Huawei网络设备加固规范2024年9月目录1帐号管理、认证授权.......................................................................................................................21.1账号管理...................................................................................................................................21.1.1SHG-Huawei-01-01-01....................................................................................................21.2登录要求...................................................................................................................................31.2.1SHG-Huawei-01-02-01....................................................................................................31.2.2SHG-Huawei-01-02-02....................................................................................................41.2.3SHG-Huawei-01-02-03....................................................................................................41.3认证和授权...............................................................................................................................51.3.1SHG-Huawei-01-03-01....................................................................................................52日志配置...........................................................................................................................................62.1.1SHG-Huawei-02-01-01....................................................................................................63通信协议...........................................................................................................................................73.1.1SHG-Huawei-03-01-01....................................................................................................73.1.2SHG-Huawei-03-01-02....................................................................................................83.1.3SHG-Huawei-03-01-03....................................................................................................93.1.4SHG-Huawei-03-01-04....................................................................................................93.1.5SHG-Huawei-03-01-05.......................................................................................................103.1.6SHG-Huawei-03-01-06...................................................................................................114设备其它安全要求.........................................................................................................................114.1.1SHG-Huawei-04-01-01...................................................................................................114.1.2SHG-Huawei-04-01-02..................................................................................................121帐号管理、认证授权1.1账号管理1.1.1SHG-Huawei-01-01-01编号:SHG-Huawei-01-01-01名称:无效帐户清理实施目的:删除与设备运行、维护等工作无关的账号问题影响:账号混淆,权限不明确,存在用户越权使用的可能。系统当前状态:查看备份的系统配置文件中帐号信息。实施方案:1、参考配置操作aaaundolocal-usertest回退方案:还原系统配置文件。判断依据:标记用户用途,定期建立用户列表,比较是否有非法用户实施风险:低重要等级:★★★实施风险:低重要等级:★★★第2页共14页1.2登录要求1.2.1SHG-Huawei-01-02-01编号:Huawie-01-02-01名称:远程登录加密传输实施目的:远程登陆采用加密传输问题影响:泄露密码系统当前状态:查看备份的系统配置文件中远程登陆的配置状态。实施方案:1、参考配置操作全局模式下配置如下命令:(1)R36xxE系列、R2631E系列#protocolinboundsshx[aclxxxx];#sshuserxxxxassignrsa-keyxxxxxx;#sshuserxxxxauthentication-type[password|RSA|all](2)NE系列#local-userusernamepassword[simple|cipher]password#aaaenable#sshuserusernameauthentication-typepassword#user-interfacevtyx#authentication-modeschemedefault#protocolinboundssh回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中远程登陆的配置状态。实施风险:高重要等级:★第3页共14页1.2.2SHG-Huawei-01-02-02编号:SHG-Huawei-01-02-02名称:加固AUX端口的管理实施目的:除非使用拨号接入时使用AUX端口,否则禁止这个端口。问题影响:用户非法登陆系统当前状态:查看备份的系统配置文件中关于CON配置状态。实施方案:1、参考配置操作#undomodem设置完成后无法通过AUX拨号接入路由器回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于CON配置状态。实施风险:中重要等级:★1.2.3SHG-Huawei-01-02-03编号:SHG-Huawei-01-02-03名称:远程登陆源地址限制实施目的:对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。问题影响:非法登陆。系统当前状态:查看备份的系统配置文件中关于登录配置状态。实施方案:1、参考配置操作全局模式下配置如下命令:aclacl-number[match[config|auto]];rule{normal|special}{permit|deny}[sourcexxxxxx][destinationxxxxxx]….第4页共14页回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于登录配置状态。实施风险:中重要等级:★1.3认证和授权1.3.1SHG-Huawei-01-03-01编号:SHG-Huawei-01-03-01名称:认证和授权设置实施目的:设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。问题影响:非法登陆。系统当前状态:查看备份的系统配置文件中相关配置。实施方案:1、参考配置操作#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。#配置RADIUS服务器模板。[Router]radius-servertemplateshiva#配置RADIUS认证服务器IP地址和端口。Router-radius-shiva]radius-serverauthentication129.7.66.661812#配置RADIUS服务器密钥、重传次数。[Router-radius-shiva]radius-servershared-keyit-is-my-secret[Router-radius-shiva]radius-serverretransmit2[Router-radius-shiva]quit#进入AAA视图。[Router]aaa#配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。第5页共14页[Router–aaa]authentication-schemer-n[Router-aaa-authen-r-n]authentication-moderadiusnone[Router-aaa-authen-r-n]quit#配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。[Router-aaa]domaindefault[Router-aaa-domain-default]authentication-schemer-n[Router-aaa-domain-default]radius-servershiva回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中相关配置。实施风险:低重要等级:★2日志配置2.1.1SHG-Huawei-02-01-01编号:SHG-Huawei-02-01-01名称:开启日志功能实施目的:支持数据日志,可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。判断依据:无法对用户的登陆进行日志记录。系统当前状态:查看备份的系统配置文件中关于日志功能的配置。实施方案:1、参考配置操作#info-centerenable;默认已启动#info-centerconsole;向控制台输出日志#info-centerlogbuffer;向路由器内部缓冲器输出日志#info-centerloghost;向日志主机输出日志#info-centermonitor;向telnet终端或哑终端输出日志第6页共14页回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于日志功能的配置。实施风险:中重要等级:★★★3通信协议3.1.1SHG-Huawei-03-01-01编号:SHG-Huawei-03-01-01名称:SNMP服务配置实施目的:如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。问题影响:对系统造成不安全影响。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作全局模式下配置如下命令:Undosnmpenableundosnmp-agentcommunityRWuser关闭snmp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于SNMP服务的配置。实施风险:中重要等级:★第7页共14页3.1.2SHG-Huawei-03-01-02编号:SHG-Huawei-03-01-02名称:更改SNMPTRAP协议端口;实施目的:如开启SNMP协议,要求更改SNMPtrap协议的标准端口号,以增强其安全性。问题影响:容易引起拒绝服务攻击。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:(2)参考配置操作全局模式下配置如下命令:(2)R36xxE系列、R2631E系列#snmp-agent#snmp-agenttarget-hosttrapaddressxxx.xxx.xxx.xxxsecurityxxxportxxx#snmp-agenttrapenable(2)NE系列#snmp-agent#snmp-agenttarget-hosttrapaddressudp-domainxxx.xxx.xxx.xxxsecuritynamexxxudp-portxxx#snmp-agenttrapenable回退方案:还原系统配置文件。判断依据:ShowSNMP实施风险:高重要等级:★3.1.3SHG-Huawei-03-01-03编号:SHG-Huawei-03-01-03名称:限制发起SNMP连接的源地址第8页共14页实施目的:如开启SNMP协议,要求更改SNMP连接的源地址,以增强其安全性。问题影响:被非法攻击。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作全局模式下配置如下命令:#snmp-agent#snmp-agentcommunity[read|write]XXXXaclxxxx【影响】:只有指定的网管网段才能使用SNMP维护回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于SNMP服务的配置。实施风险:中重要等级:★3.1.4SHG-Huawei-03-01-04编号:SHG-Huawei-03-01-04名称:设置SNMP密码实施目的:如开启SNMP协议,要求设置并定期更改SNMPCommunity(至少半年一次),以增强其安全性。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。问题影响:泄露密码,引起非法登陆。实施方案:1、参考配置操作全局模式下配置如下命令:#snmp-agent#snmp-agentcommunity[read|write]XXXX(不建议打开write特性)回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于SNMP服务的配置。第9页共14页实施风险:中重要等级:★3.1.5SHG-Huawei-03-01-05编号:SHG-Huawei-03-01-05名称:SNMP访问安全限制实施目的:设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。问题影响:非法登陆。系统当前状态:查看备份的系统配置文件中关于SNMP服务的配置。实施方案:1、参考配置操作#snmp-agentcommunityreadXXXX01acl2000回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于SNMP服务的配置。实施风险:中重要等级:★3.1.6SHG-Huawei-03-01-06编号:SHG-Huawei-03-01-06名称:源地址路由检查实施目的:为了防止利用IPSpoofing手段假冒源地址进行的攻击对整个网络造成的冲击,要求在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。此外,该功能会对设备的转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。问题影响:会对设备负荷造成影响。系统当前状态:查看备份的系统配置文件中关于CEF服务的配置。实施方案:1、参考配置操作第10页共14页全局模式下配置如下命令:#urpfenable回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作实施风险:高重要等级:★4设备其它安全要求4.1.1SHG-Huawei-04-01-01编号:SHG-Huawei-04-01-01名称:禁止未使用或空闲的端口实施目的:防止从空闲端口渗透到系统内部问题影响:从空闲端口渗透到系统内部系统当前状态:查看备份的系统配置文件中关于端口启用的配置。实施方案:1、参考配置操作在不使用的端口启用如下命令:#shutdown回退方案:还原系统配置文件。判断依据:查看备份的系统配置文件中关于端口启用的配置。实施风险:中重要等级:★★★第11页共14页4.1.2SHG-Huawei-04-01-02编号:SHG-Huawei-04-01-02名称:关闭不必要的服务实施目的:关闭网络设备不必要的服务,比如FTP、NTP、HGMP、DhcpServer服务等问题影响:造成系统不安全性增加,难以管理。系统当前状态:查看备份的系统配置文件。实施方案:1、参考配置操作全局模式下配置如下命令:!FTP服务的关闭#undoftpserver回退方案:还原系统配置文件。判断依据:查看配置文件,核对参考配置操作。实施风险:中重要等级:★第12页共14页
