华为网络设备安全基线配置指南

9月前作者：知白守黑V 分类：Toy博客阅读(48) 违法举报

这篇具有很好参考价值的文章主要介绍了华为网络设备安全基线配置指南。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

1 帐号管理、认证授权

1.1 账号管理

1.1.1 ELK-Huawei-01-01-01

编号：	ELK-Huawei-01-01-01
名称：	无效帐户清理
实施目的：	删除与设备运行、维护等工作无关的账号
问题影响：	账号混淆，权限不明确，存在用户越权使用的可能。
系统当前状态：	查看备份的系统配置文件中帐号信息。
实施方案：	参考配置操作 aaa undo local-user test
回退方案：	还原系统配置文件。
判断依据：	标记用户用途，定期建立用户列表，比较是否有非法用户
实施风险：	低
重要等级：	★★★
实施风险：	低
重要等级：	★★★

1.2 登录要求

1.2.1 ELK-Huawei-01-02-01

编号：	Huawie-01-02-01
名称：	远程登录加密传输
实施目的：	远程登陆采用加密传输
问题影响：	泄露密码
系统当前状态：	查看备份的系统配置文件中远程登陆的配置状态。
实施方案：	参考配置操作全局模式下配置如下命令：（1）R36xxE系列、R2631E系列 #protocol inbound ssh x [acl xxxx]； #ssh user xxxx assign rsa-key xxxxxx； #ssh user xxxx authentication-type [ password \| RSA \| all ] （2）NE系列 #local-user username password [simple \| cipher] password #aaa enable #ssh user username authentication-type password #user-interface vty x #authentication-mode scheme default #protocol inbound ssh
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中远程登陆的配置状态。
实施风险：	高
重要等级：	★文章来源地址https://www.toymoban.com/news/detail-789514.html

1.2.2 ELK-Huawei-01-02-02

编号：	ELK-Huawei-01-02-02
名称：	加固AUX端口的管理
实施目的：	除非使用拨号接入时使用AUX端口，否则禁止这个端口。
问题影响：	用户非法登陆
系统当前状态：	查看备份的系统配置文件中关于CON配置状态。
实施方案：	参考配置操作 # undo modem 设置完成后无法通过AUX拨号接入路由器
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于CON配置状态。
实施风险：	中
重要等级：	★

1.2.3 ELK-Huawei-01-02-03

编号：	ELK-Huawei-01-02-03
名称：	远程登陆源地址限制
实施目的：	对登录用户的源IP地址进行过滤，防止某些获得登录密码的用户从非法的地址登录到设备上。
问题影响：	非法登陆。
系统当前状态：	查看备份的系统配置文件中关于登录配置状态。
实施方案：	参考配置操作全局模式下配置如下命令： acl acl-number [match [config \| auto]]; rule {normal \|special} {permit \| deny} [source xxx xxx] [destination xxx xxx] ….
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于登录配置状态。
实施风险：	中
重要等级：	★

1.3 认证和授权

1.3.1 ELK-Huawei-01-03-01

编号：	ELK-Huawei-01-03-01
名称：	认证和授权设置
实施目的：	设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。
问题影响：	非法登陆。
系统当前状态：	查看备份的系统配置文件中相关配置。
实施方案：	参考配置操作 #对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证。 #认证服务器IP地址为129.7.66.66，无备用服务器，端口号为默认值1812。 # 配置RADIUS服务器模板。 [Router] radius-server template shiva # 配置RADIUS认证服务器IP地址和端口。 Router-radius-shiva]radius-server authentication 129.7.66.66 1812 # 配置RADIUS服务器密钥、重传次数。 [Router-radius-shiva] radius-server shared-key it-is-my-secret [Router-radius-shiva] radius-server retransmit 2 [Router-radius-shiva] quit # 进入AAA视图。 [Router] aaa # 配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。 [Router–aaa] authentication-scheme r-n [Router-aaa-authen-r-n] authentication-mode radius none [Router-aaa-authen-r-n] quit # 配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。 [Router-aaa] domain default [Router-aaa-domain-default] authentication-scheme r-n [Router-aaa-domain-default]radius-server shiva
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中相关配置。
实施风险：	低
重要等级：	★

2 日志配置

2.1 ELK-Huawei-02-01-01

编号：	ELK-Huawei-02-01-01
名称：	开启日志功能
实施目的：	支持数据日志，可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息，用以对运行情况、故障进行分析和定位，日志文件可以通过XModem、FTP、TFTP协议，远程传送到网管中心。
判断依据：	无法对用户的登陆进行日志记录。
系统当前状态：	查看备份的系统配置文件中关于日志功能的配置。
实施方案：	参考配置操作 #info-center enable；默认已启动 #info-center console；向控制台输出日志 #info-center logbuffer；向路由器内部缓冲器输出日志 #info-center loghost；向日志主机输出日志 #info-center monitor；向telnet终端或哑终端输出日志
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于日志功能的配置。
实施风险：	中
重要等级：	★★★

3 通信协议

3.1 ELK-Huawei-03-01-01

编号：	ELK-Huawei-03-01-01
名称：	SNMP服务配置
实施目的：	如不需要提供SNMP服务的，要求禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置。
问题影响：	对系统造成不安全影响。
系统当前状态：	查看备份的系统配置文件中关于SNMP服务的配置。
实施方案：	参考配置操作全局模式下配置如下命令： Undo snmp enable undo snmp-agent community RWuser 关闭snmp的设备不能被网管检测到，关闭写权限的设备不能进行set操作。
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于SNMP服务的配置。
实施风险：	中
重要等级：	★

3.2 ELK-Huawei-03-01-02

编号：	ELK-Huawei-03-01-02
名称：	更改SNMP TRAP协议端口；
实施目的：	如开启SNMP协议，要求更改SNMP trap协议的标准端口号，以增强其安全性。
问题影响：	容易引起拒绝服务攻击。
系统当前状态：	查看备份的系统配置文件中关于SNMP服务的配置。
实施方案：	参考配置操作全局模式下配置如下命令： R36xxE系列、R2631E系列 #snmp-agent #snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx #snmp-agent trap enable NE系列 #snmp-agent #snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname xxx udp-port xxx #snmp-agent trap enable
回退方案：	还原系统配置文件。
判断依据：	Show SNMP
实施风险：	高
重要等级：	★

3.3 ELK-Huawei-03-01-03

编号：	ELK-Huawei-03-01-03
名称：	限制发起SNMP连接的源地址
实施目的：	如开启SNMP协议，要求更改SNMP 连接的源地址，以增强其安全性。
问题影响：	被非法攻击。
系统当前状态：	查看备份的系统配置文件中关于SNMP服务的配置。
实施方案：	参考配置操作全局模式下配置如下命令： #snmp-agent # snmp-agent community [read \| write] XXXX acl xxxx 【影响】：只有指定的网管网段才能使用SNMP维护
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于SNMP服务的配置。
实施风险：	中
重要等级：	★

3.4 ELK-Huawei-03-01-04

编号：	ELK-Huawei-03-01-04
名称：	设置SNMP密码
实施目的：	如开启SNMP协议，要求设置并定期更改SNMP Community（至少半年一次），以增强其安全性。
系统当前状态：	查看备份的系统配置文件中关于SNMP服务的配置。
问题影响：	泄露密码，引起非法登陆。
实施方案：	参考配置操作全局模式下配置如下命令： #snmp-agent # snmp-agent community [read \| write] XXXX（不建议打开write特性）
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于SNMP服务的配置。
实施风险：	中
重要等级：	★

3.5 ELK-Huawei-03-01-05

编号：	ELK-Huawei-03-01-05
名称：	SNMP访问安全限制
实施目的：	设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。
问题影响：	非法登陆。
系统当前状态：	查看备份的系统配置文件中关于SNMP服务的配置。
实施方案：	参考配置操作 #snmp-agent community read XXXX01 acl 2000
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于SNMP服务的配置。
实施风险：	中
重要等级：	★

3.6 ELK-Huawei-03-01-06

编号：	ELK-Huawei-03-01-06
名称：	源地址路由检查
实施目的：	为了防止利用IP Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击，要求在所有的边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。此外，该功能会对设备的转发性能造成影响，所以它更适用于网络接入层设备，汇聚层和核心层设备不建议使用。
问题影响：	会对设备负荷造成影响。
系统当前状态：	查看备份的系统配置文件中关于CEF 服务的配置。
实施方案：	参考配置操作全局模式下配置如下命令： #urpf enable
回退方案：	还原系统配置文件。
判断依据：	查看配置文件，核对参考配置操作
实施风险：	高
重要等级：	★

4 设备其它安全要求

4.1 ELK-Huawei-04-01-01

编号：	ELK-Huawei-04-01-01
名称：	禁止未使用或空闲的端口
实施目的：	防止从空闲端口渗透到系统内部
问题影响：	从空闲端口渗透到系统内部
系统当前状态：	查看备份的系统配置文件中关于端口启用的配置。
实施方案：	参考配置操作在不使用的端口启用如下命令： # shutdown
回退方案：	还原系统配置文件。
判断依据：	查看备份的系统配置文件中关于端口启用的配置。
实施风险：	中
重要等级：	★★★

4.2 ELK-Huawei-04-01-02

编号：	ELK-Huawei-04-01-02
名称：	关闭不必要的服务
实施目的：	关闭网络设备不必要的服务，比如FTP、NTP、HGMP、Dhcp Server服务等
问题影响：	造成系统不安全性增加，难以管理。
系统当前状态：	查看备份的系统配置文件。
实施方案：	参考配置操作全局模式下配置如下命令：！FTP服务的关闭 #undo ftp server
回退方案：	还原系统配置文件。
判断依据：	查看配置文件，核对参考配置操作。
实施风险：	中
重要等级：	★

到了这里，关于华为网络设备安全基线配置指南的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

高级网络安全管理员 - 网络设备和安全配置：标准的ACL配置

Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况

2024年02月04日
浏览(48)
高级网络安全管理员 - 网络设备和安全配置：三层交换机和ACL配置

Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具，为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑，并可提供数据包在网络中行进的详细处理过程，观察网络实时运行情况

2024年01月16日
浏览(51)
网络安全设备配置练习题1

1. ( 单选题, 5分) 如图所示,客户端A和服务器B之间建立TCP连接,图中两处“?”报文序号应该是下列哪项? A. a+1:a B. a:a+1 C. b+1:b D. a+1:a+1 正确答案: D:a+1:a+1; 2. ( 单选题, 5分) 如图所示为配置 NAT Server 后生成的两条 Server Map 表项,关于该图所呈现的信息,以下哪项描述是错误的?[单选

2024年02月11日
浏览(43)
Cisco Packet Tracer实战 - 网络设备安全配置综合实训

网络搭建根据所给定的拓扑要求，将给定的网络设备互连，搭建物理网络。 2. IP 地址规划根据要求确定所需子网的数量，每个子网的主机数量，设计适当的编址方案，填写网络地址规划表和设备地址表。 3. 网络设备的安全配置根据任务书中指出的安全需求，完成数据网络

2024年03月16日
浏览(52)
华为网络设备监控IPv6运行状况

在日常维护工作中，可以在任意视图下选择执行以下命令，了解IPv6的运行情况。操作步骤执行命令 display ipv6 interface [ interface-type interface-number | brief ]，查看接口的 IPv6 信息。执行命令 display ipv6 statistics ，查看 IPv6 流量统计信息。执行命令 display icmpv6 statistics ，查看ICMPv

2024年02月11日
浏览(44)
网络安全笔记（一）网络安全设备

目录 0x01 CIA 0x02 拒绝服务攻击 0x03 缓冲区溢出 0x04 勒索病毒 0x05 传统防火墙（包过滤防火墙） 0x06 传统防火墙（应用代理防火墙） 0x07 传统防火墙（状态检测防火墙） 0x08 攻击流量监控（IDS）——网络摄像头 0x09 入侵防御系统（

2024年02月05日
浏览(46)
华为H3C思科网络设备命令对照表

类别命令功能华为 H3C 思科通用取消关闭当前设置 undo undo no 通用显示查看 display display show 通用退回上级 quit quit quit 通用设置设备名称 sysname sysname hostname 通用到全局模式 system-view system-view enable config terminal 通用删除文件 delete delete delete 通用重启设备 reboot reboot reboo

2024年02月15日
浏览(37)
【等级保护测试】安全计算环境-网络设备、安全设备-思维导图

网络设备-路由器-身份鉴别 1)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 2)应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退岀等相关措施。 3)当进行远程管理时，应釆

2024年01月23日
浏览(47)
了解华为（H3C）网络设备和OSI模型基本概念

目录一，认识华为 1.华为发展史 2.华为网络设备介绍 3.VRP概述二，OSI七层模型 1.七层模型详细表格 2.各层的作用 3.数据在各层之间的传递过程 4.OSI四层网络模型 1.华为发展史华为创立于1987年，是全球领先的ICT（信息与通信）基础设施和智能终端提供商。目前华为约有19.5万

2024年02月13日
浏览(51)
常见网络设备安全特性详解

常见设备安全加固策略： 1.关闭不使用的业务端口 2.废弃不安全的访问通道:在存在多种访问通道服务下，废弃不安全的访问通道，优选安全的访问通道常用到的SSH协议（安全外壳协议)：在非安全网络上提供了安全的远程登录、安全文件传输以及TCP/IP安全隧道。不仅在登陆过

2024年03月20日
浏览(46)