2023年11月29日发(作者:)
。
华为设备安全配置基线
精选资料,欢迎下载
。
目录
第1章概述 ............................................................... 4
1.1目的 ................................................................. 4
1.2适用范围 ............................................................. 4
1.3适用版本 ............................................................. 4
第2章帐号管理、认证授权安全要求 ......................................... 5
2.1帐号管理 ............................................................. 5
2.1.1用户帐号分配* .................................................... 5
2.1.2删除无关的帐号* .................................................. 6
2.2口令 ................................................................. 7
2.2.1静态口令以密文形式存放 ........................................... 7
2.2.2帐号、口令和授权 ................................ 错误!未定义书签。
2.2.3密码复杂度 ....................................................... 8
2.3授权 ................................................................. 9
2.3.1用IP协议进行远程维护的设备使用SSH等加密协议 .................... 9
第3章日志安全要求 ...................................................... 11
3.1日志安全 ............................................................ 11
3.1.1启用信息中心 .................................................... 11
3.1.2开启NTP服务保证记录的时间的准确性 .............................. 12
3.1.3远程日志功能* ................................................... 13
第4章IP协议安全要求 ................................................... 15
4.1IP协议 ............................................................. 15
4.1.1VRRP认证 ....................................................... 15
4.1.2系统远程服务只允许特定地址访问 .................................. 15
4.2功能配置 ............................................................ 17
4.2.1SNMP的Community默认通行字口令强度 ............................. 17
4.2.2只与特定主机进行SNMP协议交互 ................................... 18
4.2.3配置SNMPV2或以上版本 ........................................... 19
4.2.4关闭未使用的SNMP协议及未使用write权限 ......................... 20
第5章IP协议安全要求 ................................................... 22
精选资料,欢迎下载
。
5.1其他安全配置 ........................................................ 22
5.1.1关闭未使用的接口 ................................................ 22
5.1.2修改设备缺省BANNER语 ........................................... 23
5.1.3配置定时账户自动登出 ............................................ 23
5.1.4配置console口密码保护功能 ...................................... 24
5.1.5端口与实际应用相符 .............................................. 25
精选资料,欢迎下载
。
第1章 概述
1.1 目的
规范配置华为路由器、交换机设备,保证设备基本安全。
1.2 适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
1.3 适用版本
华为交换机、路由器。
精选资料,欢迎下载
。
第2章 帐号管理、认证授权安全要求
2.1 帐号管理
2.1.1 用户帐号分配*
1、安全基线名称:
用户帐号分配安全
2、安全基线编号:SBL-HUAWEI-02-01-01
3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐
号和设备间通信使用的帐号共享。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-user admin password cipher admin123
[Huawei-aaa]local-user admin privilege level 15
[Huawei-aaa]local-user admin service-type ssh
[Huawei-aaa]local-user user password cipher user123
[Huawei-aaa]local-user user privilege level 4
[Huawei-aaa]local-user user service-type ssh
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
。
使用命令dis cur命令查看:
…
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!
local-user admin privilege level 15
local-user admin service-type ssh
local-user user password cipher "=LP!6$^-IYNZP
local-user user privilege level 4
local-user user service-type ssh
#
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明
。
[Huawei]aaa
[Huawei-aaa]undo local-user user
5、安全判定条件:
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用dis cur | include local-user命令查看:
[Huawei]dis cur | include local-user
local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!
local-user admin privilege level 15
local-user admin service-type ssh
若不存在无用账号则说明符合安全要求。
2.2 口令
2.2.1 静态口令以密文形式存放
1、安全基线名称:静态口令以密文形式存放
2、安全基线编号:SBL-HUAWEI-02-02-01
3、安全基线说明:配置本地用户和super口令使用密文密码。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-user admin password cipher admin123
[Huawei]super password cipher admin123
5、安全判定条件:
精选资料,欢迎下载
。
配置文件中没有明文密码字段。
6、检测操作:
查看本地用户密码:
[Huawei]dis cur | include local-user
local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!
local-user admin privilege level 15
local-user admin service-type ssh
查看super密码:
[Huawei]dis cur | include super
super password level 3 cipher mPZr=2!Z<@u:|l#3M^#3Icf# #
2.2.2 密码复杂度
1、安全基线名称:密码复杂度
2、安全基线编号:SBL-HUAWEI-02-02-02
3、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包
括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相
同的口令。密码应至少每90天进行更换。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-user admin password cipher admin@xiangyun
5、安全判定条件:
密码强度符合要求,密码至少90天进行更换。
精选资料,欢迎下载
。
2.3 授权
2.3.1 用IP协议进行远程维护的设备使用SSH等加密协
议
1、安全基线名称:用IP协议进行远程维护设备
2、安全基线编号:SBL-HUAWEI-02-03-01
3、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连
接。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa] local-user admin password cipher admin123
[Huawei-aaa] local-user admin privilege level 15
[Huawei-aaa] local-user admin service-type ssh
[Huawei]rsa local-key-pair create
[Huawei]stelnet server enable
[Huawei]ssh user admin service-type stelnet
[Huawei]ssh user admin authentication-type password
[Huawei]user-interface vty 0 4
[Huawei-ui-vty0-4]protocol inbound ssh
5、安全判定条件:
配置文件中只允许SSH等加密协议连接。
6、检测操作:
使用dis cur | include ssh命令:
[Huawei]dis cur | include ssh
精选资料,欢迎下载
。
local-user admin service-type ssh
ssh user admin
ssh user admin authentication-type password
ssh user admin service-type stelnet
。
第3章 日志安全要求
3.1 日志安全
3.1.1 启用信息中心
1、安全基线名称:启用信息中心
2、安全基线编号:SBL-HUAWEI-03-01-01
3、安全基线说明:启用信息中心,记录与设备相关的事件。
4、参考配置操作:
[HUAWEI]info-center enable
5、安全判定条件:
(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用
的账号,登录是否成功,登录时间,以及远程登录使用的IP地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:
使用dis info-center有显示Information Center: Enabled类似信息,如:
[Huawei]dis info-center
Information Center:enabled
Log host:
Console:
精选资料,欢迎下载
。
channel number : 0, channel name : console
Monitor:
channel number : 1, channel name : monitor
SNMP Agent:
channel number : 5, channel name : snmpagent
Log buffer:
enabled,max buffer size 1024, current buffer size 512,
current messages 56, channel number : 4, channel name : logbuffer
dropped messages 0, overwritten messages 0
Trap buffer:
enabled,max buffer size 1024, current buffer size 256,
current messages 4, channel number:3, channel name:trapbuffer
。
3、安全基线说明:开启NTP服务,保证日志功能记录的时间的准确性。
4、参考配置操作:
配置ntp客户端,服务器地址为192.168.1.1:
[Huawei]ntp-service authentication enable
[Huawei]ntp-service unicast-server 192.168.1.1
5、安全判定条件:
日志记录时间准确。
6、检测操作:
[Huawei]dis cur | include ntp
ntp-service authentication enable
ntp-service unicast-server 192.168.1.1
3.1.3 远程日志功能*
1、安全基线名称:远程日志功能
2、安全基线编号:SBL-HUAWEI-03-01-03
3、安全基线说明:配置远程日志功能,使设备能通过远程日志功能传输到日志服
务器。
4、参考配置操作:
[HUAWEI]info-center loghost *.*.*.* //配置接
收日志的服务器地址
[Huawei]info-center source default channel loghost log level emergencies
//配置发送的日志级别
5、安全判定条件:
日志服务器能够正确接收网络设备发送的日志。
精选资料,欢迎下载
。
6、检测操作:
使用命令dis cur | include info-center查看:
[Huawei]dis cur | include info-center
info-center source default channel 2 log level emergencies
精选资料,欢迎下载
。
第4章 IP协议安全要求
4.1 IP协议
4.1.1 VRRP认证
1、安全基线名称:VRRP认证
2、安全基线编号:SBL-HUAWEI-04-01-01
3、安全基线说明:VRRP启用认证,防止非法设备加入到VRRP组中。
4、安全判定条件:
查看VRRP组,只存在正确的设备。
5、检测操作:
使用命令dis vrrp
4.1.2 系统远程服务只允许特定地址访问
1、安全基线名称:系统远程服务只允许特定地址访问
2、安全基线编号:SBL-HUAWEI-04-01-02
3、安全基线说明:设备以UDP/TCP协议对外提供服务,供外部主机进行访问,如
作为NTP服务器、TELNET服务器、TFTP服务器、FTP服务器、SSH服务器等,应配
置设备,只允许特定主机访问。
4、参考配置操作:
通过配置访问控制列表ACL,只允许特定的地址访问设备的服务,如:
精选资料,欢迎下载
。
[HUAWEI]acl number 3000
[HUAWEI-acl-adv-3000]rule 0 permit tcp source 10.18.54.12 0 destination
10.1.0.50 0 destination-port eq 443
[HUAWEI-acl-adv-3000]rule 65534 deny ip
[Huawei]traffic behavior 1
[Huawei-behavior-1]permit
[Huawei]traffic policy 1
[Huawei-classifier-1]if-match acl 3000
[Huawei]traffic policy 1
[Huawei-trafficpolicy-1]classifier 1 behavior 1
[Huawei]vlan 20
[Huawei-vlan20]traffic-policy 1 inbound
5、安全判定条件:
在相关端口上绑定相应的ACL。
。
traffic behavior 1
permit
#
traffic policy 1
classifier 1 behavior 1
#
drop-profile default
#
vlan 20
traffic-policy 1 inbound
#
4.2 功能配置
4.2.1 SNMP的Community默认通行字口令强度
1、安全基线名称:SNMP协议的community团体字
2、安全基线编号:SBL-HUAWEI-04-02-01
3、安全基线说明:修改SNMP的community默认团体字,字符串应符合口令强度要
求。
4、参考配置操作:
[HUAWEI]snmp-agent community read [HUAWEI] snmp-agent community write < community团体字> 5、安全判定条件: 精选资料,欢迎下载 。 Community非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊 符号4类中至少2类。 6、检测操作: 使用命令dis cur | include snmp查看: [HUAWEI]dis cur | include snmp snmp-agent snmp-agent local-engineid 800063A280A4F25325 snmp-agent community read xiangyun_read snmp-agent community write xiangyun_write snmp-agent sys-info version v3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp 7、补充: 若设备不需要使用SNMP协议应关闭SNMP功能,若需要用到应使用V2版本以上的 SNMP协议。 4.2.2 只与特定主机进行SNMP协议交互 1、安全基线名称:只与特定主机进行SNMP协议交互 2、安全基线编号:SBL-HUAWEI-04-02-02 3、安全基线说明:设备只与特定主机进行SNMP协议交互 4、参考配置操作: 使用ACL限制只与特定主机进行SNMP交互 [HUAWEI]acl number 2000 精选资料,欢迎下载 。 [HUAWEI-acl-adv-2000]rule 0 permit ip source 10.18.54.12 0 [HUAWEI-acl-adv-2000]rule 65534 deny ip [HUAWEI]snmp-agent community read xiangyun acl 2000 5、安全判定条件: Snmp绑定了acl 6、检测操作: 使用dis cur | include snmp命令查看: [HUAWEI]dis cur | include snmp snmp-agent snmp-agent local-engineid 800063A280A4F25325 snmp-agent community read xiangyun snmp-agent sys-info version 3 snmp-agent trap enable arp snmp-agent trap enable radius snmp-agent trap enable stp snmp-agent community read xiangyun acl 2000 4.2.3 配置SNMPV2或以上版本 1、安全基线名称:配置SNMPv2或以上版本 2、安全基线编号:SBL-HUAWEI-04-02-03 3、安全基线说明:系统应配置SNMPv2或以上版本 4、参考配置操作: 。 [HUAWEI]snmp-agent sys-info version v3 5、安全判定条件: 系统可以成功使用snmpv2或v3版本协议。 6、检测操作: 使用dis cur | include snmp命令查看: [HUAWEI]dis cur | include snmp ….. snmp-agent sys-info version 3 ….. 4.2.4 关闭未使用的SNMP协议及未使用write权限 1、安全基线名称:关闭未使用的SNMP协议及未使用write权限 2、安全基线编号:SBL-HUAWEI-04-02-04 3、安全基线说明:系统应及时关闭未使用的SNMP协议及未使用write权限 4、参考配置操作: [Huawei]undo snmp-agent community write pipaxing 5、安全判定条件: Snmp权限为read。 6、检测操作: 使用dis cur | include snmp命令查看,权限只有read: [HUAWEI]dis cur | include snmp ….. snmp-agent community read xiangyun 精选资料,欢迎下载 。 ….. 精选资料,欢迎下载 。 第5章 IP协议安全要求 5.1 其他安全配置 5.1.1 关闭未使用的接口 1、安全基线名称:关闭未使用的接口 2、安全基线编号:SBL-HUAWEI-05-01-01 3、安全基线说明:关闭未使用的接口 4、参考配置操作: [HUAWEI]int g1/0/10 [HUAWEI-GigabitEthernet1/0/10]shutdown 5、安全判定条件: 未使用接口应该管理员down。 6、检测操作: [HUAWEI]dis cur …. # interface GigabitEthernet1/0/10 port link-mode bridge combo enable fiber shutdown 精选资料,欢迎下载 。 # …. 5.1.2 修改设备缺省BANNER语 1、安全基线名称:修改设备缺省BANNER语 2、安全基线编号:SBL-HUAWEI-05-01-02 3、安全基线说明:要修改设备缺省BANNER语,BANNER最好不要有系统平台或地 址等有碍安全的信息。 4、参考配置操作: [Huawei]header login information {需要显示的登录信息} 5、安全判定条件: 欢迎界面、提示符等不包含敏感信息。 6、检测操作: 通过远程登录或console口登录查看设备提示信息。 5.1.3 配置定时账户自动登出 1、安全基线名称:配置账号定时自动退出 2、安全基线编号:SBL-HUAWEI-05-01-03 3、安全基线说明:如Telnet、ssh、console登录连接超时退出 4、参考配置操作: 配置vty登录3分钟无操作自动退出: [HUAWEI]user-interface vty 0 4 [HUAWEI-line-vty0-4]idle-timeout 3 精选资料,欢迎下载 。 5、安全判定条件: 每种登录方式均设备了超时退出时间。 6、检测操作: 使用dis cur查看: [HUAWEI]dis cur … # line vty 0 4 authentication-mode scheme user-role level-4 idle-timeout 3 0 # … 5.1.4 配置console口密码保护功能 1、安全基线名称:配置console口密码保护 2、安全基线编号:SBL-HUAWEI-05-01-04 3、安全基线说明:配置console口密码保护 4、参考配置操作: [Huawei]user-interface console 0 。 通过console口登录,确认需要密码。 6、检测操作: 使用命令dis cur查看: [HUAWEI]dis cur … # user-interface con 0 authentication-mode password set authentication password cipher t(<'@e^+hKEBi%T]n/.IV8e# # … 5.1.5 端口与实际应用相符 1、安全基线名称:端口与实际应用相符 2、安全基线编号:SBL-HUAWEI-05-01-05 3、安全基线说明:系统使用的端口默认无描述,安全事件处理及后期日志查询较 为不变,出于安全考虑,应该将使用的端口添加符合实际应用的描述。 4、参考配置操作: [HUAWEI]int g1/0/10 。 使用dis cur命令查看对应使用的端口是否有描述: [HUAWEI]dis cur …. # interface GigabitEthernet1/0/10 description shangxinag # 精选资料,欢迎下载 。
发布评论