 0set authentication password cipher xxxsuper passwo

9、rd level 1 cipher password】 super password level 2 cipher password2 super password level 3 cipher password3基线符合性 判定依据1. 判定条件用户的加密口令在config文件中显示的密文。2. 参考检测操作display curre nt-configura tion备注第3章 日志安全要求3.1 日志安全3.1.1 配置远程日志服务器安全基线项 目名称配置远程日志服务器安全基线要求项安全基线编SBL-H3CSwi tch-03-01-01号安全基线项设备应支持远程日志功能。所有设备日志均

10、能通过远程日志功能传输到日志说明服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP 等。检测操作步 骤1、参考配置操作h3c info-ce nter enableh3c info-ce nt er loghost xxxxx channel loghos t2、补充说明在系统模式下进行操作。基线符合性 判定依据1. 判定条件是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。2. 参考检测操作display curre nt-configura tion3. 补充说明无。备注根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。建议核 心设备必选,其

11、它根据实际情况启用第4章IP协仪安全要求4.1 IP协放4.11使用SSH加密管理安全基线项 目名称使用SSH加密管理安全基线要求项安全基缆偏 号SBL-H3CSwi tch-04-01-01安全基缆项 说明对于使用IP协议进行运程维护的设备,殳备应配置使用SSH等加密协议,关 闭TELNET协议。檢测操作步 骤1、参考配置操作#设置用户界面VTY 0到VTY 4支持SSH协议。 sys tem-viewSysname user-in terface vty 0 4Sysname-ui-v tyO-4 aut hen tica tion-mode scheme Sysname-ui-v tyO

12、-4 prot ocol inbound ssh2、补充说明无。基线符合性 判定依据1. 参考检测操作2. 补充说明无。备注4. 1 .2系统远程管理服务只允许特定地址访问安全基线项 目名称系统运程管理服务只允许特定地址访问安全基线要求项安全基线偏 号SBL-H3CSwi tch-04-01-02安全基线项 说明系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全 考虑,应该只允许特定地址访问。检测操作步 骤1、参考配置操作Acl number 2000rule 1 permit source 192.168.0.0 0.0.255.255User-in terface v

13、ty 0 4acl 2000 inbound2、补充说明无。基线符合性 判定依据1. 判定条件通过设定acl, 成功过滤非法的访问。2. 参考检测操作display curre nt-configura tion3. 补充说明无。备注第5章SNMP安全要求5.1 SNMP 安全5.1.1修改SNMP默认通行字安全基线项 目名称修改SNMP默认通行字安全基线要求项安全基线编 号SBL-H3CSwi tch-05-01-01安全基线项 说明系统应修改SNMP的Communi ty默认通行字,通行字应符合口令强度要求。检测操作步 骤1、参考配置操作snmp-age nt communi ty rea

14、d xxx snmp-age nt communi ty wri te xxxx2、补充说明无。基线符合性 判定依据1. 判定条件系统成功修改SNMP的Community为用户定义口令,非常规private或者 public,并且符合口令强度要求。2. 参考检测操作display curre nt-configura tion3. 补充说明无。备注5.1.2使用SNMPV2或以上版本安全基线项 目名称SNMP版本安全基线要求项安全基线编 号SBL-H3CSwi tch-O5-O1-O2安全基线项系统应配置为SNMPV2或以上版本。说明检测操作步 骤1、参考配置操作snmp-age nt sys-info version v32、补充说明无。基线符合性 判定依据1. 判定条件成功使能snmpv2c、和v3版本。2. 参考检测操作display

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号