资源预览内容
第1页 / 共18页
第2页 / 共18页
第3页 / 共18页
第4页 / 共18页
第5页 / 共18页
第6页 / 共18页
第7页 / 共18页
第8页 / 共18页
第9页 / 共18页
第10页 / 共18页
亲,该文档总共18页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
华三交换机加固 目录1.用户管理11.1创建用户11.2密码认证登录12.设备管理22.1本地管理22.2远程管理22.3限制 IP 访问32.4登录超时33.网络服务34.安全防护44.1BANNER44.2ACL访问控制列表44.3空闲端口管理44.4MAC地址绑定54.5NTP服务64.6协议安全配置(可选)64.7设备版本管理65.日志与审计75.1SNMP协议安全75.2日志审计85.3转存日志(可选)86.路由配置96.1静态路由配置96.2动态路由的配置(OSPF)97.Trunk接口与VLAN标签98.QOS大类108.1通过接口所有入流量进行流量监管108.2通过端口所有出流量进行端口限速108.3基于ACL的流量监管108.4基于ACL的流量限速108.5基于ACL的流量统计111. 用户管理1.1 创建用户【安全要求】应按照用户性质分别创建账号,禁止不同用户间共享账号,禁止人员和设备通信公用账号。【配置要求】创建管理员和普通用户对应的账户,厂站端只能分配普通用户账户,厂站账户应实名制管理,只有查看、ping等权限。【配置方法】创建三个用户,分别为管理员、操作员和审计员H3C system-viewH3C local-user super class manage 创建“super”用户H3C-luser-manage-super password simple * 加密密码*(dis时显示密文)H3C-luser-manage-super service-type ssh terminal 定义登录方式包含ssh和本地H3C-luser-manage-super authorization-attribute user-role network-admin 定义此用户为“管理员”权限H3C local-user operator class manage 创建“operator”用户H3C password simple * H3C-luser-manage-operator service-type ssh terminalH3C-luser-manage-operator authorization-attribute user-role network-operator network-operator 操作员H3C local-user audit class manage 创建“audit”用户H3C-luser-manage-audit password simple H3C-luser-manage-audit service-type ssh terminalH3C-luser-manage-audit authorization-attribute user-role security-audit network-operator 审计员network-admin、security-audit、network-operator为H3C设备固化的三种角色,权限分别对应level-15、level-1、level-2。1.2 密码认证登录【安全要求】通过控制台和远程终端登录设备,应输入用户名和口令,口令长度不能小于8位,要求是数字、字母和特殊字符的混合,不得与用户名相同。口令应3个月定期更换和加密存储。【配置要求】配置只有使用用户名和密码的组合才能登录设备,密码强度采用技术手段予以校验通过,并对密码进行加密存储、定期更换。【配置方法】开启ssh服务,设置ssh访问控制,设置密码失败和超时策略H3C public-key local create rsa 生成RSA密钥对The range of public key modulus is 512 2048.If the key modulus is greater than 512, it will take a few minutes.Press CTRLC to abort. the modulus length default 10241024H3C public-key local create dsa 生成DSA密钥对The range of public key modulus is 512 2048.If the key modulus is greater than 512, it will take a few minutes.Press CTRLC to abort. the modulus length default 10241024sshH3C ssh server enable 开启ssh服务H3C undo ssh server compatible-ssh1x enable 关闭兼容SSH version1版本 H3C ssh server acl 3000 ssh服务应用编号3000的访问控制列表H3C ssh server authentication-retries 3 注意authentication-敲au然后TAB补全 ,密码错误次数3次自动退出,但不锁定。H3C ssh server authentication-timeout 120 SSH登录过程中密钥交换运算量比较大,如果设备性能较低,需要配置较长的认证超时时间。通过ssh server authentication-timeout命令可以修改服务器端配置的认证超时时间。H3C password-control login-attempt 5 exceed lock-time 5 登录失败5次锁定5分钟。2. 设备管理 2.1 本地管理【安全要求】对于通过本地 Console 口进行维护的设备, 设备应配置使用用户名和口令进行认证。【配置要求】人员本地登录应通过 Console 口输入用户名和口令。 【配置方法】设置串口的登录策略(consle)H3C line console 0 进入aux接口配置H3C-line-console0 authentication-mode scheme 设置用户密码认证模式开启前,需要配置相应的用户权限和登录方式,登录方式须包含terminal。 Console默认登录user-role network-admin,但是操作员、审计员仍能登录,无法获取超级权限。2.2 远程管理【安全要求】对于使用 IP 协议进行远程维护的设备, 设备应配置使用 SSH 等加密协议,采用 SSH 服务代替 telnet 实施远程管理, 提高设备管理安全性。【配置要求】人员运程登录应使用 SSH 协议, 禁止使用 telnet、rlogin 其他协议远程登录。 【配置方法】H3C line vty 0 4 H3C-line-vty0-4 authentication-mode schemeH3C-line-vty0-4 protocol inbound ssh 2.3 限制 IP 访问【安全要求】公共网络服务 SSH、SNMP 默认可以接受任何地址的连接, 为保障网络安全,应只允许特定地址访问。【配置要求】配置访问控制列表, 只允许网管系统、 审计系统、 主站核心设备地址能访问网络设备管理服务。 SSH 和 SNMP 地址不同时应启用不同的访问控制列表。 【配置方法】旧设备H3C line vty 0 4H3C-line-vty0-4 acl 2000 inbound新设备H3C ssh server acl 2000 前提得先配置访问控制列表2000H3C snmp-agent community read simple * acl 2000 配置团体字*权限为读权限,远程服务器地址根据ACL2000来确定,注意需要使用simple,否则需要输入加密后字符串(ACL 为哪些服务器可以来采集)2.4 登录超时【安全要求】应配置账户超时自动退出, 退出后用户需再次登录才能进入系统。【配置要求】Console 口或远程登录后超过 5 分钟无动作应自动退出。H3C line console 0 进入console接口配置H3C-line-console0 idle-timeout 5 0 登录超时5分钟H3C line vty 0 4 H3C-line-vty0-4 idle-timeout 5 0 登录超时5分钟3. 网络服务【安全要求】禁用不必要的公共网络服务;网络服务采取白名单方式管理,只允许开放SNMP、SSH、NTP等特定服务。【配置要求】禁用TCP SMALL SERVERS。(Cisco有,华为华三没有)禁用UDP SMALL SERVERS。(Cisco有,华为华三没有)禁用Finger。(Cisco有,华为华三没有)禁用HTTP SERVER。禁用BOOTP SERVER。(Cisco有,华为华三没有)关闭DNS查询功能,如要使用该功能,则显式配置DNS SERVER。禁用DHCP服务【配置方法】H3C undo ip http enableH3C undo ftp server enableH3C undo telnet server enableH3C undo dns serverH3C undo dhcp enable4. 安全防护4.1 BANNER【安全要求】应修改缺省BANNER语句,BANNER不应出现含有系统平台或地址等有碍安全的信息,防止信息泄露。【配置要求】修改网络设备的 banner 信息,如修改 login Banner 信息,C Banner 信息等。H3C undo header incoming 配置Modem登录用户进入用户视图时的显示信息。 H3C undo header legal 配置登录用户进入用户视图前的授权信息。 H3C undo header login 配置登录验证时的显示信息。 H3C undo header motd 登录终端界面前显示信息。H3C undo header shell 配置非Modem登录用户进入用户视图时的显示信息。4.2 ACL访问控制列表【安全要求】应设置 ACL 访问控制列表,控制并规范网络访问行为。【配置要求】根据具体业
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号