XX银行H3C交换机安全基线配置.doc

《XX银行H3C交换机安全基线配置.doc》由会员分享，可在线阅读，更多相关《XX银行H3C交换机安全基线配置.doc（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、如有侵权，请联系网站删除，仅供学习与交流XX银行H3C交换机安全基线配置【精品文档】第 18 页XX银行H3C交换机安全基线配置XX银行H3C交换机系列安全配置基线(V1.0)目 录1 适用声明适用人员IT部的网络维护人员、安全评估人员、安全审计人员适用版本H3C同系列的网络交换机适用等保一级项适用等保二级项适用等保三级项适用等保四级项参考依据H3C交换机配置手册GB/T 20270-2006 信息安全技术 网络基础安全技术要求GB/T 20011-2005 信息安全技术 路由器安全评估准则JR/T 0068-2012 网上银行系统信息安全通用规范GB/T 22239-2008 信息安全技术

2、信息系统安全等级保护基本要求GB/T 25070-2010 信息安全技术 信息系统等级保护安全设计技术要求JR/T 0071-2012金融行业信息系统信息安全等级保护实施指引2 访问控制2.1 配置ACL规则配置/检查项配置ACL规则适用等保级别等保一至四级检查步骤1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看ACL匹配路由是否按照业务需求设置H3Cdis cur | in aclH3Cdis this acl配置步骤设备应根据业务需要，配置基于源IP地址、通

3、信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置ACL列表H3Cacl number 2000H3C-acl-basic-2000rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 4. 配置流分类，定义基于ACL的匹配规则。H3Ctraffic classifier tc1H3C-classifier-

4、tc1 if-match acl 20005. 配置流行为H3C traffic behavior tb1H3C-behavior-tb1 deny6. 定义流策略，将流分类与流行为关联。H3C traffic policy tp1H3C-trafficpolicy-tp1 classifier tc1 behavior tb17. 应用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound备注2.2 配置常见的漏洞攻击和病毒过滤功能配置/检查项配置常见的漏洞攻击

5、和病毒过滤功能适用等保级别检查步骤1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看ACL中是否匹配漏洞攻击和病毒攻击H3Cdis current-configuration | in acl配置步骤设备应配置ACL，通过ACL列表来过滤一些常见的漏洞攻击和病毒攻击。4. 进入用户视图5. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C6. 配置ACL列表H3Ca

6、cl number 2000H3C-acl-basic-2000rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0 source-port eq ftp-data 7. 配置流分类，定义基于ACL的匹配规则。H3Ctraffic classifier tc1H3C-classifier-tc1 if-match acl 20008. 配置流行为H3C traffic behavior tb1H3C-behavior-tb1 deny9. 定义流策略，将流分类与流行为关联。H3C traffic policy tp1H3C-tr

7、afficpolicy-tp1 classifier tc1 behavior tb110. 应用流策略到接口。H3C interface gigabitethernet 0/0/1H3C-GigabitEthernet0/0/1 traffic-policy tp1 inbound备注3 安全审计3.1 开启设备的日志功能配置/检查项配置设备的日志功能适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看日志功能是否按照需求配置H3C

8、dis cur | in info-center配置步骤要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志，同时提供SYSLOG服务器的设置方式，所有的日志信息可以均可以远程存储到日志服务器。并且必须保证日志服务器的安全性。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 开启日志功能H3C 4. 配置日志信息输出到控制台，用户可以在控制台上查看到日志信息，了解到设备的运行情况H3C console channel 05. 配置日志信息输出到日志缓冲区H3C

9、 logbuffer channel 46. 配置日志信息输出到日志服务器H3C info-center loghost 1.1.1.1备注4 入侵防范4.1 配置防ARP欺骗攻击配置/检查项配置防ARP欺骗攻击适用等保级别检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看ARP地址欺骗 H3Cdis current-configuration | in anti-attack配置步骤配置设备的防ARP欺骗攻击功能，可以有效的减少ARP攻击对网络造成的影响

10、。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置防止ARP地址欺骗H3C arp anti-attack entry-check fixed-mac enable 适用于静态配置IP地址，但网络存在冗余链路的情况。当链路切换时，ARP表项中的接口信息可以快速改变H3C arp anti-attack entry-check fixed-all enable 适用于静态配置IP地址，网络没有冗余链路，同一IP地址用户不会从不同接口接入S5300的情况H3C ar

11、p anti-attack entry-check send-mac enable 适用于动态分配IP地址，有冗余链路的网络4. 配置防止ARP网关冲突H3C 备注5 网络设备防护5.1 限制管理员远程直接登录配置/检查项限制具备管理员权限的用户远程直接登录适用等保级别检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看是否存在高级别权限密码H3Cdis cur | in acl4. 查看是否对于user用户密码进行配置H3Cdis cur | in loc

12、al-user配置步骤远程管理员应先以普通权限用户登录后，再切换到管理员权限执行相应操作。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 设置用户由低级别权限切换到高级别权限的密码H3C super password level 3 cipher anbang1234. 进入aaa视图H3Caaa5. 配置具备远程登陆用户user1的权限信息。配置用户user1权限等级为Level 1,具有telnet服务。H3C-aaa local-user user1 pass

13、word cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 16. 配置远程登陆用户的认证方式为aaa认证H3C user-interface vty0 4H3C-ui-vty0-4 authentication-mode aaa备注5.2 连接空闲时间设定配置/检查项设置用户登录设备的空闲时间适用等保级别等保一至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user vie

14、w with Ctrl+Z.H3C3. 查看AAA下是否有相关的用户口令配置H3Cdis cur | in aaa配置步骤用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作，则需要重新输入口令。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 进入aaa视图，配置用户user1的超时时间为5分钟。H3CaaaH3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-

15、user user1 service-type telnetH3C-aaa local-user user1 level 1H3C-aaa local-user user1 idle-timeout 5 备注5.3 远程登陆加密传输配置/检查项远程登陆加密传输适用等保级别等保一至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看相关SSH配置H3Cdis cur | in ssh配置步骤如果通过远程对交换机进行管理维护，特别是通过互联网以及不安全的公共

16、网络，设备应配置使用SSH加密协议。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 生成本地密钥对H3C rsalocal-key-paircreate4. 创建ssh用户和密码H3C user-interfacevty04H3C-ui-vty0-4 authentication-modeaaaH3C-ui-vty0-4 protocolinboundsshH3C-ui-vty0-4 sshuserabcauthentication-typepasswordH3Cs

17、telnetserverenableH3Csshuserabcservice-typestelnetH3CaaaH3C-aaa local-userabcpasswordsimpleabcH3C-aaa local-userabcservice-typessh5. 使能stelnet服务 H3Cstelnetserverenable备注5.4 配置console口密码保护功能和连接超时配置/检查项设置用户通过console口登录交换机时的密码适用等保级别等保一至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return

18、user view with Ctrl+Z.H3C3. 查看是否存在对CONSOLE口的口令配置H3Cdis cur | in user-interface配置步骤用户通过console口登录交换机时，需要输入密码，并且用户登录交换机后，如果在设定的时间内没有任何操作，则断开连接，用户如果需要继续操作，则需要重新输入口令。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置登录console口时的口令和超时时间 H3C user-interface console

19、0H3C-ui-console0 authentication-mode passwordH3C-ui-console0 set authentication password cipher anbang123H3C-ui-console0 idle-timeout 5 备注5.5 按照用户分配账号配置/检查项按照用户分配账号适用等保级别检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看是否对于不同用户配置权限信息H3Cdis cur | in local

20、-user配置步骤避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 进入aaa视图H3Caaa4. 为不同的用户配置不同的权限信息。 配置用户user1具有telnet权限，user2具有ftp权限。H3C-aaa local-user user1 password cipher anbang1234H3C-aaa local-user user2 password cipher anbang1234H3

21、C-aaa local-user user1 service-type telnetH3C-aaa local-user user2 service-type ftpH3C-aaa local-user user1 level 1H3C-aaa local-user user2 level 1备注5.6 删除设备中无用的闲置账号配置/检查项删除设备中无用的闲置账号适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看设备中是否存在限制的

22、用户账号和信息H3Cdis cur | in local-user配置步骤定期检查设备账号配置，删除与设备运行，维护等无关的账号。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 进入aaa视图H3Caaa4. 删除设备中无用的账号。H3C-aaa undo local-user user1备注5.7 修改设备上存在的弱口令配置/检查项修改设备上存在的弱口令适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter

23、 system view, return user view with Ctrl+Z.H3C3. 查看用户的密码信息H3Cdis cur | in local-user配置步骤对于采用静态口令认证技术的设备，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类，且用户口令加密存储。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 进入aaa视图，配置用户user1的口令，并且口令加密存储。H3Caaa H3C-aaa local-user user

24、1 password cipher anbang1234H3C-aaa local-user user1 service-type telnetH3C-aaa local-user user1 level 1备注5.8 配置和认证系统联动功能配置/检查项配置和认证系统联动功能适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看是否配置了认证服务系统H3Cdis cur | in radius-server配置步骤设备通过相关参数配置，

25、与认证系统联动，满足帐号、口令和授权的强制要求。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置RADIUS服务器模板testH3Cradius-server template test4. 配置RADIUS认证服务器的IP地址、端口。H3C-radius-testradius-server authentication 1.1.1.1 18125. 配置RADIUS服务器密钥、重传次数H3C-radius-testradius-server shared-ke

26、y cipher helloH3C-radius-testradius-server retransmit 26. 配置认证方案1，认证模式为先RADIUS，如果没有响应，则不认证H3CaaaH3C-aaaauthentication-scheme 1H3C-aaaauthentication-mode radius none7. 配置ab域，在域下应用认证方案1、RADIUS模板testH3C-aaa domain abH3C-aaa-domain-abauthentication-scheme 1H3C-aaa-domain-abradius-server test备注5.9 配置NTP服

27、务配置/检查项配置NTP服务适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看NTP相关配置是否正确H3Cdis cur | in ntp配置步骤开启NTP服务，保证日志功能记录的时间的准确性，同时交换机和NTP SERVER之间要开启认证功能。1 进入用户视图2 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3 在交换机上使能NT

28、P功能，配置验证密钥并声明该密钥可信 H3C ntp-service authentication enableH3C ntp-service authentication-keyid 1 authentication-mode md5 HelloH3C ntp-service reliable authentication-keyid 14 配置NTP服务器，并使用已配置的验证密钥。H3C ntp-service unicast-server 2.2.2.2 authentication-keyid 1备注5.10 修改SNMP的community默认通行字配置/检查项修改SNMP的comm

29、unity默认通行字，通行字应符合口令强度要求适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看COMMUNITY是否存在默认通行字H3Cdis cur | in acl配置步骤应修改SNMP的Community默认通行字，通行字应符合口令强度要求。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 修改SN

30、MP的默认通行字H3C snmp-agent community read 1234abcdH3C snmp-agent community write 1234abcd备注5.11 使用SNMPV2或以上版本配置/检查项使用SNMPV2或以上版本适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看SNMP的运行版本H3Cdis cur | in snmp-agent配置步骤应配置SNMP使用SNMPv2或者以上版本，加强安全性。1.

31、 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置SNMP版本。H3C version v3备注5.12 设置SNMP的访问安全限制配置/检查项设置SNMP的访问安全限制适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看SNMP的访问安全限制H3Cdis cur | in snmp-agent配置步骤设置S

32、NMP访问安全限制，只允许特定主机通过SNMP访问网络设备。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 配置可以访问交换机的ACL列表。H3C acl 2001H3C-acl-basic-2001 rule 5 permit source 1.1.1.2 0.0.0.04. 应用ACL到SNMP配置。H3C snmp-agent community write 1234abcd acl 2001H3C snmp-agent community read 1234

33、abcd acl 2001备注5.13 系统应关闭未使用的SNMP协议及未使用RW权限配置/检查项关闭未使用的SNMP协议及未使用RW权限适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看SNMP协议的RW相关配置H3Cdis cur | in RW配置步骤如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter

34、 system view, return user view with Ctrl+Z.H3C3. 配置可以访问交换机的ACL列表。H3C Undo snmp enableH3Cundo snmp-agent community RWuser备注5.14 关闭不必要的服务配置/检查项关闭不必要的服务适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看存在哪些协议如:FTP,HTTP,DHCP等。H3Cdis cur配置步骤关闭网络设备不

35、必要的服务，如:FTP,HTTP,DHCP SERVER等。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 关闭设备的ftp服务。H3C undo ftp server备注5.15 配置防源地址欺骗攻击配置/检查项配置防源地址欺骗攻击适用等保级别检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看是否含有URPF的相关配置H3Cd

36、is cur | in urpf配置步骤配置设备使用单播逆向路径转发（URPF）技术可以解决源地址欺骗造成的网络安全问题。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 在接口上使能URPF功能。H3C interface gigabitethernet 1/0/0H3C-GigabitEthernet1/0/0 ip urpf strict备注5.16 禁止设备未使用或者空闲的端口配置/检查项禁止设备未使用或者空闲的端口适用等保级别检查步骤1. 进入用户视图2.

37、用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看没有进行任何相关配置的接口是否关闭H3Cdis cur 配置步骤1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 在不使用的端口下启用如下命令H3C interface gigabitethernet 1/0/1H3C-GigabitEthernet1/0/1 shutdown 备注5.17 远程连接源地址限制配

38、置/检查项远程登陆源地址限制适用等保级别等保二至四级检查步骤1. 进入用户视图2. 用户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 查看ACL是否正确匹配到需要控制的路由H3Cdis cur | in acl配置步骤对登陆设备的源IP地址进行过滤，防止某些获得登录密码的用户从非法的地址登录到设备上。1. 进入用户视图2. 由户视图切换到系统视图 system-viewEnter system view, return user view with Ctrl+Z.H3C3. 创建acl规则，配置只允许特定源IP地址的acl。H3C acl 3001H3C-acl-adv-3001 rule permit ip source 100.100.1.1 0H3C-acl-adv-3001 rule permit ip source 100.100.1.2 04. 在用户接口视图下应用acl规则。H3C user-interface vty 0 4H3C-ui-vty0-4 acl 3001 inboundH3C-ui-vty0-4 quit备注