欢迎来到天天文库
浏览记录
ID:55223479
大小:89.50 KB
页数:6页
时间:2020-05-06
《设备安全配置指南(基线).doc》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、网络设备基线配置2009-07-24发布2009-07-24实施中国联通公司发布中国联通内网华为路由/交换设备安全配置指南目录1范围12安全配置要求12.1password的加密12.2Super密码的使用12.3用户口令设置12.4用户权限设置12.5VTY的数量限制22.6VTY的访问限制22.7禁用Telnet方式访问系统22.8SSH的使用32.9SNMP服务设置32.10SNMP服务的共同体字符串设置32.11SNMP服务的访问控制设置32.12登录超时设置42.13禁用不使用的端口42.14禁用FTP服务42.15
2、日志审计44中国联通内网华为路由/交换设备安全配置指南1范围本文档规定了财务公司范围内安装的华为路由交换设备应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员进行华为路由交换设备的安全配置。2安全配置要求2.1password的加密配置项名称启用password加密功能操作步骤查看是否进行了如下配置:Password*******cipher安全建议建议对password进行加密,配置:Password*******cipher备注Password的加密(密文)2.2Super密码的使用配置项名称super密码的使用
3、操作步骤查看是否进行了如下配置:Superpassword******cipher安全建议建议设置super的密码用户登录设备以后,为了获得设备设置的权限必须进入super模式,如果未设置,则登录设备的用户直接就获得了配置设备的权限。命令为:SuperPassword*******cipher备注Super加密密文2.3用户口令设置配置项名称用户口令设置操作步骤询问管理员是否存在如下类似的简单用户密码配置,比如:Test、admin、root1234安全建议检查用户口令的设置情况,检查是否存在简单密码。要求密码长度最少为8位,
4、包含大小写字母、数字和特殊符号,密码变更周期。如果满足,则符合安全要求;如果不满足,则低于安全要求。备注2.4用户权限设置配置项名称用户权限设置4中国联通内网华为路由/交换设备安全配置指南操作步骤查看用户的权限设置。service-typelan-accessservice-typetelnetlevel1service-typeftp安全建议本着最小化的原则,应该只给用户赋予最小的权限,其他权限应该在需要时开启。备注1.1VTY的数量限制配置项名称VTY数量限制操作步骤查看是否作了如下的类似配置:user-interface
5、vty04建议为linevty01安全建议建议对VTY的数量进行合理的限制。设置为01即可。备注1.2VTY的访问限制配置项名称VTY的访问限制操作步骤查看是否作了如下的类似配置:access-list12permit********linevty01aclclass12Inbound安全建议建议对VTY的访问源地址进行合理的限制备注1.3禁用Telnet方式访问系统配置项名称禁用telent方式访问系统操作步骤查看配置文件中是否存在Switch(config)#linevty04Switch(config-line)#log
6、ininSwitch(config-line)#passwordSwitch(config-line)#exit如果存在,则低于安全要求;如果不存在,则符合安全要求。安全建议禁用Telnet方式远程访问系统。4中国联通内网华为路由/交换设备安全配置指南备注1.1SSH的使用配置项名称检查是否采用SSH登录方式操作步骤执行:discu是否存在SSH配置如果存在,则符合安全要求;如果不存在,则低于安全要求。安全建议建议如下配置,使用SSH替代Telent的访问方式:备注1.2SNMP服务设置配置项名称查看是否开启了SNMP服务操作
7、步骤查看配置中关于SNMP服务的设置情况:[Quidway]snmp-agenttrapenable安全建议如果用户不采用SNMP方式管理网络设备,则应关闭SNMP服务。命令为:[Quidway]undosnmp-agent备注简单网络管理协议的使用1.3SNMP服务的共同体字符串设置配置项名称检查SNMP服务的共同体字符串设置操作步骤查看配置中关于SNMP服务的共同体字符串设置情况:[Quidway]snmp-agentcommunityread******[Quidway]snmp-agentcommunitywrite*
8、*****安全建议设置复杂一些的字符串:命令为:[Quidway]#snmp-servercommunityread******备注在开启了SNMP服务的前提下,检查SNMP服务的共同体字符串设置情况,应该取消使用默认的public和private,如果不使用snmp配置设备
此文档下载收益归作者所有