华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

2.1.2删除无关的帐号*1、安全基线名称：删除无关的账号2、安全基线编号：SBL-HUAWEI-02-01-023、安全基线说明：应删除与设备运行、维护等工作无关的账号。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]undo local-user user5、安全判定条件：（1）配置文件存在多个账号（2）网络管理员确认账号与设备运行、维护等工作无关6、检测操作：使用dis cur | include local-user命令查看：[Huawei]dis cur | include local-userlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!! local-user admin privilege level 15local-user admin service-type ssh若不存在无用账号则说明符合安全要求。

2.2口令2.2.1静态口令以密文形式存放1、安全基线名称：静态口令以密文形式存放2、安全基线编号：SBL-HUAWEI-02-02-013、安全基线说明：配置本地用户和super口令使用密文密码。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123 [Huawei]super password cipher admin1235、安全判定条件：配置文件中没有明文密码字段。

6、检测操作：查看本地用户密码：[Huawei]dis cur | include local-userlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type ssh查看super密码：[Huawei]dis cur | include supersuper password level 3 cipher mPZr=2!Z<@u:|l#3M^#3Icf# #2.2.2密码复杂度1、安全基线名称：密码复杂度2、安全基线编号：SBL-HUAWEI-02-02-023、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin@xiangyun5、安全判定条件：密码强度符合要求，密码至少90天进行更换。

2.3授权2.3.1用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称：用IP协议进行远程维护设备2、安全基线编号：SBL-HUAWEI-02-03-013、安全基线说明：使用IP协议进行远程维护设备，应配置使用SSH等加密协议连接。

4、参考配置操作：[Huawei]aaa[Huawei-aaa] local-user admin password cipher admin123[Huawei-aaa] local-user admin privilege level 15[Huawei-aaa] local-user admin service-type ssh[Huawei]rsa local-key-pair create[Huawei]stelnet server enable[Huawei]ssh user admin service-type stelnet[Huawei]ssh user admin authentication-type password[Huawei]user-interface vty 0 4[Huawei-ui-vty0-4]protocol inbound ssh5、安全判定条件：配置文件中只允许SSH等加密协议连接。

6、检测操作：使用dis cur | include ssh命令：[Huawei]dis cur | include sshlocal-user admin service-type sshssh user adminssh user admin authentication-type passwordssh user admin service-type stelnet第3章日志安全要求3.1日志安全3.1.1启用信息中心1、安全基线名称：启用信息中心2、安全基线编号：SBL-HUAWEI-03-01-013、安全基线说明：启用信息中心，记录与设备相关的事件。

4、参考配置操作：[HUAWEI]info-center enable5、安全判定条件：（1）设备应配置日志功能，能对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录使用的IP地址。

（2）记录用户登录设备后所进行的所有操作。

6、检测操作：使用dis info-center有显示Information Center: Enabled类似信息，如：[Huawei]dis info-centerInformation Center:enabledLog host:Console:channel number : 0, channel name : consoleMonitor:channel number : 1, channel name : monitorSNMP Agent:channel number : 5, channel name : snmpagentLog buffer:enabled,max buffer size 1024, current buffer size 512,current messages 56, channel number : 4, channel name : logbuffer dropped messages 0, overwritten messages 0Trap buffer:enabled,max buffer size 1024, current buffer size 256,current messages 4, channel number:3, channel name:trapbuffer dropped messages 0, overwritten messages 0Information timestamp setting:log - date, trap - date, debug - date millisecondSent messages = 1227, Received messages = 1226IO Reg messages = 0 IO Sent messages = 03.1.2开启NTP服务保证记录的时间的准确性1、安全基线名称：日志记录时间准确性2、安全基线编号：SBL-HUAWEI-03-01-023、安全基线说明：开启NTP服务，保证日志功能记录的时间的准确性。

4、参考配置操作：配置ntp客户端，服务器地址为192.168.1.1：[Huawei]ntp-service authentication enable[Huawei]ntp-service unicast-server 192.168.1.15、安全判定条件：日志记录时间准确。

6、检测操作：[Huawei]dis cur | include ntpntp-service authentication enablentp-service unicast-server 192.168.1.13.1.3远程日志功能*1、安全基线名称：远程日志功能2、安全基线编号：SBL-HUAWEI-03-01-033、安全基线说明：配置远程日志功能，使设备能通过远程日志功能传输到日志服务器。

4、参考配置操作：[HUAWEI]info-center loghost *.*.*.* //配置接收日志的服务器地址[Huawei]info-center source default channel loghost log level emergencies //配置发送的日志级别5、安全判定条件：日志服务器能够正确接收网络设备发送的日志。