X X银行H3C交换机系列安全配置基线目录1适用声明 (2)2访问控制 (3)2.1配置ACL规则 (3)2.2配置常见的漏洞攻击和病毒过滤功能 (4)3安全审计 (6)3.1开启设备的日志功能 (6)4入侵防范 (7)4.1配置防ARP欺骗攻击 (7)5网络设备防护 (8)5.1限制管理员远程直接登录 (8)5.2连接空闲时间设定 (9)5.3远程登陆加密传输 (10)5.4配置CONSOLE口密码保护功能和连接超时 (11)5.5按照用户分配账号 (12)5.6删除设备中无用的闲置账号 (13)5.7修改设备上存在的弱口令 (13)5.8配置和认证系统联动功能 (14)配置和认证系统联动功能 (14)5.9配置NTP服务 (15)5.10修改SNMP的COMMUNITY默认通行字 (16)5.11使用SNMPV2或以上版本 (17)5.12设置SNMP的访问安全限制 (18)5.13系统应关闭未使用的SNMP协议及未使用RW权限 (19)5.14关闭不必要的服务 (19)5.15配置防源地址欺骗攻击 (20)5.16禁止设备未使用或者空闲的端口 (21)5.17远程连接源地址限制 (21)1 适用声明适用人员IT部的网络维护人员、安全评估人员、安全审计人员适用版本H3C同系列的网络交换机适用等保一级项适用等保二级项适用等保三级项适用等保四级项参考依据《H3C交换机配置手册》《GB/T 20270-2006 信息安全技术网络基础安全技术要求》《GB/T 20011-2005 信息安全技术路由器安全评估准则》《JR/T 0068-2012 网上银行系统信息安全通用规范》《GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求》《GB/T 25070-2010 信息安全技术信息系统等级保护安全设计技术要求》《JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引》2 访问控制2.1配置ACL规则配置/检查项配置ACL规则适用等保级别等保一至四级检查步骤1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看ACL匹配路由是否按照业务需求设置[H3C]dis cur | in acl[H3C]dis this acl配置步骤设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP 地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.配置ACL列表[H3C]acl number 2000[H3C-acl-basic-2000]rule tcp source 1.1.1.1 destination4.配置流分类，定义基于ACL的匹配规则。

[H3C]traffic classifier tc1[H3C-classifier-tc1] if-match acl 20005.配置流行为[H3C] traffic behavior tb1[H3C-behavior-tb1] deny6.定义流策略，将流分类与流行为关联。

[H3C] traffic policy tp1[H3C-trafficpolicy-tp1] classifier tc1 behavior tb17.应用流策略到接口。

[H3C] interface gigabitethernet 0/0/1[H3C-GigabitEthernet0/0/1] traffic-policy tp1 inbound 备注2.2配置常见的漏洞攻击和病毒过滤功能配置/检查项配置常见的漏洞攻击和病毒过滤功能适用等保级别检查步骤1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看ACL中是否匹配漏洞攻击和病毒攻击[H3C]dis current-configuration | in acl配置步骤设备应配置ACL，通过ACL列表来过滤一些常见的漏洞攻击和病毒攻击。

4.进入用户视图<H3C>5.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]6.配置ACL列表[H3C]acl number 2000[H3C-acl-basic-2000]rule tcp source 1.1.1.1 destination source-port eq ftp-data7.配置流分类，定义基于ACL的匹配规则。

[H3C]traffic classifier tc1[H3C-classifier-tc1] if-match acl 20008.配置流行为[H3C] traffic behavior tb1[H3C-behavior-tb1] deny9.定义流策略，将流分类与流行为关联。

[H3C] traffic policy tp1[H3C-trafficpolicy-tp1] classifier tc1 behavior tb110.应用流策略到接口。

[H3C] interface gigabitethernet 0/0/1[H3C-GigabitEthernet0/0/1] traffic-policy tp1 inbound 备注3 安全审计3.1开启设备的日志功能配置/检查项配置设备的日志功能适用等保级别等保二至四级检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看日志功能是否按照需求配置[H3C]dis cur | in info-center配置步骤要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志，同时提供SYSLOG服务器的设置方式，所有的日志信息可以均可以远程存储到日志服务器。

并且必须保证日志服务器的安全性。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.开启日志功能[H3C]4.配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了解到设备的运行情况[H3C] console channel 05.配置日志信息输出到日志缓冲区[H3C] logbuffer channel 46.配置日志信息输出到日志服务器[H3C] info-center loghost备注4 入侵防范4.1配置防ARP欺骗攻击配置/检查项配置防ARP欺骗攻击适用等保级别检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看ARP地址欺骗[H3C]dis current-configuration | in anti-attack配置步骤配置设备的防ARP欺骗攻击功能，可以有效的减少ARP攻击对网络造成的影响。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.配置防止ARP地址欺骗[H3C] arp anti-attack entry-check fixed-mac enable 适用于静态配置IP地址，但网络存在冗余链路的情况。

当链路切换时，ARP表项中的接口信息可以快速改变[H3C] arp anti-attack entry-check fixed-all enable适用于静态配置IP 地址，网络没有冗余链路，同一IP地址用户不会从不同接口接入S5300的情况[H3C] arp anti-attack entry-check send-mac enable适用于动态分配IP地址，有冗余链路的网络4.配置防止ARP网关冲突[H3C]备注5 网络设备防护5.1限制管理员远程直接登录配置/检查项限制具备管理员权限的用户远程直接登录适用等保级别检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看是否存在高级别权限密码[H3C]dis cur | in acl4.查看是否对于user用户密码进行配置[H3C]dis cur | in local-user配置步骤远程管理员应先以普通权限用户登录后，再切换到管理员权限执行相应操作。

1.进入用户视图<H3C>2.由户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z.[H3C]3.设置用户由低级别权限切换到高级别权限的密码[H3C] super password level 3 cipher anbang@1234.进入aaa视图[H3C]aaa5.配置具备远程登陆用户user1的权限信息。

配置用户user1权限等级为Level 1,具有telnet服务。

[H3C-aaa] local-user user1 password cipher anbang@1234[H3C-aaa] local-user user1 service-type telnet[H3C-aaa] local-user user1 level 16.配置远程登陆用户的认证方式为aaa认证[H3C] user-interface vty0 4[H3C-ui-vty0-4]authentication-mode aaa备注5.2连接空闲时间设定配置/检查项设置用户登录设备的空闲时间适用等保级别等保一至四级检查步骤1.进入用户视图<H3C>2.用户视图切换到系统视图<H3C> system-viewEnter system view, return user view with Ctrl+Z. [H3C]3.查看AAA下是否有相关的用户口令配置[H3C]dis cur | in aaa配置步骤用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作，则需要重新输入口令。