華三交換機(jī)基線配置

H3C交換機(jī)安全配置基線H3C交換機(jī)安全配置基線（Version 1.0）2012年12月1 引言 (1)2 適用范圍 (1)3 縮略語 (1)4 安全基線要求項命名規(guī)則 (2)5 文檔使用說明 (2)6 注意事項 (3)7 安全配置要求 (3)7.1 賬號管理 (3)7.1.1 運維賬號共享管理 (3)7.1.2 刪除與工作無關(guān)賬號 (3)7.2 口令管理 (4)7.2.1 靜態(tài)口令加密 (4)7.2.2 靜態(tài)口令運維管理 (4)7.3 認(rèn)證管理 (5)7.3.1 RADIUS認(rèn)證（可選） (5)7.4 日志審計 (6)7.4.1 RADIUS記賬（可選） (6)7.4.2 啟用信息中心 (6)7.4.3 遠(yuǎn)程日志功能 (7)7.4.4 日志記錄時間準(zhǔn)確性 (7)7.5 協(xié)議安全 (7)7.5.1 BPDU防護(hù) (8)7.5.2 根防護(hù) (8)7.5.3 VRRP認(rèn)證 (8)7.6 網(wǎng)絡(luò)管理 (9)7.6.1 SNMP協(xié)議版本 (9)7.6.2 修改SNMP默認(rèn)密碼 (9)7.6.3 SNMP通信安全（可選） (10)7.7 設(shè)備管理 (10)7.7.1 交換機(jī)帶內(nèi)管理方式 (10)7.7.2 交換機(jī)帶內(nèi)管理通信 (11)7.7.3 交換機(jī)帶內(nèi)管理超時 (11)7.7.4 交換機(jī)帶內(nèi)管理驗證 (12)7.7.5 交換機(jī)帶內(nèi)管理用戶級別 (12)7.7.6 交換機(jī)帶外管理超時 (13)7.7.7 交換機(jī)帶外管理驗證 (13)7.8 端口安全 (13)7.8.1 使能端口安全 (13)7.8.2 端口MAC地址數(shù) (14)7.8.3 交換機(jī)VLAN劃分 (14)7.9 其它 (15)7.9.1 交換機(jī)登錄BANNER管理 (15)7.9.2 交換機(jī)空閑端口管理 (15)7.9.3 禁用版權(quán)信息顯示 (16)附錄A 安全基線配置項應(yīng)用統(tǒng)計表 (17)附錄B 安全基線配置項應(yīng)用問題記錄表 (19)

目前成都創(chuàng)新互聯(lián)已為成百上千家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、成都網(wǎng)站托管、企業(yè)網(wǎng)站設(shè)計、海西網(wǎng)站維護(hù)等服務(wù)，公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

附錄C 中國石油NTP服務(wù)器列表 (20)1 引言本文檔規(guī)定了中國石油使用的H3C系列交換機(jī)應(yīng)當(dāng)遵循的交換機(jī)安全性設(shè)置標(biāo)準(zhǔn)，是中國石油安全基線文檔之一。本文檔旨在對信息系統(tǒng)的安全配置審計、加固操作起到指導(dǎo)性作用。本文檔主要起草人：靖小偉、楊志賢、張志偉、滕征岑、裴志宏、劉磊、葉銘、王勇、吳強。2 適用范圍本文檔適用于中國石油使用的H3C系列交換機(jī)，明確了H3C系列交換機(jī)在安全配置方面的基本要求，可作為編制設(shè)備入網(wǎng)測試、安全驗收、安全檢查規(guī)范等文檔的參考。3 縮略語TCP Transmission Control Protocol 傳輸控制協(xié)議UDP User Datagram Protocol 用戶數(shù)據(jù)報協(xié)議SNMP Simple Network Management Protocol 簡單網(wǎng)絡(luò)管理協(xié)議ARP Address Resolution Protocol 地址解析協(xié)議VLAN Virtual LAN 虛擬局域網(wǎng)STP Spanning Tree Protocol 生成樹協(xié)議RSTP Rapid Spanning Tree Protocol 快速生成樹協(xié)議MSTP Multiple Spanning Tree Protocol 多生成樹協(xié)議BPDU Bridge Protocol Data Unit 橋接協(xié)議數(shù)據(jù)單元VRRP Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議NTP Network Time Protocol 網(wǎng)絡(luò)時間協(xié)議AAA Authentication，Authorization，Accounting 認(rèn)證，授權(quán)，記賬GCC General Computer Controls 信息系統(tǒng)總體控制SBL Security Base Line 安全基線4 安全基線要求項命名規(guī)則安全基線要求項是安全基線的最小單位，每一個安全基線要求項對應(yīng)一個基本的可執(zhí)行

的安全規(guī)范明細(xì)，安全基線要求項命名規(guī)則為“安全基線–一級分類–二級分類–類型編號–明細(xì)編號”，如SBL-Switch-H3C-01-01，代表“安全基線–交換機(jī)– H3C –賬號類–運維賬號共享管理“。5 文檔使用說明1 隨著信息技術(shù)發(fā)展，路由器與交換機(jī)在功能上逐漸融合，具有共同點，部分路由器上配有交換板卡，可以實現(xiàn)服務(wù)器與終端計算機(jī)接入；部分交換機(jī)配有路由引擎，可以實現(xiàn)路由功能。雖然兩者具有一定共同點，但從路由器與交換機(jī)在生產(chǎn)環(huán)境中的應(yīng)用定位出發(fā)，本系列文檔分為路由器安全基線（側(cè)重于路由協(xié)議等）和交換機(jī)安全基線（側(cè)重于局域網(wǎng)交換與端口安全等）。2 H3C交換機(jī)可以通過命令行、Web、NMS等多種方式管理，本文檔中涉及的操作，均在命令行下完成。3 命令行中需要用戶定義的名稱與數(shù)值，文檔中均以標(biāo)出，用戶根據(jù)需要自行定義。例如local-user ，表示創(chuàng)建賬號名稱為name1的本地用戶，password cipher password1，表示本地用戶name1的密碼為passowrd1。4 由于各信息系統(tǒng)對于H3C系列交換機(jī)的要求不盡相同，因此對于第7章安全配置要求中的安全基線要求項，各信息系統(tǒng)根據(jù)實際情況選擇性進(jìn)行配置，并填寫附錄A《安全基線配置項應(yīng)用統(tǒng)計表》。5 在第7章安全配置要求中，部分安全基線要求項提供了閾值，如“交換機(jī)帶內(nèi)管理設(shè)置登錄超時，超時時間不宜設(shè)置過長，參考值為5分鐘?！?，此閾值為參考值，通過借鑒GCC、中國石油企標(biāo)、國內(nèi)外大型企業(yè)信息安全最佳實踐等資料得出。各信息系統(tǒng)如因業(yè)務(wù)需求無法應(yīng)用此閾值，在附錄A《安全基線配置項應(yīng)用統(tǒng)計表》的備注項進(jìn)行說明。6 注意事項由于H3C系列交換機(jī)普遍應(yīng)用于重要生產(chǎn)環(huán)境，對于本文檔中安全基線要求項，實施前需要在測試環(huán)境進(jìn)行驗證后應(yīng)用。在應(yīng)用安全基線配置項的過程中，如遇到技術(shù)性問題，填寫附錄B《安全基線配置項應(yīng)用問題記錄表》。在應(yīng)用安全基線配置前需要備份交換機(jī)的配置文件，以便出現(xiàn)故障時進(jìn)行

回退。7 安全配置要求7.1 賬號管理7.1.1 運維賬號共享管理安全基線編號SBL-Switch- H3C-01-01安全基線名稱運維賬號共享安全基線要求項安全基線要求按照用戶分配賬號，避免不同用戶間共享運維賬號檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1）網(wǎng)絡(luò)管理員列出交換機(jī)運維人員名單；2）查看dis current | i local-user結(jié)果：local-userlocal-userlocal-user3）對比命令顯示結(jié)果與運維人員賬號名單，如果運維人員之間不存在共享運維賬號，表明符合安全要求。基線配置項重要度高中低操作風(fēng)險評估高中低7.1.2 刪除與工作無關(guān)賬號安全基線編號SBL- Switch- H3C-01-02安全基線名稱賬號整改安全基線要求項安全基線要求刪除與工作無關(guān)的賬號，提高系統(tǒng)賬號安全檢測操作參考[Switch]dis current | i local-user安全判定依據(jù)1）網(wǎng)絡(luò)管理員列出交換機(jī)運維人員的賬號名單；2）查看dis current | i local-user結(jié)果：local-userlocal-userlocal-user3）對比顯示結(jié)果與賬號名單，如果發(fā)現(xiàn)與運維無關(guān)的賬號，表明不符合安全要求。備注無關(guān)賬號主要指測試賬號、共享賬號、長期不用賬號（半年以上）等?；€配置項重要度高中低操作風(fēng)險評估高中低7.2 口令管理7.2.1 靜態(tài)口令加密安全基線編號SBL- Switch- H3C-02-01安全基線名稱靜態(tài)口令加密安全基線要求項安全基線要求1）配置本地用戶口令使用“cipher”關(guān)鍵字2）配置super口令使用“cipher”關(guān)鍵字檢測操作參考1）[Switch]dis current | b local-user2）[Switch]dis current | i super password

安全判定依據(jù)如果顯示“cipher”關(guān)鍵字，如：1）local-userpassword cipher 密文password2）super password level cipher 密文password 表明符合安全要求?；€配置項重要度高中低操作風(fēng)險評估高中低7.2.2 靜態(tài)口令運維管理安全基線編號SBL- Switch- H3C-02-02安全基線名稱靜態(tài)口令運維管理安全基線要求項安全基線要求1）采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令最小長度不少于8個字符2）采用靜態(tài)口令認(rèn)證技術(shù)的設(shè)備，口令生存期最長為90天基線配置項重要度高中低7.3 認(rèn)證管理7.3.1 RADIUS認(rèn)證（可選）安全基線編號SBL- Switch- H3C-03-01安全基線名稱RADIUS認(rèn)證安全基線要求項安全基線要求配置RADIUS認(rèn)證，確認(rèn)遠(yuǎn)程用戶身份，判斷訪問者是否為合法的網(wǎng)絡(luò)用戶檢測操作參考1）[Switch]dis current | b radius scheme 2）[Switch]dis current | b domain3）[Switch]dis current | b user-interface vty安全判定依據(jù)如果顯示類似：1）配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2）配置域domainauthentication login radius-scheme local 3）配置本地用戶user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基線配置項重要度高中低操作風(fēng)險評估高中低7.4 日志審計7.4.1 RADIUS記賬（可選）

安全基線編號SBL- Switch- H3C-04-01安全基線名稱RADIUS記賬安全基線要求項安全基線要求與記賬服務(wù)器配合，設(shè)備配置日志功能：1）對用戶登錄進(jìn)行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠(yuǎn)程登錄時，用戶使用的IP地址；2）對用戶設(shè)備操作進(jìn)行記錄，如賬號創(chuàng)建、刪除和權(quán)限修改，口令修改等，記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果。檢測操作參考1）[Switch]dis current | b radius scheme2）[Switch]dis current | b domain安全判定依據(jù)如果顯示類似：1）配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2）配置域domainaccounting login radius-scheme local 表明符合安全要求?；€配置項重要度高中低操作風(fēng)險評估高中低7.4.2 啟用信息中心安全基線編號SBL- Switch- H3C-04-02安全基線名稱信息中心啟用安全基線要求項安全基線要求啟用信息中心，記錄與設(shè)備相關(guān)的事件檢測操作參考[Switch]dis info-center安全判定依據(jù)如果顯示類似：Information Center: enabled 表明符合安全要求。基線配置項重要度高中低操作風(fēng)險評估高中低7.4.3 遠(yuǎn)程日志功能安全基線編號SBL- Switch- H3C-04-03安全基線名稱遠(yuǎn)程日志功能安全基線要求項安全基線要求配置遠(yuǎn)程日志功能，使設(shè)備日志能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器檢測操作參考[Switch]dis current | i info-center loghost安全判定依據(jù)如果顯示類似：info-center loghost 表明符合安全要求。

￥

5

百度文庫VIP限時優(yōu)惠現(xiàn)在開通,立享6億+VIP內(nèi)容

立即獲取

H3C交換機(jī)安全配置基線

H3C交換機(jī)安全配置基線

H3C交換機(jī)安全配置基線（Version 1.0）

2012年12月

1 引言 (1)

2 適用范圍 (1)

3 縮略語 (1)

4 安全基線要求項命名規(guī)則 (2)

5 文檔使用說明 (2)

6 注意事項 (3)

7 安全配置要求 (3)

系統(tǒng)安全基線的意義是什么？

安全配置基線一方面是防范內(nèi)外部惡意攻擊的重要手段，也作為最基本的安全防護(hù)標(biāo)準(zhǔn)，同時生產(chǎn)服務(wù)器安全基線的變化也是發(fā)現(xiàn)惡意攻擊/行為的重要手段，特別是當(dāng)各種主動防御設(shè)備(防火墻、防病毒軟件、入侵檢測系統(tǒng)等)均被繞過時，往往安全基線設(shè)置是否嚴(yán)格以及是否產(chǎn)生變化成為防范惡意攻擊的最后一道防線。

主機(jī) linux 配置基線

Linux系統(tǒng)是非常穩(wěn)定和高效的，對電腦硬件配置要求很低，這正是Linux系統(tǒng)的優(yōu)勢所在，不 同的Linux系統(tǒng)版本要求略有不同，但是大體上在同一個配置等級內(nèi)，而且當(dāng)下主流的配置都可以輕松運行Linux系統(tǒng)，用戶可以參考如下Ubuntu的配置求：

一、Ubuntu的最低配置：

在外觀首選項里關(guān)閉特殊“視覺效果”后，下面配置可以流暢地運行Ubuntu：

CPU：700 MHz；

內(nèi)存：384 MB；

硬盤：6 GB 剩余空間；

顯卡：800x600以上分辨率；

二、Ubuntu推薦配置：

擁有以下硬件配置，可以打開視覺效果，令電腦產(chǎn)生美輪美奐的極具吸引力的效果：

CPU：1.2 GHz；

內(nèi)存：512 MB；

硬盤：8 GB 剩余空間；

顯卡：1024x768以上分辨率。

網(wǎng)頁題目：服務(wù)器主機(jī)安全基線配置 服務(wù)器主機(jī)安全基線配置怎么設(shè)置
文章出自：http://sd-ha.com/article18/dojscgp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供標(biāo)簽優(yōu)化、做網(wǎng)站、微信小程序、網(wǎng)站設(shè)計、商城網(wǎng)站、定制開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)