H3C交换机设备安全基线.docxVIP

H3C设备安全配置基线 目录 TOC \o 1-5 \h \z \o Current Document 第 1 章 概述 5 \o Current Document 目的 5 \o Current Document 适用范围 5 \o Current Document 适用版本 5 \o Current Document 第 2 章 帐号管理、认证授权安全要求 6 \o Current Document 帐号管理 6 \o Current Document 用户帐号分配 * 6 \o Current Document 删除无关的帐号 * 7 \o Current Document 口令 8 \o Current Document 静态口令以密文形式存放 8 \o Current Document 帐号、口令和授权 9 \o Current Document 密码复杂度 10 \o Current Document 授权 11 \o Current Document 用IP协议进行远程维护的设备使用 SSH等加密协议 11 \o Current Document 第 3 章 日志安全要求 13 \o Current Document 日志安全 13 \o Current Document 启用信息中心 13 \o Current Document 开启NTP服务保证记录的时间的准确性 14 \o Current Document 远程日志功能 * 15 \o Current Document 第4章 IP协议安全要求 17 \o Current Document IP 协议 17 \o Current Document VRRP认证 17 \o Current Document 系统远程服务只允许特定地址访问 17 \o Current Document 功能配置 18 \o Current Document SNMP的Community默认通行字口令强度 18 \o Current Document 只与特定主机进行 SNMP协议交互 19 \o Current Document 配置SNMPV2或以上版本 20 \o Current Document 424 关闭未使用的 SNMP协议及未使用 write权限 21 第 5 章 IP 协议安全要求 23 \o Current Document 其他安全配置 23 \o Current Document 关闭未使用的接口 23 \o Current Document 修改设备缺省BANNER语 24 \o Current Document 配置定时账户自动登出 24 \o Current Document 配置 console 口密码保护功能 25 \o Current Document 端口与实际应用相符 26 第 1章 概述 目的 规范配置H3C路由器、交换机设备，保证设备基本安全。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员 适用版本 comwareV7版本交换机、路由器。 第 2章 帐号管理、认证授权安全要求 帐号管理 用户帐号分配 * 1、安全基线名称： 用户帐号分配安全 2、安全基线编号： SBL-H3C-02-01-01 3、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐 号和设备间通信使用的帐号共享。 4、参考配置操作： [H3C] local-user admin [H3C-luser-manage-admin] password hash admin@mmu2 [H3C-luser-manage-admin] authorization-attribute user-role level-15 [H3C] local-user user [H3C-luser-network-user] password hash user@nhesa [H3C-luser-network-user] authorization-attribute user-role network operator 5、安全判定条件： （1）配置文件中，存在不同的账号分配 （2）网络管理员确认用户与账号分配关系明确 6、检测操作： 使用命令 dis cur 命令查看： local-user admin class manage password hash $h$6$mmu2MlqLkGMnNyKy$9R2lM4uRDsxu