H3C交换机安全配置基线.docxVIP

H3C H3C 交换机安全配置基线 第 第 PAGE 1 页 共 11 页 H3C交换机安全配置基线 版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012 年 4 月 备注： 若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。 目 录 第 1 章 概述 1 1.1 目的 1 1.2 适用范围 1 1.3 适用版本 1 1.4 实施 1 1.5 例外条款 1 第 2 章 帐号管理、认证授权安全要求 2 2.1 帐号 2 2.1.1 配置默认级别 * 2 2.2 口令 3 2.2.1 密码认证登录 3 2.2.2 设置访问级密码 4 2.2.3 加密口令 4 第 3 章 日志安全要求 6 3.1 日志安全 6 3.1.1 配置远程日志服务器 6 第 4 章 IP 协议安全要求 7 4.1 IP 协议 7 4.1.1 使用 SSH 加密管理 7 4.1.2 系统远程管理服务只允许特定地址访问 7 第 5 章 SNMP 安全要求 9 5.1 SNMP 安 全 9 5.1.1 修改 SNMP 默认通行字 9 5.1.2 使用 SNMPV2 或以上版本 9 5.1.3 SNMP 访问控制 10 第 6 章 其他安全要求 12 6.1 其他安全配置 12 6.1.1 关闭未使用的端口 12 6.1.2 帐号登录超时 12 6.1.3 关闭不需要的服务 * 13 第 7 章 评审与修订 15 第 第 PAGE 10 页 共 11 页 第1章 概述 目的 本文档旨在指导系统管理人员进行 H3C 交换机的安全配置。 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。 适用版本 H3C 交换机。 实施 例外条款 第2章 帐号管理、认证授权安全要求 帐号 配置默认级别 * 安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据  配置默认级别安全基线要求项 SBL-H3CSwitch-02-01-01 交换机命令级别共分为访问、 监控、系统、 管理 4 个级别， 分别对应标识 0、1、 2、3。配置登录默认级别为访问级（ 0-VISIT ） 1、参考配置操作user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password user privilege level 0 set authentication password cipher xxx 2、补充说明 无。 1、 判定条件 用配置中没有的用户名去登录，结果是不能登录 2、 参考检测操作 H3Cdisplay current-configuration 3、 补充说明 无。 备注 手工检查 口令 密码认证登录 安全基线项目名称 安全基线编号 安全基线项 说明 检测操作步骤 基线符合性判定依据 备注 密码认证登录安全基线要求项 SBL-H3CSwitch-02-02-01 通过控制台和远程终端，需要密码才能登录 . 口令长度至少 8 位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置 相同的口令。密码应至少每 90 天进行更换。 1、参考配置操作user-interface aux 0 8 authentication-mode password user privilege level 0 set authentication password cipher xxx user-interface vty 0 4 authentication-mode password // 或 authentication-mode scheme user privilege level 0 set authentication password cipher xxx 2、补充说明 无。 1、 判定条件 用配置中没有的用户名去登录，结果是不能登录 2、 参考检测操作 H3Cdisplay current-configuration 3、 补充说明 无。 设置访问级密码 安全基线项目名称 安全基线编号 安全基线项说明 检测操作步骤 基线符合性判定依据 备注 设置访问级密码安全基线要求项 SBL-H3CSwitch-02-02-02 用户可以无条件切换到比当前低的用户级别， 但是当使用 AUX 或 VTY 用户界面登录，并且从低级别往高级别切换时，需要输入级别