Huawei网络设备加固规范V01

Huawei网络设备加固规范2019年10月目录1帐号管理、认证授权......................................................................................................................21.1账号管理.................................................................................................................................21.1.1SHG-Huawei-01-01-01...................................................................................................21.2登录要求.................................................................................................................................31.2.1SHG-Huawei-01-02-01...................................................................................................31.2.2SHG-Huawei-01-02-02...................................................................................................41.2.3SHG-Huawei-01-02-03...................................................................................................41.3认证和授权.............................................................................................................................51.3.1SHG-Huawei-01-03-01...................................................................................................52日志配置..........................................................................................................................................62.1.1SHG-Huawei-02-01-01...................................................................................................63通信协议..........................................................................................................................................73.1.1SHG-Huawei-03-01-01...................................................................................................73.1.2SHG-Huawei-03-01-02...................................................................................................83.1.3SHG-Huawei-03-01-03...................................................................................................93.1.4SHG-Huawei-03-01-04...................................................................................................93.1.5SHG-Huawei-03-01-05......................................................................................................103.1.6SHG-Huawei-03-01-06.................................................................................................114设备其它安全要求........................................................................................................................114.1.1SHG-Huawei-04-01-01.................................................................................................114.1.2SHG-Huawei-04-01-02.................................................................................................12第2页共13页1帐号管理、认证授权1.1账号管理1.1.1SHG-Huawei-01-01-01编号：SHG-Huawei-01-01-01名称：无效帐户清理实施目的：删除与设备运行、维护等工作无关的账号问题影响：账号混淆，权限不明确，存在用户越权使用的可能。系统当前状态：查看备份的系统配置文件中帐号信息。实施方案：1、参考配置操作aaaundolocal-usertest回退方案：还原系统配置文件。判断依据：标记用户用途，定期建立用户列表，比较是否有非法用户实施风险：低重要等级：★★★实施风险：低重要等级：★★★第3页共13页1.2登录要求1.2.1SHG-Huawei-01-02-01编号：Huawie-01-02-01名称：远程登录加密传输实施目的：远程登陆采用加密传输问题影响：泄露密码系统当前状态：查看备份的系统配置文件中远程登陆的配置状态。实施方案：1、参考配置操作全局模式下配置如下命令：（1）R36xxE系列、R2631E系列#protocolinboundsshx[aclxxxx]；#sshuserxxxxassignrsa-keyxxxxxx；#sshuserxxxxauthentication-type[password|RSA|all]（2）NE系列#local-userusernamepassword[simple|cipher]password#aaaenable#sshuserusernameauthentication-typepassword#user-interfacevtyx#authentication-modeschemedefault#protocolinboundssh回退方案：还原系统配置文件。判断依据：查看备份的系统配置文件中远程登陆的配置状态。实施风险：高重要等级：★第4页共13页1.2.2SHG-Huawei-01-02-02编号：SHG-Huawei-01-02-02名称：加固AUX端口的管理实施目的：除非使用拨号接入时使用AUX端口，否则禁止这个端口。问题影响：用户非法登陆系统当前状态：查看备份的系统配置文件中关于CON配置状态。实施方案：1、参考配置操作#undomodem设置完成后无法通过AUX拨号接入路由器回退方案：还原系统配置文件。判断依据：查看备份的系统配置文件中关于CON配置状态。实施风险：中重要等级：★1.2.3SHG-Huawei-01-02-03编号：SHG-Huawei-01-02-03名称：远程登陆源地址限制实施目的：对登录用户的源IP地址进行过滤，防止某些获得登录密码的用户从非法的地址登录到设备上。问题影响：非法登陆。系统当前状态：查看备份的系统配置文件中关于登录配置状态。实施方案：1、参考配置操作全局模式下配置如下命令：aclacl-number[match[config|auto]];rule{normal|special}{permit|deny}[sourcexxxxxx][destinationxxxxxx]….第5页共13页回退方案：还原系统配置文件。判断依据：查看备份的系统配置文件中关于登录配置状态。实施风险：中重要等级：★1.3认证和授权1.3.1SHG-Huawei-01-03-01编号：SHG-Huawei-01-03-01名称：认证和授权设置实施目的：设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。问题影响：非法登陆。系统当前状态：查看备份的系统配置文件中相关配置。实施方案：1、参考配置操作#对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证。#认证服务器IP地址为129.7.66.66，无备用服务器，端口号为默认值1812。#配置RADIUS服务器模板。[Router]radius-servertemplateshiva#配置RADIUS认证服务器IP地址和端口。Router-radius-shiva]radius-serverauthentication129.7.66.661812#配置RADIUS服务器密钥、重传次数。[Router-radius-shiva]radius-servershared-keyit-is-my-secret[Router-radius-shiva]radius-serverretransmit2[Router-radius-shiva]quit#进入AAA视图。第6页共13页[Router]aaa#配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。[Router–aaa]authentication-schemer-n[Router-aaa-authen-r-n]authentication-moderadiusnone[Router-aaa-authen-r-n]quit#配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。[Router-aaa]domaindefault[Router-aaa-domain-default]authentication-schemer-n[Router-aaa-domain-default]radius-servershiva回退方案：还原系统配置文件。判断依据：查看备份的系统配置文件中相关配置。实施风险：低重要等级：★2日志配置2.1.1SHG-Huawei-02-01-01编号：SHG-Huawe