H3C防火墙安全配置基线.docxVIP

H3C防火墙安全配置基线 H3C防火墙安全配置基线 PAGE PAGE22 H3C防火墙安全配置基线 PAGE H3C防火墙安全配置基线 版本  版本控制信息  更新日期  更新人  审批人  创办  2012年  4月 备注： 若此文档需要今后更新，请创办人填写版本控制表格，否则删除版本控制表格。 目 录 第1章归纳 目的 本文档旨在指导系统管理人员进行 H3C防火墙的安全配置。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 适用版本 H3C防火墙。 推行 例外条款 第2章帐号管理、认证授权安全要求 帐号管理 用户帐号分配* 安全基线项 用户帐号分配安全基线要求项 目名称 安全基线编 SBL-H3C-02-01-01 号 安全基线项 不相同样级管理员分配不相同帐号，防范帐号混用。 说明 检测操作步 1. 参照配置操作 骤 # local-useruser1 基线吻合性 判断依照 备注  passwordcipherW@FSOR(5:LLK8RI6$H@XA!! authorization-attributelevel3 service-typetelnet # local-useruser2 passwordcipherW@FSOR(5:LLK8RI6$H@XA!! authorization-attributelevel2 service-typetelnet # 补充操作说明 无。 判断条件 用配置中没有的用户名去登录，结果是不能够登录。 检测操作 H3Cdisplaycurrent-configuration # local-useruser1 passwordcipherW@FSOR(5:LLK8RI6$H@XA!! authorization-attributelevel3 service-typetelnet # local-useruser2 passwordcipherW@FSOR(5:LLK8RI6$H@XA!! authorization-attributelevel2 service-typetelnet # 补充说明 无。 有些防火墙系统自己就携带三种不相同权限的帐号，需要手工检查。 删除没关的帐号 * 安全基线项 没关的帐号安全基线要求项 目名称 安全基线编 SBL-H3C-02-01-02 号 安全基线项 应删除或锁定与设备运行、保护等工作没关的帐号。 说明 检测操作步 1. 参照配置操作 骤 [H3C]undolocal-useruser1 补充操作说明 无 基线吻合性 1. 判断条件 判断依照 配置中用户信息被删除。 检测操作 H3Cdisplaycurrent-configuration 补充说明 无。 备注 建议手工抽查系统，没关账户更多属于管理层面，需要人为确认。 帐户登录超时* 安全基线项 帐户登录超时安全基线要求项 目名称 安全基线编 SBL-H3C-02-01-03 号 安全基线项 配置准时帐户自动登出，悠闲 5分钟自动登出。登出后用户需再次登录才能 说明 进入系统。 检测操作步 1、参照配置操作 骤 设置超时时间为5分钟 2、补充说明 无。 基线吻合性 1. 判断条件 判断依照 在超出设准时间后，用户自动登出设备。 2. 参照检测操作 3. 补充说明 无。 备注 需要手工检查。 帐户密码错误自动锁定 * 安全基线项 帐户密码错误自动锁定安全基线要求项 目名称 安全基线编 SBL-H3C-02-01-04 号 安全基线项 在10次试一试登录失败后锁定帐户，不相赞同登录。 说明 解锁时间设置为300秒 检测操作步 1、参照配置操作 骤 10次 设置试一试失败锁定次数为 2、补充说明 无。 基线吻合性 1. 判断条件 判断依照 超出重试次数后帐号锁定，不相赞同登录，解锁时间到达后能够登录。 2. 参照检测操作 3. 补充说明 无。 备注 注意！此项设置会影响性能，建议设置后对接见此设备做源地址做限制。 需要手工检查。 口令 口令复杂度要求 安全基线项 口令复杂度要求安全基线要求项 目名称 安全基线编 SBL-H3C-02-02-01 号 安全基线项防火墙管理员帐号口令长度最少8位，并包括数字、小写字母、大写字母和说明 特别符号四类中最少两类。且 5次以内不得设置相同的口令。密码应最少每 天进行更换。 检测操作步 1. 参照配置操作 骤 [H3C]local-useradmin [H3C-luser-huawei]service-typetelnetlevel3 [H3C-luser-huawei]passwordcipherAq1!Sw2@ 补充操作说明 无 基线吻合性 1. 判断条件 判断依照 该级其他密码设置由管理员进行密码的生成，设