H3C交换机加固方法参考（测试设备型号S5800）

华三交换机加固 目录1.用户管理11.1创建用户11.2密码认证登录12.设备管理22.1本地管理22.2远程管理22.3限制 IP 访问32.4登录超时33.网络服务34.安全防护44.1BANNER44.2ACL访问控制列表44.3空闲端口管理44.4MAC地址绑定54.5NTP服务64.6协议安全配置（可选）64.7设备版本管理65.日志与审计75.1SNMP协议安全75.2日志审计85.3转存日志（可选）86.路由配置96.1静态路由配置96.2动态路由的配置（OSPF）97.Trunk接口与VLAN标签98.QOS大类108.1通过接口所有入流量进行流量监管108.2通过端口所有出流量进行端口限速108.3基于ACL的流量监管108.4基于ACL的流量限速108.5基于ACL的流量统计111. 用户管理1.1 创建用户【安全要求】应按照用户性质分别创建账号，禁止不同用户间共享账号，禁止人员和设备通信公用账号。【配置要求】创建管理员和普通用户对应的账户，厂站端只能分配普通用户账户，厂站账户应实名制管理，只有查看、ping等权限。【配置方法】：创建三个用户，分别为管理员、操作员和审计员<H3C> system-viewH3C local-user super class manage /创建“super”用户H3C-luser-manage-super password simple * /加密密码*（dis时显示密文）H3C-luser-manage-super service-type ssh terminal /定义登录方式包含ssh和本地H3C-luser-manage-super authorization-attribute user-role network-admin /定义此用户为“管理员”权限H3C local-user operator class manage /创建“operator”用户H3C password simple * H3C-luser-manage-operator service-type ssh terminalH3C-luser-manage-operator authorization-attribute user-role network-operator /network-operator 操作员H3C local-user audit class manage /创建“audit”用户H3C-luser-manage-audit password simple *H3C-luser-manage-audit service-type ssh terminalH3C-luser-manage-audit authorization-attribute user-role security-audit /network-operator 审计员network-admin、security-audit、network-operator为H3C设备固化的三种角色，权限分别对应level-15、level-1、level-2。1.2 密码认证登录【安全要求】通过控制台和远程终端登录设备，应输入用户名和口令，口令长度不能小于8位，要求是数字、字母和特殊字符的混合，不得与用户名相同。口令应3个月定期更换和加密存储。【配置要求】配置只有使用用户名和密码的组合才能登录设备，密码强度采用技术手段予以校验通过，并对密码进行加密存储、定期更换。【配置方法】开启ssh服务，设置ssh访问控制，设置密码失败和超时策略H3C public-key local create rsa /生成RSA密钥对The range of public key modulus is (512 2048).If the key modulus is greater than 512, it will take a few minutes.Press CTRL+C to abort.Input the modulus length default = 1024:1024H3C public-key local create dsa /生成DSA密钥对The range of public key modulus is (512 2048).If the key modulus is greater than 512, it will take a few minutes.Press CTRL+C to abort.Input the modulus length default = 1024:1024sshH3C ssh server enable / 开启ssh服务H3C undo ssh server compatible-ssh1x enable /关闭兼容SSH version1版本 H3C ssh server acl 3000 /ssh服务应用编号3000的访问控制列表H3C ssh server authentication-retries 3 /注意authentication-敲au然后TAB补全 ,密码错误次数3次自动退出，但不锁定。H3C ssh server authentication-timeout 120 /SSH登录过程中密钥交换运算量比较大，如果设备性能较低，需要配置较长的认证超时时间。通过ssh server authentication-timeout命令可以修改服务器端配置的认证超时时间。H3C password-control login-attempt 5 exceed lock-time 5 /登录失败5次锁定5分钟。2. 设备管理 2.1 本地管理【安全要求】对于通过本地 Console 口进行维护的设备， 设备应配置使用用户名和口令进行认证。【配置要求】人员本地登录应通过 Console 口输入用户名和口令。 【配置方法】设置串口的登录策略（consle）H3C line console 0 /进入aux接口配置H3C-line-console0 authentication-mode scheme /设置用户密码认证模式开启前，需要配置相应的用户权限和登录方式，登录方式须包含terminal。 Console默认登录user-role network-admin，但是操作员、审计员仍能登录，无法获取超级权限。2.2 远程管理【安全要求】对于使用 IP 协议进行远程维护的设备， 设备应配置使用 SSH 等加密协议，采用 SSH 服务代替 telnet 实施远程管理， 提高设备管理安全性。【配置要求】人员运程登录应使用 SSH 协议， 禁止使用 telnet、rlogin 其他协议远程登录。 【配置方法】H3C line vty 0 4 H3C-line-vty0-4 authentication-mode schemeH3C-line-vty0-4 protocol inbound ssh 2.3 限制 IP 访问【安全要求】公共网络服务 SSH、SNMP 默认可以接受任何地址的连接， 为保障网络安全，应只允许特定地址访问。【配置要求】配置访问控制列表， 只允许网管系统、 审计系统、 主站核心设备地址能访问网络设备管理服务。 SSH 和 SNMP 地址不同时应启用不同的访问控制列表。 【配置方法】旧设备H3C line vty 0 4H3C-line-vty0-4 acl 2000 inbound新设备H3C ssh server acl 2000 /前提得先配置访问控制列表2000-H3C snmp-agent community read simple * acl 2000 配置团体字*权限为读权限，远程服务器地址根据ACL2000来确定，注意需要使用simple,否则需要输入加密后字符串（ACL 为哪些服务器可以来采集）2.4 登录超时【安全要求】应配置账户超时自动退出， 退出后用户需再次登录才能进入系统。【配置要求】Console 口或远程登录后超过 5 分钟无动作应自动退出。H3C line console 0 进入console接口配置H3C-line-console0 idle-timeout 5 0 登录超时5分钟H3C line vty 0 4 H3C-line-vty0-4 idle-timeout 5 0 登录超时5分钟3. 网络服务【安全要求】禁用不必要的公共网络服务；网络服务采取白名单方式管理，只允许开放SNMP、SSH、NTP等特定服务。【配置要求】禁用TCP SMALL SERVERS。（Cisco有，华为华三没有）禁用UDP SMALL SERVERS。（Cisco有，华为华三没有）禁用Finger。（Cisco有，华为华三没有）禁用HTTP SERVER。禁用BOOTP SERVER。（Cisco有，华为华三没有）关闭DNS查询功能，如要使用该功能，则显式配置DNS SERVER。禁用DHCP服务【配置方法】H3C undo ip http enableH3C undo ftp server enableH3C undo telnet server enableH3C undo dns serverH3C undo dhcp enable4. 安全防护4.1 BANNER【安全要求】应修改缺省BANNER语句，BANNER不应出现含有系统平台或地址等有碍安全的信息，防止信息泄露。【配置要求】修改网络设备的 banner 信息，如修改 login Banner 信息，EXEC Banner 信息等。H3C undo header incoming / 配置Modem登录用户进入用户视图时的显示信息。 H3C undo header legal /配置登录用户进入用户视图前的授权信息。 H3C undo header login /配置登录验证时的显示信息。 H3C undo header motd /登录终端界面前显示信息。H3C undo header shell /配置非Modem登录用户进入用户视图时的显示信息。4.2 ACL访问控制列表【安全要求】应设置 ACL 访问控制列表，控制并规范网络访问行为。【配置要求】根据具体业