H3C三层交换机安全配置规范

H3C三层交换机安全配置规范

4.1 管理平面安全配置 4.1.1 管理口防护

4.1.1.1 关闭未使用的管理口

项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-01-v1

配置说明 设备应关闭未使用的管理口（AUX、或者没开启业务的端口）。 重要等级 高

配置指南 1、参考配置操作 #

interface Ten-GigabitEthernet0/1 //进入端口视图 shutdown //执行shutdown命令，关闭端口 #

检测方法 及

判定依据 1、符合性判定依据 端口关闭，不能使用。 2、参考检测方法

通过网线或光纤（视具体接口不同），将此端口与PC或其他设备未关闭的端口互连，该端口指示灯灭，且PC或其他设备没有网卡UP的提示信息。

备注

4.1.1.2 配置console口密码保护

项目编号 NOMD-2013-SC-H3C(L3SW)-01-01-02-v1 配置说明 设备应配置console口密码保护 重要等级 高

配置指南 1、参考配置操作 [H3C]user-interface console 0

[ H3C-ui-console0] authentication-mode password

[ H3C-ui-console0] set authentication password cipher xxxxxxxx

检测方法 及

判定依据 1、 符合性判定依据

通过console口，只有输入正确密码才能进入配置试图 2、 参考检测方法

PC用Console线连接设备Console口，通过超级终端等配置软件，在进入设备配置视图时，提示要求输入密码。

备注

4.1.2 账号与口令 4.1.2.1 避免共享账号

项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-01-v1

配置说明 应对不同的用户分配不同的账号，避免不同用户间账号共享。 重要等级 中

配置指南 1、参考配置操作 #

local-user user1

service-type telnet user privilede level 2 #

local-user user2

service-type ftp user privilede level 3 #

2、补充操作说明

1、user1和user2是两个不同的账号名称，可根据不同用户，取不同的名称，建议使用：姓名的简写＋手机号码；

2、避免使用h3c、admin等简单易猜的账号名称； 检测方法 及

判定依据 1、符合性判定依据

各账号都可以正常使用，不同用户有不同的账号。 2、参考检测方法

（1）用display current-configuration configuration luser命令查看配置是否正确 （2）使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用 （3）使用配置中没有的账号无法登录 3、补充说明

每个账号都有对应的使用人员，确保没有多余账号 备注

4.1.2.2 禁止无关账号

项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-02-v1

配置说明 应禁止配置与设备运行、维护等工作无关的账号； 重要等级 高

配置指南 如有无关账号，参考如下配置进行删除 #

undo local-user username #

检测方法 及

判定依据 1、 符合性判定依据 不存在工作无关账号

2、 参考检测方法

通过display local-user来查看是否存在无关账号 备注

4.1.2.3 管理默认账号与口令

项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-03-v1 配置说明 应删除或锁定默认或缺省账号与口令。 重要等级 高 配置指南 #

undo local-user username #

检测方法 及

判定依据 1、 符合性判定依据 密码强度和策略符合安全要求 2、 参考检测方法

通过display password来看密码策略

通过telnet方式登录设备，输入密码来检测密码安全性 备注

4.1.2.4 口令长度和复杂度

项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-04-v1

配置说明 对于采用静态口令认证技术的设备：应支持口令长度及复杂度验证机制（强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成，自动拒绝用户设置不符合复杂度要求的口令。）； 重要等级 高

配置指南 1、参考配置操作

对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少3类，每类多余4个。 password-control enable password-control length 8

password-control composition type-number 3 type-length 4 检测方法 及

判定依据 1、 符合性判定依据 密码强度和策略符合安全要求 2、 参考检测方法

通过display password来看密码策略

通过telnet方式登录设备，输入密码来检测密码安全性 备注

4.1.2.5 口令加密

项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-05-v1

配置说明 静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。如使用enable secret配置Enable密码，不使用enable password配置Enable密码。 重要等级 高

配置指南 1、参考配置操作 #

local-user admin

password cipher $c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU #

检测方法 及

判定依据 1、 符合性判定依据 密码以密文形式存在设备配置中 2、 参考检测方法

通过display current-configuration命令查看账号密码以密文形式显示 备注

4.1.2.6 口令变更周期

项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-06-v1 配置说明 口令定期更改，最长不得超过90天。 重要等级 高

配置指南 1、参考配置操作

对于采用静态口令认证技术的设备，账户口令的生存期不长于90天，提前7天告警。 password-control enable password-control aging 90

password-control alert-before-expire 7 检测方法 及

判定依据 1、 符合性判定依据 口令更改周期为90天，提前7天会自动告警 2、 参考检测方法

通过display password-control来查看密码策略 备注

4.1.2.7 账户锁定策略

项目编号 NOMD-2013-SC-H3C(L3SW)-01-02-07-v1

配置说明 应为设备配置用户 连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。 重要等级 高

配置指南 1、参考配置操作

password-control login-attempt 5 exceed lock-time 60 一般设置为5次。 检测方法 及

判定依据 1、 符合性判定依据 账号密码输入连续多次错误，账号被锁定。 2、 参考检测方法

模拟登录测试，连续输5次密码，该账号被锁定。

备注

4.1.3 认证

4.1.3.1 使用认证服务器认证

项目编号 NOMD-2013-SC-H3C(L3SW)-01-03-01-v1

配置说明 设备通过相关参数配置，通过与认证服务器（RADIUS或TACACS服务器）联动的方式实现对用户的认证，满足账号、口令和授权的要求。 重要等级 中

配置指南 1、参考配置操作 [FW] radius scheme rad

# 配置主、备认证服务器的IP地址为10.1.1.1，认证端口号为1812。 [FW-radius-rad] primary authentication 10.1.1.1 1812 [FW-radius-rad] secondary authentication 10.1.1.2 1812 # 配置与认证服务器交互报文时的共享密钥为expert。 [FW-radius-rad] key authentication expert

# 配置向RADIUS服务器发送的用户名携带域名。 [FW-radius-rad] user-name-format with-domain

# 配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[FW-radius-rad] server-type extended [FW-radius-rad] quit

# 配置ISP域的AAA方法。 [FW] domain bbb

[FW-isp-bbb] authentication login radius-scheme rad [FW-isp-bbb] quit

2、补充操作说明 （1）、配置认证方式，可通过radius和本地认证； （2）、10.1.1.10和10.1.1.2是radius认证服务器的IP地址，建议建立两个radius认证服务器作为互备； （3）、port 1812是radius认证开启的端口号，可根据本地radius认证服务器开启的端口号进行配置； （4）、abc123是与radius认证系统建立连接所设定的密码，建议：与radius认证服务器建立连接时，使用密码认证建立连接。 检测方法 及

判定依据 1、符合性判定依据 （1）、可以正常ping通 Radius服务器的IP地址； （2）、用户可以登录为正常； （3）、如果要让Radius服务器向发送用户授权信息，需要在Radius服务器上装的字典文件并做相应配置。 2、参考检测方法

用户发起TELNET连接，在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后，

设置访问密码，避免非法访问 检测方法 及

判定依据 1、符合性判定依据

对vty口的数量不超过5个，其对起进行了访问限制。 2、参考检测方法

1) Display current-configuration

2) 通过登录测试，只有输入密码才能访问设备 超出在线用户数限制，则无法通过vty口访问设备 备注

4.1.6.2 VTY端口访问的认证

项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-02-v1 配置说明 对于VTY口访问的认证，应采用认证服务器认证或者本地认证的方式，避免使用VTY口下设置密码的方式认证。 重要等级 高

配置指南 1、参考配置操作 user-interface vty 0 4

authentication-mode scheme #

2、补充操作说明

以上配置是对VTY口访问采用服务器认证或本地认证的方式。 检测方法 及

判定依据 1、 符合性判定依据

通过telnet登录，只能通过用户名、密码本地或远程登录。 2、 参考检测方法

登录设备，查看是否需要用户名、密码进行认证。

备注

4.1.6.3 远程主机IP地址段限制

项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-03-v1

配置说明 应通过ACL限制可远程管理设备的IP地址段 重要等级 高

配置指南 1、参考配置操作 Acl number 2000

rule 1 permit source 192.168.0.0 0.0.255.255

rule 2 permit source 2::1 0 //匹配某个地址的用户 --Ipv6 User-interface vty 0 4 acl 2000 inbound

检测方法 及

判定依据 1、 符合性判定依据 通过设定acl，成功过滤非法的访问。 2、 参考检测方法 display current-configuration

通过模拟账号登录设备，如果不是ACL所允许的IP地址，则无法登录。

备注

4.1.6.4 远程管理通信安全

项目编号 NOMD-2013-SC-H3C(L3SW)-01-06-04-v1

配置说明 使用SSH或带SSH的telnet等加密的远程管理方式。 重要等级 高

配置指南 1、参考配置操作

# 设置用户界面VTY 0 到VTY 4 支持SSH 协议。 system-view

[Sysname] user-interface vty 0 4

[Sysname-ui-vty0-4] authentication-mode scheme [Sysname-ui-vty0-4] protocol inbound ssh 检测方法 及

判定依据 1、符合性判定依据

通过telnet无法登录，只能以SSH方式登录 2、参考检测方法

通过SSH方式登录设备，成功。Telnet登录，则失败。

备注

4.1.7 SNMP安全

4.1.7.1 使用SNMP V3版本

项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-01-v1

配置说明 对于支持SNMP V3版本的设备，必须使用V3版本SNMP协议。 重要等级 高

配置指南 1、参考配置操作 snmp-agent sys-info version v3

检测方法 及

判定依据 1. 符合性判定依据 成功使能snmpv2c、和v3版本。 2. 参考检测操作 display current-configuration 备注

4.1.7.2 访问IP地址范围限制

项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-02-v1

配置说明 应对发起SNMP访问的源IP地址进行限制，并对设备接收端口进行限制。 重要等级 高

配置指南 1、参考配置操作

snmp-agent community read XXXX acl 2000

检测方法 及

判定依据 1. 符合性判定依据 通过设定acl来成功过滤特定的源才能进行访问。 2. 参考检测操作 display current-configuration 备注

4.1.7.3 SNMP服务读写权限管理

项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-03-v1

配置说明 应关闭未使用的SNMP协议，尽量不开启SNMP的RW权限。 重要等级 高

配置指南 1、参考配置操作 snmp-agent community read xxx snmp-agent community write xxxx 检测方法 及

判定依据 1、符合性判定依据

开启了snmp READ权限，视情况配置write权限。 2、参考检测操作

display current-configuration

备注

4.1.7.4 修改SNMP默认的Community字符串

项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-04-v1

配置说明 应修改SNMP协议RO和RW的默认Community字符串，并设置复杂的字符串作为SNMP的Community。 重要等级 高

配置指南 1、参考配置操作 snmp-agent community read xxx snmp-agent community write xxxx 检测方法 及

判定依据 1. 符合性判定依据

系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。

2. 参考检测操作 display current-configuration

备注

4.1.7.5 Community字符串加密

项目编号 NOMD-2013-SC-H3C(L3SW)-01-07-05-v1

配置说明 建议支持对SNMP协议RO、RW的Community字符串的加密存放。 重要等级 高

配置指南 1、参考配置操作

SNMP V3支持加密功能，例如配置使用的用户名为managev3user，认证方式为MD5，认证密码为authkey，加密算法为DES56，加密密码是prikey

[Sysname] snmp-agent group v3 managev3group read-view test write-view test

[Sysname] snmp-agent usm-user v3 managev3user managev3group authentication-mode md5 authkey privacy-mode des56 prikey

检测方法 及

判定依据 1、 符合性判定依据 Community字符串经过加密存储。 2、 参考检测方法

Community字符串在传输的过程中，进行加密处理。通过抓包方法可以检测。

本文来源：https://www.bwwdw.com/article/g26o.html