设备安全配置指引基线

网络设备基线配置 2009-07-24 发布2009-07-24 实施 中国联通公司 发 布 中国联通内网华为路由/交换设备安全配置指南 目目录录 1 2 范围.2 安全配置要求.2 2.1password 的加密.2 2.2Super 密码的使用 .2 2.3用户口令设置.2 2.4用户权限设置.2 2.5VTY 的数量限制3 2.6VTY 的访问限制3 2.7禁用 Telnet方式访问系统.3 2.8SSH 的使用 3 2.9SNMP 服务设置.4 2.10SNMP 服务的共同体字符串设置.4 2.11SNMP 服务的访问控制设置错误错误! !未定义书签。未定义书签。 2.12登录超时设置.4 2.13禁用不使用的端口.5 2.14禁用 FTP 服务5 2.15日志审计.5 I 人生有几件绝对不能失去的东西人生有几件绝对不能失去的东西: :自制的力量，冷静的头脑，希望和信心自制的力量，冷静的头脑，希望和信心 2 1范围 本文档规定了财务公司范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准， 本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。 2安全配置要求 2.1 password 的加密 配置项名称配置项名称启用 password 加密功能 查看是否进行了如下配置： 操作步骤操作步骤 Password ******* cipher 安全建议安全建议 备备注注 建议对 password 进行加密，配置：Password ******* cipher Password 的加密（密文） 2.2 Super 密码的使用 配置项名称配置项名称super 密码的使用 查看是否进行了如下配置： 操作步骤操作步骤 Super password ****** cipher 建议设置 super 的密码 用户登录设备以后， 为了获得设备设置的权限必须进入super 模式， 如果未设置， 安全建议安全建议 则登录设备的用户直接就获得了配置设备的权限。 命令为：Super Password ******* cipher 备备注注Super 加密密文 2.3 用户口令设置 配置项名称配置项名称用户口令设置 询问管理员是否存在如下类似的简单用户密码配置，比如： 操作步骤操作步骤 Test、admin、root1234 检查用户口令的设置情况，检查是否存在简单密码。要求密码长度最少为8 位， 安全建议安全建议包含大小写字母、数字和特殊符号，密码变更周期。如果满足，则符合安全要求； 如果不满足，则低于安全要求。 备备注注 2.4 用户权限设置 配置项名称配置项名称用户权限设置 操作步骤操作步骤查看用户的权限设置。 部分文档来自网络收集，如有侵权，请联系作者删除 2 人生有几件绝对不能失去的东西人生有几件绝对不能失去的东西: :自制的力量，冷静的头脑，希望和信心自制的力量，冷静的头脑，希望和信心 service-type lan-access service-type telnet level 1 service-type ftp 安全建议安全建议 备备注注 本着最小化的原则， 应该只给用户赋予最小的权限， 其他权限应该在需要时开启。 3 2.5 VTY 的数量限制 配置项名称配置项名称VTY 数量限制 查看是否作了如下的类似配置： 操作步骤操作步骤user-interface vty 0 4 建议为 line vty 0 1 安全建议安全建议 备备注注 建议对 VTY 的数量进行合理的限制。设置为0 1 即可。 2.6 VTY 的访问限制 配置项名称配置项名称VTY 的访问限制 查看是否作了如下的类似配置： access-list 12 permit **** **** 操作步骤操作步骤 line vty 0 1 acl class 12 Inbound 安全建议安全建议 备备注注 建议对 VTY 的访问源地址进行合理的限制 2.7 禁用 Telnet 方式访问系统 配置项名称配置项名称禁用 telent 方式访问系统 查看配置文件中是否存在 Switch(config)# line vty 0 4 Switch(config-line)# login in 操作步骤操作步骤 Switch(config-line)# password Switch(config-line)# exit 如果存在，则低于安全要求；如果不存在，则符合安全要求。 安全建议安全建议 备备注注 禁用 Telnet 方式远程访问系统。 2.8 SSH 的使用 部分文档来自网络收集，如有侵权，请联系作者删除 3 人生有几件绝对不能失去的东西人生有几件绝对不能失去的东西: :自制的力量，冷静的头脑，希望和信心自制的力量，冷静的头脑，希望和信心 配置项名称配置项名称检查是否采用 SSH 登录方式 执行：dis cu 操作步骤操作步骤是否存在 SSH 配置 如果存在，则符合安全要求；如果不存在，则低于安全要求。 安全建议安全建议 建议如下配置，使用 SSH 替代 Telent 的访问方式： 备备注注 4 2.9 SNMP 服务设置 配置项名称配置项名称查看是否开启了 SNMP 服务 查看配置中关于 SNMP 服务的设置情况： 操作步骤操作步骤 [Quidway] snmp-agent trap enable 如果用户不采用 SNMP 方式管理网络设备，则应关闭SNMP 服务。 安全建议安全建议 命令为：[Quidway] undo snmp-agent 备备注注简单网络管理协议的使用 2.10 SNMP 服务的共同体字符串设置 配置项名称配置项名称检查 SNMP 服务的共同体字符串设置 查看配置中关于 SNMP 服务的共同体字符串设置情况： 操作步骤操作步骤[Quidway] snmp-agent community read ****** [Quidway] snmp-agent community write ****** 设置复杂一些的字符串： 安全建议安全建议 命令为：[Quidway] # snmp-server community read ****** 在开启了 SNMP 服务的前提下，检查SNMP 服务的共同体字符串设置情况，应该取 备备注注消使用默认的 public 和 private， 如果不使用 snmp 配置设备， 则不要设置 write 的共同体字符串。 2.11 登录超时设置 配置项名称配置项名称查看是否进行了登录超时设置 查看是否对 VTY/CON/AUX 等作了如下类似配置： 操作步骤操作步骤 idle-timeout 0 项目描述项目描述查看是否进行了登录超时设置(缺省设置为 10 分钟) 登录超时设置(缺省设置为 10 分钟) 安全建议安全建议建议对 VTY/CON/AUX 等做登录超时设置，配置如下： 以配置 AUX 的 c-timeout 为 2 分 15 秒为例： 部分文档来自网络收集，如有侵权，请联系作者删除 4 人生有几件绝对不能失去的东西人生有几件绝对不能失去的东西: :自制的力量，冷静的头脑，希望和信心自制的力量，冷静的头脑，希望和信心 [Quidway-ui-aux0]