HC交换机安全配置基线
文件管理序列号:[K8UY-K9IO69-O6M243-OL889-F88688]
H3C交换机安全配置基线
版本 版本控制信息 更新日期 更新人 审批人
V2.0 创建 2012年4月
备注:
1. 若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
目 录
第1章 概述
1.1 目的
本文档旨在指导系统管理人员进行H3C交换机的安全配置。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3 适用版本
H3C交换机。
1.4 实施
1.5 例外条款
第2章 帐号管理、认证授权安全要求
2.1 帐号
2.1.1 配置默认级别*
安全基线项目名称 配置默认级别安全基线要求项
安全基线编号 SBL-H3CSwitch-02-01-01
安全基线项说明 交换机命令级别共分为访问、监控、系统、管理4 个级别,
分别对应标识0、1、2、3。配置登录默认级别为访问级(0-VISIT)
检测操作步骤 1、参考配置操作
user-interface aux 0 8
authentication-mode password
user privilege level 0
set authentication password cipher xxx
user-interface vty 0 4
authentication-mode password
user privilege level 0
set authentication password cipher xxx
2、补充说明
无。
基线符合性判定依据 1、 判定条件
用配置中没有的用户名去登录,结果是不能登录
2、 参考检测操作
3、 补充说明
无。
备注 手工检查
2.2 口令
2.2.1 密码认证登录
安全基线项目名称 密码认证登录安全基线要求项
安全基线编号 SBL-H3CSwitch-02-02-01
安全基线项说明 通过控制台和远程终端,需要密码才能登录. 口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。
检测操作步骤 1、参考配置操作
user-interface aux 0 8
authentication-mode password
user privilege level 0
set authentication password cipher xxx
user-interface vty 0 4
authentication-mode password
//或authentication-mode scheme
user privilege level 0
set authentication password cipher xxx
2、补充说明
无。
基线符合性判定依据 1、 判定条件
用配置中没有的用户名去登录,结果是不能登录
2、 参考检测操作
3、 补充说明
无。
备注
2.2.2 设置访问级密码
安全基线项目名称 设置访问级密码安全基线要求项
安全基线SBL-H3CSwitch-02-02-02
编号
安全基线项说明 用户可以无条件切换到比当前低的用户级别,但是当使用AUX 或VTY 用户界面登录,并且从低级别往高级别切换时,需要输入级别切换密码(级别切换密码可以通过 super
password 命令设置)。如果输入的密码错误或者没有配置级别切换密码,切换操作失败。因此,在进行切换操作前,请先配置级别切换密码。
检测操作步骤 1、参考配置操作
[Sysname] super password level 1 cipher password1
[Sysname] super password level 2 cipher password2
[Sysname] super password level 3 cipher password3
2、补充说明
无。
基线符合性判定依据 1、 判定条件
[Sysname] display current-configuration
备注
2.2.3 加密口令
安全基线项目名称 加密口令安全基线要求项
安全基线编号 SBL-H3CSwitch-02-02-03
安全基线项说明 静态口令必须使用不可逆加密算法加密后保存于配置文件中。
检测操作步骤 1、参考配置操作
user-interface aux 0 8
user privilege level 0
set authentication password cipher xxx
user-interface vty 0 4
user privilege level 0
set authentication password cipher xxx
super password level 1 cipher password1
super password level 2 cipher password2
super password level 3 cipher password3
基线符合性判定依据 1. 判定条件
用户的加密口令在config文件中显示的密文。
2. 参考检测操作
display current-configuration
备注
第3章 日志安全要求
3.1 日志安全
3.1.1 配置远程日志服务器
安全基线项目名称 配置远程日志服务器安全基线要求项
安全基线编号 SBL-H3CSwitch-03-01-01
安全基线项说明 设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。
检测操作步骤 1、参考配置操作
[h3c] info-center enable
[h3c] info-center loghost xxxxx channel loghost
2、补充说明
在系统模式下进行操作。
基线符合性判定依1. 判定条件
据 是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
2. 参考检测操作
display current-configuration
3. 补充说明
无。
备注 根据应用场景的不同,如部署场景需开启此功能,则强制要求此项。建议核心设备必选,其它根据实际情况启用
第4章 IP协议安全要求
4.1 IP协议
4.1.1 使用SSH加密管理
安全基线项目名称 使用SSH加密管理安全基线要求项
安全基线编号 SBL-H3CSwitch-04-01-01
安全基线项说明 对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议,关闭TELNET协议。
检测操作步骤 1、 参考配置操作
# 设置用户界面VTY 0 到VTY 4 支持SSH 协议。
[Sysname] user-interface vty 0 4
[Sysname-ui-vty0-4] authentication-mode scheme
[Sysname-ui-vty0-4] protocol inbound ssh
2、补充说明
无。
基线符合性判定依据 1. 参考检测操作
2. 补充说明
无。
备注
4.1.2 系统远程管理服务只允许特定地址访问
安全基线项目名称 系统远程管理服务只允许特定地址访问安全基线要求项
安全基线编号 SBL-H3CSwitch-04-01-02
安全基线项说明 系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问。
检测操作步骤 1、参考配置操作
Acl number 2000
User-interface vty 0 4
acl 2000 inbound
2、补充说明
无。
基线符合性判定依据 1. 判定条件
通过设定acl,成功过滤非法的访问。
2. 参考检测操作
display current-configuration
3. 补充说明
无。
备注