H3C设备安全配置基线目录第 1 章概述 (5)1.1 目的 (5)1.2 适用范围 (5)1.3 适用版本 (5)第 2 章帐号管理、认证授权安全要求 (6)2.1 帐号管理 (6)2.1.1 用户帐号分配* (6)2.1.2 删除无关的帐号* (7)2.2 口令 (8)2.2.1 静态口令以密文形式存放 (8)2.2.2 帐号、口令和授权 (9)2.2.3 密码复杂度 (10)2.3 授权 (11)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (11)第 3 章日志安全要求 (13)3.1 日志安全 (13)3.1.1 启用信息中心 (13)3.1.2 开启NTP服务保证记录的时间的准确性 (14)3.1.3 远程日志功能* (15)第4章IP协议安全要求 (17)4.1 IP 协议 (17)4.1.1 VRRP认证 (17)4.1.2 系统远程服务只允许特定地址访问 (17)4.2 功能配置 (18)4.2.1 SNMP的Community默认通行字口令强度 (18)4.2.2 只与特定主机进行SNMP协议交互 (19)4.2.3 配置SNMPV2或以上版本 (20)424 关闭未使用的SNMP协议及未使用write权限 (21)第 5 章IP 协议安全要求 (23)5.1 其他安全配置 (23)5.1.1 关闭未使用的接口 (23)5.1.2 修改设备缺省BANNER语 (24)5.1.3 配置定时账户自动登出 (24)5.1.4 配置console 口密码保护功能 (25)5.1.5 端口与实际应用相符 (26)第1章概述1.1 目的规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2 适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员1.3 适用版本comwareV7版本交换机、路由器。

第2章帐号管理、认证授权安全要求2.1 帐号管理2.1.1 用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-H3C-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[H3C] local-user admin[H3C-luser-manage-admin] password hash admin@mmu2[H3C-luser-manage-admin] authorization-attribute user-role level-15[H3C] local-user user[H3C-luser-network-user] password hash user@nhesa[H3C-luser-network-user] authorization-attribute user-role networkoperator5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur 命令查看：local-user admin class managepassword hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ==service-type sshauthorization-attribute user-role level-15#local-user user class networkpassword hash $h$6$mmu2MlqLkGMnNyservice-type sshauthorization-attribute user-role network-operator# 对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

2.1.2 删除无关的帐号*1、安全基线名称：删除无关的账号2、安全基线编号：SBL-H3C-02-01-023、安全基线说明：应删除与设备运行、维护等工作无关的账号。

4、参考配置操作：[H3C]undo local-user user class network5、安全判定条件：（1）配置文件存在多个账号2）网络管理员确认账号与设备运行、维护等工作无关6、检测操作：使用dis cur | include local-user 命令查看：[H3C]dis cur | include local-userlocal-user admin class managelocal-user user1 class manage 若不存在无用账号则说明符合安全要求。

2.2 口令2.2.1 静态口令以密文形式存放1、安全基线名称：静态口令以密文形式存放2、安全基线编号：SBL-H3C-02-02-013、安全基线说明：配置本地用户和super 口令使用密文密码。

4、参考配置操作：[H3C]local-user admin[H3C-luser-manage-admin]password hash < 密文password> // 配置本地用户密文密码[H3C]super password hash < 密文password> // 配置super 密码使用密文加密5、安全判定条件：配置文件中没有明文密码字段。

6、检测操作：使用dis cur 显示本地用户账号和super 密码为密文密码local-user admin class manage password hash$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCEUU13fGSGC qkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ==service-type ssh telnetauthorization-attribute user-role level-15#local-user user1 class managepassword hash$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ePgOJ6z8/ mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ==authorization-attribute user-role network-operator##super password role network-admin hash$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySGYft6k9RDy SQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ==#2.2.2 帐号、口令和授权1、安全基线名称：账号、口令和授权安全基线2、安全基线编号：SBL-H3C-02-02-023、安全基线说明：通过认证系统，确认远程用户身份，判断是否为合法的网络用户。

4、参考配置操作：[H3C]local-user admin [H3C-luser-manage-admin]password hash pipaxing@xiangyun [H3C-luser-manage-admin] authorization-attribute user-role level-15 [H3C]domain admin[H3C-isp-admin]authentication default local5、安全判定条件：账号和口令的配置，指定了认证的系统。

6、检测操作：[H3C]dis cur#domain admin#domain system#domain default enable system#2.2.3 密码复杂度1、安全基线名称：密码复杂度2、安全基线编号：SBL-H3C-02-02-033、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且 5 次以内不得设置相同的口令。

密码应至少每90 天进行更换。

4、参考配置操作：[H3C]local-user admin[H3C-luser-manage-admin]password pipaxing@xiangyun5、安全判定条件：密码强度符合要求，密码至少90 天进行更换。

2.3 授权231用IP协议进行远程维护的设备使用SSH等加密协议1、安全基线名称：用IP 协议进行远程维护设备2、安全基线编号：SBL-H3C-02-03-013、安全基线说明：使用IP协议进行远程维护设备，应配置使用SSH等加密协议连接。

4、参考配置操作：[H3C]ssh server enable[H3C]local-user admin[H3C-luser-manage-admin] service-type ssh5、安全判定条件：配置文件中只允许SSH等加密协议连接。

6、检测操作：使用dis cur | include ssh 命令：[H3C]dis cur | include sshssh server enable service-type ssh ssh 服务为enable 状态表明符合安全要求第3章日志安全要求3.1 日志安全3.1.1 启用信息中心1、安全基线名称：启用信息中心2、安全基线编号：SBL-H3C-03-01-013、安全基线说明：启用信息中心，记录与设备相关的事件。

4、参考配置操作：[H3C]info-center enable5、安全判定条件：（1）设备应配置日志功能，能对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录使用的IP 地址。

（2）记录用户登录设备后所进行的所有操作。

6、检测操作：使用dis info-center 有显示Information Center: Enabled 类似信息，如：[H3C]dis info-centerInformation Center: EnabledConsole: EnabledMonitor: EnabledLog host: Enabled10.1.0.20,port number: 514, host facility: local710.1.0.95,port number: 514, host facility: local710.1.0.99,port number: 514, host facility: local7Log buffer: EnabledMax buffer size 1024, current buffer size 512Current messages 512, dropped messages 0, overwritten messages 3736Log file: EnabledSecurity log file: DisabledInformation timestamp format:Log host: DateOther output destination: Date3.1.2开启NTP服务保证记录的时间的准确性1、安全基线名称：日志记录时间准确性2、安全基线编号：SBL-H3C-03-01-023、安全基线说明：开启NTP服务，保证日志功能记录的时间的准确性。