hc防火墙安全配置基线.docx

公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N] 公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N] HC防火墙安全配置基线 H3C防火墙安全配置基线  版本 版本控制信息 更新日期 更新人 审批人 创建 2012年4月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 TOC \o 1-3 \h \z \u 概述 目的 本文档旨在指导系统管理人员进行H3C防火墙的安全配置。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 适用版本 H3C防火墙。 实施 例外条款 帐号管理、认证授权安全要求 帐号管理 用户帐号分配* 安全基线项目名称 用户帐号分配安全基线要求项 安全基线编号 SBL-H3C-02-01-01 安全基线项说明 不同等级管理员分配不同帐号，避免帐号混用。 检测操作步骤 参考配置操作 # local-user user1 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 3 service-type telnet # local-user user2 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 2 service-type telnet # 补充操作说明 无。 基线符合性判定依据 判定条件 用配置中没有的用户名去登录，结果是不能登录。 检测操作 H3Cdisplay current-configuration # local-user user1 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 3 service-type telnet # local-user user2 password cipher W@FSOR(5:LLK8RI6$H@XA!! authorization-attribute level 2 service-type telnet # 补充说明 无。 备注 有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。 删除无关的帐号* 安全基线项目名称 无关的帐号安全基线要求项 安全基线编号 SBL- H3C-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。 检测操作步骤 参考配置操作 [H3C] undo local-user user1 补充操作说明 无 基线符合性判定依据 判定条件 配置中用户信息被删除。 检测操作 H3C display current-configuration 补充说明 无。 备注 建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。 帐户登录超时* 安全基线项目名称 帐户登录超时安全基线要求项 安全基线编号 SBL- H3C -02-01-03 安全基线项说明 配置定时帐户自动登出，空闲5分钟自动登出。登出后用户需再次登录才能进入系统。 检测操作步骤 参考配置操作 设置超时时间为5分钟 2、补充说明 无。 基线符合性判定依据 判定条件 在超出设定时间后，用户自动登出设备。 参考检测操作 补充说明 无。 备注 需要手工检查。 帐户密码错误自动锁定* 安全基线项目名称 帐户密码错误自动锁定安全基线要求项 安全基线编号 SBL-H3C-02-01-04 安全基线项说明 在10次尝试登录失败后锁定帐户，不允许登录。 解锁时间设置为300秒 检测操作步骤 参考配置操作 设置尝试失败锁定次数为10次 2、补充说明 无。 基线符合性判定依据 判定条件 超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。 参考检测操作 补充说明 无。 备注 注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。 需要手工检查。 口令 口令复杂度要求 安全基线项目名称 口令复杂度要求安全基线要求项 安全基线编号 SBL- H3C -02-02-01 安全基线项说明 防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应至少每90天进行更换。 检测操作步骤 参考配置操作 [H3C]local-user admin [H3C-luser-huawei]service-ty