- 配置操作指南
- 登录限制
| 基线编号 |
SR-02001 |
| 基线内容 |
设备远程终端管理应关闭TELNET和HTTP方式,只采用SSH加密方式,并配置管理主机限制;本地CON口和AUX口启用验证。 |
| 参考配置操作 |
1、启用SSH加密方式配置实施指导: local-user huawei //创建本地用户账户 service-type ssh telnet terminal //设置该账户服务类型 level 3 //设置用户权限级别 # ssh server enable //开启ssh server 服务 # public-key local create rsa //创建公钥 The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes. Press CTRL+C to aboSR. Input the bits of the modulus[default = 1024]: <直接回车> Generating Keys... .......................................................++++++ .............++++++ ...........++++++++ ....++++++++ # user-interface vty 0 4 protocol inbound ssh //限制远程终端管理只允许使SSH协议 2、配置管理主机限制: acl number 2000 name PERMIT_TELNET //创建标准访问控制列表 rule 10 permit source 10.xx.xx.xx 0 logging rule 15 permit source 10.xx.xx.xx 0 logging rule 20 permit source 10. xx.xx.xx 0 logging rule 25 permit source 10. xx.xx.xx 0 logging # user-interface vty 0 4 //进入终端配置模式下 acl 2000 inbound //下发访问控制列表 quit 3、CON口和AUX口启用验证: user-interface con 0 authentication-mode scheme user-interface aux 0 authentication-mode scheme |
| 补充操作说明 |
在系统模式下进行操作 |
-
- 口令加固
| 基线编号 |
SR-02002 |
| 基线内容 |
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类;静态口令必须使用不可逆加密算法加密后保存于配置文件中。 |
| 参考配置操作 |
aaa local-user user1 password cipher NumABC%$ display curr local-user user1 password cipher N`C55QK<`=/Q=^Q`MAF4<1!! |
| 补充操作说明 |
在系统模式下进行操作 |
-
- 登录超时
| 基线编号 |
SR-02004 |
| 基线内容 |
配置登录空闲超时自动登出,登出后用户需再次登录才能进入系统。 |
| 参考配置操作 |
user-interface con 0 idle-timeout 3 0 //CON口空闲3分钟自动断开连接 user-interface aux 0 idle-timeout 3 0 //AUX口空闲3分钟自动断开连接 user-interface vty 0 4 idle-timeout 3 0 //远程终端管理空闲3分钟自动断开连接 |
| 补充操作说明 |
配置空闲时间不大于5分钟 |
-
- 账户管理
| 基线编号 |
SR-02005 |
| 基线内容 |
|
| 参考配置操作 |
1、按照不同管理员创建不同账户 aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user2 password cipher PWD2 local-user user2 service-type ftp # user-interface vty 0 4 authentication-mode aaa 2、删除默认账户和不使用账户 aaa undo local-user test 3、 账户权限分配 super password level 3 cipher superPWD aaa local-user user1 password cipher PWD1 local-user user1 service-type telnet local-user user1 level 2 # user-interface vty 0 4 authentication-mode aaa |
| 补充操作说明 |
在系统模式下进行操作 |
-
- 关闭不适用服务
| 基线编号 |
SR-03002 |
| 基线内容 |
关闭网络设备不使用的或默认开启的服务,比如NDP、FTP、HTTP、TFTP服务等。 |
| 参考配置操作 |
Undo ndp enable Undo http server enable Undo ftp server |
| 补充操作说明 |
在系统模式下进行操作 |
-
- 开启ntp服务
| 基线编号 |
SR-03003 |
| 基线内容 |
1、开启NTP服务,保证日志功能记录的时间的准确性; 2、路由器与NTP SERVER之间要开启认证功能; 3、配置正确的时区; 4、如不具备同步网络NTP服务器环境,建议更改设备时间为当前时间。 |
| 参考配置操作 |
ntp-service unicast-server 2.2.2.2
ntp-service authentication-keyid 1 authentication-mode md5 N`C55QK<`=/Q=^Q`MAF4<1!! ntp-service unicast-server 2.2.2.2 authentication-keyid 1
clock timezone bj add 8:00:00 4、修改设备时钟 clock datetime 时:分:秒 月/日/年 |
| 补充操作说明 |
在系统模式下进行操作 |
-
- 配置snmp
| 基线编号 |
SR-03004 |
| 基线内容 |
|
| 参考配置操作 |
1、如不使用SNMP网管协议对设备进行管理,建议关闭 Undo snmp enable undo snmp-agent community RWuser 2、snmp-agent community read XXXX01 3、snmp-agent sys-info version v3 4、snmp-agent community read XXXX01 acl 2000 |
| 补充操作说明 |
在系统模式下进行操作 |
-
- 端口安全
-
- 登录旗标
| 基线编号 |
SR-04002 |
| 基线内容 |
配置登录旗标,警告非法登录设备人员及方便管理员维护设备,登录旗标最好不要有系统平台或地址等有碍安全的信息。 |
| 参考配置操作 |
Header login % Warning: Only Allowed Consumer Can Enter ! % |
| 补充操作说明 |
进入系统模式下操作 |
-
- 日志配置
| 基线编号 |
SR-05002 |
| 基线内容 |
1、设备应开启日志记录功能,记录对与设备相关的安全事件。 2、设备应配置日志功能,记录用户对设备的操作。例如:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。 3、设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。 |
| 参考配置操作 |
info-center enable
info-center logbuffer channel 4
info-center loghost 202.38.1.10 facility local4 language english |
| 补充操作说明 |
在系统模式下进行操作。 |
-
- 路由协议
| 基线编号 |
SR-06001 |
| 基线内容 |
动态路由协议口令要求配置MD5加密。 |
| 参考配置操作 |
ospf 2 area 0.0.0.0 authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!! |
| 补充操作说明 |
路由协议配置模式下操作 |