華為 HUAWEI 網絡設備路由交換基線安全加固操作

帳號管理?ELK-Huawei-01-01-01

登錄要求?ELK-Huawei-01-02-01

認證和授權?ELK-Huawei-01-03-01

日志配置?ELK-Huawei-02-01-01

通信協議?ELK-Huawei-03-01-01

設備其它安全要求?ELK-Huawei-04-01-01

帳號管理?ELK-Huawei-01-01-01

編號：	ELK-Huawei-01-01-01
名稱：	無效帳戶清理
實施目的：	刪除與設備運行、維護等工作無關的賬號
問題影響：	賬號混淆，權限不明確，存在用戶越權使用的可能。
系統當前狀態：	查看備份的系統配置文件中帳號信息。
實施方案：	參考配置操作 aaa undo local-user test? ?
回退方案：	還原系統配置文件。
判斷依據：	標記用戶用途，定期建立用戶列表，比較是否有非法用戶
實施風險：	低
重要等級：	★★★
實施風險：	低
重要等級：	★★★

登錄要求?ELK-Huawei-01-02-01

編號：	Huawie-01-02-01
名稱：	遠程登錄加密傳輸
實施目的：	遠程登陸采用加密傳輸
問題影響：	泄露密碼
系統當前狀態：	查看備份的系統配置文件中遠程登陸的配置狀態。
實施方案：	1、參考配置操作全局模式下配置如下命令：（1）R36xxE系列、R2631E系列 #protocol inbound ssh x [acl xxxx]； #ssh user xxxx assign rsa-key xxxxxx； #ssh user xxxx authentication-type [ password \| RSA \| all ] （2）NE系列 #local-user username?password [simple \| cipher] password #aaa enable #ssh?user username?authentication-type?password #user-interface vty x #authentication-mode scheme default #protocol inbound ssh
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中遠程登陸的配置狀態。
實施風險：	高
重要等級：	★

ELK-Huawei-01-02-02

編號：	ELK-Huawei-01-02-02
名稱：	加固AUX端口的管理
實施目的：	除非使用撥號接入時使用AUX端口，否則禁止這個端口。
問題影響：	用戶非法登陸
系統當前狀態：	查看備份的系統配置文件中關于CON配置狀態。
實施方案：	1、參考配置操作 #?undo modem 設置完成后無法通過AUX撥號接入路由器
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于CON配置狀態。
實施風險：	中
重要等級：	★

ELK-Huawei-01-02-03

編號：	ELK-Huawei-01-02-03
名稱：	遠程登陸源地址限制
實施目的：	對登錄用戶的源IP地址進行過濾，防止某些獲得登錄密碼的用戶從非法的地址登錄到設備上。
問題影響：	非法登陸。
系統當前狀態：	查看備份的系統配置文件中關于登錄配置狀態。
實施方案：	參考配置操作全局模式下配置如下命令： acl?acl-number?[match [config \| auto]]; rule {normal \|special} {permit \| deny} [source?xxx xxx] [destination?xxx xxx] ….
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于登錄配置狀態。
實施風險：	中
重要等級：	★

認證和授權?ELK-Huawei-01-03-01

編號：	ELK-Huawei-01-03-01
名稱：	認證和授權設置
實施目的：	設備通過相關參數配置，與認證系統聯動，滿足帳號、口令和授權的強制要求。
問題影響：	非法登陸。
系統當前狀態：	查看備份的系統配置文件中相關配置。
實施方案：	參考配置操作 #對遠程登錄用戶先用RADIUS服務器進行認證，如果沒有響應，則不認證。 #認證服務器IP地址為129.7.66.66，無備用服務器，端口號為默認值1812。 # 配置RADIUS服務器模板。 [Router] radius-server?template shiva # 配置RADIUS認證服務器IP地址和端口。 Router-radius-shiva]radius-server?authentication 129.7.66.66 1812 # 配置RADIUS服務器密鑰、重傳次數。 [Router-radius-shiva] radius-server?shared-key?it-is-my-secret [Router-radius-shiva] radius-server retransmit 2 [Router-radius-shiva]?quit # 進入AAA視圖。 [Router]?aaa # 配置認證方案r-n，認證方法為先RADIUS，如果沒有響應，則不認證。 [Router–aaa] authentication-scheme r-n [Router-aaa-authen-r-n]?authentication-mode?radius?none [Router-aaa-authen-r-n]?quit # 配置default域，在域下采用r-n認證方案、缺省的計費方案（不計費），shiva的RADIUS模板。 [Router-aaa] domain default [Router-aaa-domain-default]?authentication-scheme r-n [Router-aaa-domain-default]radius-server?shiva
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中相關配置。
實施風險：	低
重要等級：	★

日志配置?ELK-Huawei-02-01-01

編號：	ELK-Huawei-02-01-01
名稱：	開啟日志功能
實施目的：	支持數據日志，可以記錄系統日志與用戶日志。系統日志指系統運行過程中記錄的相關信息，用以對運行情況、故障進行分析和定位，日志文件可以通過XModem、FTP、TFTP協議，遠程傳送到網管中心。
判斷依據：	無法對用戶的登陸進行日志記錄。
系統當前狀態：	查看備份的系統配置文件中關于日志功能的配置。
實施方案：	參考配置操作 #info-center enable；默認已啟動 #info-center console；向控制臺輸出日志 #info-center logbuffer； ????向路由器內部緩沖器輸出日志 #info-center loghost；向日志主機輸出日志 #info-center monitor；向telnet終端或啞終端輸出日志
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于日志功能的配置。
實施風險：	中
重要等級：	★★★

通信協議?ELK-Huawei-03-01-01

編號：	ELK-Huawei-03-01-01
名稱：	SNMP服務配置
實施目的：	如不需要提供SNMP服務的，要求禁止SNMP協議服務，注意在禁止時刪除一些SNMP服務的默認配置。
問題影響：	對系統造成不安全影響。
系統當前狀態：	查看備份的系統配置文件中關于SNMP服務的配置。
實施方案：	參考配置操作全局模式下配置如下命令： Undo snmp enable undo snmp-agent community RWuser 關閉snmp的設備不能被網管檢測到，關閉寫權限的設備不能進行set操作。
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于SNMP服務的配置。
實施風險：	中
重要等級：	★

ELK-Huawei-03-01-02

編號：	ELK-Huawei-03-01-02
名稱：	更改SNMP TRAP協議端口；
實施目的：	如開啟SNMP協議，要求更改SNMP trap協議的標準端口號，以增強其安全性。
問題影響：	容易引起拒絕服務攻擊。
系統當前狀態：	查看備份的系統配置文件中關于SNMP服務的配置。
實施方案：	參考配置操作全局模式下配置如下命令： R36xxE系列、R2631E系列 #snmp-agent #snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx #snmp-agent trap enable （2）NE系列 #snmp-agent #snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname xxx udp-port xxx #snmp-agent trap enable
回退方案：	還原系統配置文件。
判斷依據：	Show SNMP
實施風險：	高
重要等級：	★

???????ELK-Huawei-03-01-03

編號：	ELK-Huawei-03-01-03
名稱：	限制發起SNMP連接的源地址
實施目的：	如開啟SNMP協議，要求更改SNMP 連接的源地址，以增強其安全性。
問題影響：	被非法攻擊。
系統當前狀態：	查看備份的系統配置文件中關于SNMP服務的配置。
實施方案：	1、參考配置操作全局模式下配置如下命令： #snmp-agent # snmp-agent community [read \| write] XXXX acl xxxx 【影響】：只有指定的網管網段才能使用SNMP維護
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于SNMP服務的配置。
實施風險：	中
重要等級：	★

???????ELK-Huawei-03-01-04

編號：	ELK-Huawei-03-01-04
名稱：	設置SNMP密碼
實施目的：	如開啟SNMP協議，要求設置并定期更改SNMP Community（至少半年一次），以增強其安全性。
系統當前狀態：	查看備份的系統配置文件中關于SNMP服務的配置。
問題影響：	泄露密碼，引起非法登陸。
實施方案：	1、參考配置操作全局模式下配置如下命令： #snmp-agent # snmp-agent community [read \| write] XXXX（不建議打開write特性）
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于SNMP服務的配置。
實施風險：	中
重要等級：	★

???????ELK-Huawei-03-01-05

編號：	ELK-Huawei-03-01-05
名稱：	SNMP訪問安全限制
實施目的：	設置SNMP訪問安全限制，只允許特定主機通過SNMP訪問網絡設備。
問題影響：	非法登陸。
系統當前狀態：	查看備份的系統配置文件中關于SNMP服務的配置。
實施方案：	參考配置操作 #snmp-agent community read XXXX01?acl 2000
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于SNMP服務的配置。
實施風險：	中
重要等級：	★

???????ELK-Huawei-03-01-06

編號：	ELK-Huawei-03-01-06
名稱：	源地址路由檢查
實施目的：	為了防止利用IP Spoofing手段假冒源地址進行的攻擊對整個網絡造成的沖擊，要求在所有的邊緣路由設備（即直接與終端用戶網絡互連的路由設備）上，根據用戶網段規劃添加源路由檢查。此外，該功能會對設備的轉發性能造成影響，所以它更適用于網絡接入層設備，匯聚層和核心層設備不建議使用。
問題影響：	會對設備負荷造成影響。
系統當前狀態：	查看備份的系統配置文件中關于CEF 服務的配置。
實施方案：	參考配置操作全局模式下配置如下命令： #urpf enable
回退方案：	還原系統配置文件。
判斷依據：	查看配置文件，核對參考配置操作
實施風險：	高
重要等級：	★

設備其它安全要求?ELK-Huawei-04-01-01

編號：	ELK-Huawei-04-01-01
名稱：	禁止未使用或空閑的端口
實施目的：	防止從空閑端口滲透到系統內部
問題影響：	從空閑端口滲透到系統內部
系統當前狀態：	查看備份的系統配置文件中關于端口啟用的配置。
實施方案：	參考配置操作在不使用的端口啟用如下命令： # shutdown
回退方案：	還原系統配置文件。
判斷依據：	查看備份的系統配置文件中關于端口啟用的配置。
實施風險：	中
重要等級：	★★★

???????ELK-Huawei-04-01-02

編號：	ELK-Huawei-04-01-02
名稱：	關閉不必要的服務
實施目的：	關閉網絡設備不必要的服務，比如FTP、NTP、HGMP、Dhcp Server服務等
問題影響：	造成系統不安全性增加，難以管理。
系統當前狀態：	查看備份的系統配置文件。
實施方案：	參考配置操作全局模式下配置如下命令：！FTP服務的關閉 #undo??ftp server
回退方案：	還原系統配置文件。
判斷依據：	查看配置文件，核對參考配置操作。
實施風險：	中
重要等級：	★