Huawei路由安全配置基线解析Word文档下载推荐.docx
- 文档编号:14649037
- 上传时间:2022-10-23
- 格式:DOCX
- 页数:30
- 大小:23.63KB
Huawei路由安全配置基线解析Word文档下载推荐.docx
《Huawei路由安全配置基线解析Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《Huawei路由安全配置基线解析Word文档下载推荐.docx(30页珍藏版)》请在冰豆网上搜索。
1.2目的5
1.3适用范围5
1.4适用版本5
1.5实施5
1.6例外条款5
第2章华为路由其设备配置安全要求6
2.1帐号管理6
2.1.1用户帐号分配*6
2.1.2删除无关的帐号*7
2.1.3限制具备管理员权限的用户远程登录7
2.2口令8
2.2.1口令复杂度8
2.2.2静态口令加密保存9
2.2.3根据用户的业务需要配置其所需最小权限10
2.2.4帐号、口令和授权的强制要求11
第3章日志配置13
3.1日志配置13
3.1.1记录用户操作13
3.1.2记录设备的安全事件14
3.1.3远程日志功能14
3.1.4保证日志功能记录的时间准确性15
3.1.5日志记录内容要求16
第4章IP协议17
4.1IP协议17
4.1.1远程维护的设备配置加密协议17
4.1.2动态路由协议口令要求配置MD5加密*18
4.1.3制定路由策略19
4.1.4关闭未使用的SNMP协议及未使用RW权限20
4.1.5Community默认通行字应符合口令强度要求20
4.1.6配置SNMPV2或以上版本21
4.1.7SNMP访问安全限制22
4.1.8ACL配置22
4.1.9配置URPF24
4.1.10打开LDP协议认证功能*24
第5章其他配置26
5.1其他配置26
5.1.1关闭未使用的端口*26
5.1.2配置定时账户自动登出26
5.1.3配置consol口密码保护功能27
5.1.4关闭网络设备不必要的服务*28
5.1.5系统远程管理服务只允许特定地址访问28
5.1.6端口与实际应用相符*29
5.1.7防ARP欺骗攻击30
第6章评审与修订31
第1章概述
1.1目的
1.2目的
本文档旨在指导系统管理人员进行Huawei路由器的安全配置。
1.3适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.4适用版本
Huawei路由器。
1.5实施
1.6例外条款
第2章华为路由其设备配置安全要求
2.1帐号管理
2.1.1用户帐号分配*
安全基线项目名称
用户帐号分配安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-01-01
安全基线项说明
应按照用户分配帐号。
避免不同用户间共享帐号。
避免用户帐号和设备间通信使用的帐号共享。
检测操作步骤
1、参考配置操作
aaa
local-useruser1passwordcipherPWD1
local-useruser1service-typetelnet
local-useruser2passwordcipherPWD2
local-useruser2service-typeftp
#
user-interfacevty04
authentication-modeaaa
2、补充说明
无。
基线符合性判定依据
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、参考检测操作
displaycurrent-configurationconfigurationaaa)
3、补充说明
备注
需要手工检查,由管理员确认帐号分配关系。
2.1.2删除无关的帐号*
工作无关的帐号安全基线要求项
SBL-HuaweiRouter-02-01-02
应删除与设备运行、维护等工作无关的帐号
undolocal-usertest
配置中用户信息被删除。
displaycurrent-configurationconfigurationaaa
需要手工检查,由管理员判断是否存在无关帐号
2.1.3限制具备管理员权限的用户远程登录
限制具备管理员权限的用户远程登录安全基线要求项
SBL-HuaweiRouter-02-01-03
限制具备管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限帐号后执行相应操作。
superpasswordlevel3ciphersuperPWD
local-useruser1level2
authentication-modeaaa
用户用相应的操作权限登录设备后,不具有最高权限级别3,这时有些操作不能做,例如修改aaa的配置。
这时如果想使用管理员权限必须提高用户级别。
displaycurrent-configurationconfigurationaaa
2.2口令
2.2.1口令复杂度
静态口令长度安全基线要求项
SBL-HuaweiRouter-02-02-01
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
local-useruser1passwordcipherNumABC%$
查看用户的口令长度是否至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
对于加密的口令,通过登陆检测。
2.2.2静态口令加密保存
静态口令加密保存安全基线要求项
SBL-HuaweiRouter-02-02-02
静态口令必须使用不可逆加密算法加密后保存于配置文件中。
superpasswordlevel3cipherN`C55QK<
`=/Q=^Q`MAF4<
1!
!
local-user8011passwordcipherN`C55QK<
1.判定条件
用户的加密口令在buildrun中显示的密文。
2.参考检测操作
3.补充说明
2.2.3根据用户的业务需要配置其所需最小权限
根据用户的业务需要配置其所需最小权限安全基线要求项
SBL-HuaweiRouter-02-02-03
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
local-user8011passwordcipher8011
local-user8011service-typetelnet
local-user8011level0
查看所有用户的级别都配置为其所需的最小权限。
1.参考检测操作
2.补充说明
2.2.4帐号、口令和授权的强制要求
帐号、口令和授权的强制要求安全基线要求项
SBL-HuaweiRouter-02-02-04
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。
#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。
#配置RADIUS服务器模板。
[Router]radius-servertemplateshiva
#配置RADIUS认证服务器IP地址和端口。
[Router-radius-shiva]radius-serverauthentication129.7.66.661812
#配置RADIUS服务器密钥、重传次数。
[Router-radius-shiva]radius-servershared-keyit-is-my-secret
[Router-radius-shiva]radius-serverretransmit2
[Router-radius-shiva]quit
#进入AAA视图。
[Router]aaa
#配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。
[Router–aaa]authentication-schemer-n
[Router-aaa-authen-r-n]authentication-moderadiusnone
[Router-aaa-authen-r-n]quit
#配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。
[Router-aaa]domaindefault
[Router-aaa-domain-default]authentication-schemer-n
[Router-aaa-domain-default]radius-servershiva
对远程登陆用户先用RADIUS服务器进行认证,非法用户不可以登录。
displaycurrent-configuration
第3章日志配置
3.1日志配置
3.1.1记录用户操作
记录用户操作安全基线要求项
SBL
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Huawei 路由 安全 配置 基线 解析