H3C交换机设备安全基线

H3C设备安全配置基线

目录

第1章 1.1 1.2 1.3 第2章 2.1

概述 .............................................................................................................................. 4 目的 .................................................................................................................................. 4 适用范围 .......................................................................................................................... 4 适用版本 .......................................................................................................................... 4 帐号管理、认证授权安全要求 .................................................................................. 5 帐号管理 .......................................................................................................................... 5

用户帐号分配* ........................................................................................................ 5 删除无关的帐号* .................................................................................................... 6

2.1.1 2.1.2 2.2

口令 .................................................................................................................................. 7

静态口令以密文形式存放 ...................................................................................... 7 帐号、口令和授权 .................................................................................................. 8 密码复杂度 .............................................................................................................. 9

2.2.1 2.2.2 2.2.3 2.3

授权 ................................................................................................................................ 10

用IP协议进行远程维护的设备使用SSH等加密协议 ....................................... 10 日志安全要求 ............................................................................................................ 11 日志安全 ........................................................................................................................ 11

启用信息中心 ........................................................................................................ 11 开启NTP服务保证记录的时间的准确性 ............................................................ 12 远程日志功能* ...................................................................................................... 13 IP协议安全要求 ........................................................................................................ 14 IP协议 ........................................................................................................................... 14

VRRP认证 .............................................................................................................. 14 系统远程服务只允许特定地址访问 .................................................................... 14

2.3.1 第3章 3.1

3.1.1 3.1.2 3.1.3 第4章 4.1

4.1.1 4.1.2 4.2

功能配置 ........................................................................................................................ 15

SNMP的Community默认通行字口令强度 ........................................................ 15 只与特定主机进行SNMP协议交互 .................................................................... 16 配置SNMPV2或以上版本 .................................................................................... 17 关闭未使用的SNMP协议及未使用write权限 .................................................. 18 IP协议安全要求 ........................................................................................................ 19

4.2.1 4.2.2 4.2.3 4.2.4 第5章

5.1 其他安全配置 ................................................................................................................ 19

关闭未使用的接口 ................................................................................................ 19 修改设备缺省BANNER语 .................................................................................... 20 配置定时账户自动登出 ........................................................................................ 20 配置console口密码保护功能 .............................................................................. 21 端口与实际应用相符 ............................................................................................ 22

5.1.1 5.1.2 5.1.3 5.1.4 5.1.5

第1章 概述

1.1 目的

规范配置H3C路由器、交换机设备，保证设备基本安全。

1.2 适用范围

本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3 适用版本

comwareV7版本交换机、路由器。

第2章 帐号管理、认证授权安全要求

2.1 帐号管理 2.1.1 用户帐号分配*

1、安全基线名称：用户帐号分配安全 2、安全基线编号：SBL-H3C-02-01-01

3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。 4、参考配置操作： [H3C]local-user admin

[H3C-luser-manage-admin]password hash admin@mmu2

[H3C-luser-manage-admin] authorization-attribute user-role level-15 [H3C]local-user user

[H3C-luser-network-user] password hash user@nhesa

[H3C-luser-network-user] authorization-attribute user-role network-operator 5、安全判定条件：

（1）配置文件中，存在不同的账号分配 （2）网络管理员确认用户与账号分配关系明确 6、检测操作：

使用命令dis cur命令查看： …

#

local-user admin class manage

password hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxuoWQ== service-type ssh

authorization-attribute user-role level-15 #

local-user user class network

password hash $h$6$mmu2MlqLkGMnNy service-type ssh

authorization-attribute user-role network-operator #

对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

2.1.2 删除无关的帐号*

1、安全基线名称：删除无关的账号 2、安全基线编号：SBL-H3C-02-01-02

3、安全基线说明：应删除与设备运行、维护等工作无关的账号。 4、参考配置操作：

[H3C]undo local-user user class network 5、安全判定条件： （1）配置文件存在多个账号

（2）网络管理员确认账号与设备运行、维护等工作无关 6、检测操作：

使用dis cur | include local-user命令查看：

[H3C]dis cur | include local-user local-user admin class manage local-user user1 class manage

若不存在无用账号则说明符合安全要求。

2.2 口令

2.2.1 静态口令以密文形式存放

1、安全基线名称：静态口令以密文形式存放 2、安全基线编号：SBL-H3C-02-02-01

3、安全基线说明：配置本地用户和super口令使用密文密码。 4、参考配置操作： [H3C]local-user admin

[H3C-luser-manage-admin]password hash<密文password> //配置本地用户密文密码 [H3C]super password hash<密文password> //配置super密码使用密文加密 5、安全判定条件：

配置文件中没有明文密码字段。 6、检测操作：

使用dis cur显示本地用户账号和super密码为密文密码 #

local-user admin class manage

password hash

$h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDoZlLwO/4Jn/G1OXExEKsv+c2lNRICxCEUU13fGSGCqkVojcHvn8a6u8gcHLXVWaCgq4/VI0sxuoWQ==

service-type ssh telnet

authorization-attribute user-role level-15 #

local-user user1 class manage

password hash

$h$6$Vq2YRqXUGH5+Rb7H$gXyN9RI9CPidNbbabnP8Ul6RvR9p8+AchsO5MmNV+ePgOJ6z8/mZTL1hlnQV14oDAbvP5uHhG7gP1/U0pwHGFQ== authorization-attribute user-role network-operator # #

super password role network-admin hash

$h$6$5hCfLSGRV20XIu31$CMRoTM2axjYWGsOuwnhH7jdyczUUTGupjH0RinySGYft6k9RDySQS29QyciznpJoVS/thfJHRWEmiPQG7c13WQ== #

2.2.2 帐号、口令和授权

1、安全基线名称：账号、口令和授权安全基线 2、安全基线编号：SBL-H3C-02-02-02

3、安全基线说明：通过认证系统，确认远程用户身份，判断是否为合法的网络用户。

4、参考配置操作： [H3C]local-user admin

[H3C-luser-manage-admin]password hash pipaxing@xiangyun [H3C-luser-manage-admin]authorization-attribute user-role level-15 [H3C]domain admin

[H3C-isp-admin]authentication default local

5、安全判定条件：

账号和口令的配置，指定了认证的系统。 6、检测操作： [H3C]dis cur … #

domain admin #

domain system #

domain default enable system #

2.2.3 密码复杂度

1、安全基线名称：密码复杂度 2、安全基线编号：SBL-H3C-02-02-03

3、安全基线说明：对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 4、参考配置操作： [H3C]local-user admin

[H3C-luser-manage-admin]password pipaxing@xiangyun 5、安全判定条件：

密码强度符合要求，密码至少90天进行更换。

2.3 授权

2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议

1、安全基线名称：用IP协议进行远程维护设备 2、安全基线编号：SBL-H3C-02-03-01

3、安全基线说明：使用IP协议进行远程维护设备，应配置使用SSH等加密协议连接。

4、参考配置操作： [H3C]ssh server enable [H3C]local-user admin

[H3C-luser-manage-admin]service-type ssh 5、安全判定条件：

配置文件中只允许SSH等加密协议连接。 6、检测操作：

使用dis cur | include ssh命令： [H3C]dis cur | include ssh ssh server enable service-type ssh

ssh 服务为enable状态表明符合安全要求。

第3章 日志安全要求

3.1 日志安全 3.1.1 启用信息中心

1、安全基线名称：启用信息中心 2、安全基线编号：SBL-H3C-03-01-01

3、安全基线说明：启用信息中心，记录与设备相关的事件。 4、参考配置操作： [H3C]info-center enable 5、安全判定条件：

（1）设备应配置日志功能，能对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录使用的IP地址。 （2）记录用户登录设备后所进行的所有操作。 6、检测操作：

使用dis info-center有显示Information Center: Enabled类似信息，如： [H3C]dis info-center Information Center: Enabled Console: Enabled Monitor: Enabled Log host: Enabled

10.1.0.20,

port number: 514, host facility: local7 10.1.0.95,

port number: 514, host facility: local7 10.1.0.99,

port number: 514, host facility: local7 Log buffer: Enabled

Max buffer size 1024, current buffer size 512

Current messages 512, dropped messages 0, overwritten messages 3736 Log file: Enabled Security log file: Disabled Information timestamp format: Log host: Date

Other output destination: Date

3.1.2 开启NTP服务保证记录的时间的准确性

1、安全基线名称：日志记录时间准确性 2、安全基线编号：SBL-H3C-03-01-02

3、安全基线说明：开启NTP服务，保证日志功能记录的时间的准确性。 4、参考配置操作：

配置ntp客户端，服务器地址为192.168.1.1： [H3C]ntp-service enable

[H3C]ntp-service unicast-server 192.168.1.1 5、安全判定条件：

日志记录时间准确。 6、检测操作： [H3C]dis cur | include ntp ntp-service enable

ntp-service unicast-server 192.168.1.1

3.1.3 远程日志功能*

1、安全基线名称：远程日志功能 2、安全基线编号：SBL-H3C-03-01-03

3、安全基线说明：配置远程日志功能，使设备能通过远程日志功能传输到日志服务器。

4、参考配置操作：

[H3C]info-center loghost *.*.*.* //配置接收日志的服务器地址 [H3C]info-center source default loghost level emergency //配置发送的日志级别 5、安全判定条件：

日志服务器能够正确接收网络设备发送的日志。 6、检测操作：

使用命令dis cur | include info-center查看： [H3C]dis cur | include info-center undo copyright-info enable info-center loghost 10.1.0.20 info-center loghost 10.1.0.95 info-center loghost 10.1.0.99

info-center source default loghost level emergency

第4章 IP协议安全要求

4.1 IP协议 4.1.1 VRRP认证

1、安全基线名称：VRRP认证 2、安全基线编号：SBL-H3C-04-01-01

3、安全基线说明：VRRP启用认证，防止非法设备加入到VRRP组中。 4、安全判定条件：

查看VRRP组，只存在正确的设备。 5、检测操作： 使用命令dis vrrp

4.1.2 系统远程服务只允许特定地址访问

1、安全基线名称：系统远程服务只允许特定地址访问 2、安全基线编号：SBL-H3C-04-01-02

3、安全基线说明：设备以UDP/TCP协议对外提供服务，供外部主机进行访问，如作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等，应配置设备，只允许特定主机访问。 4、参考配置操作：

通过配置访问控制列表ACL，只允许特定的地址访问设备的服务，如：

[H3C]acl advanced 3000

[H3C-acl-ipv4-adv-3000]rule 0 permit tcp source 10.18.54.12 0 destination 10.1.0.50 0 destination-port eq 443

[H3C-acl-ipv4-adv-3000]rule 65534 deny ip 5、安全判定条件：

在相关端口上绑定相应的ACL。 6、检测操作： 使用dis cur命令查看： #

interface Vlan-interface10 ip address 10.1.0.50 255.255.255.0 packet-filter 3000 inbound #

4.2 功能配置

4.2.1 SNMP的Community默认通行字口令强度

1、安全基线名称：SNMP协议的community团体字 2、安全基线编号：SBL-H3C-04-02-01

3、安全基线说明：修改SNMP的community默认团体字，字符串应符合口令强度要求。

4、参考配置操作：

[H3C]snmp-agent community read [H3C] snmp-agent communitywrite 5、安全判定条件：

Community非默认，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 6、检测操作：

使用命令dis cur | include snmp查看： [H3C]dis cur | include snmp snmp-agent

snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun_read snmp-agent community writexiangyun_write snmp-agent sys-info version v3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp 7、补充：

若设备不需要使用SNMP协议应关闭SNMP功能，若需要用到应使用V2版本以上的SNMP协议。

4.2.2 只与特定主机进行SNMP协议交互

1、安全基线名称：只与特定主机进行SNMP协议交互 2、安全基线编号：SBL-H3C-04-02-02

3、安全基线说明：设备只与特定主机进行SNMP协议交互 4、参考配置操作：

使用ACL限制只与特定主机进行SNMP交互 [H3C]acl advanced name acl_snmp

[H3C-acl-ipv4-adv-acl_snmp]rule permit ip source 11.11.1.10 0

[H3C-acl-ipv4-adv-acl_snmp]rule deny ip source any

[H3C]snmp-agent community read xiangyun acl name acl_snmp 5、安全判定条件： Snmp绑定了acl 6、检测操作：

使用dis cur | include snmp命令查看： [H3C]dis cur | include snmp snmp-agent

snmp-agent local-engineid 800063A280A4F25325010000000001 snmp-agent community read xiangyun snmp-agent sys-info version 3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp

snmp-agent community read xiangyun acl name acl_snmp

4.2.3 配置SNMPV2或以上版本

1、安全基线名称：配置SNMPv2或以上版本 2、安全基线编号：SBL-H3C-04-02-03

3、安全基线说明：系统应配置SNMPv2或以上版本 4、参考配置操作：

[H3C]snmp-agent sys-info version v3 5、安全判定条件：

系统可以成功使用snmpv2或v3版本协议。 6、检测操作：

使用dis cur | include snmp命令查看： [H3C]dis cur | include snmp …..

snmp-agent sys-info version 3 …..

4.2.4 关闭未使用的SNMP协议及未使用write权限

1、安全基线名称：关闭未使用的SNMP协议及未使用write权限 2、安全基线编号：SBL-H3C-04-02-04

3、安全基线说明：系统应及时关闭未使用的SNMP协议及未使用write权限 4、参考配置操作：

[H3C]undo snmp-agent community pipaxing 5、安全判定条件： Snmp权限为read。 6、检测操作：

使用dis cur | include snmp命令查看，权限只有read： [H3C]dis cur | include snmp …..

snmp-agent community read xiangyun …..

第5章 其他安全要求

5.1 其他安全配置 5.1.1 关闭未使用的接口

1、安全基线名称：关闭未使用的接口 2、安全基线编号：SBL-H3C-05-01-01 3、安全基线说明：关闭未使用的接口 4、参考配置操作： [H3C]int g1/0/10

[H3C-GigabitEthernet1/0/10]shutdown 5、安全判定条件：

未使用接口应该管理员down。 6、检测操作： [H3C]dis cur …. #

interface GigabitEthernet1/0/10 port link-mode bridge combo enable fiber shutdown

# ….

5.1.2 修改设备缺省BANNER语

1、安全基线名称：修改设备缺省BANNER语 2、安全基线编号：SBL-H3C-05-01-02

3、安全基线说明：要修改设备缺省BANNER语，BANNER最好不要有系统平台或地址等有碍安全的信息。 4、参考配置操作： [H3C]header login

Please input banner content, and quit with the character '%'.

5、安全判定条件：

欢迎界面、提示符等不包含敏感信息。 6、检测操作：

通过远程登录或console口登录查看设备提示信息。

5.1.3 配置定时账户自动登出

1、安全基线名称：配置账号定时自动退出 2、安全基线编号：SBL-H3C-05-01-03

3、安全基线说明：如Telnet、ssh、console登录连接超时退出 4、参考配置操作：

配置vty登录3分钟无操作自动退出： [H3C]user-interface vty 0 4

[H3C-line-vty0-4]idle-timeout 3 5、安全判定条件：

每种登录方式均设备了超时退出时间。 6、检测操作： 使用dis cur查看： [H3C]dis cur … #

line vty 0 4

authentication-mode scheme user-role level-4 idle-timeout 3 0 # …

5.1.4 配置console口密码保护功能

1、安全基线名称：配置console口密码保护 2、安全基线编号：SBL-H3C-05-01-04 3、安全基线说明：配置console口密码保护 4、参考配置操作： [H3C]user-interface aux 0

[H3C-line-aux0]authentication-mode password

[H3C-line-aux0]set authentication password simple admin123 5、安全判定条件：

通过console口登录，确认需要密码。 6、检测操作： 使用命令dis cur查看： [H3C]dis cur … # line aux 0

authentication-mode password user-role network-admin

set authentication password hash $h$6$QpooKvn4vB7WJP7u/J9oscewiEEVfvQ== # …

5.1.5 端口与实际应用相符

1、安全基线名称：端口与实际应用相符 2、安全基线编号：SBL-H3C-05-01-05

3、安全基线说明：系统使用的端口默认无描述，安全事件处理及后期日志查询较为不变，出于安全考虑，应该将使用的端口添加符合实际应用的描述。 4、参考配置操作： [H3C]int g1/0/10

[H3C-GigabitEthernet1/0/10]description shangxinag 5、安全判定条件：

正在使用的端口配置了相应的描述。 6、检测操作：

使用dis cur命令查看对应使用的端口是否有描述： [H3C]dis cur …. #

interface GigabitEthernet1/0/10 port link-mode bridge description shangxinag combo enable fiber #

本文来源：https://www.bwwdw.com/article/x795.html