收藏
下载资源下载资源 加入VIP,免费下载

Huawei路由安全配置基线Word格式.docx

上传人:b****1 文档编号:5671914 上传时间:2023-05-05 格式:DOCX 页数:29 大小:22.48KB
下载 相关 举报
Huawei路由安全配置基线Word格式.docx_第1页
第1页 / 共29页
Huawei路由安全配置基线Word格式.docx_第2页
第2页 / 共29页
Huawei路由安全配置基线Word格式.docx_第3页
第3页 / 共29页
Huawei路由安全配置基线Word格式.docx_第4页
第4页 / 共29页
Huawei路由安全配置基线Word格式.docx_第5页
第5页 / 共29页
Huawei路由安全配置基线Word格式.docx_第6页
第6页 / 共29页
Huawei路由安全配置基线Word格式.docx_第7页
第7页 / 共29页
Huawei路由安全配置基线Word格式.docx_第8页
第8页 / 共29页
Huawei路由安全配置基线Word格式.docx_第9页
第9页 / 共29页
Huawei路由安全配置基线Word格式.docx_第10页
第10页 / 共29页
Huawei路由安全配置基线Word格式.docx_第11页
第11页 / 共29页
Huawei路由安全配置基线Word格式.docx_第12页
第12页 / 共29页
Huawei路由安全配置基线Word格式.docx_第13页
第13页 / 共29页
Huawei路由安全配置基线Word格式.docx_第14页
第14页 / 共29页
Huawei路由安全配置基线Word格式.docx_第15页
第15页 / 共29页
Huawei路由安全配置基线Word格式.docx_第16页
第16页 / 共29页
Huawei路由安全配置基线Word格式.docx_第17页
第17页 / 共29页
Huawei路由安全配置基线Word格式.docx_第18页
第18页 / 共29页
Huawei路由安全配置基线Word格式.docx_第19页
第19页 / 共29页
Huawei路由安全配置基线Word格式.docx_第20页
第20页 / 共29页
亲,该文档总共29页,到这儿已超出免费预览范围,如果喜欢就下载吧!
下载资源
资源描述

Huawei路由安全配置基线Word格式.docx

《Huawei路由安全配置基线Word格式.docx》由会员分享,可在线阅读,更多相关《Huawei路由安全配置基线Word格式.docx(29页珍藏版)》请在冰点文库上搜索。

Huawei路由安全配置基线Word格式.docx

第2章华为路由其设备配置安全要求

2.1帐号管理

2.1.1用户帐号分配*

安全基线项目名称

用户帐号分配安全基线要求项

安全基线编号

SBL-HuaweiRouter-02-01-01

安全基线项说明

应按照用户分配帐号。

避免不同用户间共享帐号。

避免用户帐号和设备间通信使用的帐号共享。

检测操作步骤

1、参考配置操作

aaa

local-useruser1passwordcipherPWD1

local-useruser1service-typetelnet

local-useruser2passwordcipherPWD2

local-useruser2service-typeftp

#

user-interfacevty04

authentication-modeaaa

2、补充说明

无。

基线符合性判定依据

1、判定条件

用配置中没有的用户名去登录,结果是不能登录

2、参考检测操作

displaycurrent-configurationconfigurationaaa)

3、补充说明

备注

需要手工检查,由管理员确认帐号分配关系。

2.1.2删除无关的帐号*

工作无关的帐号安全基线要求项

SBL-HuaweiRouter-02-01-02

应删除与设备运行、维护等工作无关的帐号

undolocal-usertest

配置中用户信息被删除。

displaycurrent-configurationconfigurationaaa

需要手工检查,由管理员判断是否存在无关帐号

2.1.3限制具备管理员权限的用户远程登录

限制具备管理员权限的用户远程登录安全基线要求项

SBL-HuaweiRouter-02-01-03

限制具备管理员权限的用户远程登录。

远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限帐号后执行相应操作。

superpasswordlevel3ciphersuperPWD

local-useruser1level2

authentication-modeaaa

用户用相应的操作权限登录设备后,不具有最高权限级别3,这时有些操作不能做,例如修改aaa的配置。

这时如果想使用管理员权限必须提高用户级别。

displaycurrent-configurationconfigurationaaa

2.2口令

2.2.1口令复杂度

静态口令长度安全基线要求项

SBL-HuaweiRouter-02-02-01

对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。

且5次以内不得设置相同的口令。

密码应至少每90天进行更换。

local-useruser1passwordcipherNumABC%$

查看用户的口令长度是否至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

对于加密的口令,通过登陆检测。

2.2.2静态口令加密保存

静态口令加密保存安全基线要求项

SBL-HuaweiRouter-02-02-02

静态口令必须使用不可逆加密算法加密后保存于配置文件中。

superpasswordlevel3cipherN`C55QK<

`=/Q=^Q`MAF4<

1!

!

local-user8011passwordcipherN`C55QK<

1.判定条件

用户的加密口令在buildrun中显示的密文。

2.参考检测操作

3.补充说明

2.2.3根据用户的业务需要配置其所需最小权限

根据用户的业务需要配置其所需最小权限安全基线要求项

SBL-HuaweiRouter-02-02-03

在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限

local-user8011passwordcipher8011

local-user8011service-typetelnet

local-user8011level0

查看所有用户的级别都配置为其所需的最小权限。

1.参考检测操作

2.补充说明

2.2.4帐号、口令和授权的强制要求

帐号、口令和授权的强制要求安全基线要求项

SBL-HuaweiRouter-02-02-04

设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。

#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。

#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。

#配置RADIUS服务器模板。

[Router]radius-servertemplateshiva

#配置RADIUS认证服务器IP地址和端口。

[Router-radius-shiva]radius-serverauthentication129.7.66.661812

#配置RADIUS服务器密钥、重传次数。

[Router-radius-shiva]radius-servershared-keyit-is-my-secret

[Router-radius-shiva]radius-serverretransmit2

[Router-radius-shiva]quit

#进入AAA视图。

[Router]aaa

#配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。

[Router–aaa]authentication-schemer-n

[Router-aaa-authen-r-n]authentication-moderadiusnone

[Router-aaa-authen-r-n]quit

#配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。

[Router-aaa]domaindefault

[Router-aaa-domain-default]authentication-schemer-n

[Router-aaa-domain-default]radius-servershiva

对远程登陆用户先用RADIUS服务器进行认证,非法用户不可以登录。

displaycurrent-configuration

第3章日志配置

3.1日志配置

3.1.1记录用户操作

记录用户操作安全基线要求项

SBL-HuaweiRouter-03-01-01

设备应配置日志功能,记录用户对设备的操作。

例如:

帐号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。

记录需要包含用户帐号,操作时间,操作内容以及操作结果。

info-centerlogbufferchannel4

在系统模式下进行操作。

对设备的操作会记录在日志中。

displaylogbuffer

3.1.2记录设备的安全事件

记录设备的安全事件安全基线要求项

SBL-HuaweiRouter-03-01-02

设备应配置日志功能,记录对与设备相关的安全事件

info-centerenable

在日志缓存上正确记录了日志信息。

3.1.3远程日志功能

远程日志功能安全基线要求项

SBL-HuaweiRouter-03-01-03

设备应支持远程日志功能。

所有设备日志均能通过远程日志功能传输到日志服务器。

设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等

info-centerloghost202.38.1.10facilitylocal4languageenglish

是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。

displaycurrent-configuration

建议核心设备必选,其它根据实际情况启用

3.1.4保证日志功能记录的时间准确性

保证日志功能记录的时间准确性安全基线要求项

SBL-HuaweiRouter-03-01-04

开启NTP服务,保证日志功能记录的时间的准确性。

路由器与NTPSERVER之间要开启认证功能。

ntp-serviceauthentication-keyid1authentication-modemd5N`C55QK<

ntp-serviceunicast-server2.2.2.2authentication-keyid1

本地时钟与时钟源同步。

dispntp-servicestatus

3.1.5日志记录内容要求

日志记录内容安全基线要求项

SBL-HuaweiRouter-03-01-05

设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。

info-centerconsolechannel0

第4章IP协议

4.1IP协议

4.1.1远程维护的设备配置加密协议

远程维护的设备配置加密协议安全基线要求项

SBL-HuaweiRouter-04-01-01

对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。

#rsapeer-public-keyquidway002

public-key-codebegin

308186028180739A291ABDA704F5D93DC8FDF84C427463199

1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9

C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0

E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F

E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8

28D55A36F1CDDC4BB45504F020125

public-key-codeend

peer-public-keyend

local-userclient001passwordsimplehuawei

local-userclient002passwordsimplequidway

authentication-schemedefault

authorization-schemedefault

accounting-schemedefault

domaindefault

sshuserclient002assignrsa-keyquidway002

sshuserclient001authentication-typepassword

sshuserclient002authentication-typeRSA

user-interfacecon0

protocolinboundssh

通过抓包确定ssh登录的信息为加密信息。

dispcurrent-configuration|beginssh

4.1.2动态路由协议口令要求配置MD5加密*

动态路由协议口令要求配置MD5加密安全基线要求项

SBL-HuaweiRouter-04-01-02

动态路由协议口令要求配置MD5加密。

ospf2

area0.0.0.0

authentication-modemd51cipherN`C55QK<

Md5验证不通过的ospf邻居建立部不成功。

displaycurrent-configurationconfigurationospf

手工检查

4.1.3制定路由策略

制定路由策略安全基线要求项

SBL-HuaweiRouter-04-01-03

制定路由策略,禁止发布或接收不安全的路由信息

aclnumber2000

rule5permitsource2.2.2.20

route-policyddpermitnode0

if-matchacl2000

filterroute-policyddimport

被禁止接收和发布的路由成功。

displayroute-policy

4.1.4关闭未使用的SNMP协议及未使用RW权限

关闭未使用的SNMP协议及未使用RW权限安全基线要求项

SBL-HuaweiRouter-04-01-04

系统应关闭未使用的SNMP协议及未使用RW权限

Undosnmpenable

undosnmp-agentcommunityRWuser

关闭snmp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。

4.1.5Community默认通行字应符合口令强度要求

SNMP的Community默认通行字应符合口令强度要求安全基线要求项

SBL-HuaweiRouter-04-01-05

系统应修改SNMP的Community默认通行字,通行字应符合口令强度要求

snmp-agentcommunityreadXXXX01

系统成功修改SNMP的Community为用户定义口令,非常规private或者public,并且符合口令强度要求。

4.1.6配置SNMPV2或以上版本

配置SNMPV2或以上版本安全基线要求项

SBL-HuaweiRouter-04-01-06

系统应配置为SNMPV2或以上版本。

snmp-agentsys-infoversionv3

成功使能snmpv2c、和v3版本。

4.1.7SNMP访问安全限制

设置SNMP访问安全限制安全基线要求项

SBL-HuaweiRouter-04-01-07

设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备

snmp-agentcommunityreadXXXX01acl2000

通过设定acl来成功过滤特定的源才能进行访问。

4.1.8ACL配置

通过ACL配置对常见的漏洞攻击及病毒报文进行过滤安全基线要求项

SBL-HuaweiRouter-04-01-08

通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。

aclnumber20000

ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0source-porteqftp-datadestination-porteq30

trafficclassifierdd

if-matchacl20000

trafficbehaviordd

deny

trafficpolicydd

classifierddbehaviorddprecedence0

interfaceGigabitEthernet4/0/0

undoshutdown

ipaddress4.4.4.4255.255.255.0

traffic-policyddinbound

如下配置为常见病毒防御

Aclnumber100

##用于控制Blaster蠕虫的传播

rule1denytcpsourceanydestionanydestinationeq4444

rule2denyudpsourceanydestionanydestinationeq69

##用于控制Blaster蠕虫的扫描和攻击

rule3denytcpsourceanydestionanydestinationeq135

rule4denyudpsourceanydestionanydestinationeq135

rule5denytcp

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 初中教育 > 科学

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2