中国移动华为路由器安全配置规范(正式下发版)

中国移动华为路由器安全配置规范SpecificationforHUAWEIRouterConfigurationUsedinChinaMobile版本号：1.０.０网络与信息安全规范编号:【网络与信息安全规范】·【第二层：技术规范·网元类】·【第2501号】2007-12-13发布2008-01-01实施中国移动华为路由器设备安全配置规范目录1概述........................................................................................................................................................................11.1适用范围........................................................................................................................................................11.2内部适用性说明............................................................................................................................................11.3外部引用说明................................................................................................................................................21.4术语和定义....................................................................................................................................................21.5符号和缩略语................................................................................................................................................22华为路由器设备配置安全要求............................................................................................................................2中国移动华为路由器设备安全配置规范前言本标准由中国移动通信有限公司网络部提出并归口。本标准由标准提出并归口部门负责解释。本标准起草单位：中国移动通信有限公司网络部本标准解释单位：同提出单位本标准主要起草人：中国移动集团吉林公司王金星13596195678中国移动通信集团公司陈敏时13911773802中国移动华为路由器设备安全配置规范中国移动通信集团公司第1页共21页1概述1.1适用范围本规范适用于中国移动通信网、业务系统和支撑系统的华为路由器。本规范明确了华为路由器安全配置方面的基本要求。1.2内部适用性说明本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的华为路由器安全配置要求。以下分项列出本规范对《通用规范》设备配置要求的修订情况。编号采纳意见备注安全要求-设备-通用-配置-1-可选增强要求安全要求-设备-华为路由器-配-1安全要求-设备-通用-配置-2-可选增强要求安全要求-设备-华为路由器-配-2安全要求-设备-通用-配置-3-可选部分采纳安全要求-设备-华为路由器-配-20安全要求-设备-通用-配置-4完全采纳安全要求-设备-通用-配置-5不采纳设备不支持安全要求-设备-通用-配置-6-可选不采纳设备不支持安全要求-设备-通用-配置-7-可选不采纳设备不支持安全要求-设备-通用-配置-9完全采纳安全要求-设备-通用-配置-12完全采纳安全要求-设备-通用-配置-13-可选部分采纳安全要求-设备-华为路由器-配-5-可选安全要求-设备-通用-配置-24-可选完全采纳安全要求-设备-通用-配置-14-可选完全采纳安全要求-设备-通用-配置-16-可选完全采纳安全要求-设备-通用-配置-17-可选完全采纳安全要求-设备-通用-配置-19-可选增强要求安全要求-设备-华为路由器-配-15安全要求-设备-通用-配置-20-可选不采纳设备不具备安全要求-设备-通用-配置-27-可选增强要求安全要求-设备-华为路由器-配-16本规范新增的安全配置要求，如下：分类编号口令安全要求-设备-华为路由器-配置-3认证安全要求-设备-华为路由器-配置-4-可选日志安全要求-设备-华为路由器-配置-19-可选IP基本协议安全要求-设备-华为路由器-配置6-可选中国移动华为路由器设备安全配置规范中国移动通信集团公司第2页共21页IP基本协议安全要求-设备-华为路由器-配置7-可选IP路由协议安全要求-设备-华为路由器-配-8-可选IP路由协议安全要求-设备-华为路由器-配-9-可选IPSNMP协议安全要求-设备-华为路由器-配-10-可选IPSNMP协议安全要求-设备-华为路由器-配-11IPSNMP协议安全要求-设备-华为路由器-配-12-可选IPSNMP协议安全要求-设备-华为路由器-配置-13MPLS安全要求-设备-华为路由器-配置-20其他安全要求-设备-华为路由器-配置-14其他安全要求-设备-华为路由器-配置-17其他安全要求-设备-华为路由器-配置-18本规范还针对直接引用《通用规范》的配置要求，给出了在华为路由器上的具体配置方法和检测方法。1.3外部引用说明《中国移动通用安全功能和配置规范》1.4术语和定义1.5符号和缩略语（对于规范出现的英文缩略语或符号在这里统一说明。）缩写英文描述中文描述2华为路由器设备配置安全要求编号：安全要求-设备-华为路由器-配置-1要求内容应按照用户分配账号。避免不同用户间共享账号。避免用中国移动华为路由器设备安全配置规范中国移动通信集团公司第3页共21页户账号和设备间通信使用的账号共享。操作指南1、参考配置操作aaalocal-useruser1passwordcipherPWD1local-useruser1service-typetelnetlocal-useruser2passwordcipherPWD2local-useruser2service-typeftp#user-interfacevty04authentication-modeaaa2、补充操作说明无。检测方法1、判定条件用配置中没有的用户名去登录，结果是不能登录2、检测操作displaycurrent-configurationconfigurationaaa）3、补充说明无。编号：安全要求-设备-华为路由器-配置-2要求内容应删除与设备运行、维护等工作无关的账号。操作指南1、参考配置操作aaaundolocal-usertest2、补充操作说明无。检测方法1、判定条件配置中用户信息被删除。2、检测操作displaycurrent-configurationconfigurationaaa3、补充说明无。中国移动华为路由器设备安全配置规范中国移动通信集团公司第4页共21页编号：安全要求-设备-华为路由器-配置-20要求内容限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。操作指南1、参考配置操作superpasswordlevel3ciphersuperPWDaaalocal-useruser1passwordcipherPWD1local-useruser1service-typetelnetlocal-useruser1level2#user-interfacevty04authentication-modeaaa2、补充操作说明无。检测方法1、判定条件用户用相应的操作权限登录设备后，不具有最高权限级别3，这时有些操作不能做，例如修改aaa的配置。这时如果想使用管理员权限必须提高用户级别。2、检测操作displaycurrent-configurationconfigurationaaa3、补充说明无。编号：安全要求-设备-通用-配置-4要求内容对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。操作指南1、参考配置操作aaalocal-useruser1passwordcipherNumABC%$2、补充操作说明无。中国移动华为路由器设备安全配置规范中国移动通信集团公司第5页共21页检测方法1、判定条件查看用户的口令长度是否至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。对于加密的口令，通过登陆检测。2、检测操作displaycurrent-configurationconfigurationaaa3、补充说明无。编号：安全要求-设备-华为路由器-配置-3要求内容静态口令必须使用不可逆加密算法加密后保存于配置文件中。操作指南1、参考配置操作superpasswordlevel3cipherN`C55QK`=/Q=^Q`MAF41!!local-user8011passwordcipherN`C55QK`=/Q=^Q`MAF41!!2、补充操作说明无。检测方法1.判定条件用户的加密口令在buildrun中显示的密文。2.检测操作displaycurrent-configurationconfigurationaaa3.补充说明无。编号：安全要求-设备-通用-配置-9要求内容在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。操作指南1、参考配置操作aaalocal-user8011passwordcipher8011中国移动华为路由器设备安全配置规范中国移动通信集团公司第6页共21页local-user8011service-typetelnetlocal-user8011level0#user-interfacevty04authentication-modeaaa2、补充操作说明无。检测方法1.判定条件查看所有用户的级别都配置为其所需的最小权限。1.检测操作displaycurrent-configurationconfigurationaaa2.补充说明无。编号：安全要求-设备-华为路由器-配置-4-可选要求内容设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。操作指南1、参考配置操作#对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证。#认证服务器IP地址为129.7.66.66，无备用服务器，端口号为默认值1812。#配置RADIUS服务器模板。[Router]radius-servertemplateshiva#配置RADIUS认证服务器IP地址和端口。[Router-radius-shiva]radius-serverauthentication129.7.66.661812#配置RADIUS服务器密钥、重传次数。[Router-radius-shiva]radius-servershared-keyit-is-my-secret[Router-radius-shiva]radius-serverretransmit2[Router-radius-shiva]q