### 华为交换机安全基线关键知识点解析 #### 第一章 概述 - **目的**:确保华为路由器和交换机的安全配置达到一定标准,从而保障设备的基础安全性。 - **适用范围**:该安全基线适用于网络管理员、网络安全管理员以及网络监控人员。 - **适用版本**:适用于所有华为交换机及路由器设备。 #### 第二章 帐号管理、认证授权安全要求 - **帐号管理** - **用户帐号分配** - **安全基线名称**:用户帐号分配安全 - **安全基线编号**:SBL-HUAWEI-02-01-01 - **安全基线说明**:要求每个用户都有独立的账号,并且不允许不同用户之间共享账号。同时,也禁止用户账号与设备间的通信账号共享。 - **参考配置操作**:通过`[Huawei]aaa`进入AAA视图,然后创建本地用户,设置密码、权限等级和服务类型。 - **安全判定条件**:检查配置文件中是否存在多个不同用户的账号分配;并通过网络管理员确认账号分配是否清晰明确。 - **检测操作**:使用`dis cur`命令查看当前配置,并对比显示结果与运维人员名单,确保没有账号共享的情况发生。 - **删除无关的帐号** - **安全基线名称**:删除无关的账号 - **安全基线编号**:SBL-HUAWEI-02-01-02 - **安全基线说明**:需要定期清理与设备运行、维护等工作无关的账号。 - **参考配置操作**:同样在AAA视图下,使用`undo local-user`命令来删除特定的本地用户。 - **安全判定条件**:检查配置文件中是否存在多个账号,并由网络管理员确认这些账号是否与设备运行、维护等工作有关。 - **检测操作**:使用`dis cur | include local-user`命令来查看所有本地用户的列表,并根据实际情况进行清理。 - **口令** - **静态口令以密文形式存放** - **安全基线说明**:所有的静态口令都应该以加密的形式存储在配置文件中,以防止泄露。 - **密码复杂度** - **安全基线说明**:口令应该具备一定的复杂度,例如包含大小写字母、数字和特殊字符的组合,以提高安全性。 - **授权** - **用IP协议进行远程维护的设备使用SSH等加密协议** - **安全基线说明**:对于需要通过IP协议进行远程维护的设备,应当使用SSH或其他加密协议来进行连接,以保护传输数据的安全性。 #### 第三章 日志安全要求 - **日志安全** - **启用信息中心** - **安全基线说明**:启动信息中心功能可以集中管理和分析设备的日志信息。 - **开启NTP服务保证记录的时间的准确性** - **安全基线说明**:启用NTP服务确保设备时钟同步,以便于准确地记录事件的时间戳。 - **远程日志功能** - **安全基线说明**:启用远程日志功能可以将日志发送到中央日志服务器,便于统一管理和审计。 #### 第四章 IP协议安全要求 - **IP协议** - **VRRP认证** - **安全基线说明**:启用VRRP认证机制可以防止非法设备冒充主设备。 - **系统远程服务只允许特定地址访问** - **安全基线说明**:通过配置ACL来限制只有特定的IP地址才能访问设备的远程服务。 - **功能配置** - **SNMP的Community默认通行字口令强度** - **安全基线说明**:SNMP Community字符串应当具有足够的强度,以防止被轻易猜解。 - **只与特定主机进行SNMP协议交互** - **安全基线说明**:配置ACL限制SNMP协议仅与特定主机交互,以减少潜在的安全风险。 - **配置SNMPV2或以上版本** - **安全基线说明**:使用SNMPV2或更高版本来增强安全性。 - **关闭未使用的SNMP协议及未使用write权限** - **安全基线说明**:关闭未使用的SNMP版本和写权限,减少攻击面。 #### 第五章 其他安全配置 - **关闭未使用的接口** - **安全基线说明**:对于未使用的物理或逻辑接口,应当关闭其服务,减少安全漏洞的风险。 - **修改设备缺省BANNER语** - **安全基线说明**:修改登录界面的默认提示信息,可以增加对攻击者的迷惑效果。 - **配置定时账户自动登出** - **安全基线说明**:设定一定时间后自动登出未活动的用户会话,防止未授权访问。 - **配置console口密码保护功能** - **安全基线说明**:确保控制台端口(console port)有密码保护措施,增加物理访问的安全性。 - **端口与实际应用相符** - **安全基线说明**:确保设备上开放的端口与其实际应用场景相匹配,避免不必要的端口暴露在外。 华为交换机安全基线覆盖了账号管理、认证授权、日志安全、IP协议安全等多个方面,旨在通过一系列具体的配置要求来提升网络设备的安全性。这些安全配置不仅有助于防御外部攻击,还可以减少内部威胁,是构建安全网络环境的重要组成部分。
剩余22页未读,继续阅读
- 粉丝: 11
- 资源: 9
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助