XX银行H3C交换机安全基线配置.doc

XX 银行银行 H3C 交换机系列安全配置基线交换机系列安全配置基线 V1 0 目 录 1 适用声明 2 2 访问控制 3 2 1 远程连接源地址限制 21 3 安全审计 3 3 1 开启设备的日志功能 6 4 入侵防范 7 4 1 配置防 ARP 欺骗攻击 7 4 2 配置常见的漏洞攻击和病毒过滤功能 4 4 3 配置 ACL 规则 3 5 网络设备防护 8 5 1 限制管理员远程直接登录 8 5 2 连接空闲时间设定 9 5 3 远程登陆加密传输 10 5 4 配置 CONSOLE 口密码保护功能和连接超时 11 5 5 按照用户分配账号 12 5 6 删除设备中无用的闲置账号 13 5 7 修改设备上存在的弱口令 13 5 8 配置和认证系统联动功能 14 配置和认证系统联动功能 14 5 9 配置 NTP 服务 15 5 10 修改 SNMP 的 COMMUNITY 默认通行字 16 5 11 使用 SNMPV2 或以上版本 17 5 12 设置 SNMP 的访问安全限制 18 5 13 系统应关闭未使用的 SNMP 协议及未使用 RW 权限 19 5 14 关闭不必要的服务 19 5 15 配置防源地址欺骗攻击 20 5 16 禁止设备未使用或者空闲的端口 21 1 适用声明 适用人员 IT 部的网络维护人员 安全评估人员 安全审计人员 适用版本 H3C 同系列的网络交换机 适用等保一级 项 适用等保二级 项 适用等保三级 项 适用等保四级 项 参考依据 H3C 交换机配置手册 GB T 20270 2006 信息安全技术 网络基础安全技术要求 GB T 20011 2005 信息安全技术 路由器安全评估准则 JR T 0068 2012 网上银行系统信息安全通用规范 GB T 22239 2008 信息安全技术 信息系统安全等级保护基本要求 GB T 25070 2010 信息安全技术 信息系统等级保护安全设计技术要 求 JR T 0071 2012 金融行业信息系统信息安全等级保护实施指引 2 访问控制 2 1 配置 ACL 规则 配置 检查项 配置ACL规则 适用等保级别 等保一至四级 检查步骤 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 ACL 匹配路由是否按照业务需求设置 H3C dis cur in acl H3C dis this acl 配置步骤 设备应根据业务需要 配置基于源 IP 地址 通信协议 TCP 或 UDP 目的 IP 地址 源端口 目的端口的流量过滤 过滤所有和业务不相关的流量 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 配置 ACL 列表 H3C acl number 2000 H3C acl basic 2000 rule tcp source 1 1 1 1 0 0 0 0 destination 2 2 2 2 0 0 0 0 4 配置流分类 定义基于 ACL 的匹配规则 H3C traffic classifier tc1 H3C classifier tc1 if match acl 2000 5 配置流行为 H3C traffic behavior tb1 H3C behavior tb1 deny 6 定义流策略 将流分类与流行为关联 H3C traffic policy tp1 H3C trafficpolicy tp1 classifier tc1 behavior tb1 7 应用流策略到接口 H3C interface gigabitethernet 0 0 1 H3C GigabitEthernet0 0 1 traffic policy tp1 inbound 备注 2 2 配置常见的漏洞攻击和病毒过滤功能 配置 检查项 配置常见的漏洞攻击和病毒过滤功能 适用等保级别 检查步骤 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看ACL中是否匹配漏洞攻击和病毒攻击 H3C dis current configuration in acl 配置步骤 设备应配置 ACL 通过 ACL 列表来过滤一些常见的漏洞攻击和病毒攻击 4 进入用户视图 5 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 6 配置 ACL 列表 H3C acl number 2000 H3C acl basic 2000 rule tcp source 1 1 1 1 0 0 0 0 destination 2 2 2 2 0 0 0 0 source port eq ftp data 7 配置流分类 定义基于 ACL 的匹配规则 H3C traffic classifier tc1 H3C classifier tc1 if match acl 2000 8 配置流行为 H3C traffic behavior tb1 H3C behavior tb1 deny 9 定义流策略 将流分类与流行为关联 H3C traffic policy tp1 H3C trafficpolicy tp1 classifier tc1 behavior tb1 10 应用流策略到接口 H3C interface gigabitethernet 0 0 1 H3C GigabitEthernet0 0 1 traffic policy tp1 inbound 备注 3 安全审计 3 1 开启设备的日志功能 配置 检查项 配置设备的日志功能 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看日志功能是否按照需求配置 H3C dis cur in info center 配置步骤 要求相关安全审计信息应收集设备登录信息日志和设备事件信息日志 同时 提供 SYSLOG 服务器的设置方式 所有的日志信息可以均可以远程存储到 日志服务器 并且必须保证日志服务器的安全性 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 开启日志功能 H3C info center enable 4 配置日志信息输出到控制台 用户可以在控制台上查看到日志信息 了 解到设备的运行情况 H3C info center console channel 0 5 配置日志信息输出到日志缓冲区 H3C info center logbuffer channel 4 6 配置日志信息输出到日志服务器 H3C info center loghost 1 1 1 1 备注 4 入侵防范 4 1 配置防 ARP 欺骗攻击 配置 检查项 配置防ARP欺骗攻击 适用等保级别 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 ARP 地址欺骗 H3C dis current configuration in anti attack 配置步骤 配置设备的防 ARP 欺骗攻击功能 可以有效的减少 ARP 攻击对网络造成 的影响 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 配置防止 ARP 地址欺骗 H3C arp anti attack entry check fixed mac enable 适用于静态配置 IP 地址 但网络存在冗余链路的情况 当链路切换时 ARP 表项中的接口 信息可以快速改变 H3C arp anti attack entry check fixed all enable 适用于静态配置 IP 地址 网络没有冗余链路 同一 IP 地址用户不会从不同接口接入 S5300 的 情况 H3C arp anti attack entry check send mac enable 适用于动态分配 IP 地址 有冗余链路的网络 4 配置防止 ARP 网关冲突 H3C arp anti attack gateway duplicate enable 备注 5 网络设备防护 5 1 限制管理员远程直接登录 配置 检查项 限制具备管理员权限的用户远程直接登录 适用等保级别 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看是否存在高级别权限密码 H3C dis cur in acl 4 查看是否对于 user 用户密码进行配置 H3C dis cur in local user 配置步骤 远程管理员应先以普通权限用户登录后 再切换到管理员权限执行相应操作 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 设置用户由低级别权限切换到高级别权限的密码 H3C super password level 3 cipher anbang 123 4 进入 aaa 视图 H3C aaa 5 配置具备远程登陆用户 user1 的权限信息 配置用户 user1 权限等级为 Level 1 具有 telnet 服务 H3C aaa local user user1 password cipher anbang 1234 H3C aaa local user user1 service type telnet H3C aaa local user user1 level 1 6 配置远程登陆用户的认证方式为 aaa 认证 H3C user interface vty0 4 H3C ui vty0 4 authentication mode aaa 备注 5 2 连接空闲时间设定 配置 检查项 设置用户登录设备的空闲时间 适用等保级别 等保一至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 AAA 下是否有相关的用户口令配置 H3C dis cur in aaa 配置步骤 用户登录交换机后 如果在设定的时间内没有任何操作 则断开连接 用户 如果需要继续操作 则需要重新输入口令 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 进入 aaa 视图 配置用户 user1 的超时时间为 5 分钟 H3C aaa H3C aaa local user user1 password cipher anbang 1234 H3C aaa local user user1 service type telnet H3C aaa local user user1 level 1 H3C aaa local user user1 idle timeout 5 备注 5 3 远程登陆加密传输 配置 检查项 远程登陆加密传输 适用等保级别 等保一至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看相关 SSH 配置 H3C dis cur in ssh 配置步骤 如果通过远程对交换机进行管理维护 特别是通过互联网以及不安全的公共 网络 设备应配置使用 SSH 加密协议 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 生成本地密钥对 H3C rsa local key pair create 4 创建 ssh 用户和密码 H3C user interface vty 0 4 H3C ui vty0 4 authentication mode aaa H3C ui vty0 4 protocol inbound ssh H3C ui vty0 4 ssh user abc authentication type password H3C stelnet server enable H3C ssh user abc service type stelnet H3C aaa H3C aaa local user abc password simple abc H3C aaa local user abc service type ssh 5 使能 stelnet 服务 H3C stelnet server enable 备注 5 4 配置 console 口密码保护功能和连接超时 配置 检查项 设置用户通过console 口登录交换机时的密码 适用等保级别 等保一至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看是否存在对 CONSOLE 口的口令配置 H3C dis cur in user interface 配置步骤 用户通过 console 口登录交换机时 需要输入密码 并且用户登录交换机后 如果在设定的时间内没有任何操作 则断开连接 用户如果需要继续操作 则需要重新输入口令 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 配置登录 console 口时的口令和超时时间 H3C user interface console 0 H3C ui console0 authentication mode password H3C ui console0 set authentication password cipher anbang 123 H3C ui console0 idle timeout 5 备注 5 5 按照用户分配账号 配置 检查项 按照用户分配账号 适用等保级别 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看是否对于不同用户配置权限信息 H3C dis cur in local user 配置步骤 避免不同用户间共享账号 避免用户账号和设备间通信使用的账号共享 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 进入 aaa 视图 H3C aaa 4 为不同的用户配置不同的权限信息 配置用户 user1 具有 telnet 权限 user2 具有 ftp 权限 H3C aaa local user user1 password cipher anbang 1234 H3C aaa local user user2 password cipher anbang 1234 H3C aaa local user user1 service type telnet H3C aaa local user user2 service type ftp H3C aaa local user user1 level 1 H3C aaa local user user2 level 1 备注 5 6 删除设备中无用的闲置账号 配置 检查项 删除设备中无用的闲置账号 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看设备中是否存在限制的用户账号和信息 H3C dis cur in local user 配置步骤 定期检查设备账号配置 删除与设备运行 维护等无关的账号 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 进入 aaa 视图 H3C aaa 4 删除设备中无用的账号 H3C aaa undo local user user1 备注 5 7 修改设备上存在的弱口令 配置 检查项 修改设备上存在的弱口令 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看用户的密码信息 H3C dis cur in local user 配置步骤 对于采用静态口令认证技术的设备 口令长度至少 8 位 并包括数字 小写 字母 大写字母和特殊符号 4 类中至少 2 类 且用户口令加密存储 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 进入 aaa 视图 配置用户 user1 的口令 并且口令加密存储 H3C aaa H3C aaa local user user1 password cipher anbang 1234 H3C aaa local user user1 service type telnet H3C aaa local user user1 level 1 备注 5 8 配置和认证系统联动功能 配置 检查项 配置和认证系统联动功能 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看是否配置了认证服务系统 H3C dis cur in radius server 配置步骤 设备通过相关参数配置 与认证系统联动 满足帐号 口令和授权的强制要 求 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 配置 RADIUS 服务器模板 test H3C radius server template test 4 配置 RADIUS 认证服务器的 IP 地址 端口 H3C radius test radius server authentication 1 1 1 1 1812 5 配置 RADIUS 服务器密钥 重传次数 H3C radius test radius server shared key cipher hello H3C radius test radius server retransmit 2 6 配置认证方案 1 认证模式为先 RADIUS 如果没有响应 则不认证 H3C aaa H3C aaa authentication scheme 1 H3C aaa authentication mode radius none 7 配置 ab 域 在域下应用认证方案 1 RADIUS 模板 test H3C aaa domain ab H3C aaa domain ab authentication scheme 1 H3C aaa domain ab radius server test 备注 5 9 配置 NTP 服务 配置 检查项 配置NTP服务 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 NTP 相关配置是否正确 H3C dis cur in ntp 配置步骤 开启 NTP 服务 保证日志功能记录的时间的准确性 同时交换机和 NTP SERVER 之间要开启认证功能 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 在交换机上使能 NTP 功能 配置验证密钥并声明该密钥可信 H3C ntp service authentication enable H3C ntp service authentication keyid 1 authentication mode md5 Hello H3C ntp service reliable authentication keyid 1 4 配置 NTP 服务器 并使用已配置的验证密钥 H3C ntp service unicast server 2 2 2 2 authentication keyid 1 备注 5 10 修改 SNMP 的 community 默认通行字 配置 检查项 修改SNMP的community默认通行字 通行字应符合口令强度要求 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 COMMUNITY 是否存在默认通行字 H3C dis cur in acl 配置步骤 应修改 SNMP 的 Community 默认通行字 通行字应符合口令强度要求 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 修改 SNMP 的默认通行字 H3C snmp agent community read 1234 abcd H3C snmp agent community write 1234 abcd 备注 5 11 使用 SNMPV2 或以上版本 配置 检查项 使用SNMPV2或以上版本 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 SNMP 的运行版本 H3C dis cur in snmp agent 配置步骤 应配置 SNMP 使用 SNMPv2 或者以上版本 加强安全性 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 配置 SNMP 版本 H3C snmp agent sys info version v3 备注 5 12 设置 SNMP 的访问安全限制 配置 检查项 设置SNMP的访问安全限制 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 SNMP 的访问安全限制 H3C dis cur in snmp agent 配置步骤 设置 SNMP 访问安全限制 只允许特定主机通过 SNMP 访问网络设备 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 配置可以访问交换机的 ACL 列表 H3C acl 2001 H3C acl basic 2001 rule 5 permit source 1 1 1 2 0 0 0 0 4 应用 ACL 到 SNMP 配置 H3C snmp agent community write 1234 abcd acl 2001 H3C snmp agent community read 1234 abcd acl 2001 备注 5 13 系统应关闭未使用的 SNMP 协议及未使用 RW 权限 配置 检查项 关闭未使用的SNMP协议及未使用RW 权限 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 SNMP 协议的 RW 相关配置 H3C dis cur in RW 配置步骤 如不需要提供 SNMP 服务的 要求禁止 SNMP 协议服务 注意在禁止时删 除一些 SNMP 服务的默认配置 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 配置可以访问交换机的 ACL 列表 H3C Undo snmp enable H3C undo snmp agent community RWuser 备注 5 14 关闭不必要的服务 配置 检查项 关闭不必要的服务 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看存在哪些协议如 FTP HTTP DHCP 等 H3C dis cur 配置步骤 关闭网络设备不必要的服务 如 FTP HTTP DHCP SERVER 等 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 关闭设备的 ftp 服务 H3C undo ftp server 备注 5 15 配置防源地址欺骗攻击 配置 检查项 配置防源地址欺骗攻击 适用等保级别 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看是否含有 URPF 的相关配置 H3C dis cur in urpf 配置步骤 配置设备使用单播逆向路径转发 URPF 技术可以解决源地址欺骗造成的 网络安全问题 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 在接口上使能 URPF 功能 H3C interface gigabitethernet 1 0 0 H3C GigabitEthernet1 0 0 ip urpf strict 备注 5 16 禁止设备未使用或者空闲的端口 配置 检查项 禁止设备未使用或者空闲的端口 适用等保级别 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看没有进行任何相关配置的接口是否关闭 H3C dis cur 配置步骤 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 在不使用的端口下启用如下命令 H3C interface gigabitethernet 1 0 1 H3C GigabitEthernet1 0 1 shutdown 备注 5 17 远程连接源地址限制 配置 检查项 远程登陆源地址限制 适用等保级别 等保二至四级 检查步骤 1 进入用户视图 2 用户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 查看 ACL 是否正确匹配到需要控制的路由 H3C dis cur in acl 配置步骤 对登陆设备的源 IP 地址进行过滤 防止某些获得登录密码的用户从非法的 地址登录到设备上 1 进入用户视图 2 由户视图切换到系统视图 system view Enter system view return user view with Ctrl Z H3C 3 创建 acl 规则 配置只允许特定源 IP 地址的 acl H3C acl 3001 H3C acl adv 3001 rule permit ip source 100 100 1 1 0 H3C acl adv 3001 rule permit ip source 100 100 1 2 0 4 在用户接口视图下应用 acl 规则 H3C user interface vty 0 4 H3C ui vty0 4 acl 3001 inbound H3C ui vty0 4 quit 备注