H3C防火墙安全配置基线.pdf

《H3C防火墙安全配置基线.pdf》由会员分享，可在线阅读，更多相关《H3C防火墙安全配置基线.pdf（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络安全 页脚内容0 H3C 防火墙安全配置基线 网络安全 页脚内容1 版本 版本控制信息 更新日期 更新人 审批人 V2.0 创建 2012年 4月 备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。网络安全 页脚内容2 目 录 第 1 章 概述.0 1.1 目的.0 1.2 适用范围.0 1.3 适用版本.0 1.4 实施.0 1.5 例外条款.0 第 2章 帐号管理、认证授权安全要求.1 2.1 帐号管理.1 2.1.1 用户帐号分配*.1 2.1.2 删除无关的帐号*.3 2.1.3 帐户登录超时*.4 2.1.4 帐户密码错误自动锁定*.6 2.2 口令

2、.7 2.2.1 口令复杂度要求 .7 2.3 授权.8 2.3.1 远程维护的设备使用加密协议 .8 网络安全 页脚内容3 第 3章 日志及配置安全要求.11 3.1 日志安全.11 3.1.1 记录用户对设备的操作 .11 3.1.2 开启记录NAT日志*.12 3.1.3 开启记录VPN日志*.13 3.1.4 配置记录拒绝和丢弃报文规则的日志.14 3.2 告警配置要求.15 3.2.1 配置对防火墙本身的攻击或内部错误告警.15 3.2.2 配置TCP/IP协议网络层异常报文攻击告警 .16 3.2.3 配置DOS和DDOS攻击告警 .18 3.2.4 配置关键字内容过滤功能告警*.

3、20 3.3 安全策略配置要求.22 3.3.1 访问规则列表最后一条必须是拒绝一切流量.22 3.3.2 配置访问规则应尽可能缩小范围 .23 3.3.3 VPN用户按照访问权限进行分组*.25 3.3.4 配置NAT地址转换*.27 3.3.5 隐藏防火墙字符管理界面的bannner 信息.29 网络安全 页脚内容4 3.3.6 避免从内网主机直接访问外网的规则*.30 3.3.7 关闭非必要服务 .31 3.4 攻击防护配置要求.32 3.4.1 拒绝常见漏洞所对应端口或者服务的访问.32 3.4.2 防火墙各逻辑接口配置开启防源地址欺骗功能.35 第 4章 IP协议安全要求.37 4.

4、1 功能配置.37 4.1.1 使用SNMP V2c或者V3以上的版本对防火墙远程管理 .37 第 5章 其他安全要求.41 5.1 其他安全配置.41 5.1.1 外网口地址关闭对ping包的回应*.41 5.1.2 对防火墙的管理地址做源地址限制.42 第 6章 评审与修订.44 网络安全 页脚内容0 第1章 概述 1.1 目的 本文档旨在指导系统管理人员进行H3C防火墙的安全配置。1.2 适用范围 本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。1.3 适用版本 H3C防火墙。1.4 实施 1.5 例外条款 网络安全 页脚内容1 第2章 帐号管理、认证授权安全要求 2.

5、1 帐号管理 2.1.1 用户帐号分配*安全基线项目名称 用户帐号分配安全基线要求项 安全基线编号 SBL-H3C-02-01-01 安全基线项说明 不同等级管理员分配不同帐号，避免帐号混用。检测操作步骤 1.参考配置操作#local-user user1 password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3 service-type telnet#网络安全 页脚内容2 local-user user2 password cipher WFSOR(5:LLK8RI6$HXA!authorization-attri

6、bute level 2 service-type telnet#2.补充操作说明 无。基线符合性判定依据 1.判定条件 用配置中没有的用户名去登录，结果是不能登录。2.检测操作 display current-configuration#local-user user1 password cipher WFSOR(5:LLK8RI6$HXA!authorization-attribute level 3 service-type telnet 网络安全 页脚内容3#local-user user2 password cipher WFSOR(5:LLK8RI6$HXA!authorizati

7、on-attribute level 2 service-type telnet#3.补充说明 无。备注 有些防火墙系统本身就携带三种不同权限的帐号，需要手工检查。2.1.2 删除无关的帐号*安全基线项目名称 无关的帐号安全基线要求项 安全基线编号 SBL-H3C-02-01-02 安全基线项说明 应删除或锁定与设备运行、维护等工作无关的帐号。网络安全 页脚内容4 检测操作步骤 1.参考配置操作 H3C undo local-user user1 2.补充操作说明 无 基线符合性判定依据 1.判定条件 配置中用户信息被删除。2.检测操作 display current-configuratio

8、n 3.补充说明 无。备注 建议手工抽查系统，无关账户更多属于管理层面，需要人为确认。2.1.3 帐户登录超时*安全基线项目名称 帐户登录超时安全基线要求项 安全基线SBL-H3C-02-01-03 网络安全 页脚内容5 编号 安全基线项说明 配置定时帐户自动登出，空闲 5分钟自动登出。登出后用户需再次登录才能进入系统。检测操作步骤 1、参考配置操作 设置超时时间为 5分钟 2、补充说明 无。基线符合性判定依据 1.判定条件 在超出设定时间后，用户自动登出设备。2.参考检测操作 3.补充说明 无。备注 需要手工检查。网络安全 页脚内容6 2.1.4 帐户密码错误自动锁定*安全基线项目名称 帐户

9、密码错误自动锁定安全基线要求项 安全基线编号 SBL-H3C-02-01-04 安全基线项说明 在 10次尝试登录失败后锁定帐户，不允许登录。解锁时间设置为 300秒 检测操作步骤 1、参考配置操作 设置尝试失败锁定次数为 10次 2、补充说明 无。基线符合性判定依据 1.判定条件 超出重试次数后帐号锁定，不允许登录，解锁时间到达后可以登录。2.参考检测操作 网络安全 页脚内容7 3.补充说明 无。备注 注意！此项设置会影响性能，建议设置后对访问此设备做源地址做限制。需要手工检查。2.2 口令 2.2.1 口令复杂度要求 安全基线项目名称 口令复杂度要求安全基线要求项 安全基线编号 SBL-H

10、3C-02-02-01 安全基线项说明 防火墙管理员帐号口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且 5 次以内不得设置相同的口令。密码应至少每 90天进行更换。检测操作步骤 1.参考配置操作 H3Clocal-user admin 网络安全 页脚内容8 H3C-luser-huaweiservice-type telnet level 3 H3C-luser-huaweipassword cipher Aq1!Sw2 2.补充操作说明 无 基线符合性判定依据 1.判定条件 该级别的密码设置由管理员进行密码的生成，设备本身无此强制功能。2.检测操作 此项无法通过

11、配置实现，建议通过管理实现。3.补充说明 无。备注 2.3 授权 2.3.1 远程维护的设备使用加密协议 安全基线远程维护使用加密协议安全基线要求项 网络安全 页脚内容9 项目名称 安全基线编号 SBL-H3C-02-03-01 安全基线项说明 对于防火墙远程管理的配置，必须是基于加密的协议。如 SSH 或者WEB SSL，如果只允许从防火墙内部进行管理，应该限定管理 IP。检测操作步骤 1.参考配置操作 登陆设备 web配置页面，在“设备管理”-“服务管理”下选择 ssh、https方式登陆设备。配置针对 SSH登陆用户 IP地址的限定：#acl number 3000 rule 0 per

12、mit ip source ip addresswildcard 网络安全 页脚内容10#user-interface vty 0 4 acl 3000 inbound protocol inbound ssh#2.补充操作说明 无 基线符合性判定依据 1.判定条件 查看防火墙是否启用了 ssh、https 服务；针对 SSH 登陆用户进行 IP地址限定。2.检测操作 通过 ssh、https方式登陆设备进行检测。3.补充说明 无。备注 网络安全 页脚内容11 第3章 日志及配置安全要求 3.1 日志安全 3.1.1 记录用户对设备的操作 安全基线项目名称 用户对设备记录安全基线要求项 安全基

13、线编号 SBL-H3C-03-01-01 安全基线项说明 配置记录防火墙管理员操作日志，如管理员登录，修改管理员组操作，帐号解锁等信息。配置防火墙将相关的操作日志送往操作日志审计系统或者其他相关的安全管控系统。检测操作步骤 1参考配置操作 H3C info-center enable 2补充操作说明 设备默认开启日志功能，记录在设备的logbuffer中。基线符合性判定依1.判定条件 检查配置中的 logbuffer相关配置。网络安全 页脚内容12 据 2.检测操作 display logbuffer 备注 3.1.2 开启记录 NAT日志*安全基线项目名称 开启记录 NAT日志安全基线要求项

14、 安全基线编号 SBL-H3C-03-01-02 安全基线项说明 开启记录 NAT日志，记录转换前后 IP地址的对应关系。检测操作步骤 1参考配置操作 H3C userlog flow export version 3 H3C userlog flow export host log server ip address log server port 2补充操作说明 防火墙自身不记录 NAT 日志信息，需要配置专门的日志服务器，防网络安全 页脚内容13 火墙将 NAT日志信息发送到专门的日志服务器。基线符合性判定依据 1.判定条件 检查配置中的 NAT日志相关配置；2.检测操作 display

15、 userlog export 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.3 开启记录 VPN日志*安全基线项目名称 开启记录 VPN日志安全基线要求项 安全基线编号 SBL-H3C-03-01-03 安全基线项说明 开启记录 VPN日志，记录 VPN访问登陆、退出等信息。检测操作步骤 1参考配置操作 H3C info-center enable 网络安全 页脚内容14 2补充操作说明 设备默认会记录 VPN日志，不需要额外配置。基线符合性判定依据 1.判定条件 检查配置中的日志相关配置 2.检测操作 display logbuffer display trap

16、buffer 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.1.4 配置记录拒绝和丢弃报文规则的日志 安全基线项目名称 配置记录拒绝和丢弃报文规则的日志安全基线要求项 安全基线编号 SBL-H3C-03-01-04 安全基线配置防火墙规则，记录防火墙拒绝和丢弃报文的日志。网络安全 页脚内容15 项说明 检测操作步骤 1参考配置操作 设备默认记录，不需要额外配置；2补充操作说明 无 基线符合性判定依据 使用 display trapbuffer检查 备注 3.2 告警配置要求 3.2.1 配置对防火墙本身的攻击或内部错误告警 安全基线项目名称 配置对防火墙本身的攻击或内部

17、错误告警安全基线要求项 安全基线编号 SBL-H3C-03-02-01 安全基线配置告警功能，报告对防火墙本身的攻击或者防火墙的系统内部错网络安全 页脚内容16 项说明 误。检测操作步骤 1参考配置操作 无需配置，设备默认开启；2补充操作说明 基线符合性判定依据 1.判定条件 通过查看设备的 trapbuffer信息；2.检测操作 display trapbuffer 备注 3.2.2 配置 TCP/IP协议网络层异常报文攻击告警 安全基线项目名称 配置 TCP/IP协议网络层异常报文攻击告警安全基线要求项 安全基线编号 SBL-H3C-03-02-02 网络安全 页脚内容17 安全基线项说明

18、 配置告警功能，报告网络流量中对 TCP/IP协议网络层异常报文攻击的相关告警。检测操作步骤 1参考配置操作 登陆防火墙 web配置页面，在“攻击防范”-“报文异常检测”选择所需的针对异常攻击报文的检测。2补充操作说明 无 基线符合性判定依据 1.判定条件 检查防火墙攻击防范配置；2.检测操作 登陆防火墙 web页面，在“攻击防范”-“入侵检测统计”中查看网络安全 页脚内容18 攻击防范的效果；备注 3.2.3 配置 DOS 和 DDOS 攻击告警 安全基线项目名称 配置 DOS和 DDOS攻击防护功能安全基线要求项 安全基线编号 SBL-H3C-03-02-03 安全基线项说明 配置 DOS

19、和 DDOS攻击防护功能。对 DOS和 DDOS攻击告警。维护人员应根据网络环境调整 DDOS的攻击告警的参数。检测操作步骤 1 参考配置操作 登陆防火墙 web配置页面，在“攻击防范”-“流量异常检测”中，网络安全 页脚内容19 选择需要防范的攻击类型。2补充操作说明 基线符合性判定依据 1.判定条件 检查防火墙攻击防范配置；2.检测操作 登陆防火墙 web页面，在“攻击防范”-“入侵检测统计”中查看攻击防范的效果；网络安全 页脚内容20 备注 3.2.4 配置关键字内容过滤功能告警*安全基线项目名称 配置关键字内容过滤功能告警安全基线要求项 安全基线编号 SBL-H3C-03-02-04

20、安全基线项说明 配置关键字内容过滤功能，在 HTTP，SMTP，POP3 等应用协议流量过滤包含有设定的关键字的报文。针对关键字过滤是应用层过滤机制，对系统性能有一定影响。针对 HTTP 协议内容访问的网站关键字段，包含暴力、淫秽、违法等类型。可添加内容库实现。检测操作步骤 1参考配置操作 登陆防火墙 web 配置页面，在“应用控制”-“内容过滤”，根据网络安全 页脚内容21 需求选择关键字、URL主机名、文件名等方式进行过滤。2补充操作说明 基线符合性判定依据 1.判定条件 检查防火墙“应用控制”配置；2.检测操作 登陆防火墙 web页面配置，在“应用控制”-“内容过滤”-“统计信息”中查看

21、过滤功能实施效果。网络安全 页脚内容22 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3 安全策略配置要求 3.3.1 访问规则列表最后一条必须是拒绝一切流量 安全基线项目名称 访问规则列表最后一条必须是拒绝一切流量安全基线要求项 安全基线编号 SBL-H3C-03-03-01 安全基线项说明 防火墙在配置访问规则列表时，最后一条必须是拒绝一切流量。检测操作1参考配置操作 网络安全 页脚内容23 步骤#acl number 3001 rule 0 permit ip destination ip address mask rule 1 deny ip#2补充操作说明

22、无 基线符合性判定依据 1.判定条件 检查配置中的 ACL 设置 2.检测操作 display acl number 3001 备注 3.3.2 配置访问规则应尽可能缩小范围 安全基线项目名称 配置访问规则应尽可能缩小范围安全基线要求项 网络安全 页脚内容24 安全基线编号 SBL-H3C-03-03-02 安全基线项说明 在配置访问规则时，源地址，目的地址，服务或端口的范围必须以实际访问需求为前提，尽可能的缩小范围。禁止源到目的全部允许规则。禁止目的地址及服务全允许规则，禁止全服务访问规则。检测操作步骤 1 参考配置操作 登陆防火墙 web 配置页面，在“防火墙”-“安全策略”-“域间策略”

23、中增加访问规则，需要填写的内容是：源域、目的域、源IP地址、目的 IP地址、服务（访问的协议和端口）、过滤动作（permit or deny）、时间段。2补充操作说明 网络安全 页脚内容25 基线符合性判定依据 1.判定条件 检查防火墙“域间策略”配置，域间策略详细到协议、端口、具体的 IP地址；2.检测操作 无；备注 3.3.3 VPN用户按照访问权限进行分组*安全基线项目名称 VPN用户按照访问权限进行分组安全基线要求项 安全基线编号 SBL-H3C-03-03-03 安全基线项说明 对于 VPN用户，必须按照其访问权限不同而进行分组，并在访问控制规则中对该组的访问权限进行严格限制。检测操

24、作步骤 1参考配置操作#local-user vpnuser 网络安全 页脚内容26 password cipher password service-type ppp authorization-attribute level 0-3 /设定用户的访问权限#domain system /对 VPN用户采用本地验证 authentication ppp local ip pool 1 ip pool address range#l2tp enable /启用 L2TP服务#interface virtual-template 1 /配置虚模板Virtual-Template的相关信息 ip a

25、ddress ipaddress mask ppp authentication-mode chap domain system remote address pool 1#l2tp-group 1 /设置一个 L2TP组，指定接收呼叫的虚拟接口模板 allow l2tp virtual-template 1 网络安全 页脚内容27#2补充操作说明 基线符合性判定依据 1.判定条件 检查配置中用户设置：2.检测操作 使用 display local-user检查 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.4 配置 NAT地址转换*安全基线项目名称 配置 NAT地

26、址转换安全基线要求项 安全基线编号 SBL-H3C-03-03-04 安全基线项说明 配置 NAT地址转换，对互联网隐藏内网主机的实际地址。网络安全 页脚内容28 检测操作步骤 1参考配置操作#acl number 3001 rule 0 permit ip destination 10.4.125.65 0 rule 1 permit ip destination 10.4.125.66 0#interface GigabitEthernet0/0 port link-mode route nat outbound 3001#2补充操作说明 基线符合性判定依据 1.判定条件 配置中有 nat

27、或者 static 的内容 2.检测操作 display nat 网络安全 页脚内容29 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.5 隐藏防火墙字符管理界面的 bannner信息 安全基线项目名称 隐藏防火墙字符管理界面的bannner信息安全基线要求项 安全基线编号 SBL-H3C-03-03-05 安全基线项说明 隐藏防火墙字符管理界面的 bannner信息。检测操作步骤 1参考配置操作 H3C undo copyright-info enable 2补充操作说明 基线符合性判定依据 1.判定条件 登陆设备后，字符管理页面消失；网络安全 页脚内容30 2.

28、检测操作 telnet登陆到设备，字符管理页面消失；备注 3.3.6 避免从内网主机直接访问外网的规则*安全基线项目名称 避免从内网主机直接访问外网的规则安全基线要求项 安全基线编号 SBL-H3C-03-03-06 安全基线项说明 应用代理服务器，将从内网到外网的访问流量通过代理服务器。防火墙只开启代理服务器到外部网络的访问规则，避免在防火墙上配置从内网的主机直接到外网的访问规则。检测操作步骤 1参考配置操作 参考 3.3.2 配置，在防火墙上可以配置代理服务器与外网互访的规则；2补充操作说明 网络安全 页脚内容31 基线符合性判定依据 1.判定条件 检查防火墙“域间策略”，配置了针对代理服

29、务器到外网的访问规则；2.检测操作 备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。3.3.7 关闭非必要服务 安全基线项目名称 关闭非必要服务安全基线要求项 安全基线编号 SBL-H3C-03-03-07 安全基线项说明 防火墙设备必须关闭非必要服务。检测操作步骤 1参考配置操作 登陆防火墙 web配置页面，在“设备管理”-“服务管理”中关闭非必要的服务，比如 http、telnet、ftp等。网络安全 页脚内容32 2补充操作说明 基线符合性判定依据 1.判定条件 检查配置中是否关闭对应服务 2.检测操作 备注 3.4 攻击防护配置要求 3.4.1 拒绝常见漏洞所对应端口

30、或者服务的访问 安全基线拒绝常见漏洞所对应端口或者服务的访问安全基线要求项 网络安全 页脚内容33 项目名称 安全基线编号 SBL-H3C-03-04-01 安全基线项说明 配置访问控制规则，拒绝对防火墙保护的系统中常见漏洞所对应端口或者服务的访问。检测操作步骤 1参考配置操作#acl number 3001 rule 0 deny tcp destination-port eq 135 rule 1 deny tcp destination-port eq 136 rule 2 deny tcp destination-port eq 138 rule 3 deny tcp destinat

31、ion-port eq 4444 rule 4 deny tcp destination-port eq 389 rule 5 deny tcp destination-port eq 445 rule 6 deny tcp destination-port eq 4899 rule 7 deny tcp destination-port eq 6588 网络安全 页脚内容34 rule 8 deny tcp destination-port eq 1978 rule 9 deny tcp destination-port eq 593 rule 10 deny tcp destination

32、-port eq 3389 rule 11 deny tcp destination-port eq 137 rule 12 deny tcp destination-port eq talk rule 13 deny tcp destination-port eq 139 rule 14 deny tcp destination-port eq 2745 rule 15 deny tcp destination-port eq 1080 rule 16 deny tcp destination-port eq 6129 rule 17 deny tcp destination-port eq

33、 3127 rule 18 deny tcp destination-port eq 3128 rule 19 deny tcp destination-port eq 5800 rule 20 deny tcp destination-port eq 6667 rule 21 deny tcp destination-port eq 1025 rule 22 deny tcp destination-port eq 5554 rule 23 deny tcp destination-port eq 1068 rule 24 deny tcp destination-port eq 9995

34、网络安全 页脚内容35 rule 25 deny tcp destination-port eq 539 rule 26 deny udp destination-port eq 539 rule 27 deny udp destination-port eq 1434 rule 28 deny udp destination-port eq 593 rule 29 permit ip#2补充操作说明 应根据实际情况调整。基线符合性判定依据 1.判定条件 检查配置文件 2.检测操作 使用命令 display acl number 3001 备注 3.4.2 防火墙各逻辑接口配置开启防源地址欺骗

35、功能 安全基线防火墙各逻辑接口配置开启防源地址欺骗功能安全基线要求项 网络安全 页脚内容36 项目名称 安全基线编号 SBL-H3C-03-04-02 安全基线项说明 对于防火墙各逻辑接口配置开启防源地址欺骗功能。检测操作步骤 1参考配置操作 登陆防火墙 web配置页面，在“攻击防范”-“URPF检查”中使能防源地址欺骗功能。2补充操作说明 基线符合性判定依1.判定条件 网络安全 页脚内容37 据 检查配置中是否有 URPF功能；2.检测操作 备注 第4章 IP协议安全要求 4.1 功能配置 4.1.1 使用 SNMP V2c 或者 V3以上的版本对防火墙远程管理 安全基线项目名称 使用 SN

36、MPV2C 或者 V3 以上的版本对防火墙远程管理安全基线要求项 安全基线编号 SBL-H3C-04-01-01 安全基线项说明 使用 SNMP V3以上的版本对防火墙做远程管理。去除 SNMP默认的共同体名(Community Name)和用户名。并且不同的用户名和共同体明对应不同的权限（只读或者读写）。检测操作1参考配置操作 网络安全 页脚内容38 步骤#snmp-agent /打开SNMP功能 snmp-agent community read string /配置只读团体字 snmp-agent community write string /配置读写团体字 snmp-agent sy

37、s-info version v2c|v3 /配置设备支持SNMP版本 snmp-agent target-host trap address udp-domain ip address params securityname string /配置trap信息发送的目的地址 snmp-agent trap source ip address /配置trap信息发送的源地址#2补充操作说明 基线符合性判定依据 1.判定条件 检查配置中 snmp相关内容 2.检测操作 使用 display snmp statistics 网络安全 页脚内容39 备注 网络安全 页脚内容40 网络安全 页脚内容41

38、 第5章 其他安全要求 5.1 其他安全配置 5.1.1 外网口地址关闭对 ping包的回应*安全基线项目名称 外网口地址关闭对 ping包的回应安全基线要求项 安全基线编号 SBL-H3C-05-01-01 安全基线项说明 对于外网口地址，关闭对 ping 包的回应。建议通过 VPN 隧道获得内网地址，从内网口进行远程管理。如网管系统需要开放，可不考虑。检测操作步骤 1参考配置操作 在防火墙“域间策略”中增加一条禁止对外网口地址ping的策略；2补充操作说明 基线符合性判定依1.判定条件 检查安全策略中是否有禁止对外网口地址 ping的策略；网络安全 页脚内容42 据 2.检测操作 ping

39、外网口地址，不能 ping通；备注 根据应用场景的不同，如部署场景需开启此功能，则强制要求此项。5.1.2 对防火墙的管理地址做源地址限制 安全基线项目名称 对防火墙的管理地址做源地址限制安全基线要求项 安全基线编号 SBL-H3C-05-01-02 安全基线项说明 对防火墙的管理地址做源地址限制。可以使用防火墙自身的限定功能，也可以在防火墙管理口的接入设备上设置 ACL 检测操作步骤 1参考配置操作#acl number 3002 rule 0 permit ip source 192.168.0.20 0 网络安全 页脚内容43#user-interface vty 0 4 acl 3002 inbound protocol inbound ssh|telnet#2补充操作说明 无 基线符合性判定依据 1.判定条件 检查用户界面视图下配置了访问控制列表，限定通过 ssh 或 telnet访问设备的 IP地址；2.检测操作 使用 display current-configuration 备注 网络安全 页脚内容44 第6章 评审与修订