H3C三层交换机安全配置规范4.1管理平面安全配置4.1.1管理口防护4.1.1.1关闭未使用的管理口项目编号NOMD-2013-SC-H3C(L3SW)-01-01-01-v1配置说明设备应关闭未使用的管理口(AUX、或者没开启业务的端口)。重要等级高配置指南1、参考配置操作#interfaceTen-GigabitEthernet0/1//进入端口视图shutdown//执行shutdown命令,关闭端口#检测方法及判定依据1、符合性判定依据端口关闭,不能使用。2、参考检测方法通过网线或光纤(视具体接口不同),将此端口与PC或其他设备未关闭的端口互连,该端口指示灯灭,且PC或其他设备没有网卡UP的提示信息。备注4.1.1.2配置console口密码保护项目编号NOMD-2013-SC-H3C(L3SW)-01-01-02-v1配置说明设备应配置console口密码保护重要等级高配置指南1、参考配置操作[H3C]user-interfaceconsole0[H3C-ui-console0]authentication-modepassword[H3C-ui-console0]setauthenticationpasswordcipherxxxxxxxx检测方法及判定依据1、符合性判定依据通过console口,只有输入正确密码才能进入配置试图2、参考检测方法PC用Console线连接设备Console口,通过超级终端等配置软件,在进入设备配置视图时,提示要求输入密码。备注4.1.2账号与口令4.1.2.1避免共享账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-01-v1配置说明应对不同的用户分配不同的账号,避免不同用户间账号共享。重要等级中配置指南1、参考配置操作#local-useruser1service-typetelnetuserpriviledelevel2#local-useruser2service-typeftpuserpriviledelevel3#2、补充操作说明1、user1和user2是两个不同的账号名称,可根据不同用户,取不同的名称,建议使用:姓名的简写+手机号码;2、避免使用h3c、admin等简单易猜的账号名称;检测方法及判定依据1、符合性判定依据各账号都可以正常使用,不同用户有不同的账号。2、参考检测方法(1)用displaycurrent-configurationconfigurationluser命令查看配置是否正确(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用(3)使用配置中没有的账号无法登录3、补充说明每个账号都有对应的使用人员,确保没有多余账号备注4.1.2.2禁止无关账号项目编号NOMD-2013-SC-H3C(L3SW)-01-02-02-v1配置说明应禁止配置与设备运行、维护等工作无关的账号;重要等级高配置指南如有无关账号,参考如下配置进行删除#undolocal-userusername#检测方法及判定依据1、符合性判定依据不存在工作无关账号2、参考检测方法通过displaylocal-user来查看是否存在无关账号备注4.1.2.3管理默认账号与口令项目编号NOMD-2013-SC-H3C(L3SW)-01-02-03-v1配置说明应删除或锁定默认或缺省账号与口令。重要等级高配置指南#undolocal-userusername#检测方法及判定依据1、符合性判定依据密码强度和策略符合安全要求2、参考检测方法通过displaypassword来看密码策略通过telnet方式登录设备,输入密码来检测密码安全性备注4.1.2.4口令长度和复杂度项目编号NOMD-2013-SC-H3C(L3SW)-01-02-04-v1配置说明对于采用静态口令认证技术的设备:应支持口令长度及复杂度验证机制(强制要求口令应由数字、大写字母、小写字母和特殊符号4类字符构成,自动拒绝用户设置不符合复杂度要求的口令。);重要等级高配置指南1、参考配置操作对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少3类,每类多余4个。password-controlenablepassword-controllength8password-controlcompositiontype-number3type-length4检测方法及判定依据1、符合性判定依据密码强度和策略符合安全要求2、参考检测方法通过displaypassword来看密码策略通过telnet方式登录设备,输入密码来检测密码安全性备注4.1.2.5口令加密项目编号NOMD-2013-SC-H3C(L3SW)-01-02-05-v1配置说明静态口令应采用安全可靠的单向散列加密算法(如md5、sha1等)进行加密,并以密文形式存放。如使用enablesecret配置Enable密码,不使用enablepassword配置Enable密码。重要等级高配置指南1、参考配置操作#local-useradminpasswordcipher$c$3$91+quQroSJWHM4sAJOker3sBNmMjwUEU#检测方法及判定依据1、符合性判定依据密码以密文形式存在设备配置中2、参考检测方法通过displaycurrent-configuration命令查看账号密码以密文形式显示备注4.1.2.6口令变更周期项目编号NOMD-2013-SC-H3C(L3SW)-01-02-06-v1配置说明口令定期更改,最长不得超过90天。重要等级高配置指南1、参考配置操作对于采用静态口令认证技术的设备,账户口令的生存期不长于90天,提前7天告警。password-controlenablepassword-controlaging90password-controlalert-before-expire7检测方法及判定依据1、符合性判定依据口令更改周期为90天,提前7天会自动告警2、参考检测方法通过displaypassword-control来查看密码策略备注4.1.2.7账户锁定策略项目编号NOMD-2013-SC-H3C(L3SW)-01-02-07-v1配置说明应为设备配置用户连续认证失败次数上限,当用户连续认证失败次数超过上限时,设备自动断开该用户账号的连接,并在一定时间内禁止该用户账号重新认证。重要等级高配置指南1、参考配置操作password-controllogin-attempt5exceedlock-time60一般设置为5次。检测方法及判定依据1、符合性判定依据账号密码输入连续多次错误,账号被锁定。2、参考检测方法模拟登录测试,连续输5次密码,该账号被锁定。备注4.1.3认证4.1.3.1使用认证服务器认证项目编号NOMD-2013-SC-H3C(L3SW)-01-03-01-v1配置说明设备通过相关参数配置,通过与认证服务器(RADIUS或TACACS服务器)联动的方式实现对用户的认证,满足账号、口令和授权的要求。重要等级中配置指南1、参考配置操作[FW]radiusschemerad#配置主、备认证服务器的IP地址为10.1.1.1,认证端口号为1812。[FW-radius-rad]primaryauthentication10.1.1.11812[FW-radius-rad]secondaryauthentication10.1.1.21812#配置与认证服务器交互报文时的共享密钥为expert。[FW-radius-rad]keyauthenticationexpert#配置向RADIUS服务器发送的用户名携带域名。[FW-radius-rad]user-name-formatwith-domain#配置RADIUS服务器的服务类型。使用CAMS/iMC服务器时,RADIUS服务器类型应选择extended。[FW-radius-rad]server-typeextended[FW-radius-rad]quit#配置ISP域的AAA方法。[FW]domainbbb[FW-isp-bbb]authenticationloginradius-schemerad[FW-isp-bbb]quit2、补充操作说明(1)、配置认证方式,可通过radius和本地认证;(2)、10.1.1.10和10.1.1.2是radius认证服务器的IP地址,建议建立两个radius认证服务器作为互备;(3)、port1812是radius认证开启的端口号,可根据本地radius认证服务器开启的端口号进行配置;(4)、abc123是与radius认证系统建立连接所设定的密码,建议:与radius认证服务器建立连接时,使用密码认证建立连接。检测方法及判定依据1、符合性判定依据(1)、可以正常ping通Radius服务器的IP地址;(2)、用户可以登录为正常;(3)、如果要让Radius服务器向发送用户授权信息,需要在Radius服务器上装的字典文件并做相应配置。2、参考检测方法用户发起TELNET连接,在TELNET客户端按照提示输入用户名hello@bbb及正确的密码后,可成功进入用户界面,并可以使用级别为0、1、2、3的命令。#可以通过如下命令查看到AAA用户的连接信息。[FW]displayconnectionIndex=1,Username=hello@bbbIP=192.168.1.58IPv6=N/ATotal1connection(s)matched.备注4.1.3.2会话超时配置项目编号NOMD-2013-SC-H3C(L3SW)-01-03-02-v1配置说明配置定时账户自动登出。如TELNET、SSH、HTTP等管理连接和CONSOLE口登录连接等。重要等级高配置指南1、参考配置操作#user-interfacecon0idle-timeout50user-interfaceaux0idle-timeout50user-interfacevty04idle-timeout50#save2、补充操作说明以上配置是系统在5分钟没有管理流量就让用户自动退出。超时时间一般设置为5-10分钟。检测方法及判定依据1、符合性判定依据当闲置时间超时(这里设了5分钟),用户会自动退出设备2、参考检测方法1)、使用displaycurrent-configurationconfigurationuser-interface查看配置结果2)、在终端上用telnet方式登录,输入用户名密码3)、让用户处于空闲状态,查看当时间超时是否自动登出备注4.1.4授权4.1.4.1分级权限控制项目编号NOMD-2013-SC-H3C(L3SW)-01-04-01-v1配置说明原则上应采用预定义级别的授权方法,实现对不同用户权限的控制,满足用户最小授权的要求。重要等级中配置指南1、参考配置操作#local-useruser1service-typetelnetuserpriviledelevel2#local-useruser2service-typeftpuserpriviledelevel3#检测方法及判定依据1、符合性判定依据各账号都可以正常使用,且能够输入的命令权限不同2、参考检测方法(1)用displaycurrent-configurationconfigurationluser命令查看配置是否正确(2)使用TELNET/SSH/HTTP/HTTPS等检查用户是否可以使用以及可以配置的命令备注4.1.4.2利用认证服务器进行权限控制项目编号NOMD-2013-SC-H3C(L3SW)-01-04-02-v1配置说明除本地采用预定义级别进行外,设备可通过与认证服务器(RADIUS服务器或TACACS服务器)联动的方式实现对用户的授权。并建议采用逐条授权的方式,尽量避免或减少使用一次性授权的方式。重要等级中配置指南1、参考配置操作[FW]radiusschemer