h3c交换机安全配置基线.docVIP

H3C交换机安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 TOC \o "1-3" \h \z \u 第1章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第2章 帐号管理、认证授权安全要求 2 2.1 帐号 2 2.1.1 配置默认级别* 2 2.2 口令 3 2.2.1 密码认证登录 3 2.2.2 设置访问级密码 4 2.2.3 加密口令 4 第3章 日志安全要求 6 3.1 日志安全 6 3.1.1 配置远程日志服务器 6 第4章 IP协议安全要求 7 4.1 IP协议 7 4.1.1 使用SSH加密管理 7 4.1.2 系统远程管理服务只允许特定地址访问 7 第5章 SNMP安全要求 9 5.1 SNMP安全 9 5.1.1 修改SNMP默认通行字 9 5.1.2 使用SNMPV2或以上版本 9 5.1.3 SNMP访问控制 10 第6章 其他安全要求 12 6.1 其他安全配置 12 6.1.1 关闭未使用的端口 12 6.1.2 帐号登录超时 12 6.1.3 关闭不需要的服务* 13 第7章 评审与修订 15 概述 目的 本文档旨在指导系统管理人员进行H3C交换机的安全配置。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 适用版本 H3C交换机。 实施 例外条款 帐号管理、认证授权安全要求 帐号 配置默认级别* 安全基线项目名称 配置默认级别安全基线要求项 安全基线编号 SBL-H3CSwitch-02-01-01 安全基线项说明 交换机命令级别共分为访问、监控、系统、管理4 个级别，分别对应标识0、1、2、3。配置登录默认级别为访问级（0-VISIT） 检测操作步骤 1、参考配置操作 user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password user privilege level 0 set authentication password cipher xxx 2、补充说明 无。 基线符合性判定依据 判定条件 用配置中没有的用户名去登录，结果是不能登录 参考检测操作 <H3C>display current-configuration 补充说明 无。 备注 手工检查 口令 密码认证登录 安全基线项目名称 密码认证登录安全基线要求项 安全基线编号 SBL-H3CSwitch-02-02-01 安全基线项说明 通过控制台和远程终端，需要密码才能登录. 口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 检测操作步骤 1、参考配置操作 user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password //或authentication-mode scheme user privilege level 0 set authentication password cipher xxx 2、补充说明 无。 基线符合性判定依据 判定条件 用配置中没有的用户名去登录，结果是不能登录 参考检测操作 <H3C>display current-configuration 补充说明 无。 备注 设置访问级密码 安全基线项目名称 设置访问级密码安全基线要求项 安全基线编号 SBL-H3CSwitch-02-02-02 安全基线项说明 用户可以无条件切换到比当前低的用户级别，但是当使用AUX 或VTY 用户界面登录，并且从低级别往高级别切换时，需要输入级别切换密码（级别切换密码可以通过 super password 命令设置）。如果输入的密码错误或者没有配置级别切换密码