XX银行H3C交换机安全基线配置.docx

上传人：小飞机

文档编号：4926772

上传时间：2023-05-24

格式：DOCX

页数：27

大小：229.69KB

《XX银行H3C交换机安全基线配置.docx》由会员分享，可在线阅读，更多相关《XX银行H3C交换机安全基线配置.docx（27页珍藏版）》请在三一办公上搜索。

1、XX银行H3C交换机系列安全配置基线(Vl.0)1 适用声明22 访问控制3远程连接源地址限制213 安全审计3开启设备的日志功能64 入侵防范7配置防ARP欺骗攻击7配置常见的漏洞攻击和病毒过滤功能4配置ACL规则35 网络设备防护8限制管理员远程直接登录8连接空闲时间设定9远程登陆加密传输10配置 CONSOLE 口密码保护功能和连接超时11按照用户分配账号125.6 删除设备中无用的闲置账号13修改设备上存在的弱口令13配置和认证系统联动功能14配置和认证系统联动功能14配置NTP服务15修改SNMP的COMMUNITY默认通行字16使用SNMPV2或以上版本17设置SNMP的访问安全限

2、制18系统应关闭未使用的SNMP协议及未使用RW权限19关闭不必要的服务19配置防源地址欺骗攻击20禁止设备未使用或者空闲的端口211适用声明适用人员IT部的网络维护人员、安全评估人员、安全审计人员适用版本H3C同系列的网络交换机适用等保一级项适用等保二级项适用等保三级项适用等保四级项参考依据H3C交换机配置手册GB/T 20270-2006信息安全技术网络基础安全技术要求GB/T 20011-2005信息安全技术路由器安全评估准则JR/T 0068-2012网上银行系统信息安全通用规范GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求GB/T 25070-2010信

3、息安全技术信息系统等级保护安全设计技术要京JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引2访问控制2.1 配置ACL规则配置/检查项配置ACL规则适用等保级别等保一至四级检查步骤1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看ACL匹配路由是否按照业务需求设置H3Cdis cur | in aclH3Cdis this acl配置步骤设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的地址、源端口、目的端口的流量过滤，

4、过滤所有和业务不相关的流量。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置ACL列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source .1 0.0.0.0 destination 2.2.2.2 0.0.0.04. 配置流分类，定义基于ACL的匹配规则。H3Ctraffic classifier tc1H3C-classifier-tc1 if-match acl 20005. 配置流行为H3C traff

5、ic behavior tb1H3C-behavior-tb1 deny6. 定义流策略，将流分类与流行为关联。H3Cclassifiertcl ifmatch acl 20008, 配置流行为H3C traffic behavior tb1H3Cbehaviortbl deny9.定义流策略，将流分类与流行为关联。H3C traffic policy tp1H3Ctrafficpolicytpl classifier tc1 behavior tb110.应用流策略到接口。H3C interface gigabitethernet 0/0/1H3CGigabitEthernet0/0/l t

6、rafficpolicy tp1 inbound各注3安全审计3.1 开启设备的日志功能配置/检查项配置设备的日志功能适用等保级别等保二至四级1. 进入用户视图2. 用户视图切换到系统视图 system-view检查步骤Enter system view, return user view with Ctrl+Z.H3C3. 查看日志功能是否按照需求配置H3Cdis cur | in info-center要求相关安全审计信息应收集设备登录信息日志和设备事件信息日去，同时提供SYSLOG服务器的设置方式，所有的日志信息可以均可以远程存储到日去服务器。并且必须保证日志服务器的安全性。1. 进

7、入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C配置步骤3.开启日志功能H3C info-center enable4. 配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了解到设备的运行情况H3C info-center console channel 05. 配置日志信息输出到日志缓冲区H3C info-center logbuffer channel 46. 配置日志信息输出到日志服务器H3C各注4入侵防范4.1 配置防ARP欺骗攻击配置/检查项配置防ARP欺骗

8、攻击适用等保级别检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看ARP地址欺骗H3Cdis current-configuration | in anti-attack配置步骤配置设备的防ARP欺骗攻击功能，可以有效的减少ARP攻击对网络造成的影响。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置防止ARP地址欺骗H3C

9、 arp anti-attack entry-check fixed-mac enable 适用于静态配置IP地址，但网络存在冗余链路的情况。当链路切换时，ARP表项中的接口信息可以快速改变H3C arp anti-attack entry-check fixed-all enable 适用于静态配置 IP 地址，网络没有冗余链路，同一IP地址用户不会从不同接口接入S5300的情况H3C arp anti-attack entry-check send-mac enable 适用于动态分配 IP地址，有冗余链路的网络4.配置防止ARP网关冲突H3C arp anti-attack gate

10、way-duplicate enable各注5网络设备防护5.1 限制管理员远程直接登录配置/检查项限制具备管理员权限的用户远程直接登录适用等保级别1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否存在高级别权限密码H3Cdis cur | in acl4.查看是否对于user用户密码进行配置H3Cdis cur | in local-user远程管理员应先以普通权限用户登录后，再切换到管理员权限执行相应操作。1.进入用户视图2.由户视图切换到系统视图配置步

11、骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3.设置用户由低级别权限切换到高级别权限的密码H3C super password level 3 cipher anbang1234. 进入aaa视图H3Caaa5.配置具备远程登陆用户user1的权限信息。配置用户user1权限等级为Level 1,具有telnet服务。H3C-aaa local-user userl password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C

12、-aaa local-user user1 level 16.配置远程登陆用户的认证方式为aaa认证H3C user-interface vty0 4H3C-ui-vty0-4 authentication-mode aaa各注5.2 连接空闲时间设定配置/检查项设置用户登录设备的空闲时间适用等保级别等保一至四级1. 进入用户视图检查步骤配置步骤2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看AAA下是否有相关的用户口令配置H3Cdis cur | in aaa用户登录交换机后，

13、如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作，则需要重新输入口令。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 进入aaa视图，配置用户user1的起时时间为5分钟。H3CaaaH3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1H3C-aaa

14、 local-user user1 idle-timeout 5各注5.3 远程登陆加密传输配置/检查项远程登陆加密传输适用等保级别等保一至四级1. 进入用户视图2. 用户视图切换到系统视图 system-view检查步骤Enter system view, return user view with Ctrl+Z.H3C3. 查看相关SSH配置H3Cdis cur | in ssh如果通过远程对交换机进的管理维护，特别是通过互联网以及不安全的公共网络，设备应配置使用SSH加密协议。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, r

15、eturn user view with Ctrl+Z.H3C配置步骤3.生成本地密钥对H3C rsa local-key-pair create4. 创建ssh用户和密码H3C user-interface vty 0 4H3C-ui-vty0-4 authentication-mode aaaH3C-ui-vty0-4 protocol inbound sshH3C-ui-vty0-4 ssh user abc authentication-type passwordH3Cstelnet server enable5H3Cssh user abc service-type stelnetH

16、3CaaaH3C-aaa local-user abc password simple abcH3C-aaa local-user abc service-type ssh. 使能stelnet服务H3Cstelnet serverenable各注5.4 配置console 口密码保护功能和连接起时配置/检查项设置用户通过console口登录交换机时的密码适用等保级别等保一至四级1. 进入用户视图2. 用户视图切换到系统视图 system-view检查步骤Enter system view, return user view with Ctrl+Z.H3C3. 查看是否存在对CONSOLE

17、口的口令配置H3Cdis cur | in user-interface用户通过console 口登录交换机时，需要输入密码，并且用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作，则需要重新输入口令。1. 进入用户视图2. 由户视图切换到系统视图配置步骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置登录console 口时的口令和起时时间H3C user-interface console 0H3C-ui-console0 authentication-mode pa

18、sswordH3C-ui-console0 set authentication password cipher anbang123H3C-ui-console0 idle-timeout 5各注5.5 按照用户分配账号配置/检查项按照用户分配账号适用等保级别1. 进入用户视图2. 用户视图切换到系统视图 system-view检查步骤Enter system view, return user view with Ctrl+Z.H3C3. 查看是否对于不同用户配置权限信息H3Cdis cur | in local-user避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。1.

19、进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 进入aaa视图配置步骤H3Caaa4. 为不同的用户配置不同的权限信息。配置用户user1具有telnet权限，user2具有ftp权限。H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user2 password cipher anbang1234H3C-aaa local-user user1 service-type teln

20、etH3C-aaa local-user user2 service-type ftpH3C-aaa local-user user1 level 1H3C-aaa local-user user2 level 1各注5.6 删除设备中无用的闲置账号配置/检查项删除设备中无用的闲置账号适用等保级别等保二至四级1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看设备中是否存在限制的用户账号和信息H3Cdis cur | in local-user定期检查设备账号配置

21、，删除与设备运行，维护等无关的账号。1.进入用户视图2.由户视图切换到系统视图 system-view配置步骤Enter system view, return user view with Ctrl+Z.H3C3.进入aaa视图H3Caaa4.删除设备中无用的账号。H3C-aaa undo local-user user1各注5.7 修改设备上存在的弱口令配置/检查项修改设备上存在的弱口令适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图5.8 配置和认证系统联动功能配置/检查项配置和认证系统联动功能适用等保级别等保二至四级1.进入用户视图2.用户视图切换到系统视

22、图检查步骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3.查看是否配置了认证服务系统H3Cdis cur | in radius-server设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置RADIUS服务器模板testH3Cradius-server template test4. 配置RADIUS认证服务器

23、的IP地址、端口。“ , H3C-radius-testradius-server authentication 1.1.1.1 1812 配置步骤5. 配置 RADIUS服务器密钥、重传次数H3C-radius-testradius-server shared-key cipher helloH3C-radius-testradius-server retransmit 26. 配置认证方案1，认证模式为先RADIUS，如果没有响应，则不认证H3CaaaH3C-aaaauthentication-scheme 1H3C-aaaauthentication-mode radius none7.

24、配置ab域，在域下应用认证方案1、RADIUS 模板 testH3C-aaa domain abH3Caaadomainabauthenticationscheme 1H3Caaadomainabradiusserver test各注5.9 配置NTP服务配置/检查项配置NTP服务适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3, 查看NTP相关配置是否正确H3Cdis curl in ntp开启NTP服务，保证日志功能记录的时间的准确

25、性，同时交换机和 NTPSERVER之间要开启认证功能。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C配置步骤3. 在交换机上使能NTP功能，配置验证密钥并声明该密钥可信H3C ntp-service authentication enableH3C ntp-service authentication-keyid 1 authentication-mode md5HelloH3C ntp-service reliable authentication-keyid 14

26、. 配置NTP服务器，并使用已配置的验证密钥。H3C ntp-service unicast-server 2.2.2.2 authentication-keyid 1各注5.10 修改SNMP的community默认通的字配置/检查项修改SNMP的。ommunity默认通的字，通的字应符合口令强度要求适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3, 查看COMMUNITY是否存在默认通的字H3Cdis curl in acl,通行字应

27、符合口令强度要求。应修改SNMP的Community默认通的字1. 进入用户视图2. 由户视图切换到系统视图 system-view配置步骤Enter system view, return user view with Ctrl+Z.H3C3, 修改SNMP的默认通的字H3C snmp-agent community read 1234abcdH3C snmp-agent community write 1234abcd各注5.11 使用SNMPV2或以上版本配置/检查项使用SNMPV2或以上版本适用等保级别等保二至四级1.进入用户视图2.用户视图切换到系统视图检查步骤 system-vie

28、wEnter system view, return user view with Ctrl+Z.H3C3.查看SNMP的运行版本H3Cdis cur l in snmp-agent应配置SNMP使用SNMPv2或者以上版本，加强安全性。1.进入用户视图配置步骤2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.5.12 设置SNMP的访问安全限制配置/检查项设置SNMP的访问安全限制适用等保级别等保二至四级1.进入用户视图2.用户视图切换到系统视图 system-view检查步骤Enter syst

29、em view, return user view with Ctrl+Z.H3C3.查看SNMP的访问安全限制H3Cdis cur | in snmp-agent设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。1.进入用户视图2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.配置步骤H3C3.配置可以访问交换机的ACL列表。H3C acl 2001H3C-acl-basic-20014. 应用ACL到SNMP配置。H3C snmp-agent community write 12

30、34abcd acl 2001H3C snmp-agent community read 1234abcd acl 2001各注5.13系统应关闭未使用的SNMP协议及未使用RW 权限配置/检查项关闭未使用的$村21?协议及未使用RW权限适用等保级别等保二至四级1. 进入用户视图2. 用户视图切换到系统视图检查步骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看SNMP协议的RW相关配置H3Cdis cur | in RW如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNM

31、P服务的默认配置。1. 进入用户视图2. 由户视图切换到系统视图“ , system-view配置步骤Enter system view, return user view with Ctrl+Z.H3C3. 配置可以访问交换机的ACL列表。H3C Undo snmp enableH3Cundo snmp-agent community RWuser各注5.14关闭不必要的服务配置/检查项关闭不必要的服务适用等保级别等保二至四级1.进入用户视图检查步骤2.用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z

32、.H3C3,查看存在哪些协议如:FTP,HTTP,DHCP等。H3Cdis cur关闭网络设备不必要的服务，如:FTP,HTTP,DHCP SERVER等。1. 进入用户视图2. 由户视图切换到系统视图配置步骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 关闭设备的代？服务。H3C undo ftp server各注5.15 配置防源地址欺骗攻击配置/检查项配置防源地址欺骗攻击适用等保级别1.进入用户视图2.用户视图切换到系统视图检查步骤 system-viewEnter system view, retur

33、n user view with Ctrl+Z.H3C3,查看是否含有URPF的相关配置H3Cdis cur 1 in urpf配置设备使用单播逆向路径转发（URPF）技术可以解决源地址欺骗造成的网络安全问题。1.进入用户视图配置步骤2.由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3.在接口上使能URPF功能。H3C interface gigabitethernet 1/0/0H3CGigabitEthernetl/0/0 ip urpf strict各注5.16禁止设备未使用或者空闲的

34、端口配置/检查项禁止设备未使用或者空闲的端口适用等保级别1.进入用户视图2.用户视图切换到系统视图检查步骤 systemviewEnter system view, return user view with Ctrl+Z.H3C3.查看没有进行任何相关配置的接口是否关闭H3Cdis cur1.进入用户视图2.由户视图切换到系统视图 systemview配置步骤Enter system view, return user view with Ctrl+Z.H3C3.在不使用的端口下启用如下命令H3C interface gigabitethernet 1/0/1H3CGigabitEthern

35、et1/0/1 shutdown各注5.17远程连接源地址限制配置/检查项远程登陆源地址限制适用等保级别等保二至四级1. 进入用户视图2. 用户视图切换到系统视图检查步骤 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看ACL是否正确匹配到需要控制的路由H3Cdis cur | in acl对登陆设备的源IP地址进行过滤，防止某些获得登录密码的用户从非法的地址登录到设备上。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C配置步骤 3.创建a cl规则，配置只允许特定源IP地址的acl。H3C acl 3001H3C-acl-adv-3001 rule permit ip source 100.100.1.1 0H3C-acl-adv-3001 rule permit ip source 100.100.1.2 04. 在用户接口视图下应用acl规则。H3C user-interface vty 0 4H3C-ui-vty0-4 acl 3001 inboundH3C-ui-vty0-4 quit各注