华为交换机安全基线.pdf

### 华为交换机安全基线关键知识点解析 #### 第一章 概述 - **目的**：确保华为路由器和交换机的安全配置达到一定标准，从而保障设备的基础安全性。 - **适用范围**：该安全基线适用于网络管理员、网络安全管理员以及网络监控人员。 - **适用版本**：适用于所有华为交换机及路由器设备。 #### 第二章 帐号管理、认证授权安全要求 - **帐号管理** - **用户帐号分配** - **安全基线名称**：用户帐号分配安全 - **安全基线编号**：SBL-HUAWEI-02-01-01 - **安全基线说明**：要求每个用户都有独立的账号，并且不允许不同用户之间共享账号。同时，也禁止用户账号与设备间的通信账号共享。 - **参考配置操作**：通过`[Huawei]aaa`进入AAA视图，然后创建本地用户，设置密码、权限等级和服务类型。 - **安全判定条件**：检查配置文件中是否存在多个不同用户的账号分配；并通过网络管理员确认账号分配是否清晰明确。 - **检测操作**：使用`dis cur`命令查看当前配置，并对比显示结果与运维人员名单，确保没有账号共享的情况发生。 - **删除无关的帐号** - **安全基线名称**：删除无关的账号 - **安全基线编号**：SBL-HUAWEI-02-01-02 - **安全基线说明**：需要定期清理与设备运行、维护等工作无关的账号。 - **参考配置操作**：同样在AAA视图下，使用`undo local-user`命令来删除特定的本地用户。 - **安全判定条件**：检查配置文件中是否存在多个账号，并由网络管理员确认这些账号是否与设备运行、维护等工作有关。 - **检测操作**：使用`dis cur | include local-user`命令来查看所有本地用户的列表，并根据实际情况进行清理。 - **口令** - **静态口令以密文形式存放** - **安全基线说明**：所有的静态口令都应该以加密的形式存储在配置文件中，以防止泄露。 - **密码复杂度** - **安全基线说明**：口令应该具备一定的复杂度，例如包含大小写字母、数字和特殊字符的组合，以提高安全性。 - **授权** - **用IP协议进行远程维护的设备使用SSH等加密协议** - **安全基线说明**：对于需要通过IP协议进行远程维护的设备，应当使用SSH或其他加密协议来进行连接，以保护传输数据的安全性。 #### 第三章 日志安全要求 - **日志安全** - **启用信息中心** - **安全基线说明**：启动信息中心功能可以集中管理和分析设备的日志信息。 - **开启NTP服务保证记录的时间的准确性** - **安全基线说明**：启用NTP服务确保设备时钟同步，以便于准确地记录事件的时间戳。 - **远程日志功能** - **安全基线说明**：启用远程日志功能可以将日志发送到中央日志服务器，便于统一管理和审计。 #### 第四章 IP协议安全要求 - **IP协议** - **VRRP认证** - **安全基线说明**：启用VRRP认证机制可以防止非法设备冒充主设备。 - **系统远程服务只允许特定地址访问** - **安全基线说明**：通过配置ACL来限制只有特定的IP地址才能访问设备的远程服务。 - **功能配置** - **SNMP的Community默认通行字口令强度** - **安全基线说明**：SNMP Community字符串应当具有足够的强度，以防止被轻易猜解。 - **只与特定主机进行SNMP协议交互** - **安全基线说明**：配置ACL限制SNMP协议仅与特定主机交互，以减少潜在的安全风险。 - **配置SNMPV2或以上版本** - **安全基线说明**：使用SNMPV2或更高版本来增强安全性。 - **关闭未使用的SNMP协议及未使用write权限** - **安全基线说明**：关闭未使用的SNMP版本和写权限，减少攻击面。 #### 第五章 其他安全配置 - **关闭未使用的接口** - **安全基线说明**：对于未使用的物理或逻辑接口，应当关闭其服务，减少安全漏洞的风险。 - **修改设备缺省BANNER语** - **安全基线说明**：修改登录界面的默认提示信息，可以增加对攻击者的迷惑效果。 - **配置定时账户自动登出** - **安全基线说明**：设定一定时间后自动登出未活动的用户会话，防止未授权访问。 - **配置console口密码保护功能** - **安全基线说明**：确保控制台端口（console port）有密码保护措施，增加物理访问的安全性。 - **端口与实际应用相符** - **安全基线说明**：确保设备上开放的端口与其实际应用场景相匹配，避免不必要的端口暴露在外。 华为交换机安全基线覆盖了账号管理、认证授权、日志安全、IP协议安全等多个方面，旨在通过一系列具体的配置要求来提升网络设备的安全性。这些安全配置不仅有助于防御外部攻击，还可以减少内部威胁，是构建安全网络环境的重要组成部分。