XX银行H3C交换机安全基线配置(20200912190106).docxVIP

PAGE PAGE # / 23 XX 银行 H3C 交换机系列安全配置基线(V1.0) TOC \o 1-5 \h \z \o Current Document 适用声明 2 \o Current Document 访问控制 3 远程连接源地址限制 21 \o Current Document 安全审计 3 开启设备的日志功能 6 \o Current Document 入侵防范 7 配置防 ARP欺骗攻击 7 配置常见的漏洞攻击和病毒过滤功能 4 配置ACL规则 3 \o Current Document 网络设备防护 8 限制管理员远程直接登录 8 连接空闲时间设定 9 远程登陆加密传输 10 配置CONSOLE 口密码保护功能和连接超时 11 按照用户分配账号 12 删除设备中无用的闲置账号 13 修改设备上存在的弱口令 13 配置和认证系统联动功能 14 配置和认证系统联动功能 14 配置NTP服务 15 修改SNMP的COMMUNITY 默认通行字 16 使用SNMPV2或以上版本 17 设置SNMP的访问安全限制 18 系统应关闭未使用的 SNMP协议及未使用 RW权限 19 关闭不必要的服务 19 配置防源地址欺骗攻击 20 禁止设备未使用或者空闲的端口 21 1适用声明 适用人员 IT部的网络维护人员、 安全评估人员、 安全审计人员 适用版本 H3C同系列的网络交换机 适用等保一级 项 适用等保二级 项 适用等保三级 项 适用等保四级 项 参考依据 《H3C交换机配置手册》 《GB/T 20270-2006 信息安全技术 网络基础安全技术要求》 《GB/T 20011-2005 信息安全技术 路由器安全评估准则》 《JR/T 0068-2012 网上银行系统信息安全通用规范》 《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》 《GB/T 25070-2010 信息安全技术 信息系统等级保护安全设计技术要 求》 《JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引》 2访问控制 2.1 配置ACL规则 [H3C-behavior-tb1] de ny 定义流策略，将流分类与流行为关联。 [H3C] traffic policy tp1 [H3C-trafficpolicy-tp1] classifier tc1 behavior tb1 应用流策略到接口。 [H3C] in terface gigabitethernet 0/0/1 [H3C-GigabitEthernet0/0/1] traffic-policy tp1 in bou nd 备注 2.2 配置常见的漏洞攻击和病毒过滤功能   3安全审计 3.1 开启设备的日志功能 配置/检查项 配置设备的日志功能 适用等保级别 等保二至四级 1.进入用户视图 H3C 2.用户视图切换到系统视图 检查步骤 H3C system-view En ter system view, return user view with Ctrl+Z. [H3C] 3.查看日志功能是否按照需求配置 [H3C]dis cur | in info-center 要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志，冋时 提供SYSLOG服务器的设置方式， 所有的日志信息可以均可以远程存储到日 志服务器。并且必须保证日志服务器的安全性。 1.进入用户视图 H3C 2.由户视图切换到系统视图 H3C system-view En ter system view, return user view with Ctrl+Z. [H3C] 配置步骤 3.开启日志功能 [H3C] in fo-ce nter e nable 4.配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了 解到设备的运行情况 [H3C] info-cen ter con sole cha nnel 0 5.配置日志信息输出到日志缓冲区 [H3C] in fo-ce nter logbuffer cha nnel 4 6.配置日志信息输出到日志服务器 [H3C] in fo-ce nter loghost 备注 4入侵防范 4.配置防止ARP网关冲突 [H3C] arp an ti-attack gateway-duplicate en able 备注 5网络设备防护 5.1 限制管理员远程直接登录 配置/检查项 限制具备管理员权限的用户远程直接登录 适用等保级别 1.进入用户视图 H3C 2.用户视图切换到系统视图 检查步骤 H3C system-view En ter sy