中国电信华为路由器安全配置规范v01

aheng20boy
3 ℃
2020-01-08

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

三中国电信集团公司技术标准Q/CTXXXX-2013中国电信华为路由器安全配置规范SpecificationforHuaweiRouterConfigurationUsedinChinaTelecom2013-XX发布2013-XX实施中国电信集团公司发布保密等级：公开发放Q/CTXXXX-2013I目录目录.....................................................................I前言....................................................................II1范围.......................................................................12规范性引用文件.............................................................13缩略语.....................................................................14安全配置要求...............................................................24.1管理平面安全配置.........................................................24.1.1管理口防护..............................................................24.1.2账号与口令..............................................................24.1.3认证....................................................................44.1.4授权....................................................................54.1.5记账....................................................................74.1.6远程管理................................................................94.1.7SNMP安全.............................................................114.1.8系统日志...............................................................134.1.9NTP...................................................................154.1.10Banner信息............................................................164.1.11未使用的管理平面服务..................................................164.2数据转发平面安全配置....................................................174.2.1典型垃圾流量过滤.......................................................174.3控制平面安全配置........................................................214.3.1ACL控制...............................................................214.3.2路由安全防护...........................................................214.3.3协议报文防护...........................................................234.3.4引擎防护策略...........................................................25Q/CTXXXX-2013II前言为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信在2011年编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求，在实际的运用中发挥了积极的作用。本次针对2011版安全配置中发现的问题和不足，进行修订，提增加部分数据库、应用中间件、网络设备方面的安全配置要求。本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下：（1）Windows操作系统安全配置规范（本标准）（2）AIX操作系统安全配置规范（3）HP-UX操作系统安全配置规范（4）Linux操作系统安全配置规范（5）Solaris操作系统安全配置规范（6）MSSQLserver数据库安全配置规范（7）MySQL数据库安全配置规范（8）Oracle数据库安全配置规范（9）Sybase数据库安全配置规范（10）Apache安全配置规范（11）IIS安全配置规范（12）Tomcat安全配置规范（13）WebLogic安全配置规范（14）Nginx安全配置规范（15）Resin安全配置规范（16）Cisco路由器安全配置规范（17）Juniper路由器安全配置规范（18）华为路由器安全配置规范（19）华为交换机安全配置规范（20）H3C交换机安全配置规范（21）中兴交换机安全配置规范（22）XXX防火墙安全配置规范（）……本标准由中国电信集团公司提出并归口。Q/CTXXXX-201311范围适用于中国电信使用的华为路由器设备。本规范明确了华为路由器设备在安全配置方面的基本要求，适用于所有的安全等级，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。2规范性引用文件本设备配置规范符合下列规范性文件：GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》YD/T1732-2008《固定通信网安全防护要求》YD/T1734-2008《移动通信网安全防护要求》YD/T1736-2008《互联网安全防护要求》YD/T1738-2008《增值业务网—消息网安全防护要求》YD/T1740-2008《增值业务网—智能网安全防护要求》YD/T1758-2008《非核心生产单元安全防护要求》YD/T1742-2008《接入网安全防护要求》YD/T1744-2008《传送网安全防护要求》YD/T1746-2008《IP承载网安全防护要求》YD/T1748-2008《信令网安全防护要求》YD/T1750-2008《同步网安全防护要求》YD/T1752-2008《支撑网安全防护要求》YD/T1756-2008《电信网和互联网管理安全等级保护要求》3缩略语下列缩略语适用于本标准：Q/CTXXXX-201324安全配置要求根据国内外运营商网络及结合中国电信的实际情况，可将路由交换设备的安全域逻辑划分为管理平面、控制平面、转发平面等三大平面，每个平面的具体安全策略不同。具体如下：管理平面：管理平面防护的主要安全策略是保护设备远程管理及本地服务的安全性，降低设备受到网络攻击或被入侵的可能性。转发平面：数据转发平面的主要安全策略是对异常流量进行控制，防止因网络蠕虫、拒绝服务攻击等流量在网络中的泛滥，造成网络的拥塞或不可用。控制平面：控制平面的主要安全策略是保证设备系统资源的可用性，使得设备可以正常的实现数据转发、协议更新。4.1管理平面安全配置4.1.1管理口防护4.1.1.1配置console口密码保护项目编号配置说明设备应配置console口密码保护安全要求等级配置指南1.执行命令system-view，进入系统视图。2.执行命令user-interfaceconsole0，进入Console用户界面视图。3.执行命令authentication-modepassword，设置用户验证方式为密码验证。4.执行命令setauthenticationpasswordcipherxxxxx，设置password验证的口令检测方法及判定依据1.执行命令displayuser-interfaceconsole0查看输出：Auth为PIdxTypeTx/RxModemPriviActualPriviAuthInt+0CON09600-33P-备注4.1.2账号与口令4.1.2.1避免共享账号项目编号配置说明应对不同的用户分配不同的账号，避免不同用户间账号共享。安全要求等级配置指南1.执行命令system-view，进入系统视图。2.执行命令aaa，进入AAA视图。Q/CTXXXX-201333.执行命令local-useruser-namepasswordcipherpassword，配置本地用户名和密码。4.执行命令local-usertestaccess-limit1，配置本地用户同一时间的最大接入数目为1。检测方法及判定依据1.执行命令displaycurrent-configuration|includelocal-user查看有多个local-user、且有access-limit为1的配置local-usertest1passwordcipherP/AN@/%E(##Q=^Q`MAF41!!local-usertest1access-limit1local-usertest2passwordcipher=W6JJ`N_LBKQ=^Q`MAF41!!local-usertest2access-limit1备注4.1.2.2口令加密项目编号配置说明静态口令应采用安全可靠的单向散列加密算法（如md5、sha1等）进行加密，并以密文形式存放。如使用enablesecret配置Enable密码，不使用enablepassword配置Enable密码。安全要求等级配置指南1.执行命令system-view，进入系统视图。2.执行命令aaa，进入AAA视图。3.执行命令local-useruser-namepasswordcipherpassword选择cipher检测方法及判定依据1.displaycurrent-configuration|includelocal-user查看到local-user的配置，有cipher关键字，并显示为密文：local-usertest1passwordcipherP/AN@/%E(##Q=^Q`MAF41!!备注4.1.2.3账户锁定策略项目编号配置说明应为设备配置用户连续认证失败次数上限，当用户连续认证失败次数超过上限时，设备自动断开该用户账号的连接，并在一定时间内禁止该用户账号重新认证。安全要求等级配置指南1.执行命令system-view，进入系统视图。2.执行命令aaa，进入AAA视图。3.执行命令local-useruser-namepasswordcipherXXXX，配置本地用户及密码。4.执行命令local-useruser-namestateblockfail-timesXintervalX，配置本地用户登录失败X次后，暂时将用户阻塞：X分钟。检测方法及判定依据执行命令：discu|inlocal-user查看输出，检查是否有block关键字段，比如：local-usertestpasswordsimpletestlocal-usertests