华为路由交换安全配置基线V1.0.docxVIP

华为路由交换安全配置基线  目录 TOC \o 1-3 \h \z \u 1 概述 5 1.1 目的 5 1.2 适用范围 5 2 基本安全设置 5 2.1 账号管理 5 2.1.1 用户帐号分配 5 2.1.2 删除无关账户 6 2.1.3 限制具备管理员权限的用户登录 7 2.1.4 限制同一账号连接数 8 2.1.5 命名规则 10 2.2 口令要求 11 2.2.1 密码复杂度 11 2.2.2 静态口令以密文形式存放 12 2.2.3 帐号、口令和授权的强制要求 13 2.2.4 最小权限 15 2.2.5 配置console口密码保护 16 3 日志审计 17 3.1 记录用户登录日志 17 3.2 远程日记功能 19 3.3 日记记录内容要求 20 4 设备管理 23 4.1 SNMP默认Community更改 23 4.2 使用SNMP V2或以上版本 24 4.3 关闭未使用端口 26 4.4 账户超时退出 26 4.5 远程主机IP限制 28 4.6 端口与实际应用相符 29 4.7 SNMP服务主机限制 30 4.8 禁用SNMP写的功能 31 5 服务安全 33 5.1 禁用非必要网络服务 33 5.2 ACL控制业务访问 34 5.3 预防源地址伪造攻击 36 6 协议安全 38 6.1 使用SSH加密管理 38 6.2 路由防地址欺骗 40 7 功能安全 42 7.1 启用协议认证加密功能 42 7.2 开启NTP认证功能,确保时钟源可靠 44 7.3 防ARP欺骗攻击 45  概述 目的 本基线依据工程网络设备安全配置规范要求，旨在指导网络设备管理人员或安全检查人员进行华为路由交换系列的安全配置，提高华为路由交换的安全防护能力。 适用范围 本基线仅适用于工程中所使用的华为系列路由交换。 基本安全设置 账号管理 用户帐号分配 安全基线项目名称 华为路由交换用户帐号分配安全基线要求项 安全基线编号 华为路由交换安全配置技术要求-1 安全基线项说明 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。 检测操作步骤 执行如下命令检测账户配置信息 display current-configuration configuration aaa 基线符合性判定依据 系统存在两个以上用户则符合，否则不符合。 加固方案 aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user2 password cipher PWD2 local-user user2 service-type ftp user-interface vty 0 4 authentication-mode aaa 风险等级 低 备注 删除无关账户 安全基线项目名称 华为路由交换删除无关账户安全基线要求项 安全基线编号 华为路由交换安全配置技术要求-2 安全基线项说明 应删除与设备运行、维护等工作无关的账号。 检测操作步骤 执行如下命令检测本地账户配置信息 display current-configuration configuration aaa 基线符合性判定依据 手工检查项,请依据实际情况删除与设备运行、维护无关的账号 加固方案 参考操作步骤: aaa undo local-user username 注：username需要删除的无关账号名称 保存配置 save 风险等级 低 备注 限制具备管理员权限的用户登录 安全基线项目名称 华为路由交换限制具备管理员权限的用户登录安全基线要求项 安全基线编号 华为路由交换安全配置技术要求-3 安全基线项说明 限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。 检测操作步骤 display current-configuration configuration aaa 基线符合性判定依据 1、不存在级别3的用户 2、super口令的优先级级别为3 条件1和条件2同时满足则符合，否则不符合。 加固方案 super password level 3 cipher superPWD aaa local-user user1 password cipher PWD1 local-user user1