等保2完整版本.0下网络设备安全配置.pdfVIP

Security信息安全责任编辑：赵志远投稿信箱：netadmin@365

等保2.0下网络设备安全配置

■北京赵鹏

2019年5月编者按：等保2.0标准对单位信息系统网络安全防护[HW-

13日，《信息安全提出新的要求，本文就针对等保2.0标准，探讨在安全通radius-RD1]

技术网络安全等用标准下的网络设备安全配置。radius-

级保护测评要求》server

即等保2.0标准正式发布，等单独划分安全区域，通过authentication192.168.0.

等级保护上升到网络空间安VLAN逻辑隔离，各安全区域254（认证服务器IP）1812（认

全，除了计算机信息系统外，之间、服务器与客户端之间证端口）

还包含网络安全基础设施、网络边界应符合最小耦合设[HW-radius-RD1]

云、移动互联网、物联网、工计要求。radius-servershared-key

业控制系统、大数据安全等cipherHW@2019(认证秘钥)

对象。边界防护[HW-radius-RD1]quit

等保2.0标准分为安全等保2.0标准要求边界[HW]radius-

通用要求和安全扩展要求，防护“应能够对非授权设备serverauthorization

本文将以华为交换机为例，私自联到内部网络的行为进54shared-key

从网络架构、边界防护、访问行限制或检查”，即路由交换cipherHW@2019

控制、入侵防范、集中管控等设备端口应与用户计算机的2.创建aaa认证方

五个部分探讨安全通用要求MAC地址、IP地址绑定，严格案RZ1并配置认证方式为

下网络设备安全配置方法。限制非授权设备对内部网络radius

访问。[HW]aaa

网络架构具体配置中推荐部署[HW-aaa]

等保2.0标准要求网络RADIUS服务器，配置802.1xauthentication-schemeRZ1

架构“应划分不同的网络区协议取代传统的“IP-MAC-(认证方案)

域，并按照方便管理和控制端口”静态绑定。华为交换[HW-aaa-authen-RZ1]

的原则为各网络区域分配地机配置方法如下：authentication-mode

址”。1.创建并配置RADIUSradius

在网络设计中，应根据服务器模板RD1