Huawei路由安全配置基线.docx
- 文档编号:7593095
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:29
- 大小:23.68KB
Huawei路由安全配置基线.docx
《Huawei路由安全配置基线.docx》由会员分享,可在线阅读,更多相关《Huawei路由安全配置基线.docx(29页珍藏版)》请在冰豆网上搜索。
Huawei路由安全配置基线
Huawei路由器安全配置基线
中国移动通信有限公司管理信息系统部
2012年04月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
V2.0
更新
2012年4月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第1章概述
1.1目的
1.2目的
本文档规定了中国移动管理信息系统部所维护管理的Huawei路由器应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei路由器的安全配置。
1.3适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的Huawei路由器。
1.4适用版本
Huawei路由器。
1.5实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.6例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章华为路由其设备配置安全要求
2.1帐号管理
2.1.1用户帐号分配*
安全基线项目名称
用户帐号分配安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-01-01
安全基线项说明
应按照用户分配帐号。
避免不同用户间共享帐号。
避免用户帐号和设备间通信使用的帐号共享。
检测操作步骤
1、参考配置操作
aaa
local-useruser1passwordcipherPWD1
local-useruser1service-typetelnet
local-useruser2passwordcipherPWD2
local-useruser2service-typeftp
#
user-interfacevty04
authentication-modeaaa
2、补充说明
无。
基线符合性判定依据
1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、参考检测操作
displaycurrent-configurationconfigurationaaa)
3、补充说明
无。
备注
需要手工检查,由管理员确认帐号分配关系。
2.1.2删除无关的帐号*
安全基线项目名称
工作无关的帐号安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-01-02
安全基线项说明
应删除与设备运行、维护等工作无关的帐号
检测操作步骤
1、参考配置操作
aaa
undolocal-usertest
2、补充说明
无。
基线符合性判定依据
1、判定条件
配置中用户信息被删除。
2、参考检测操作
displaycurrent-configurationconfigurationaaa
3、补充说明
无。
备注
需要手工检查,由管理员判断是否存在无关帐号
2.1.3限制具备管理员权限的用户远程登录
安全基线项目名称
限制具备管理员权限的用户远程登录安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-01-03
安全基线项说明
限制具备管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限帐号后执行相应操作。
检测操作步骤
1、参考配置操作
superpasswordlevel3ciphersuperPWD
aaa
local-useruser1passwordcipherPWD1
local-useruser1service-typetelnet
local-useruser1level2
#
user-interfacevty04
authentication-modeaaa
2、补充说明
无。
基线符合性判定依据
1、判定条件
用户用相应的操作权限登录设备后,不具有最高权限级别3,这时有些操作不能做,例如修改aaa的配置。
这时如果想使用管理员权限必须提高用户级别。
2、参考检测操作
displaycurrent-configurationconfigurationaaa
3、补充说明
无。
备注
2.2口令
2.2.1口令复杂度
安全基线项目名称
静态口令长度安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-01
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步骤
1、参考配置操作
aaa
local-useruser1passwordcipherNumABC%$
2、补充说明
无。
基线符合性判定依据
1、判定条件
查看用户的口令长度是否至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
对于加密的口令,通过登陆检测。
2、参考检测操作
displaycurrent-configurationconfigurationaaa
3、补充说明
无。
备注
2.2.2静态口令加密保存
安全基线项目名称
静态口令加密保存安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-02
安全基线项说明
静态口令必须使用不可逆加密算法加密后保存于配置文件中。
检测操作步骤
1、参考配置操作
superpasswordlevel3cipherN`C55QK<`=/Q=^Q`MAF4<1!
!
local-user8011passwordcipherN`C55QK<`=/Q=^Q`MAF4<1!
!
2、补充说明
无。
基线符合性判定依据
1.判定条件
用户的加密口令在buildrun中显示的密文。
2.参考检测操作
displaycurrent-configurationconfigurationaaa
3.补充说明
无。
备注
2.2.3根据用户的业务需要配置其所需最小权限
安全基线项目名称
根据用户的业务需要配置其所需最小权限安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-03
安全基线项说明
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
检测操作步骤
1、参考配置操作
aaa
local-user8011passwordcipher8011
local-user8011service-typetelnet
local-user8011level0
#
user-interfacevty04
authentication-modeaaa
2、补充说明
无。
基线符合性判定依据
1.判定条件
查看所有用户的级别都配置为其所需的最小权限。
1.参考检测操作
displaycurrent-configurationconfigurationaaa
2.补充说明
无。
备注
2.2.4帐号、口令和授权的强制要求
安全基线项目名称
帐号、口令和授权的强制要求安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-04
安全基线项说明
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
检测操作步骤
1、参考配置操作
#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。
#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。
#配置RADIUS服务器模板。
[Router]radius-servertemplateshiva
#配置RADIUS认证服务器IP地址和端口。
[Router-radius-shiva]radius-serverauthentication129.7.66.661812
#配置RADIUS服务器密钥、重传次数。
[Router-radius-shiva]radius-servershared-keyit-is-my-secret
[Router-radius-shiva]radius-serverretransmit2
[Router-radius-shiva]quit
#进入AAA视图。
[Router]aaa
#配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。
[Router–aaa]authentication-schemer-n
[Router-aaa-authen-r-n]authentication-moderadiusnone
[Router-aaa-authen-r-n]quit
#配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。
[Router-aaa]domaindefault
[Router-aaa-domain-default]authentication-schemer-n
[Router-aaa-domain-default]radius-servershiva
2、补充说明
无。
基线符合性判定依据
1.判定条件
对远程登陆用户先用RADIUS服务器进行认证,非法用户不可以登录。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
第3章日志配置
3.1日志配置
3.1.1记录用户操作
安全基线项目名称
记录用户操作安全基线要求项
安全基线编号
SBL-HuaweiRouter-03-01-01
安全基线项说明
设备应配置日志功能,记录用户对设备的操作。
例如:
帐号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。
记录需要包含用户帐号,操作时间,操作内容以及操作结果。
检测操作步骤
1、参考配置操作
info-centerlogbufferchannel4
2、补充说明
在系统模式下进行操作。
基线符合性判定依据
1.判定条件
对设备的操作会记录在日志中。
2.参考检测操作
displaylogbuffer
3.补充说明
无。
备注
3.1.2记录设备的安全事件
安全基线项目名称
记录设备的安全事件安全基线要求项
安全基线编号
SBL-HuaweiRouter-03-01-02
安全基线项说明
设备应配置日志功能,记录对与设备相关的安全事件
检测操作步骤
1、参考配置操作
info-centerenable
2、补充说明
在系统模式下进行操作。
基线符合性判定依据
1.判定条件
在日志缓存上正确记录了日志信息。
2.参考检测操作
displaylogbuffer
3.补充说明
无。
备注
3.1.3远程日志功能
安全基线项目名称
远程日志功能安全基线要求项
安全基线编号
SBL-HuaweiRouter-03-01-03
安全基线项说明
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等
检测操作步骤
1、参考配置操作
info-centerloghost202.38.1.10facilitylocal4languageenglish
2、补充说明
在系统模式下进行操作。
基线符合性判定依据
1.判定条件
是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
建议核心设备必选,其它根据实际情况启用
3.1.4保证日志功能记录的时间准确性
安全基线项目名称
保证日志功能记录的时间准确性安全基线要求项
安全基线编号
SBL-HuaweiRouter-03-01-04
安全基线项说明
开启NTP服务,保证日志功能记录的时间的准确性。
路由器与NTPSERVER之间要开启认证功能。
检测操作步骤
1、参考配置操作
ntp-serviceauthentication-keyid1authentication-modemd5N`C55QK<`=/Q=^Q`MAF4<1!
!
ntp-serviceunicast-server2.2.2.2authentication-keyid1
2、补充说明
在系统模式下进行操作。
基线符合性判定依据
1.判定条件
本地时钟与时钟源同步。
2.参考检测操作
dispntp-servicestatus
3.补充说明
无。
备注
3.1.5日志记录内容要求
安全基线项目名称
日志记录内容安全基线要求项
安全基线编号
SBL-HuaweiRouter-03-01-05
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的帐号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
1、参考配置操作
info-centerconsolechannel0
2、补充说明
无。
基线符合性判定依据
1.判定条件
在日志缓存上正确记录了日志信息。
2.参考检测操作
displaylogbuffer
3.补充说明
无。
备注
第4章IP协议
4.1IP协议
4.1.1远程维护的设备配置加密协议
安全基线项目名称
远程维护的设备配置加密协议安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-01
安全基线项说明
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
检测操作步骤
1、参考配置操作
#rsapeer-public-keyquidway002
public-key-codebegin
308186028180739A291ABDA704F5D93DC8FDF84C427463199
1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9
C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0
E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F
E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8
28D55A36F1CDDC4BB45504F020125
public-key-codeend
peer-public-keyend
#
aaa
local-userclient001passwordsimplehuawei
local-userclient002passwordsimplequidway
authentication-schemedefault
#
authorization-schemedefault
#
accounting-schemedefault
#
domaindefault
#
sshuserclient002assignrsa-keyquidway002
sshuserclient001authentication-typepassword
sshuserclient002authentication-typeRSA
#
user-interfacecon0
user-interfacevty04
authentication-modeaaa
protocolinboundssh
#
2、补充说明
无。
基线符合性判定依据
1.判定条件
通过抓包确定ssh登录的信息为加密信息。
2.参考检测操作
dispcurrent-configuration|beginssh
3.补充说明
无。
备注
4.1.2动态路由协议口令要求配置MD5加密*
安全基线项目名称
动态路由协议口令要求配置MD5加密安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-02
安全基线项说明
动态路由协议口令要求配置MD5加密。
检测操作步骤
1、参考配置操作
ospf2
area0.0.0.0
authentication-modemd51cipherN`C55QK<`=/Q=^Q`MAF4<1!
!
2、补充说明
无。
基线符合性判定依据
1.判定条件
Md5验证不通过的ospf邻居建立部不成功。
2.参考检测操作
displaycurrent-configurationconfigurationospf
3.补充说明
无。
备注
手工检查
4.1.3制定路由策略
安全基线项目名称
制定路由策略安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-03
安全基线项说明
制定路由策略,禁止发布或接收不安全的路由信息
检测操作步骤
1、参考配置操作
aclnumber2000
rule5permitsource2.2.2.20
route-policyddpermitnode0
if-matchacl2000
ospf2
area0.0.0.0
authentication-modemd51cipherN`C55QK<`=/Q=^Q`MAF4<1!
!
filterroute-policyddimport
2、补充说明
无。
基线符合性判定依据
1.判定条件
被禁止接收和发布的路由成功。
2.参考检测操作
displaycurrent-configurationconfigurationospf
displayroute-policy
3.补充说明
无。
备注
4.1.4关闭未使用的SNMP协议及未使用RW权限
安全基线项目名称
关闭未使用的SNMP协议及未使用RW权限安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-04
安全基线项说明
系统应关闭未使用的SNMP协议及未使用RW权限
检测操作步骤
1、参考配置操作
Undosnmpenable
undosnmp-agentcommunityRWuser
2、补充说明
无。
基线符合性判定依据
1.判定条件
关闭snmp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
4.1.5Community默认通行字应符合口令强度要求
安全基线项目名称
SNMP的Community默认通行字应符合口令强度要求安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-05
安全基线项说明
系统应修改SNMP的Community默认通行字,通行字应符合口令强度要求
检测操作步骤
1、参考配置操作
snmp-agentcommunityreadXXXX01
2、补充说明
无。
基线符合性判定依据
1.判定条件
系统成功修改SNMP的Community为用户定义口令,非常规private或者public,并且符合口令强度要求。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
4.1.6配置SNMPV2或以上版本
安全基线项目名称
配置SNMPV2或以上版本安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-06
安全基线项说明
系统应配置为SNMPV2或以上版本。
检测操作步骤
1、参考配置操作
snmp-agentsys-infoversionv3
2、补充说明
无。
基线符合性判定依据
1.判定条件
成功使能snmpv2c、和v3版本。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
4.1.7SNMP访问安全限制
安全基线项目名称
设置SNMP访问安全限制安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-07
安全基线项说明
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备
检测操作步骤
1、参考配置操作
snmp-agentcommunityreadXXXX01acl2000
2、补充说明
无。
基线符合性判定依据
1.判定条件
通过设定acl来成功过滤特定的源才能进行访问。
2.参考检测操作
displaycurrent-configuration
3.补充说明
无。
备注
4.1.8ACL配置
安全基线项目名称
通过ACL配置对常见的漏洞攻击及病毒报文进行过滤安全基线要求项
安全基线编号
SBL-HuaweiRouter-04-01-08
安全基线项说明
通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。
检测操作步骤
1、参考配置操作
aclnumber20000
ruletcpsource1.1.1.10.0.0.0destination2.2.2.20.0.0.0source-porteqftp-datadestination-porteq30
trafficclassifierdd
if-matchacl20000
trafficbehaviordd
deny
trafficpolicydd
classifierddbehaviorddprecedence0
interfaceGigabitEthernet4/0/0
undoshutdown
ipaddress4.4.4.4255.255.255.0
traffic-policyddinbound
2、补充说明
如下配置为常见病毒防御
Aclnumber100
##用于控制Blaster蠕虫的传播
rule1denytcpsour
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Huawei 路由 安全 配置 基线