XX银行H3C交换机安全基线配置0912190106.docx
《XX银行H3C交换机安全基线配置0912190106.docx》由会员分享,可在线阅读,更多相关《XX银行H3C交换机安全基线配置0912190106.docx(28页珍藏版)》请在冰点文库上搜索。
XX银行H3C交换机安全基线配置0912190106
XX银行H3C交换机系列安全配置基线
(V1.0)
1适用声明2
2访问控制3
2.1远程连接源地址限制21
3安全审计3
3.1开启设备的日志功能6
4入侵防范7
4.1配置防ARP欺骗攻击7
4.2配置常见的漏洞攻击和病毒过滤功能4
4.3配置ACL规则3
5网络设备防护8
5.1限制管理员远程直接登录8
5.2连接空闲时间设定9
5.3远程登陆加密传输10
5.4配置CONSOLE口密码保护功能和连接超时11
5.5按照用户分配账号12
5.6删除设备中无用的闲置账号13
5.7修改设备上存在的弱口令13
5.8配置和认证系统联动功能14
配置和认证系统联动功能14
5.9配置NTP服务15
5.10修改SNMP的COMMUNITY默认通行字16
5.11使用SNMPV2或以上版本17
5.12设置SNMP的访问安全限制18
5.13系统应关闭未使用的SNMP协议及未使用RW权限19
5.14关闭不必要的服务19
5.15配置防源地址欺骗攻击20
5.16禁止设备未使用或者空闲的端口21
1适用声明
适用人员
IT部的网络维护人员、
安全评估人员、
安全审计人员
适用版本
H3C同系列的网络交换机
适用等保一级
项
适用等保二级
项
适用等保三级
项
适用等保四级
项
参考依据
《H3C交换机配置手册》
《GB/T20270-2006
信息安全技术
网络基础安全技术要求》
《GB/T20011-2005
信息安全技术
路由器安全评估准则》
《JR/T0068-2012
网上银行系统信息安全通用规范》
《GB/T22239-2008
信息安全技术
信息系统安全等级保护基本要求》
《GB/T25070-2010
信息安全技术
信息系统等级保护安全设计技术要
求》
《JR/T0071-2012金融行业信息系统信息安全等级保护实施指引》
2访问控制
2.1配置ACL规则
[H3C-behavior-tb1]deny
6.定义流策略,将流分类与流行为关联。
[H3C]trafficpolicytp1
[H3C-trafficpolicy-tp1]classifiertc1behaviortb1
7.应用流策略到接口。
[H3C]interfacegigabitethernet0/0/1
[H3C-GigabitEthernet0/0/1]traffic-policytp1inbound
备注
2.2配置常见的漏洞攻击和病毒过滤功能
3安全审计
3.1开启设备的日志功能
配置/检查项
配置设备的日志功能
适用等保级别
等保二至四级
1.进入用户视图
2.用户视图切换到系统视图
检查步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看日志功能是否按照需求配置
[H3C]discur|ininfo-center
要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志,冋时提供SYSLOG服务器的设置方式,所有的日志信息可以均可以远程存储到日志服务器。
并且必须保证日志服务器的安全性。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
配置步骤
3.开启日志功能
[H3C]info-centerenable
4.配置日志信息输出到控制台,用户可以在控制台上查看到日志信息,了解到设备的运行情况
[H3C]info-centerconsolechannel0
5.配置日志信息输出到日志缓冲区
[H3C]info-centerlogbufferchannel4
6.配置日志信息输出到日志服务器
[H3C]info-centerloghost1.1.1.1
备注
4入侵防范
4.配置防止ARP网关冲突
[H3C]arpanti-attackgateway-duplicateenable
备注
5网络设备防护
5.1限制管理员远程直接登录
配置/检查项
限制具备管理员权限的用户远程直接登录
适用等保级别
1.进入用户视图
2.用户视图切换到系统视图
检查步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否存在咼级别权限密码
[H3C]discur|inacl
4.查看是否对于user用户密码进行配置
[H3C]discur|inlocal-user
远程管理员应先以普通权限用户登录后,再切换到管理员权限执行相应操作。
1.进入用户视图
2.由户视图切换到系统视图
配置步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.设置用户由低级别权限切换到高级别权限的密码
[H3C]superpasswordlevel3cipheranbang@123
4.进入aaa视图
[H3C]aaa
5.配置具备远程登陆用户user1的权限信息。
配置用户user1权限等级为Level1,具有telnet服务。
[H3C-aaa]local-useruserlpasswordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser1level1
6.配置远程登陆用户的认证方式为aaa认证
[H3C]user-intefacevty04
[H3C-ui-vtyO-4]authentication-modeaaa
备注
5.2连接空闲时间设定
配置/检查项
设置用户登录设备的空闲时间
适用等保级别
等保一至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看AAA下是否有相关的用户口令配置
[H3C]discur|inaaa
配置步骤
用户登录交换机后,如果在设定的时间内没有任何操作,则断开连接,用户如果需要继续操作,则需要重新输入口令。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.进入aaa视图,配置用户user1的超时时间为5分钟。
[H3C]aaa
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser1level1
[H3C-aaa]local-useruser1idle-timeout5
备注
配置/检查项
远程登陆加密传输
5.3远程登陆加密传输
1.
进入用户视图
2.用户视图切换到系统视图
system-view
检查步骤
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看相关SSH配置
[H3C]discur|inssh
如果通过远程对交换机进行管理维护,特别是通过互联网以及不安全的公共网络,设备应配置使用SSH加密协议。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
[H3C]rsalocal-key-paircreate
4.
创建ssh用户和密码
5.
service-typestelnet
abcpasswordsimpleabc
abcservice-typessh
[H3C]steInetserverenable
备注
[H3C]aaa
[H3C-aaa]local-user
[H3C-aaa]local-user
5.使能stelnet服务
[H3C]sshuserabc
5.4配置console口密码保护功能和连接超时
配置/检查项设置用户通过console口登录交换机时的密码
1.进入用户视图
2.用户视图切换到系统视图
system-view
检查步骤
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否存在对CONSOLE口的口令配置
[H3C]discur|inuser-interface
用户通过console口登录交换机时,需要输入密码,并且用户登录交换机后,如果在设定的时间内没有任何操作,则断开连接,用户如果需要继续操作,则需要重新输入口令。
1.进入用户视图
2.
配置步骤
system-view
由户视图切换到系统视图
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.配置登录console口时的口令和超时时间
[H3C]user-interfaceconsole0
[H3C-ui-consoleO]authentication-modepassword
[H3C-ui-consoleO]setauthenticationpasswordcipheranbang@123
[H3C-ui-console0]idle-timeout5
备注
5.5按照用户分配账号
配置/检查项按照用户分配账号适用等保级别
1.进入用户视图
2.用户视图切换到系统视图
检查步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否对于不同用户配置权限信息
[H3C]discur|inlocal-user
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
1.进入用户视图
2.由户视图切换到系统视图
system-view
配置步骤
[H3C]
Entersystemview,returnuserviewwithCtrl+Z.
配置用户user1具有telnet权限,user2具有ftp权限。
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser2passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser2service-typeftp
[H3C-aaa]local-useruser1level1
[H3C-aaa]local-useruser2level1
备注
5.6删除设备中无用的闲置账号
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]aaa
检查步骤
[H3C]
3.查看设备中是否存在限制的用户账号和信息
[H3C]discur|inlocal-user
定期检查设备账号配置,删除与设备运行,维护等无关的账号。
4.删除设备中无用的账号。
[H3C-aaa]undolocal-useruser1
配置步骤
1.进入用户视图
5.7修改设备上存在的弱口令
配置/检查项
修改设备上存在的弱口令
适用等保级别
等保二至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看用户的密码信息
[H3C]discur|inlocal-user
对于米用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写
字母、大写字母和特殊符号4类中至少2类,且用户口令加密存储。
1.进入用户视图
2.由户视图切换到系统视图
配置步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3
.进入aaa视图,配置用户user1的口令,并且口令加密存储。
[H3C]aaa
[H3C-aaa]local-useruser1passwordcipheranbang@1234
[H3C-aaa]local-useruser1service-typetelnet
[H3C-aaa]local-useruser1level1
备注
5.8配置和认证系统联动功能
配置/检查项
配置和认证系统联动功能
适用等保级别
等保二至四级
1
.进入用户视图
2
.用户视图切换到系统视图
检查步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3
.查看是否配置了认证服务系统
[H3C]discur|inradius-server
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.配置RADIUS服务器模板test
[H3C]radius-servertemplatetest
4.配置RADIUS认证服务器的IP地址、端口。
配置步骤
[H3C-radius-test]radius-serverauthentication1.1.1.11812
5.配置RADIUS服务器密钥、重传次数
[H3C-radius-test]radius-servershared-keycipherhello
[H3C-radius-test]radius-serverretransmit2
6.配置认证方案1,认证模式为先RADIUS,如果没有响应,则不认证
[H3C]aaa
[H3C-aaa]authentication-scheme1
[H3C-aaa]authentication-moderadiusnone
7.配置ab域,在域下应用认证方案1、RADIUS模板test
[H3C-aaa]domainab
[H3C-aaa-domain-ab]authentication-scheme1
[H3C-aaa-domain-ab]radius-servertest
备注
5.9配置NTP服务
配置/检杳项
配置NTP服务
适用等保级别
等保二至四级
检杳步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看NTP相关配置是否正确
[H3C]discur|inntp
开启NTP服务,保证日志功能记录的时间的准确性,同时交换机和NTP
SERVER之间要开启认证功能。
1.进入用户视图
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
配置步骤
3.在交换机上使能NTP功能,配置验证密钥并声明该密钥可信
[H3C]ntp-serviceauthenticationenable
[H3C]ntp-serviceauthentication-keyid1authentication-modemd5
Hello
[H3C]ntp-servicereliableauthentication-keyid1
4.配置NTP服务器,并使用已配置的验证密钥。
[H3C]ntp-serviceunicast-server2222authentication-keyid1
备注
5.10修改SNMP的community默认通行字
配置/检查项
修改SNMP的community默认通仃字,通仃字应符合口令强度要求
适用等保级别
等保二至四级
1.进入用户视图
2.
检查步骤
用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看COMMUNITY是否存在默认通行字
[H3C]discur|inacl
应修改SNMP的Community默认通行字,通行字应符合口令强度要求。
1.进入用户视图
2.由户视图切换到系统视图
配置步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.修改SNMP的默认通行字
[H3C]snmp-agentcommunityread1234@abcd
[H3C]snmp-agentcommunitywrite1234@abcd
备注
5.11使用SNMPV2或以上版本
配置/检查项
使用SNMPV2或以上版本
适用等保级别
等保二至四级
1.进入用户视图
2.用户视图切换到系统视图
检查步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看SNMP的运行版本
[H3C]discur|insnmp-agent
应配置SNMP使用SNMPv2或者以上版本,加强安全性。
1.进入用户视图
配置步骤
2.由户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3
.配置SNMP版本。
[H3C]snmp-agentsys-infoversionv3
备注
5.12设置SNMP的访问安全限制
适用等保级别
等保二至四级
1.进入用户视图
Entersystemview,returnuserviewwithCtrl+Z.
检查步骤
[H3C]
3.查看SNMP协议的RW相关配置
[H3C]discur|inRW
配置步骤
Entersystemview,returnuserviewwithCtrl+Z.
如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。
1.进入用户视图
[H3C]
3.配置可以访问交换机的ACL列表。
[H3C]Undosnmpenable[H3C]undosnmp-agentcommunityRWuser
备注
5.14关闭不必要的服务
配置/检查项
关闭不必要的服务
适用等保级别
等保二至四级
检查步骤
1.进入用户视图
2.用户视图切换到系统视图
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看存在哪些协议如:
FTP,HTTP,DHCP等。
[H3C]discur
关闭网络设备不必要的服务,如:
FTP,HTTP,DHCPSERVER等。
1.进入用户视图
2.由户视图切换到系统视图
配置步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.关闭设备的ftp服务。
[H3C]undoftpserver
备注
5.15配置防源地址欺骗攻击
配置/检查项
配置防源地址欺骗攻击
适用等保级别
1.进入用户视图
2.用户视图切换到系统视图
检查步骤
system-view
Entersystemview,returnuserviewwithCtrl+Z.
[H3C]
3.查看是否含有URPF的相关配置
[H3C]discur|inurp