华为交换机安全基线

华为交换机安全基线华为设备安全配置基线第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

第2章帐号管理、认证授权安全要求2.1帐号管理2.1.1用户帐号分配*1、安全基线名称：用户帐号分配安全2、安全基线编号：SBL-HUAWEI-02-01-013、安全基线说明：应按照用户分配帐号，避免不同用户间共享帐号，避免用户帐号和设备间通信使用的帐号共享。

4、参考配置操作：[Huawei]aaa[Huawei-aaa]local-user admin password cipher admin123[Huawei-aaa]local-user admin privilege level 15[Huawei-aaa]local-user admin service-type ssh[Huawei-aaa]local-user user password cipher user123[Huawei-aaa]local-user user privilege level 4[Huawei-aaa]local-user user service-type ssh5、安全判定条件：（1）配置文件中，存在不同的账号分配（2）网络管理员确认用户与账号分配关系明确6、检测操作：使用命令dis cur命令查看：#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher "=LP!6$^-IYNZPO3JBXBHA!!local-user admin privilege level 15local-user admin service-type sshlocal-user user password cipher "=LP!6$^-IYNZPlocal-user user privilege level 4local-user user service-type ssh#对比命令显示结果与运维人员名单，如果运维人员之间不存在共享账号，表明符合安全要求。

1范围本尺度适用于中国XXx电网有限责任公司及所属单元办理信息大区所有信息系统相关主流支撑平台设备。

2尺度性引用文件以下文件对于本尺度的应用是必不成少的。

但凡注日期的引用文件，仅注日期的版本适用于本尺度。

但凡不注日期的引用文件，其最新版本〔包罗所有的点窜单〕适用于本尺度。

——中华人民共和国计算机信息系统安然庇护条例——中华人民共和国国家安然法——中华人民共和国保守国家奥秘法——计算机信息系统国际联网保密办理规定——中华人民共和国计算机信息网络国际联网办理暂行规定——ISO27001尺度/ISO27002指南——公通字[2007]43号信息安然等级庇护办理方法——GB/T 21028-2007 信息安然技术效劳器安然技术要求——GB/T 20269-2006 信息安然技术信息系统安然办理要求——GB/T 22239-2021 信息安然技术信息系统安然等级庇护底子要求——GB/T 22240-2021 信息安然技术信息系统安然等级庇护定级指南3术语和定义安然基线：指针对IT设备的安然特性，选择适宜的安然控制办法，定义不同IT设备的最低安然配置要求，那么该最低安然配置要求就称为安然基线。

办理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原那么上划分为出产控制大区和办理信息大区。

出产控制大区可以分为控制区(安然区I)和非控制区(安然区Ⅱ)；办理信息大区内部在不影响出产控制大区安然的前提下，可以按照各企业不同安然要求划分安然区。

按照应用系统实际情况，在满足总体安然要求的前提下，可以简化安然区的设置，但是应当防止通过广域网形成不同安然区的纵向交叉连接。

4总那么4.1指导思想围绕公司打造经营型、效劳型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安然防护能力，通过尺度IT主流设备安然基线，成立公司办理信息大区IT主流设备安然防护的最低尺度，实现公司IT主流设备整体防护的技术办法尺度化、尺度化、指标化。

S2700, S3700 系列以太网交换机V100R006C05配置指南-接口管理文档版本07发布日期2020-04-15版权所有 © 华为技术有限公司 2020。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://前言读者对象本文档介绍了设备支持的各种接口的基本概念及其配置方法。

本文档主要适用于以下工程师：●数据配置工程师●调测工程师●网络监控工程师●系统维护工程师符号约定在本文中可能出现下列标志，它们所代表的含义如下。

命令行格式约定接口编号约定本手册中出现的接口编号仅作示例，并不代表设备上实际具有此编号的接口，实际使用中请以设备上存在的接口编号为准。

目录前言 (ii)1 接口基础配置 (1)1.1 接口编号规则 (1)1.2 接口分类 (2)1.3 配置接口基本参数 (4)1.3.1 进入接口视图 (4)1.3.2 配置接口描述信息 (4)1.3.3 配置流量统计时间间隔 (5)1.3.4 配置开启或关闭接口 (5)1.3.5 检查配置结果 (6)1.4 维护接口 (6)1.4.1 清除统计信息 (7)2 以太网接口配置 (8)2.1 规格 (8)2.2 以太网接口简介 (9)2.3 缺省配置 (10)2.4 配置端口组 (11)2.5 配置以太网接口 (11)2.5.1 配置Combo接口工作模式 (11)2.5.2 配置MDI类型 (12)2.5.3 配置电缆检测 (13)2.5.4 配置自协商功能 (14)2.5.5 配置双工模式 (14)2.5.6 配置接口速率 (15)2.5.7 配置流量控制 (16)2.5.8 配置端口隔离 (17)2.5.9 配置允许超大帧通过 (18)2.5.10 配置上报状态变化延时时间 (19)2.5.11 配置出/入带宽利用率日志和告警阈值 (19)2.5.12 配置只允许PPPoE报文通过 (20)2.5.13 配置包括帧间隙和前导码的流量统计 (20)2.5.14 配置接收的错误报文超过阈值触发Error-down (20)2.5.15 检查配置结果 (21)2.6 维护以太网接口 (22)2.6.1 配置环回检测功能 (22)2.6.2 清除统计信息 (22)2.7 配置举例 (23)2.7.1 配置端口隔离示例 (23)2.8 常见配置错误 (25)2.8.1 两端接口双工、速率、协商模式配置不一致 (25)3 逻辑接口配置 (26)3.1 逻辑接口简介 (26)3.2 配置Loopback接口 (27)3.3 配置NULL接口 (28)1接口基础配置关于本章通过了解常见接口类型、接口编号规则以及各种可配置的接口参数等内容，方便用户对接口进行管理。

华为交换机安全配置基线（Version 1.0）2012年12月目录1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)7.1 账号管理 (3)7.1.1 运维账号共享管理 (3)7.1.2 删除与工作无关账号 (3)7.2 口令管理 (4)7.2.1 静态口令加密 (4)7.2.2 静态口令运维管理 (5)7.3 认证管理 (5)7.3.1 RADIUS认证（可选） (5)7.4 日志审计 (6)7.4.1 RADIUS记账（可选） (6)7.4.2 启用信息中心 (7)7.4.3 远程日志功能 (8)7.4.4 日志记录时间准确性 (8)7.5 协议安全 (8)7.5.1 BPDU防护 (8)7.5.2 根防护 (9)7.5.3 VRRP认证 (9)7.6 网络管理 (10)7.6.1 SNMP协议版本 (10)7.6.2 修改SNMP默认密码 (10)7.6.3 SNMP通信安全（可选） (11)7.7 设备管理 (11)7.7.1 交换机带内管理方式 (11)7.7.2 交换机带内管理通信 (12)7.7.3 交换机带内管理超时 (12)7.7.4 交换机带内管理验证 (13)7.7.5 交换机带内管理用户级别 (13)7.7.6 交换机带外管理超时 (14)7.7.7 交换机带外管理验证 (14)7.8 端口安全 (14)7.8.1 使能端口安全 (14)7.8.2 端口MAC地址数 (15)7.8.3 交换机VLAN划分 (15)7.9 其它 (16)7.9.1 交换机登录BANNER管理 (16)7.9.2 交换机空闲端口管理 (16)7.9.3 禁用版权信息显示 (17)附录A 安全基线配置项应用统计表 (18)附录B 安全基线配置项应用问题记录表 (20)附录C 中国石油NTP服务器列表 (21)1 引言本文档规定了中国石油使用的华为系列交换机应当遵循的交换机安全性设置标准，是中国石油安全基线文档之一。

华为设备（交换机）安全配置基线目录第1章概述 (4)1.1目的 (4)1.2适用范围 (4)1.3适用版本 (4)第2章帐号管理、认证授权安全要求 (5)2.1帐号管理 (5)2.1.1 用户帐号分配* (5)2.1.2 删除无关的帐号* (6)2.2口令 (7)2.2.1 静态口令以密文形式存放 (7)2.2.2 帐号、口令和授权................................................................ 错误！未定义书签。

2.2.3 密码复杂度 (8)2.3授权 (8)2.3.1 用IP协议进行远程维护的设备使用SSH等加密协议 (8)第3章日志安全要求 (10)3.1日志安全 (10)3.1.1 启用信息中心 (10)3.1.2 开启NTP服务保证记录的时间的准确性 (11)3.1.3 远程日志功能* (12)第4章IP协议安全要求 (13)4.1IP协议 (13)4.1.1 VRRP认证 (13)4.1.2 系统远程服务只允许特定地址访问 (13)4.2功能配置 (15)4.2.1 SNMP的Community默认通行字口令强度 (15)4.2.2 只与特定主机进行SNMP协议交互 (16)4.2.3 配置SNMPV2或以上版本 (17)4.2.4 关闭未使用的SNMP协议及未使用write权限 (18)第5章IP协议安全要求 (19)5.1其他安全配置 (19)5.1.1 关闭未使用的接口 (19)5.1.2 修改设备缺省BANNER语 (20)5.1.3 配置定时账户自动登出 (20)5.1.4 配置console口密码保护功能 (21)5.1.5 端口与实际应用相符 (22)第1章概述1.1目的规范配置华为路由器、交换机设备，保证设备基本安全。

1.2适用范围本配置标准的使用者包括：网络管理员、网络安全管理员、网络监控人员。

1.3适用版本华为交换机、路由器。

Huawei防火墙安全配置基线XXXXXX备注：1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 (1)1.1目的 (1)1.2适用范围 (1)1.3适用版本 (1)1.4实施 (1)1.5例外条款 (1)第2章帐号管理、认证授权安全要求 (2)2.1帐号管理 (2)2.1.1用户帐号分配* (2)2.1.2删除无关的帐号* (2)2.1.3帐户登录超时* (3)2.1.4帐户密码错误自动锁定* (4)2.2口令 (5)2.2.1口令复杂度要求 (5)2.3授权 (5)2.3.1远程维护的设备使用加密协议 (5)第3章日志及配置安全要求 (7)3.1日志安全 (7)3.1.1记录用户对设备的操作 (7)3.1.2记录与设备相关的安全事件 (7)3.1.3开启记录NAT日志 (8)3.1.4配置记录流量日志 (9)3.1.5配置日志容量告警阈值 (9)3.2告警配置要求 (10)3.2.1配置对防火墙本身的攻击或内部错误告警 (10)3.2.2配置TCP/IP协议网络层异常报文攻击告警 (10)3.2.3配置DOS和DDOS攻击告警 (11)3.2.4配置关键字内容过滤功能告警* (12)3.3安全策略配置要求 (12)3.3.1访问规则列表最后一条必须是拒绝一切流量 (12)3.3.2配置访问规则应尽可能缩小范围 (13)3.3.3访问规则进行分组* (13)3.3.4配置NAT地址转换 (14)3.3.5隐藏防火墙字符管理界面的bannner信息 (15)3.3.6关闭非必要服务 (15)3.4攻击防护配置要求 (16)3.4.1拒绝常见漏洞所对应端口或者服务的访问 (16)3.4.2防火墙各逻辑接口配置开启防源地址欺骗功能* (17)3.4.3限制ICMP包大小* (17)第4章IP协议安全要求 (19)4.1功能配置 (19)4.1.1使用SNMP V2或V3版本对防火墙远程管理 (19)第5章其他安全要求 (21)5.1其他安全配置 (21)5.1.1外网口地址关闭对ping包的回应 (21)5.1.2对防火墙的管理地址做源地址限制 (21)5.1.3配置consol口密码保护功能 (22)第6章评审与修订 (24)第1章概述1.1 目的本文档规定了XXXXXX管理信息系统部所维护管理的Huawei防火墙应当遵循的设备安全性设置标准，本文档旨在指导系统管理人员进行Huawei防火墙的安全配置。

H3C交换机安全配置基线 -标准化文件发布号：（9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KIIH3C交换机安全配置基线1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录第1章概述 ..................................................................................................... 错误!未定义书签。

目的 .......................................................................................................... 错误!未定义书签。

适用范围 .................................................................................................. 错误!未定义书签。

适用版本 .................................................................................................. 错误!未定义书签。

实施 .......................................................................................................... 错误!未定义书签。

例外条款 .................................................................................................. 错误!未定义书签。

第2章帐号管理、认证授权安全要求 ........................................................... 错误!未定义书签。