Huawei路由安全配置基线.docx
- 文档编号:18487237
- 上传时间:2023-08-18
- 格式:DOCX
- 页数:14
- 大小:19.70KB
Huawei路由安全配置基线.docx
《Huawei路由安全配置基线.docx》由会员分享,可在线阅读,更多相关《Huawei路由安全配置基线.docx(14页珍藏版)》请在冰点文库上搜索。
Huawei路由安全配置基线
Huawei路由器安全配置基线
中国移动通信有限公司管理信息系统部
2009年03月
版本
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
备注:
1.若此文档需要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第1章概述
1.1目的
1.2目的
本文档规定了中国移动管理信息系统部所维护管理的Huawei路由器应当遵循的设备安全性设置标准,本文档旨在指导系统管理人员进行Huawei路由器的安全配置。
1.3适用范围
本配置标准的使用者包括:
网络管理员、网络安全管理员、网络监控人员。
本配置标准适用的范围包括:
中国移动总部和各省公司信息化部门维护管理的Huawei路由器。
1.4适用版本
Huawei路由器;
1.5实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1.6例外条款
欲申请本标准的例外条款,申请人必须准备书面申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章华为路由其设备配置安全要求
2.1账号管理
2.1.1管理缺省账户
安全基线项目名称
管理缺省账户安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-01-01
安全基线项说明
应按照用户分配账号。
避免不同用户间共享账号。
避免用户账号和设备间通信使用的账号共享。
检测操作步骤
displaycurrent-configurationconfigurationaaa
基线符合性判定依据
用配置中没有的用户名去登录,结果是不能登录
备注
2.1.2删除与设备运行、维护等工作无关的账号
安全基线项目名称
工作无关的账号安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-01-02
安全基线项说明
应删除与设备运行、维护等工作无关的账号
检测操作步骤
displaycurrent-configurationconfigurationaaa
基线符合性判定依据
配置中用户信息被删除。
备注
2.1.3限制具备管理员权限的用户远程登录
安全基线项目名称
限制具备管理员权限的用户远程登录安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-01-03
安全基线项说明
限制具备管理员权限的用户远程登录。
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。
检测操作步骤
displaycurrent-configurationconfigurationaaa
基线符合性判定依据
用户用相应的操作权限登录设备后,不具有最高权限级别3,这时有些操作不能做,例如修改aaa的配置。
这时如果想使用管理员权限必须提高用户级别。
备注
2.2口令
2.2.1静态口令长度
安全基线项目名称
静态口令长度安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-01
安全基线项说明
对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
检测操作步骤
displaycurrent-configurationconfigurationaaa
基线符合性判定依据
查看用户的口令长度是否至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类。
对于加密的口令,通过登陆检测。
备注
2.2.2静态口令加密保存
安全基线项目名称
静态口令加密保存安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-02
安全基线项说明
静态口令必须使用不可逆加密算法加密后保存于配置文件中。
检测操作步骤
displaycurrent-configurationconfigurationaaa
基线符合性判定依据
用户的加密口令在buildrun中显示的密文。
备注
2.2.3根据用户的业务需要配置其所需最小权限
安全基线项目名称
根据用户的业务需要配置其所需最小权限安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-03
安全基线项说明
在设备权限配置能力内,根据用户的业务需要,配置其所需的最小权限
检测操作步骤
displaycurrent-configurationconfigurationaaa
基线符合性判定依据
查看所有用户的级别都配置为其所需的最小权限。
备注
2.2.4根据用户的业务需要配置其所需的最小权限
安全基线项目名称
根据用户的业务需要配置其所需的最小权限安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-04
安全基线项说明
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
检测操作步骤
displaycurrent-configuration
基线符合性判定依据
对远程登陆用户先用RADIUS服务器进行认证,非法用户不可以登录。
备注
2.2.5帐号、口令和授权的强制要求
安全基线项目名称
帐号、口令和授权的强制要求安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-02-05
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
displaylogbuffer
基线符合性判定依据
在日志缓存上正确记录了日志信息。
备注
2.3日志配置
2.3.1记录用户操作
安全基线项目名称
记录用户操作安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-03-01
安全基线项说明
设备应配置日志功能,记录用户对设备的操作。
例如:
账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。
记录需要包含用户账号,操作时间,操作内容以及操作结果。
检测操作步骤
displaylogbuffer
基线符合性判定依据
对设备的操作会记录在日志中。
备注
2.3.2记录设备的安全事件
安全基线项目名称
记录设备的安全事件安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-03-02
安全基线项说明
设备应配置日志功能,记录对与设备相关的安全事件
检测操作步骤
displaylogbuffer
基线符合性判定依据
在日志缓存上正确记录了日志信息。
备注
2.3.3远程日志功能
安全基线项目名称
远程日志功能安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-03-03
安全基线项说明
设备应支持远程日志功能。
所有设备日志均能通过远程日志功能传输到日志服务器。
设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等
检测操作步骤
displaycurrent-configuration
基线符合性判定依据
是否正确配置了相应的日志服务器地址,日志服务器正确记录了日志信息。
备注
2.3.4保证日志功能记录的时间准确性
安全基线项目名称
保证日志功能记录的时间准确性安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-03-04
安全基线项说明
开启NTP服务,保证日志功能记录的时间的准确性。
路由器与NTPSERVER之间要开启认证功能。
检测操作步骤
dispntp-servicestatus
基线符合性判定依据
本地时钟与时钟源同步。
备注
2.4IP协议
2.4.1过滤所有和业务不相关的流量
安全基线项目名称
过滤所有和业务不相关的流量安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-01
安全基线项说明
对于具备TCP/UDP协议功能的设备,设备应根据业务需要,配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤,过滤所有和业务不相关的流量。
检测操作步骤
displaytrafficpolicy
基线符合性判定依据
通过测试打流,相关流被成功过滤。
备注
2.4.2远程维护的设备配置加密协议
安全基线项目名称
远程维护的设备配置加密协议安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-02
安全基线项说明
对于使用IP协议进行远程维护的设备,设备应配置使用SSH等加密协议。
检测操作步骤
dispcurrent-configuration|beginssh
基线符合性判定依据
通过抓包确定ssh登录的信息为加密信息。
备注
2.4.3ACL配置
安全基线项目名称
通过ACL配置对常见的漏洞攻击及病毒报文进行过滤安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-03
安全基线项说明
通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。
检测操作步骤
displaytrafficpolic
基线符合性判定依据
存在攻击流时,非法报文被过滤。
备注
2.4.4配置URPF
安全基线项目名称
配置URPF防止基于源地址欺骗的网络攻击行为安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-04
安全基线项说明
条件允许情况下,端口配置URPF(UnicastReversePathForwarding),即单播反向路径查找,其主要功能是防止基于源地址欺骗的网络攻击行为。
检测操作步骤
displaycurrent-configurationinterface
基线符合性判定依据
非法攻击报文被成功过滤。
备注
2.4.5动态路由协议口令要求配置MD5加密
安全基线项目名称
动态路由协议口令要求配置MD5加密安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-05
安全基线项说明
动态路由协议口令要求配置MD5加密。
检测操作步骤
displaycurrent-configurationconfigurationospf
基线符合性判定依据
Md5验证不通过的ospf邻居建立部不成功
备注
2.4.6制定路由策略
安全基线项目名称
制定路由策略安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-06
安全基线项说明
制定路由策略,禁止发布或接收不安全的路由信息
检测操作步骤
displaycurrent-configurationconfigurationospf
displayroute-policy
基线符合性判定依据
被禁止接收和发布的路由成功。
备注
2.4.7关闭未使用的SNMP协议及未使用RW权限
安全基线项目名称
关闭未使用的SNMP协议及未使用RW权限安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-07
安全基线项说明
系统应关闭未使用的SNMP协议及未使用RW权限
检测操作步骤
displaycurrent-configuration
基线符合性判定依据
关闭snmp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。
备注
2.4.8Community默认通行字应符合口令强度要求
安全基线项目名称
SNMP的Community默认通行字应符合口令强度要求安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-08
安全基线项说明
系统应修改SNMP的Community默认通行字,通行字应符合口令强度要求
检测操作步骤
displaycurrent-configuration
基线符合性判定依据
系统成功修改SNMP的Community为用户定义口令,非常规private或者public,并且符合口令强度要求。
备注
2.4.9配置SNMPV2或以上版本
安全基线项目名称
配置SNMPV2或以上版本安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-09
安全基线项说明
系统应配置为SNMPV2或以上版本。
检测操作步骤
displaycurrent-configuration
基线符合性判定依据
成功使能snmpv2c、和v3版本。
备注
2.4.10SNMP访问安全限制
安全基线项目名称
设置SNMP访问安全限制安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-10
安全基线项说明
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备
检测操作步骤
displaycurrent-configuration
基线符合性判定依据
通过设定acl来成功过滤特定的源才能进行访问。
备注
2.4.11打开LDP协议认证功能
安全基线项目名称
打开LDP协议认证功能安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-04-11
安全基线项说明
启用LDP标签分发协议时,打开LDP协议认证功能,如MD5加密,确保与可信方进行LDP协议交互。
检测操作步骤
displaycurrent-configurationconfigurationmpls
基线符合性判定依据
认证不匹配的ldp邻居不能成功建立。
备注
2.5其他配置
2.5.1关闭未使用的端口
安全基线项目名称
关闭未使用的端口安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-05-01
安全基线项说明
关闭未使用的端口
检测操作步骤
Displayinterface
基线符合性判定依据
未使用端口状态为admindown。
备注
2.5.2配置定时账户自动登出
安全基线项目名称
配置定时账户自动登出安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-05-02
安全基线项说明
配置定时账户自动登出,登出后用户需再次登录才能进入系统。
检测操作步骤
displaycurrent-configurationconfigurationuser-interface
基线符合性判定依据
在超出设定时间后,用户自动登出设备。
备注
2.5.3配置consol口密码保护功能
安全基线项目名称
consol口密码保护功能安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-05-03
安全基线项说明
配置consol口密码保护功能
检测操作步骤
displaycurrent-configurationconfigurationuser-interface
基线符合性判定依据
用consol口登录,密码输入错误,不能登录。
备注
2.5.4关闭网络设备不必要的服务
安全基线项目名称
关闭网络设备不必要的服务安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-05-04
安全基线项说明
关闭网络设备不必要的服务,比如FTP、TFTP服务等
检测操作步骤
displaycurrent-configuration
基线符合性判定依据
不能访问设备的ftp等服务。
备注
2.5.5系统远程管理服务只允许特定地址访问
安全基线项目名称
系统远程管理服务只允许特定地址访问安全基线要求项
安全基线编号
SBL-HuaweiRouter-02-05-05
安全基线项说明
系统远程管理服务TELNET、SSH默认可以接受任何地址的连接,出于安全考虑,应该只允许特定地址访问
检测操作步骤
displaycurrent-configurationconfigurationuser-interface
基线符合性判定依据
通过设定acl,成功过滤非法的访问。
备注
第3章
评审与修订
本标准由中国移动通信有限公司管理信息系统部定期进行审查,根据审视结果修订标准,并颁发执行。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Huawei 路由 安全 配置 基线
![提示](https://static.bingdoc.com/images/bang_tan.gif)