设备安全配置指南(基线)

网络设备基线配置2009-07-24实施2009-07-24发布中国联通公司发布中国联通内网华为路由/交换设备安全配置指南I目录1范围...................................................................................................................................12安全配置要求...................................................................................................................12.1password的加密...................................................................................................12.2Super密码的使用...............................................................................................12.3用户口令设置.......................................................................................................12.4用户权限设置.......................................................................................................12.5VTY的数量限制..................................................................................................22.6VTY的访问限制..................................................................................................22.7禁用Telnet方式访问系统...................................................................................22.8SSH的使用..........................................................................................................32.9SNMP服务设置...................................................................................................32.10SNMP服务的共同体字符串设置.......................................................................32.11SNMP服务的访问控制设置................................................错误!未定义书签。2.12登录超时设置.......................................................................................................32.13禁用不使用的端口...............................................................................................42.14禁用FTP服务......................................................................................................42.15日志审计...............................................................................................................4中国联通内网华为路由/交换设备安全配置指南11范围本文档规定了财务公司范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。2安全配置要求2.1password的加密配置项名称启用password加密功能操作步骤查看是否进行了如下配置：Password*******cipher安全建议建议对password进行加密，配置：Password*******cipher备注Password的加密（密文）2.2Super密码的使用配置项名称super密码的使用操作步骤查看是否进行了如下配置：Superpassword******cipher安全建议建议设置super的密码用户登录设备以后，为了获得设备设置的权限必须进入super模式，如果未设置，则登录设备的用户直接就获得了配置设备的权限。命令为：SuperPassword*******cipher备注Super加密密文2.3用户口令设置配置项名称用户口令设置操作步骤询问管理员是否存在如下类似的简单用户密码配置，比如：Test、admin、root1234安全建议检查用户口令的设置情况，检查是否存在简单密码。要求密码长度最少为8位，包含大小写字母、数字和特殊符号，密码变更周期。如果满足，则符合安全要求；如果不满足，则低于安全要求。备注2.4用户权限设置配置项名称用户权限设置中国联通内网华为路由/交换设备安全配置指南2操作步骤查看用户的权限设置。service-typelan-accessservice-typetelnetlevel1service-typeftp安全建议本着最小化的原则，应该只给用户赋予最小的权限，其他权限应该在需要时开启。备注2.5VTY的数量限制配置项名称VTY数量限制操作步骤查看是否作了如下的类似配置：user-interfacevty04建议为linevty01安全建议建议对VTY的数量进行合理的限制。设置为01即可。备注2.6VTY的访问限制配置项名称VTY的访问限制操作步骤查看是否作了如下的类似配置：access-list12permit********linevty01aclclass12Inbound安全建议建议对VTY的访问源地址进行合理的限制备注2.7禁用Telnet方式访问系统配置项名称禁用telent方式访问系统操作步骤查看配置文件中是否存在Switch(config)#linevty04Switch(config-line)#logininSwitch(config-line)#passwordSwitch(config-line)#exit如果存在，则低于安全要求；如果不存在，则符合安全要求。安全建议禁用Telnet方式远程访问系统。中国联通内网华为路由/交换设备安全配置指南3备注2.8SSH的使用配置项名称检查是否采用SSH登录方式操作步骤执行：discu是否存在SSH配置如果存在，则符合安全要求；如果不存在，则低于安全要求。安全建议建议如下配置，使用SSH替代Telent的访问方式：备注2.9SNMP服务设置配置项名称查看是否开启了SNMP服务操作步骤查看配置中关于SNMP服务的设置情况：[Quidway]snmp-agenttrapenable安全建议如果用户不采用SNMP方式管理网络设备，则应关闭SNMP服务。命令为：[Quidway]undosnmp-agent备注简单网络管理协议的使用2.10SNMP服务的共同体字符串设置配置项名称检查SNMP服务的共同体字符串设置操作步骤查看配置中关于SNMP服务的共同体字符串设置情况：[Quidway]snmp-agentcommunityread******[Quidway]snmp-agentcommunitywrite******安全建议设置复杂一些的字符串：命令为：[Quidway]#snmp-servercommunityread******备注在开启了SNMP服务的前提下，检查SNMP服务的共同体字符串设置情况，应该取消使用默认的public和private，如果不使用snmp配置设备，则不要设置write的共同体字符串。2.11登录超时设置配置项名称查看是否进行了登录超时设置操作步骤查看是否对VTY/CON/AUX等作了如下类似配置：idle-timeout0项目描述查看是否进行了登录超时设置(缺省设置为10分钟)中国联通内网华为路由/交换设备安全配置指南4安全建议登录超时设置(缺省设置为10分钟)建议对VTY/CON/AUX等做登录超时设置，配置如下：以配置AUX的exec-timeout为2分15秒为例：[Quidway-ui-aux0]idle-timeout215备注登录超时的设置2.12禁用不使用的端口配置项名称查看是否禁用了不使用的端口操作步骤查看是否对端口做了如下类似配置：[Quidway-Ethernet2/1/1]shutdown安全建议建议禁用不使用的端口，配置如下：[Quidway-Ethernet2/1/1]shutdown备注关闭端口2.13禁用FTP服务配置项名称禁用FTP方式访问系统操作步骤查看配置文件，是否有类似内容：undoftp-serverenable安全建议禁用FTP方式远程访问系统。配置命令：undoftp-serverenable备注不使用ftp禁用2.14日志审计配置项名称日志审计操作步骤检查配置文件中是否存在如下配置：info-centerenableinfo-centerloghosthost-ip-addr安全建议建议对设备启用Logging的配置，并设置正确的syslog服务器。在开启了SNMP的前提下，配置了正确的Trap×（用于捕获指定的信号并执行预定义的命令。）选项可以达到相同的效果。备注