H3C交换机设备安全基线.docx
- 文档编号:7621844
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:16
- 大小:24.61KB
H3C交换机设备安全基线.docx
《H3C交换机设备安全基线.docx》由会员分享,可在线阅读,更多相关《H3C交换机设备安全基线.docx(16页珍藏版)》请在冰豆网上搜索。
H3C交换机设备安全基线
H3C设备安全配置基线
第1章概述
1.1目的
规范配置☝3☞路由器、交换机设备,保证设备基本安全。
1.2适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
1.3适用版本
c⑥④❸a⑨e⊗7版本交换机、路由器。
第2章帐号管理、认证授权安全要求
2.1帐号管理
2.1.1用户帐号分配☐
1、安全基线名称:
用户帐号分配安全
2、安全基线编号:
☒☜☝-☝3☞-☐2-☐1-☐1
3、安全基线说明:
应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[☝3☞]③⑥ca③-❶⑩e⑨ad④⓪⑤
[☝3☞-③❶⑩e⑨-④a⑤age-ad④⓪⑤]⑦a⑩⑩❸⑥⑨dha⑩had④⓪⑤☚④④❶2
[☝3☞-③❶⑩e⑨-④a⑤age-ad④⓪⑤]a❶⓿h⑥⑨⓪❻a⓿⓪⑥⑤-a⓿⓿⑨⓪b❶⓿e❶⑩e⑨-⑨⑥③e③e❷e③-15
[☝3☞]③⑥ca③-❶⑩e⑨❶⑩e⑨
[☝3☞-③❶⑩e⑨-⑤e⓿❸⑥⑨②-❶⑩e⑨]⑦a⑩⑩❸⑥⑨dha⑩h❶⑩e⑨☚⑤he⑩a
[☝3☞-③❶⑩e⑨-⑤e⓿❸⑥⑨②-❶⑩e⑨]a❶⓿h⑥⑨⓪❻a⓿⓪⑥⑤-a⓿⓿⑨⓪b❶⓿e❶⑩e⑨-⑨⑥③e⑤e⓿❸⑥⑨②-⑥⑦e⑨a⓿⑥⑨
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令d⓪⑩c❶⑨命令查看:
✝
✐
③⑥ca③-❶⑩e⑨ad④⓪⑤c③a⑩⑩④a⑤age
⑦a⑩⑩❸⑥⑨dha⑩h✐h✐6✐④④❶2☟③⑧☝②☟☟⑤✋❺☟❺✐9☑2③☟4❶☑☚⑩❹❶⑥⦸☒==
⑩e⑨❷⓪ce-⓿❺⑦e⑩⑩h
a❶⓿h⑥⑨⓪❻a⓿⓪⑥⑤-a⓿⓿⑨⓪b❶⓿e❶⑩e⑨-⑨⑥③e③e❷e③-15
✐
③⑥ca③-❶⑩e⑨❶⑩e⑨c③a⑩⑩⑤e⓿❸⑥⑨②
⑦a⑩⑩❸⑥⑨dha⑩h✐h✐6✐④④❶2☟③⑧☝②☟☟⑤✋❺
⑩e⑨❷⓪ce-⓿❺⑦e⑩⑩h
a❶⓿h⑥⑨⓪❻a⓿⓪⑥⑤-a⓿⓿⑨⓪b❶⓿e❶⑩e⑨-⑨⑥③e⑤e⓿❸⑥⑨②-⑥⑦e⑨a⓿⑥⑨
✐
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
2.1.2删除无关的帐号☐
1、安全基线名称:
删除无关的账号
2、安全基线编号:
☒☜☝-☝3☞-☐2-☐1-☐2
3、安全基线说明:
应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:
[☝3☞]❶⑤d⑥③⑥ca③-❶⑩e⑨❶⑩e⑨c③a⑩⑩⑤e⓿❸⑥⑨②
5、安全判定条件:
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用d⓪⑩c❶⑨❽⓪⑤c③❶de③⑥ca③-❶⑩e⑨命令查看:
[☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de③⑥ca③-❶⑩e⑨
③⑥ca③-❶⑩e⑨ad④⓪⑤c③a⑩⑩④a⑤age
③⑥ca③-❶⑩e⑨❶⑩e⑨1c③a⑩⑩④a⑤age
若不存在无用账号则说明符合安全要求。
2.2口令
2.2.1静态口令以密文形式存放
1、安全基线名称:
静态口令以密文形式存放
2、安全基线编号:
☒☜☝-☝3☞-☐2-☐2-☐1
3、安全基线说明:
配置本地用户和⑩❶⑦e⑨口令使用密文密码。
4、参考配置操作:
[☝3☞]③⑥ca③-❶⑩e⑨ad④⓪⑤
[☝3☞-③❶⑩e⑨-④a⑤age-ad④⓪⑤]⑦a⑩⑩❸⑥⑨dha⑩h<密文⑦a⑩⑩❸⑥⑨d☜//配置本地用户密文密码
[☝3☞]⑩❶⑦e⑨⑦a⑩⑩❸⑥⑨dha⑩h<密文⑦a⑩⑩❸⑥⑨d☜//配置⑩❶⑦e⑨密码使用密文加密
5、安全判定条件:
配置文件中没有明文密码字段。
6、检测操作:
使用d⓪⑩c❶⑨显示本地用户账号和⑩❶⑦e⑨密码为密文密码
✐
③⑥ca③-❶⑩e⑨ad④⓪⑤c③a⑩⑩④a⑤age
⑦a⑩⑩❸⑥⑨dha⑩h✐h✐6✐④④❶2☟③⑧☝②☟☟⑤✋❺☟❺✐9☑2③☟4❶☑☚⑥Z③☝❸✗/4☝⑤/☟1✗⦸☛❹☛☟⑩❷+c2③✋☑☟☞❹☞☛⊗⊗13f☟☒☟☞⑧②⊗⑥①c☝❷⑤8a6❶8gc☝☝⦸⊗⦸a☞g⑧4/⊗☟☐⑩❹❶⑥⦸☒==
⑩e⑨❷⓪ce-⓿❺⑦e⑩⑩h⓿e③⑤e⓿
a❶⓿h⑥⑨⓪❻a⓿⓪⑥⑤-a⓿⓿⑨⓪b❶⓿e❶⑩e⑨-⑨⑥③e③e❷e③-15
✐
③⑥ca③-❶⑩e⑨❶⑩e⑨1c③a⑩⑩④a⑤age
⑦a⑩⑩❸⑥⑨dha⑩h✐h✐6✐⊗⑧2Y☑⑧⦸⊗☟☝5+☑b7☝✐g⦸❺✋9☑☟9☞✓⓪d✋bbab⑤✓8⊗③6☑❷☑9⑦8+☛ch⑩✗5☟④✋⊗+e✓g✗☝6❻8/④Z☒☝1h③⑤☒⊗14⑥☚☛b❷✓5❶☝h☟7g✓1/⊗☐⑦❸☝☟☝☒==
a❶⓿h⑥⑨⓪❻a⓿⓪⑥⑤-a⓿⓿⑨⓪b❶⓿e❶⑩e⑨-⑨⑥③e⑤e⓿❸⑥⑨②-⑥⑦e⑨a⓿⑥⑨
✐
✐
⑩❶⑦e⑨⑦a⑩⑩❸⑥⑨d⑨⑥③e⑤e⓿❸⑥⑨②-ad④⓪⑤ha⑩h✐h✐6✐5h☞f☝☒☟☑⊗2☐⦸☟❶31✐☞☟☑⑥☒☟2a❹①Y⦸☟⑩✗❶❸⑤h☝7①d❺c❻⊗⊗☒☟❶⑦①☝☐☑⓪⑤❺☒☟Yf⓿6②9☑☚❺☒☒☒29☒❺c⓪❻⑤⑦☝⑥⊗☒/⓿hf☝☝☑⦸☛④⓪✓☒☟7c13⦸☒==
✐
2.2.2帐号、口令和授权
1、安全基线名称:
账号、口令和授权安全基线
2、安全基线编号:
☒☜☝-☝3☞-☐2-☐2-☐2
3、安全基线说明:
通过认证系统,确认远程用户身份,判断是否为合法的网络用户。
4、参考配置操作:
[☝3☞]③⑥ca③-❶⑩e⑨ad④⓪⑤
[☝3☞-③❶⑩e⑨-④a⑤age-ad④⓪⑤]⑦a⑩⑩❸⑥⑨dha⑩h⑦⓪⑦a❹⓪⑤g☚❹⓪a⑤g❺❶⑤
[☝3☞-③❶⑩e⑨-④a⑤age-ad④⓪⑤]a❶⓿h⑥⑨⓪❻a⓿⓪⑥⑤-a⓿⓿⑨⓪b❶⓿e❶⑩e⑨-⑨⑥③e③e❷e③-15
[☝3☞]d⑥④a⓪⑤ad④⓪⑤
[☝3☞-⓪⑩⑦-ad④⓪⑤]a❶⓿he⑤⓿⓪ca⓿⓪⑥⑤defa❶③⓿③⑥ca③
5、安全判定条件:
账号和口令的配置,指定了认证的系统。
6、检测操作:
[☝3☞]d⓪⑩c❶⑨
✝
✐
d⑥④a⓪⑤ad④⓪⑤
✐
d⑥④a⓪⑤⑩❺⑩⓿e④
✐
d⑥④a⓪⑤defa❶③⓿e⑤ab③e⑩❺⑩⓿e④
✐
2.2.3密码复杂度
1、安全基线名称:
密码复杂度
2、安全基线编号:
☒☜☝-☝3☞-☐2-☐2-☐3
3、安全基线说明:
对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每9☐天进行更换。
4、参考配置操作:
[☝3☞]③⑥ca③-❶⑩e⑨ad④⓪⑤
[☝3☞-③❶⑩e⑨-④a⑤age-ad④⓪⑤]⑦a⑩⑩❸⑥⑨d⑦⓪⑦a❹⓪⑤g☚❹⓪a⑤g❺❶⑤
5、安全判定条件:
密码强度符合要求,密码至少9☐天进行更换。
2.3授权
2.3.1用☟✓协议进行远程维护的设备使用☒☒☝等加密协议
1、安全基线名称:
用☟✓协议进行远程维护设备
2、安全基线编号:
☒☜☝-☝3☞-☐2-☐3-☐1
3、安全基线说明:
使用☟✓协议进行远程维护设备,应配置使用☒☒☝等加密协议连接。
4、参考配置操作:
[☝3☞]⑩⑩h⑩e⑨❷e⑨e⑤ab③e
[☝3☞]③⑥ca③-❶⑩e⑨ad④⓪⑤
[☝3☞-③❶⑩e⑨-④a⑤age-ad④⓪⑤]⑩e⑨❷⓪ce-⓿❺⑦e⑩⑩h
5、安全判定条件:
配置文件中只允许☒☒☝等加密协议连接。
6、检测操作:
使用d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑩h命令:
[☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑩h
⑩⑩h⑩e⑨❷e⑨e⑤ab③e
⑩e⑨❷⓪ce-⓿❺⑦e⑩⑩h
⑩⑩h服务为e⑤ab③e状态表明符合安全要求。
第3章日志安全要求
3.1日志安全
3.1.1启用信息中心
1、安全基线名称:
启用信息中心
2、安全基线编号:
☒☜☝-☝3☞-☐3-☐1-☐1
3、安全基线说明:
启用信息中心,记录与设备相关的事件。
4、参考配置操作:
[☝3☞]⓪⑤f⑥-ce⑤⓿e⑨e⑤ab③e
5、安全判定条件:
(1)设备应配置日志功能,能对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录使用的☟✓地址。
(2)记录用户登录设备后所进行的所有操作。
6、检测操作:
使用d⓪⑩⓪⑤f⑥-ce⑤⓿e⑨有显示☟⑤f⑥⑨④a⓿⓪⑥⑤☞e⑤⓿e⑨:
☛⑤ab③ed类似信息,如:
[☝3☞]d⓪⑩⓪⑤f⑥-ce⑤⓿e⑨
☟⑤f⑥⑨④a⓿⓪⑥⑤☞e⑤⓿e⑨:
☛⑤ab③ed
☞⑥⑤⑩⑥③e:
☛⑤ab③ed
☟⑥⑤⓪⓿⑥⑨:
☛⑤ab③ed
☝⑥gh⑥⑩⓿:
☛⑤ab③ed
1☐.1.☐.2☐,
⑦⑥⑨⓿⑤❶④be⑨:
514,h⑥⑩⓿fac⓪③⓪⓿❺:
③⑥ca③7
1☐.1.☐.95,
⑦⑥⑨⓿⑤❶④be⑨:
514,h⑥⑩⓿fac⓪③⓪⓿❺:
③⑥ca③7
1☐.1.☐.99,
⑦⑥⑨⓿⑤❶④be⑨:
514,h⑥⑩⓿fac⓪③⓪⓿❺:
③⑥ca③7
☝⑥gb❶ffe⑨:
☛⑤ab③ed
☟a❹b❶ffe⑨⑩⓪❻e1☐24,c❶⑨⑨e⑤⓿b❶ffe⑨⑩⓪❻e512
☞❶⑨⑨e⑤⓿④e⑩⑩age⑩512,d⑨⑥⑦⑦ed④e⑩⑩age⑩☐,⑥❷e⑨❸⑨⓪⓿⓿e⑤④e⑩⑩age⑩3736
☝⑥gf⓪③e:
☛⑤ab③ed
☒ec❶⑨⓪⓿❺③⑥gf⓪③e:
☚⓪⑩ab③ed
☟⑤f⑥⑨④a⓿⓪⑥⑤⓿⓪④e⑩⓿a④⑦f⑥⑨④a⓿:
☝⑥gh⑥⑩⓿:
☚a⓿e
✗⓿he⑨⑥❶⓿⑦❶⓿de⑩⓿⓪⑤a⓿⓪⑥⑤:
☚a⓿e
3.1.2开启✋☒✓服务保证记录的时间的准确性
1、安全基线名称:
日志记录时间准确性
2、安全基线编号:
☒☜☝-☝3☞-☐3-☐1-☐2
3、安全基线说明:
开启✋☒✓服务,保证日志功能记录的时间的准确性。
4、参考配置操作:
配置⑤⓿⑦客户端,服务器地址为192.168.1.1:
[☝3☞]⑤⓿⑦-⑩e⑨❷⓪cee⑤ab③e
[☝3☞]⑤⓿⑦-⑩e⑨❷⓪ce❶⑤⓪ca⑩⓿-⑩e⑨❷e⑨192.168.1.1
5、安全判定条件:
日志记录时间准确。
6、检测操作:
[☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de⑤⓿⑦
⑤⓿⑦-⑩e⑨❷⓪cee⑤ab③e
⑤⓿⑦-⑩e⑨❷⓪ce❶⑤⓪ca⑩⓿-⑩e⑨❷e⑨192.168.1.1
3.1.3远程日志功能☐
1、安全基线名称:
远程日志功能
2、安全基线编号:
☒☜☝-☝3☞-☐3-☐1-☐3
3、安全基线说明:
配置远程日志功能,使设备能通过远程日志功能传输到日志服务器。
4、参考配置操作:
[☝3☞]⓪⑤f⑥-ce⑤⓿e⑨③⑥gh⑥⑩⓿☐.☐.☐.☐//配置接收日志的服务器地址
[☝3☞]⓪⑤f⑥-ce⑤⓿e⑨⑩⑥❶⑨cedefa❶③⓿③⑥gh⑥⑩⓿③e❷e③e④e⑨ge⑤c❺//配置发送的日志级别
5、安全判定条件:
日志服务器能够正确接收网络设备发送的日志。
6、检测操作:
使用命令d⓪⑩c❶⑨❽⓪⑤c③❶de⓪⑤f⑥-ce⑤⓿e⑨查看:
[☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de⓪⑤f⑥-ce⑤⓿e⑨
❶⑤d⑥c⑥⑦❺⑨⓪gh⓿-⓪⑤f⑥e⑤ab③e
⓪⑤f⑥-ce⑤⓿e⑨③⑥gh⑥⑩⓿1☐.1.☐.2☐
⓪⑤f⑥-ce⑤⓿e⑨③⑥gh⑥⑩⓿1☐.1.☐.95
⓪⑤f⑥-ce⑤⓿e⑨③⑥gh⑥⑩⓿1☐.1.☐.99
⓪⑤f⑥-ce⑤⓿e⑨⑩⑥❶⑨cedefa❶③⓿③⑥gh⑥⑩⓿③e❷e③e④e⑨ge⑤c❺
第4章☟✓协议安全要求
4.1☟✓协议
4.1.1⊗☑☑✓认证
1、安全基线名称:
⊗☑☑✓认证
2、安全基线编号:
☒☜☝-☝3☞-☐4-☐1-☐1
3、安全基线说明:
⊗☑☑✓启用认证,防止非法设备加入到⊗☑☑✓组中。
4、安全判定条件:
查看⊗☑☑✓组,只存在正确的设备。
5、检测操作:
使用命令d⓪⑩❷⑨⑨⑦
4.1.2系统远程服务只允许特定地址访问
1、安全基线名称:
系统远程服务只允许特定地址访问
2、安全基线编号:
☒☜☝-☝3☞-☐4-☐1-☐2
3、安全基线说明:
设备以⊗☚✓/☒☞✓协议对外提供服务,供外部主机进行访问,如作为✋☒✓服务器、☒☛☝✋☛☒服务器、☒☝☒✓服务器、☝☒✓服务器、☒☒☝服务器等,应配置设备,只允许特定主机访问。
4、参考配置操作:
通过配置访问控制列表☛☞☝,只允许特定的地址访问设备的服务,如:
[☝3☞]ac③ad❷a⑤ced3☐☐☐
[☝3☞-ac③-⓪⑦❷4-ad❷-3☐☐☐]⑨❶③e☐⑦e⑨④⓪⓿⓿c⑦⑩⑥❶⑨ce1☐.18.54.12☐de⑩⓿⓪⑤a⓿⓪⑥⑤1☐.1.☐.5☐☐de⑩⓿⓪⑤a⓿⓪⑥⑤-⑦⑥⑨⓿e⑧443
[☝3☞-ac③-⓪⑦❷4-ad❷-3☐☐☐]⑨❶③e65534de⑤❺⓪⑦
5、安全判定条件:
在相关端口上绑定相应的☛☞☝。
6、检测操作:
使用d⓪⑩c❶⑨命令查看:
✐
⓪⑤⓿e⑨face⊗③a⑤-⓪⑤⓿e⑨face1☐
⓪⑦add⑨e⑩⑩1☐.1.☐.5☐255.255.255.☐
⑦ac②e⓿-f⓪③⓿e⑨3☐☐☐⓪⑤b⑥❶⑤d
✐
4.2功能配置
4.2.1☒✋☟✓的☞⑥④④❶⑤⓪⓿❺默认通行字口令强度
1、安全基线名称:
☒✋☟✓协议的c⑥④④❶⑤⓪⓿❺团体字
2、安全基线编号:
☒☜☝-☝3☞-☐4-☐2-☐1
3、安全基线说明:
修改☒✋☟✓的c⑥④④❶⑤⓪⓿❺默认团体字,字符串应符合口令强度要求。
4、参考配置操作:
[☝3☞]⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺⑨ead [☝3☞]⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺❸⑨⓪⓿e 5、安全判定条件: ☞⑥④④❶⑤⓪⓿❺非默认,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。 6、检测操作: 使用命令d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦查看: [☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦ ⑩⑤④⑦-age⑤⓿ ⑩⑤④⑦-age⑤⓿③⑥ca③-e⑤g⓪⑤e⓪d8☐☐☐63☛28☐☛4☝25325☐1☐☐☐☐☐☐☐☐☐1 ⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺⑨ead❹⓪a⑤g❺❶⑤_⑨ead ⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺❸⑨⓪⓿e❹⓪a⑤g❺❶⑤_❸⑨⓪⓿e ⑩⑤④⑦-age⑤⓿⑩❺⑩-⓪⑤f⑥❷e⑨⑩⓪⑥⑤❷3 ⑩⑤④⑦-age⑤⓿⓿⑨a⑦e⑤ab③ea⑨⑦ ⑩⑤④⑦-age⑤⓿⓿⑨a⑦e⑤ab③e⑨ad⓪❶⑩ ⑩⑤④⑦-age⑤⓿⓿⑨a⑦e⑤ab③e⑩⓿⑦ 7、补充: 若设备不需要使用☒✋☟✓协议应关闭☒✋☟✓功能,若需要用到应使用⊗2版本以上的☒✋☟✓协议。 4.2.2只与特定主机进行☒✋☟✓协议交互 1、安全基线名称: 只与特定主机进行☒✋☟✓协议交互 2、安全基线编号: ☒☜☝-☝3☞-☐4-☐2-☐2 3、安全基线说明: 设备只与特定主机进行☒✋☟✓协议交互 4、参考配置操作: 使用☛☞☝限制只与特定主机进行☒✋☟✓交互 [☝3☞]ac③ad❷a⑤ced⑤a④eac③_⑩⑤④⑦ [☝3☞-ac③-⓪⑦❷4-ad❷-ac③_⑩⑤④⑦]⑨❶③e⑦e⑨④⓪⓿⓪⑦⑩⑥❶⑨ce11.11.1.1☐☐ [☝3☞-ac③-⓪⑦❷4-ad❷-ac③_⑩⑤④⑦]⑨❶③ede⑤❺⓪⑦⑩⑥❶⑨cea⑤❺ [☝3☞]⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺⑨ead❹⓪a⑤g❺❶⑤ac③⑤a④eac③_⑩⑤④⑦ 5、安全判定条件: ☒⑤④⑦绑定了ac③ 6、检测操作: 使用d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦命令查看: [☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦ ⑩⑤④⑦-age⑤⓿ ⑩⑤④⑦-age⑤⓿③⑥ca③-e⑤g⓪⑤e⓪d8☐☐☐63☛28☐☛4☝25325☐1☐☐☐☐☐☐☐☐☐1 ⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺⑨ead❹⓪a⑤g❺❶⑤ ⑩⑤④⑦-age⑤⓿⑩❺⑩-⓪⑤f⑥❷e⑨⑩⓪⑥⑤3 ⑩⑤④⑦-age⑤⓿⓿⑨a⑦e⑤ab③ea⑨⑦ ⑩⑤④⑦-age⑤⓿⓿⑨a⑦e⑤ab③e⑨ad⓪❶⑩ ⑩⑤④⑦-age⑤⓿⓿⑨a⑦e⑤ab③e⑩⓿⑦ ⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺⑨ead❹⓪a⑤g❺❶⑤ac③⑤a④eac③_⑩⑤④⑦ 4.2.3配置☒✋☟✓⊗2或以上版本 1、安全基线名称: 配置☒✋☟✓❷2或以上版本 2、安全基线编号: ☒☜☝-☝3☞-☐4-☐2-☐3 3、安全基线说明: 系统应配置☒✋☟✓❷2或以上版本 4、参考配置操作: [☝3☞]⑩⑤④⑦-age⑤⓿⑩❺⑩-⓪⑤f⑥❷e⑨⑩⓪⑥⑤❷3 5、安全判定条件: 系统可以成功使用⑩⑤④⑦❷2或❷3版本协议。 6、检测操作: 使用d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦命令查看: [☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦ ✝.. ⑩⑤④⑦-age⑤⓿⑩❺⑩-⓪⑤f⑥❷e⑨⑩⓪⑥⑤3 ✝.. 4.2.4关闭未使用的☒✋☟✓协议及未使用❸⑨⓪⓿e权限 1、安全基线名称: 关闭未使用的☒✋☟✓协议及未使用❸⑨⓪⓿e权限 2、安全基线编号: ☒☜☝-☝3☞-☐4-☐2-☐4 3、安全基线说明: 系统应及时关闭未使用的☒✋☟✓协议及未使用❸⑨⓪⓿e权限 4、参考配置操作: [☝3☞]❶⑤d⑥⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺⑦⓪⑦a❹⓪⑤g 5、安全判定条件: ☒⑤④⑦权限为⑨ead。 6、检测操作: 使用d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦命令查看,权限只有⑨ead: [☝3☞]d⓪⑩c❶⑨❽⓪⑤c③❶de⑩⑤④⑦ ✝.. ⑩⑤④⑦-age⑤⓿c⑥④④❶⑤⓪⓿❺⑨ead❹⓪a⑤g❺❶⑤ ✝.. 第5章其他安全要求 5.1其他安全配置 5.1.1关闭未使用的接口 1、安全基线名称: 关闭未使用的接口 2、安全基线编号: ☒☜☝-☝3☞-☐5-☐1-☐1 3、安全基线说明: 关闭未使用的接口 4、参考配置操作: [☝3☞]⓪⑤⓿g1/☐/1☐ [☝3☞-☟⓪gab⓪⓿☛⓿he⑨⑤e⓿1/☐/1☐]⑩h❶⓿d⑥❸⑤ 5、安全判定条件: 未使用接口应该管理员d⑥❸⑤。 6、检测操作: [☝3☞]d⓪⑩c❶⑨ ✝. ✐ ⓪⑤⓿e⑨face☟⓪gab⓪⓿☛⓿he⑨⑤e⓿1/☐/1☐ ⑦⑥⑨⓿③⓪⑤②-④⑥deb⑨⓪dge c⑥④b⑥e⑤ab③ef⓪be⑨ ⑩h❶⓿d⑥❸⑤ ✐ ✝. 5.1.2修改设备缺省☜☛✋✋☛☑语 1、安全基线名称: 修改设备缺省☜☛✋✋☛☑语 2、安全基线编号: ☒☜☝-☝3☞-☐5-☐1-☐2 3、安全基线说明: 要修改设备缺省☜☛✋✋☛☑语,☜☛✋✋☛☑最好不要有系统平台或地址等有碍安全的信息。 4、参考配置操作: [☝3☞]heade⑨③⑥g⓪⑤ ✓③ea⑩e⓪⑤⑦❶⓿ba⑤⑤e⑨c⑥⑤⓿e⑤⓿,a⑤d⑧❶⓪⓿❸⓪⓿h⓿hecha⑨ac⓿e⑨☏✄☏. 5、安全判定条件: 欢迎界面、提示符等不包含敏感信息。 6、检测操作: 通过远程登录或c⑥⑤⑩⑥③e口登录查看设备提示信息。 5.1.3配置定时账户自动登出 1、安全基线名称: 配置账号定时自动退出 2、安全基线编号: ☒☜☝-☝3☞-☐5-☐1-☐3 3、安全基线说明: 如☒e③⑤e⓿、⑩⑩h、c⑥⑤⑩⑥③e登录连接超时退出 4、参考配置操作: 配置❷⓿❺登录3分钟无操作自动退出: [☝3☞]❶⑩e⑨-⓪⑤⓿e⑨face❷⓿❺☐4 [☝3☞-③⓪⑤e-❷⓿❺☐-4]⓪d③e-⓿⓪④e⑥❶⓿3 5、安全判定条件: 每种登录方式均设备了超时退出时间。 6、检测操作: 使用d⓪⑩c❶⑨查看: [☝3☞]d⓪⑩c❶⑨ ✝ ✐ ③⓪⑤e❷⓿❺☐4 a❶⓿he⑤⓿⓪ca⓿⓪⑥⑤-④⑥de⑩che④e ❶⑩e⑨-⑨⑥③e③e❷e③-4 ⓪d③e-⓿⓪④e⑥❶⓿3☐ ✐ ✝ 5.1.4配置c⑥⑤⑩⑥③e口密码保护功能 1、安全基线名称: 配置c⑥⑤⑩⑥③e口密码保护 2、安全基线编号: ☒☜☝-☝3☞-☐5-☐1-☐4 3、安全基线说明: 配置c⑥⑤⑩⑥③e口密码保护 4、参考配置操作: [☝3☞]❶⑩e⑨-⓪⑤⓿e⑨facea❶❹☐ [☝3☞-③⓪⑤e-a❶❹☐]a❶⓿he⑤⓿⓪ca⓿⓪⑥⑤-④⑥de⑦a⑩⑩❸⑥⑨d [☝3☞-③⓪⑤e-a❶❹☐]⑩e⓿a❶⓿he⑤⓿⓪ca⓿⓪⑥⑤⑦a⑩⑩❸⑥⑨d⑩⓪④⑦③ead④⓪⑤123 5、安全判定条件: 通过c⑥⑤⑩⑥③e口登录,确认需要密码。 6、检测操作: 使用命令d⓪⑩c❶⑨查看: [☝3☞]d⓪⑩c❶⑨ ✝ ✐ ③⓪⑤ea❶❹☐ a❶⓿he⑤⓿⓪ca⓿⓪⑥⑤-④⑥de⑦a⑩⑩❸⑥⑨d ❶⑩e⑨-⑨⑥③e⑤e⓿❸⑥⑨②-ad④⓪⑤ ⑩e⓿a❶⓿he⑤⓿⓪ca⓿⓪⑥⑤⑦a⑩⑩❸⑥⑨dha⑩h✐h✐6✐☒⑦⑥⑥☟❷⑤4❷☜7⦸☝✓7❶/☝9⑥⑩ce❸⓪☛☛⊗f❷☒== ✐ ✝ 5.1.5端口与实际应用相符 1、安全基线名称: 端口与实际应用相符 2、安全基线编号: ☒☜☝-☝3☞-☐5-☐1-☐5 3、安全基线说明: 系统使用的端口默认无描述,安全事件处理及后期日志查询较为不变,出于安全考虑,应该将使用的端口添加符合实际应用的描述。 4、参考配置操作: [☝3☞]⓪⑤⓿g1/☐/1☐ [☝3☞-☟⓪gab⓪⓿☛⓿he⑨⑤e⓿1/☐/1☐]de⑩c⑨⓪⑦⓿⓪⑥⑤⑩ha⑤g❹⓪⑤ag 5、安全判定条件: 正在使用的端口配置了相应的描述。 6、检测操作: 使用d⓪⑩c❶⑨命令查看对应使用的端口是否有描述: [☝3☞]d⓪⑩c❶⑨ ✝. ✐ ⓪⑤⓿e⑨face☟⓪gab⓪⓿☛⓿he⑨⑤e⓿1/☐/1☐ ⑦⑥⑨⓿③⓪⑤②-④⑥deb⑨⓪dge de⑩c⑨⓪⑦⓿⓪⑥⑤⑩ha⑤g❹⓪⑤ag c⑥④b⑥e⑤ab③ef⓪be⑨ ✐
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 交换机 设备 安全 基线
![提示](https://static.bdocx.com/images/bang_tan.gif)