网络设备基线要求
1.1 H3C
1.1.1 登录方式
编号 | H3C-001 |
项目 | 登录方式 |
要求 | 配置使用用户名密码方式登录 |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 在系统视图下设置用户口令 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.2 密码复杂度
编号 | H3C-002 |
项目 | 密码复杂度 |
要求 | 设备使用的密码、认证字段均要求长度不小于8位,使用字母、数字、特殊符号组合 |
备注说明 | H3C设备不提供强制密码策略设置功能。依靠管理员手工设置 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.3 密码加密
编号 | H3C-003 |
项目 | 密码加密 |
要求 | 登录密码进行加密存储 |
备注说明 | 无 |
检查方法(参考) | 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.4 远程登录
编号 | H3C-004 |
项目 | 远程登录 |
要求 | 使用SSH方式远程管理 |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 在系统视图下sshauthentication-type defaultpassword 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.5 登录限制
编号 | H3C-005 |
项目 | 登录访问控制 |
要求 | 限定仅监控终端IP地址、堡垒机和紧急通道可访问SSH |
备注说明 | 通过配置访问控制列表实现 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 在系统视图 acl number 3088description this isfor ssh-telnetrule 10 permit tcpsource *.*.*.* *.*.*.*destination-port eq 22rule 20permit tcp source *.*.*.**.*.*.* destination-port eq22rule 30 permit tcp source*.*.*.* *.*.*.* destination-porteq telnet-------允许网管 #保存列表后再次进入系统视图下user-interface vty 0 9authentication-mode aaa #设置VTY口登录用户的验证方式为AAAprotocol inbound 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.6 登录超时
编号 | H3C-006 |
项目 | 登录超时 |
要求 | 设置登录超时为15分钟 |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 在系统模式下user-interface vty 0 4进入接口视图 在接口视图模式下输入idle-timeout 20 0设定登出时间 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.7 SNMP协议
编号 | H3C-007 |
项目 | SNMP协议安全 |
要求 | 使用V3版本,应限制接收源;使用SNMP协议设备应修改Community默认通行字,认证密码不小于8位。 配置参考: snmp-agent community read XXXX01
未使用SNMP协议的设备关闭SNMP服务 配置参考: Undo snmp enable undo snmp-agent community Rwuser |
备注说明 | 无 |
检查方法(参考) | snmp-agent community read XXXX01 检查当前配置display current-configuration |
检查工具 | 端口扫描工具 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.8 MPLS协议(可选)
编号 | H3C-008 |
项目 | MPLS安全 |
要求 | 启用LDP标签分发协议时,打开LDP协议认证功能,认证密码不小于8位,并使用MD5散列 配置参考: md5-password chiper LDPpwdMd5 |
备注说明 | 不使用MPLS协议的非路由设备不设置 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 在系统视图下Mpls ldpmd5-password cipher *.*.*.* xx 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.9 审计功能
编号 | H3C-009 |
项目 | 开启审计 |
要求 | 开启日志审计功能 配置参考: info-center enable |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 开启信息中心:info-centerenable 设置向控制台输出信息:info-center logbuffer channel 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.10 登录审计
编号 | H3C-010 |
项目 | 登录审计 |
要求 | 审计功能应能记录用户登录情况 配置参考: info-center console channel 0 |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 配置相应的日志服务器管理:info-center loghost IP facility local4 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.11 操作审计
编号 | H3C-011 |
项目 | 操作审计 |
要求 | 审计功能应能记录用户操作情况 配置参考: info-center logbuffer channel 4 |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 配置相应命令:info-center logbuffer channel 4 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.12 BANNER设置
编号 | H3C-012 |
项目 | 屏蔽banner显示 |
要求 | 不显示BANNER或修改BANNER显示为: WARNING: Unauthorized access and use of this equipment will be vigorously prosecuted. |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 在系统视图下输入header logininformation %WARNING:Unauthorized access and use of this equipment will be vigorously prosecuted.% 检查当前配置display current-configuration |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.13 端口最小化
编号 | H3C-013 |
项目 | 关闭多余端口 |
要求 | 使用shutdown命令关闭未使用的网络设备端口 |
备注说明 | 无 |
检查方法(参考) | 在普通视图下进入系统视图输入命令:system-view 在系统视图下interface Aux0/0/1 shutdown |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.1.14 服务最小化
编号 | H3C-014 |
项目 | 关闭服务 |
要求 | 关闭未使用的服务包括FTP、SFTP、HTTP、TELNET、DNS等。如部分服务无法关闭,需要限制登录源地址(有此功能需启用) |
备注说明 | 关闭服务的列表由管理员根据实际运维情况制定,对于需开启的服务应进行说明。 |
检查方法(参考) | FTP server disable SFTP server disable HTTP server disable TELNET server disable(旧设备不支持SSH,需要使用TELNET) 检查当前配置display current-configuration |
检查工具 | 端口扫描工具 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2 CISCO
1.2.1 登录方式
编号 | CISCO-001 |
项目 | 登录方式 |
要求 | 配置使用用户名密码方式登录 |
备注说明 | 无 |
检查方法(参考) | show running-config |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.2 密码复杂度
编号 | CISCO-002 |
项目 | 密码复杂度 |
要求 | 设备使用的密码、认证字段均要求长度不小于8位,使用字母、数字、特殊符号组合 |
备注说明 | CISCO设备不提供强制密码策略设置功能。依靠管理员手工设置 |
检查方法(参考) | 使用show running-config命令 |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.3 密码加密
编号 | CISCO-003 |
项目 | 密码加密 |
要求 | 登录密码进行加密存储 |
备注说明 | 无 |
检查方法(参考) | # config t Enter configuration commands, one per line. End with CNTL/Z. (config)# enable secret 2-mAny-rOUtEs (config)# no enable password (config)# end 使用show running-config命令 如果不加密,使用show running-config命令,可以看到未加密的密码 |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.4 密码过期时间
编号 | CISCO-004 |
项目 | 密码过期最长时间 |
要求 | 不大于90天 |
备注说明 | 管理员手工定期修改;系统对系统,不可登录的账户可以不符合本项 |
检查方法(参考) | 略 |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.5 特权模式
编号 | CISCO-005 |
项目 | 特权模式 |
要求 | 配置enable密码 |
备注说明 | 密码同样应遵守基本的密码策略:长度不小于8位,使用字母、数字、特殊符号组合 |
检查方法(参考) | # config t Enter configuration commands, one per line. End with CNTL/Z. (config)# enable secret 2-mAny-rOUtEs (config)# no enable password (config)# end 使用show running-config命令 如果不加密,使用show running-config命令,可以看到未加密的密码 |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.6 远程登录
编号 | CISCO-006 |
项目 | 远程登录 |
要求 | 使用SSH方式远程管理 |
备注说明 | 不支持SSH例外 |
检查方法(参考) | (config)# line vty 0 4 (config-line)# transport input ssh (config-line)# exit 使用show running-config命令 |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.7 登录限制
编号 | CISCO-007 |
项目 | 登录访问控制 |
要求 | 限定仅监控终端IP地址、堡垒机和紧急通道可访问SSH |
备注说明 | 通过配置访问控制列表实现 |
检查方法(参考) | 配置访问控制列表 (config)# no access-list 12 (config)# access-list 12 permit host 192.168.0.200 (config)# line vty 0 4 (config-line)# access-class 12 in (config-line)# exit |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.8 登录超时
编号 | CISCO-008 |
项目 | 登录超时 |
要求 | 设置登录超时为15分钟 |
备注说明 | 无 |
检查方法(参考) | (config)#line vty 0 9 (config-line)# exec-timeout15 0 (config)#line con0 (config-line)# exec-timeout15 0 Cisco telnet会话空闲时间默认是10分钟,将原来已经配置为其它时间的都改成15分钟。 |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.9 SNMP协议
编号 | CISCO-009 |
项目 | SNMP协议安全 |
要求 | 使用SNMP V3协议设备应修改Community默认通行字,认证密码不小于8位,限制接收源 配置参考: snmp-server community my_readonly RO snmp-server community my_readwrite RW 未使用SNMP协议的设备关闭SNMP、。 配置参考: no snmp-server |
备注说明 | 无 |
检查方法(参考) | #show ru | include snmp-server community snmp-server community FullHardPassword SNMP协议可以进行自动化网络管理,如果不设置强口令容易给网络带来巨大的波动 |
检查工具 | 端口扫描工具 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.10 MPLS协议(可选)
编号 | CISCO-010 |
项目 | MPLS安全 |
要求 | 启用LDP标签分发协议时,打开LDP协议认证功能,认证密码不小于8位,并使用MD5散列。 配置参考: mpls ldp neighbor vrf vpn1 10.1.1.1 password 7 nbrce1pwd |
备注说明 | 不使用MPLS协议的非路由设备不设置 |
检查方法(参考) | 使用show running-config命令,如下例: #show running-config | include mpls Building configuration... mpls ldp vrf vpn1 password required mpls ldp neighbor vrf vpn1 10.1.1.1 password 7 nbrce1pwd |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.11 审计功能
编号 | CISCO-011 |
项目 | 开启审计 |
要求 | 开启日志审计功能。 配置参考: aaa new-model |
备注说明 | 无 |
检查方法(参考) | 使用show running-config命令,如下例: 1#show runn | include aaa Building configuration...
Current configuration: !
aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.12 登录审计
编号 | CISCO-012 |
项目 | 登录审计 |
要求 | 审计功能应能记录用户登录情况 配置参考: aaa accounting connection default start-stop aaa accounting exec default start-stop |
备注说明 | 无 |
检查方法(参考) | 使用show running-config命令,如下例: 1#show runn | include aaa Building configuration...
Current configuration: !
aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.13 操作审计
编号 | CISCO-013 |
项目 | 操作审计 |
要求 | 审计功能应能记录用户操作情况 配置参考: aaa accounting commands 1 default start-stop aaa accounting commands 15 default start-stop |
备注说明 | 无 |
检查方法(参考) | 使用show running-config命令,如下例: 1#show runn | include aaa Building configuration...
Current configuration: !
aaa new-model aaa accounting commands 1 default start-stop group tacacs+ aaa accounting commands 15 default start-stop group tacacs+ |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.14 BANNER设置
编号 | CISCO-014 |
项目 | 屏蔽banner显示 |
要求 | 不显示Banner或修改BANNER显示为: WARNING:Unauthorized access and use of this equipment will be vigorously prosecuted. |
备注说明 | 无 |
检查方法(参考) | 修改banner命令如下: # config t Enter configuration commands, one per line. End with CNTL/Z. (config)# banner motd ^T WARNING:Unauthorized access and use of this equipment will be vigorously prosecuted. ^T |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.15 端口最小化
编号 | CISCO-015 |
项目 | 关闭多余端口 |
要求 | 服务器区使用shutdown命令关闭未使用的网络设备端口 |
备注说明 | 无 |
检查方法(参考) | (config-if)#shutdown |
检查工具 | 无 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |
1.2.16 服务最小化
编号 | CISCO-016 |
项目 | 关闭服务 |
要求 | 关闭未使用的服务包括FTP、SFTP、HTTP、TELNET、DNS等,无法关闭需要限制登录源地址(有此功能需启用) |
备注说明 | 关闭服务的列表由管理员根据实际运维情况制定,对于需开启的服务应进行说明 |
检查方法(参考) | 人工检查 |
检查工具 | 端口扫描工具 |
实施负责 | 网络管理员 |
检查负责 | 信息安全人员 |