概述
目的
规范配置华为路由器、交换机设备,保证设备基本安全。
适用范围
本配置标准的使用者包括:网络管理员、网络安全管理员、网络监控人员。
适用版本
华为交换机、路由器。
帐号管理、认证授权安全要求
帐号管理
1.1.1 用户帐号分配*
1、安全基线名称:用户帐号分配安全
2、安全基线编号:SBL-HUAWEI-02-01-01
3、安全基线说明:应按照用户分配帐号,避免不同用户间共享帐号,避免用户帐号和设备间通信使用的帐号共享。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa] local-user admin password cipher admin123
鼠标右键[Huawei-aaa] local-user admin privilege level 15
[Huawei-aaa] local-user admin service-type ssh
[Huawei-aaa] local-user user password cipher user123
[Huawei-aaa] 周韵和姜文local-user user privilege level 4
[Huawei-aaa] local-user user service-type ssh
5、安全判定条件:
(1)配置文件中,存在不同的账号分配
(2)网络管理员确认用户与账号分配关系明确
6、检测操作:
使用命令dis cur命令查看:
…
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!
local-user admin privilege level 15
local-user admin service-type ssh
local-user user password cipher "=LP!6$^-IYNZP
local-user user privilege level 4
local-user user service-type ssh
#
对比命令显示结果与运维人员名单,如果运维人员之间不存在共享账号,表明符合安全要求。
1.1.2 删除无关的帐号*
1、安全基线名称:删除无关的账号
2、安全基线编号:SBL-HUAWEI-02-01-02
3、安全基线说明:应删除与设备运行、维护等工作无关的账号。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]undo local-user user
跑步机哪个品牌好5、安全判定条件:
(1)配置文件存在多个账号
(2)网络管理员确认账号与设备运行、维护等工作无关
6、检测操作:
使用dis cur | include local-user命令查看:
[Huawei]dis cur | include local-user
local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!
local-user admin privilege level 15
local-user admin service-type ssh天若有情天亦老的意思
若不存在无用账号则说明符合安全要求。
1.1.3 静态口令以密文形式存放
1、安全基线名称:静态口令以密文形式存放
2、安全基线编号:SBL-HUAWEI-02-02-01
3、安全基线说明:配置本地用户和super口令使用密文密码。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-user admin password cipher admin123
最浪漫的qq签名[Huawei]super password cipher admin123
最搞笑qq签名5、安全判定条件:
配置文件中没有明文密码字段。
6、检测操作:
查看本地用户密码:
[Huawei]dis cur | include local-user
local-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!
local-user admin privilege level 15
local-user admin service-type ssh
查看super密码:
[Huawei]dis cur | include super
super password level 3 cipher mPZr=2!Z<@u:|l#3M^#3Icf# #
1.1.4 密码复杂度
1、安全基线名称:密码复杂度
2、安全基线编号:SBL-HUAWEI-02-02-02
3、安全基线说明:对于采用静态口令认证技术的设备,口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。且5次以内不得设置相同的口令。密码应
至少每90天进行更换。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa]local-user admin password cipher admin@xiangyun
5、安全判定条件:
密码强度符合要求,密码至少90天进行更换。
授权
1.1.5 用IP协议进行远程维护的设备使用SSH等加密协议
1、安全基线名称:用IP协议进行远程维护设备
2、安全基线编号:SBL-HUAWEI-02-03-01
3、安全基线说明:使用IP协议进行远程维护设备,应配置使用SSH等加密协议连接。
4、参考配置操作:
[Huawei]aaa
[Huawei-aaa] local-user admin password cipher admin123
[Huawei-aaa] local-user admin privilege level 15
[Huawei-aaa] local-user admin service-type ssh
[Huawei]rsa local-key-pair create
[Huawei]stelnet server enable
[Huawei]ssh user admin service-type stelnet
发布评论