huawei网络设备加固规范v01.docVIP

Huawei网络设备加固规范 TIME \@ yyyy年M月 2009年5月 目录 TOC \o 1-3 \h \z 1 帐号管理、认证授权 2 1.1 账号管理 2 1.1.1 SHG-Huawei-01-01-01 2 1.2 登录要求 3 1.2.1 SHG-Huawei-01-02-01 3 1.2.2 SHG-Huawei-01-02-02 4 1.2.3 SHG-Huawei-01-02-03 4 1.3 认证和授权 5 1.3.1 SHG-Huawei-01-03-01 5 2 日志配置 6 2.1.1 SHG-Huawei-02-01-01 6 3 通信协议 7 3.1.1 SHG-Huawei-03-01-01 7 3.1.2 SHG-Huawei-03-01-02 8 3.1.3 SHG-Huawei-03-01-03 9 3.1.4 SHG-Huawei-03-01-04 9 3.1.5 SHG-Huawei-03-01-05 10 3.1.6 SHG-Huawei-03-01-06 11 4 设备其它安全要求 11 4.1.1 SHG-Huawei-04-01-01 11 4.1.2 SHG-Huawei-04-01-02 12  帐号管理、认证授权 账号管理 SHG-Huawei-01-01-0 编号： SHG-Huawei-01-01 名称： 无效帐户清理 实施目的： 删除与设备运行、维护等工作无关的账号 问题影响： 账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态： 查看备份的系统配置文件中帐号信息。 实施方案： 参考配置操作 aaa undo local-user test 回退方案： 还原系统配置文件。 判断依据： 标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险： 低 重要等级： ★★★ 实施风险： 低 重要等级： ★★★ 登录要求 SHG-Huawei-01-02-0 编号： Huawie-01-02 名称： 远程登录加密传输 实施目的： 远程登陆采用加密传输 问题影响： 泄露密码 系统当前状态： 查看备份的系统配置文件中远程登陆的配置状态。 实施方案： 1、参考配置操作 全局模式下配置如下命令： （1）R36xxE系列、R2631E系列 #protocol inbound ssh x [acl xxxx]； #ssh user xxxx assign rsa-key xxxxxx； #ssh user xxxx authentication-type [ password | RSA | all ] （2）NE系列 #local-user username password [simple | cipher] password #aaa enable #ssh user username authentication-type password #user-interface vty x #authentication-mode scheme default #protocol inbound ssh 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中远程登陆的配置状态。 实施风险： 高 重要等级： ★ SHG-Huawei-01-02-0 编号： SHG-Huawei-01-02 名称： 加固AUX端口的管理 实施目的： 除非使用拨号接入时使用AUX端口，否则禁止这个端口。 问题影响： 用户非法登陆 系统当前状态： 查看备份的系统配置文件中关于CON配置状态。 实施方案： 1、参考配置操作 # undo modem 设置完成后无法通过AUX拨号接入路由器 回退方案： 还原系统配置文件。 判断依据： 查看备份的系统配置文件中关于CON配置状态。 实施风险： 中 重要等级： ★ SHG-Huawei-01-02-0 编号： SHG-Huawei-01-02 名称： 远程登陆源地址限制 实施目的： 对登录用户的源IP地址进行过滤，防止某些获得登录密码的用户从非法的地址登录到设备上。 问题影响： 非法登陆。 系统当前状态： 查看备份的系统配置文件中关于登录配置状态。 实施方案： 参考配置操作 全局模式下配置如下命令： acl acl-number [match [config | auto]]; rule {normal |special} {permit | deny} [source xxx xxx] [destination xxx xxx] …. 回退方案： 还原系统配置文件。 判断依据： 查看备份的系