① 華三交換機基線配置
H3C交換機安全配置基線H3C交換機安全配置基線(Version 1.0)2012年12月1 引言 (1)2 適用范圍 (1)3 縮略語 (1)4 安全基線要求項命名規則 (2)5 文檔使用說明 (2)6 注意事項 (3)7 安全配置要求 (3)7.1 賬號管理 (3)7.1.1 運維賬號共享管理 (3)7.1.2 刪除與工作無關賬號 (3)7.2 口令管理 (4)7.2.1 靜態口令加密 (4)7.2.2 靜態口令運維管理 (4)7.3 認證管理 (5)7.3.1 RADIUS認證(可選) (5)7.4 日誌審計 (6)7.4.1 RADIUS記賬(可選) (6)7.4.2 啟用信息中心 (6)7.4.3 遠程日誌功能 (7)7.4.4 日誌記錄時間准確性 (7)7.5 協議安全 (7)7.5.1 BPDU防護 (8)7.5.2 根防護 (8)7.5.3 VRRP認證 (8)7.6 網路管理 (9)7.6.1 SNMP協議版本 (9)7.6.2 修改SNMP默認密碼 (9)7.6.3 SNMP通信安全(可選) (10)7.7 設備管理 (10)7.7.1 交換機帶內管理方式 (10)7.7.2 交換機帶內管理通信 (11)7.7.3 交換機帶內管理超時 (11)7.7.4 交換機帶內管理驗證 (12)7.7.5 交換機帶內管理用戶級別 (12)7.7.6 交換機帶外管理超時 (13)7.7.7 交換機帶外管理驗證 (13)7.8 埠安全 (13)7.8.1 使能埠安全 (13)7.8.2 埠MAC地址數 (14)7.8.3 交換機VLAN劃分 (14)7.9 其它 (15)7.9.1 交換機登錄BANNER管理 (15)7.9.2 交換機空閑埠管理 (15)7.9.3 禁用版權信息顯示 (16)附錄A 安全基線配置項應用統計表 (17)附錄B 安全基線配置項應用問題記錄表 (19)
附錄C 中國石油NTP伺服器列表 (20)1 引言本文檔規定了中國石油使用的H3C系列交換機應當遵循的交換機安全性設置標准,是中國石油安全基線文檔之一。本文檔旨在對信息系統的安全配置審計、加固操作起到指導性作用。本文檔主要起草人:靖小偉、楊志賢、張志偉、滕征岑、裴志宏、劉磊、葉銘、王勇、吳強。2 適用范圍本文檔適用於中國石油使用的H3C系列交換機,明確了H3C系列交換機在安全配置方面的基本要求,可作為編制設備入網測試、安全驗收、安全檢查規范等文檔的參考。3 縮略語TCP Transmission Control Protocol 傳輸控制協議UDP User Datagram Protocol 用戶數據報協議SNMP Simple Network Management Protocol 簡單網路管理協議ARP Address Resolution Protocol 地址解析協議VLAN Virtual LAN 虛擬區域網STP Spanning Tree Protocol 生成樹協議RSTP Rapid Spanning Tree Protocol 快速生成樹協議MSTP Multiple Spanning Tree Protocol 多生成樹協議BPDU Bridge Protocol Data Unit 橋接協議數據單元VRRP Virtual Router Rendancy Protocol 虛擬路由器冗餘協議NTP Network Time Protocol 網路時間協議AAA Authentication,Authorization,Accounting 認證,授權,記賬GCC General Computer Controls 信息系統總體控制SBL Security Base Line 安全基線4 安全基線要求項命名規則安全基線要求項是安全基線的最小單位,每一個安全基線要求項對應一個基本的可執行
的安全規范明細,安全基線要求項命名規則為「安全基線–一級分類–二級分類–類型編號–明細編號」,如SBL-Switch-H3C-01-01,代表「安全基線–交換機– H3C –賬號類–運維賬號共享管理「。5 文檔使用說明1> 隨著信息技術發展,路由器與交換機在功能上逐漸融合,具有共同點,部分路由器上配有交換板卡,可以實現伺服器與終端計算機接入;部分交換機配有路由引擎,可以實現路由功能。雖然兩者具有一定共同點,但從路由器與交換機在生產環境中的應用定位出發,本系列文檔分為路由器安全基線(側重於路由協議等)和交換機安全基線(側重於區域網交換與埠安全等)。2> H3C交換機可以通過命令行、Web、NMS等多種方式管理,本文檔中涉及的操作,均在命令行下完成。3> 命令行中需要用戶定義的名稱與數值,文檔中均以<>標出,用戶根據需要自行定義。例如local-user ,表示創建賬號名稱為name1的本地用戶,password cipher < password1>,表示本地用戶name1的密碼為passowrd1。4> 由於各信息系統對於H3C系列交換機的要求不盡相同,因此對於第7章安全配置要求中的安全基線要求項,各信息系統根據實際情況選擇性進行配置,並填寫附錄A《安全基線配置項應用統計表》。5> 在第7章安全配置要求中,部分安全基線要求項提供了閾值,如「交換機帶內管理設置登錄超時,超時時間不宜設置過長,參考值為5分鍾。」,此閾值為參考值,通過借鑒GCC、中國石油企標、國內外大型企業信息安全最佳實踐等資料得出。各信息系統如因業務需求無法應用此閾值,在附錄A《安全基線配置項應用統計表》的備注項進行說明。6 注意事項由於H3C系列交換機普遍應用於重要生產環境,對於本文檔中安全基線要求項,實施前需要在測試環境進行驗證後應用。在應用安全基線配置項的過程中,如遇到技術性問題,填寫附錄B《安全基線配置項應用問題記錄表》。在應用安全基線配置前需要備份交換機的配置文件,以便出現故障時進行
回退。7 安全配置要求7.1 賬號管理7.1.1 運維賬號共享管理安全基線編號SBL-Switch- H3C-01-01安全基線名稱運維賬號共享安全基線要求項安全基線要求按照用戶分配賬號,避免不同用戶間共享運維賬號檢測操作參考[Switch]dis current | i local-user安全判定依據1)網路管理員列出交換機運維人員名單;2)查看dis current | i local-user結果:local-userlocal-userlocal-user3)對比命令顯示結果與運維人員賬號名單,如果運維人員之間不存在共享運維賬號,表明符合安全要求。基線配置項重要度高中低操作風險評估高中低7.1.2 刪除與工作無關賬號安全基線編號SBL- Switch- H3C-01-02安全基線名稱賬號整改安全基線要求項安全基線要求刪除與工作無關的賬號,提高系統賬號安全檢測操作參考[Switch]dis current | i local-user安全判定依據1)網路管理員列出交換機運維人員的賬號名單;2)查看dis current | i local-user結果:local-userlocal-userlocal-user3)對比顯示結果與賬號名單,如果發現與運維無關的賬號,表明不符合安全要求。備注無關賬號主要指測試賬號、共享賬號、長期不用賬號(半年以上)等。基線配置項重要度高中低操作風險評估高中低7.2 口令管理7.2.1 靜態口令加密安全基線編號SBL- Switch- H3C-02-01安全基線名稱靜態口令加密安全基線要求項安全基線要求1)配置本地用戶口令使用「cipher」關鍵字2)配置super口令使用「cipher」關鍵字檢測操作參考1)[Switch]dis current | b local-user2)[Switch]dis current | i super password
安全判定依據如果顯示「cipher」關鍵字,如:1)local-userpassword cipher <密文password>2)super password level cipher <密文password> 表明符合安全要求。基線配置項重要度高中低操作風險評估高中低7.2.2 靜態口令運維管理安全基線編號SBL- Switch- H3C-02-02安全基線名稱靜態口令運維管理安全基線要求項安全基線要求1)採用靜態口令認證技術的設備,口令最小長度不少於8個字元2)採用靜態口令認證技術的設備,口令生存期最長為90天基線配置項重要度高中低7.3 認證管理7.3.1 RADIUS認證(可選)安全基線編號SBL- Switch- H3C-03-01安全基線名稱RADIUS認證安全基線要求項安全基線要求配置RADIUS認證,確認遠程用戶身份,判斷訪問者是否為合法的網路用戶檢測操作參考1)[Switch]dis current | b radius scheme 2)[Switch]dis current | b domain3)[Switch]dis current | b user-interface vty安全判定依據如果顯示類似:1)配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2)配置域domainauthentication login radius-scheme local 3)配置本地用戶user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基線配置項重要度高中低操作風險評估高中低7.4 日誌審計7.4.1 RADIUS記賬(可選)
安全基線編號SBL- Switch- H3C-04-01安全基線名稱RADIUS記賬安全基線要求項安全基線要求與記賬伺服器配合,設備配置日誌功能:1)對用戶登錄進行記錄,記錄內容包括用戶登錄使用的賬號,登錄是否成功,登錄時間,以及遠程登錄時,用戶使用的IP地址;2)對用戶設備操作進行記錄,如賬號創建、刪除和許可權修改,口令修改等,記錄需要包含用戶賬號,操作時間,操作內容以及操作結果。檢測操作參考1)[Switch]dis current | b radius scheme2)[Switch]dis current | b domain安全判定依據如果顯示類似:1)配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2)配置域domainaccounting login radius-scheme local 表明符合安全要求。基線配置項重要度高中低操作風險評估高中低7.4.2 啟用信息中心安全基線編號SBL- Switch- H3C-04-02安全基線名稱信息中心啟用安全基線要求項安全基線要求啟用信息中心,記錄與設備相關的事件檢測操作參考[Switch]dis info-center安全判定依據如果顯示類似:Information Center: enabled 表明符合安全要求。基線配置項重要度高中低操作風險評估高中低7.4.3 遠程日誌功能安全基線編號SBL- Switch- H3C-04-03安全基線名稱遠程日誌功能安全基線要求項安全基線要求配置遠程日誌功能,使設備日誌能通過遠程日誌功能傳輸到日誌伺服器檢測操作參考[Switch]dis current | i info-center loghost安全判定依據如果顯示類似:info-center loghost 表明符合安全要求。
¥
5
網路文庫VIP限時優惠現在開通,立享6億+VIP內容
立即獲取
H3C交換機安全配置基線
H3C交換機安全配置基線
H3C交換機安全配置基線(Version 1.0)
2012年12月
1 引言 (1)
2 適用范圍 (1)
3 縮略語 (1)
4 安全基線要求項命名規則 (2)
5 文檔使用說明 (2)
6 注意事項 (3)
7 安全配置要求 (3)
② 2台華三三層交換機,分別都有各自的vlan,並且vlan配有網關地址,怎麼讓兩台交換機互通
基本屬性:
vlan特性:三層互通,兩層隔離。三層交換機不同vlan之間默認是互通的,兩次交換機不同vlan是隔離的。
vlan IP:就是定義一個vlan下所有機器的網關地址,該vlan下的機器網關必須是這個IP。
介面:就是交換機後面可以插網線的埠,可以設置為Access、Trunk、Hybrid等
注意點:
交換機與相關設備(路由、交換機)相連時,建議將介面設置為Trunk口,並且允許相關vlan通過。
交換機下行連接電腦終端或伺服器終端建議將介面設置為Access介面。
定義vlan時,盡量使用24的掩碼(255.255.255.0)進行劃分,如果存在包含關系vlan之間互連就會有問題,所以盡量不適用大網段。
設置DHCP自動劃分IP示例:
組網圖:
左側是劃分前:路由網關為172.18.0.1,伺服器中虛擬化了大量虛擬機,網管全部為172.18.0.1如果要重新劃分vlan會很麻煩,PC端劃分了不同vlan。
右側是劃分後:將路由網關修改為192.168.1.2,將核心交換機單獨劃一個vlan 200用於和路由相連。伺服器vlan 100虛擬介面IP就修改為172.18.0.1,這樣就不需要修改伺服器與虛擬機中的網管了。記得寫回城路由將數據寫回核心交換機。
配完之後,流量如下走:
1、終端數據到網關,即核心交換機上
2、核心SW查找路由發現只有一條預設路由,下一跳是路由器互聯地址,將數據發給路由器互聯地址
3、路由器查找路由表,將數據發往公網。
4、回包時路由器查路由表,根據路由表發現下一跳是核心交換的互聯地址,將數據發給核心SW,
5、核心SW收到後,根據路由表發給各個網段
③ 華三的鏈路聚合配置
靜態鏈路聚合的典型配置
一、
組網需求:
兩台H3C 交換機 A,B之間做靜態鏈路聚合。這里假設e1/0/1,e1/0/2,e1/0/3埠都是trunk埠,允許vlan 10,20,30通過
二、
配置步驟:
(1)
設備A上的配置
#創建二層聚合埠
[switch-A] interface Bridge-Aggregation 1
[switch-A-Bridge-Aggregation1] port link-type trunk
[switch-A-Bridge-Aggregation1] port trunk permit vlan 10 20 30
#分別將設備A上埠e1/0/1,e1/0/2,e1/0/3加入到聚合組中
[switch-A] interface Ethernet 1/0/1
[switch-A-Ethernet1/0/1] port link-type trunk
[switch-A-Ethernet1/0/1] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/1]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/2
[switch-A-Ethernet1/0/2] port link-type trunk
[switch-A-Ethernet1/0/2] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/2]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/3
[switch-A-Ethernet1/0/3] port link-type trunk
[switch-A-Ethernet1/0/3] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/3]port link-aggregation group 1
(2)
設備B上的配置
設備B上的配置和A類似,這里從略。
(3)
驗證鏈路聚合
可以通過命令display link-aggregation verbose
來查看埠是否變成select來驗證聚合是否成功。
動態鏈路聚合的典型配置
一、
組網需求:
兩台H3C S3500-EA A,B之間做動態鏈路聚合。這里假設e1/0/1,e1/0/2,e1/0/3埠都是trunk埠,允許vlan 10,20,30通過。
二、
組網圖:
三、
配置步驟:
(1)
設備A上的配置
#創建二層聚合埠,並配置成動態聚合模式
[switch-A] interface Bridge-Aggregation 1
[switch-A-Bridge-Aggregation1] port link-type trunk
[switch-A-Bridge-Aggregation1] port trunk permit vlan 10 20 30
[switch-A-Bridge-Aggregation1]link-aggregation mode dynamic
#分別將設備A上埠e1/0/1,e1/0/2,e1/0/3加入到聚合組中
[switch-A] interface Ethernet 1/0/1
[switch-A-Ethernet1/0/1] port link-type trunk
[switch-A-Ethernet1/0/1] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/1]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/2
[switch-A-Ethernet1/0/2] port link-type trunk
[switch-A-Ethernet1/0/2] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/2]port link-aggregation group 1
[switch-A] interface Ethernet 1/0/3
[switch-A-Ethernet1/0/3] port link-type trunk
[switch-A-Ethernet1/0/3] port trunk permit vlan 10 20 30
[switch-A-Ethernet1/0/3]port link-aggregation group 1
(2)
設備B上的配置
設備B上的配置和A類似,這里從略。
(3)
驗證鏈路聚合
可以通過命令display link-aggregation verbose
來查看埠是否變成select來驗證聚合是否成功。
四、
配置關鍵點:
(1)
需要特別注意的就是創建的二層聚合埠的配置要和物理成員埠保持一致,如本例中的二層聚合埠trunk屬性和允許通過的vlan 10,20,30都與物理成員埠一樣。否則聚合無法成功。
(2)
默認聚合方式為靜態鏈路聚合,靜態聚合模式中,成員埠的LACP協議為關閉狀態。
(3)
配置了RRPP的埠、配置為DHCP客戶端/BOOTP客戶端的埠、配置了VRRP的埠、配置了MAC地址認證的埠、配置了埠安全模式的埠、啟用了IP Source Guard功能的埠以及使能802.1x的埠都不能加入聚合組。
(5)
用戶刪除動態模式的聚合埠時,系統會自動刪除對應的聚合組,且該聚合組中的所有成員埠將全部離開該聚合組。
(7)
對於動態聚合模式,系統兩端會自動協商同一條鏈路上的兩端埠在各自聚合組中的Selected狀態,用戶只需保證在一個系統中聚合在一起的埠的對端也同樣聚合在一起,聚合功能即可正常使用。