H3C路由交换安全配置基线
H3C路由交换安全配置基线是一份规定了H3C路由器和交换机应该遵守的安全性设置标准的文档。它涵盖了账号管理、口令要求、日志审计、设备管理、服务安全和协议安全等方面的内容,目的是提高H3C路由交换设备的安全性,防止被恶意攻击或滥用,保护网络和数据的完整性、可用性和机密性。
H3C路由交换安全配置基线的使用者包括:网络管理员、网络安全管理员、网络运维人员等。他们需要根据这份文档来设置和维护H3C路由交换设备的安全性,以及进行安全合规性检查和配
置。
H3C路由交换安全配置基线的作用是帮助H3C路由交换设备达到一个安全、高效、合理的运行状态,避免因为配置错误或缺陷而导致的故障或漏洞,提高网络的稳定性和性
1. 设备物理安全:将设备放置在安全的位置,限制设备的物理访问,防止设备被人员非法操作或盗窃。
2. 设备远程管理安全:配置设备的远程管理接口(如SSH、Telnet、Console等)的访问控制列表(ACL),限制只允许特定的IP地址或IP地址段进行设备远程管理。
3. 设备登录认证安全:启用设备登录认证功能,使用AAA认证或者本地用户认证,要求用户在登录设备之前进行身份验证。
4. 设备控制面安全:配置控制面访问控制列表(ACL),限制设备上进入或者离开的控制面协议、控制面流量的源和目的IP地址、端口等进行过滤。
5. 设备数据面安全:配置数据面访问控制列表(ACL),限制设备上进入或者离开的数据面流量的源和目的IP地址、端口等进行过滤。
6. 设备防御系统配置:配置设备上的防御系统(如防火墙、入侵检测系统等)的规则,对进入设备的数据进行检测和防护。
7. 设备日志安全:配置设备的日志记录功能,将设备的日志存储在安全的位置,对设备的日志进行监控和分析。
[H3C]sys SW1
Sw1]vlan 102050
[SW1]vlan 50
[Sw1-vlan50lport1
ISw1-vlan50]port0
[Sw1-vlan50]port GigabitEthernet 1/0/1[sw1-vlan50]qu
[SW1]in
Isw1]interface g1/0/1
[SW1-GigabitEthernet1/0/1]po
Isw1-GigabitEthernet1/0/1lport lin
[Sw1-GigabitEthernet1/0/1lport link
[Sw1-GigabitEthernet1/0/1]portlink-type a
[SW1-GigabitEthernet1/0/1lportlink-type access[Sw1-GigabitEthernet1/0/1lport aSW1-GiqabitEthernet1/0/1lport access vlan 50ISw1-GigabitEthernet1/0/1]qu
ISW1]vlan 10
Sw1-vlan10]port
Sw1-vlan10lport g
SW1-vlan10]port GigabitEthernet 1/0/2gabitEthernet1/0/1(PVID 1).
SW1-vlan10]q&Ju1 18 15:15:16:342 2022 SW1 IIDP/5/ILDP PVID INCONSISTENT
PVID mismatch discovered on GigabitEthernet1/0/2(PVID 10),with H3c
Sw1]in
Sw1]interface g1/0/2[Sw1-GigabitEthernet1/0/2]port link[Sw1-GigabitEthernet1/0/2]port link[SW1-GigabitEthernet1/0/2]portlink-type t[Sw1-GigabitEthernet1/0/2]portlink-type trunkISw1-GigabitEthernet1/0/2]po[Sw1-GigabitEthernet1/0/2lport t
[sw1-GigabitEthernet1/0/2lport trunk[Sw1-GigabitEthernet1/0/2]porttrunk pvid
[SW1-GiqabitEthernet1/0/2]porttrunk permit vlan 10[sw1-GigabitEthernet1/0/2]qu
ISW1]vlan 20
Sw1-vlan20]port
[Sw1-vlan20]port link
[SW1-vlan20]port g
[Sw1-vlan20]qu
SW1in[Sw1]interface g1/0/3
[Sw1-GigabitEthernet1/0/3]port
[Sw1-GigabitEthernet1/0/3]port l
[Sw1-GigabitEthernet1/0/3]port link-
[Sw1-GigabitEthernet1/0/3]portlink-type
[SW1-GigabitEthernet1/0/3]portlink-type trunk p
[Sw1-GigabitEthernet1/0/3]port trunk pvid
[SW1-GigabitEthernet1/0/3]port trunk permit vlan 20
[Sw1-GigabitEthernet1/0/3]qu
[SW1-Vlan-interface50]ip ad
[SW1-Vlan-interface50]ipaddress 10.1.5.3 255.255.255.0
[SW1-Vlan-interface50]qu
[Sw1]in
[SW1]interface vlan 10
[Sw1-Vlan-interface10]Ju1 18 15:21:19:280 2022 SW1 IENET/3/PHY UPDOWN:Physical state on the interface Vlan-interfacel0 changed to up.Ju1 18 15:21:19:280 2022 SW1 IENET/5/IINK UPDOwN: ine protocol staten the interface lan interfacel0 changed to up.
SW1-Vlan-interface10lip adaddress 10.1.2.3 255.255.255.0[SW1-Vlan-interface10]ip[sw1-Vlan-interface10]qu
[SW1]om
[SW1]in
[SW1]interface vlan 20
<SW1>%Ju1 18 15:25:35:355 2022 SW1 SHEIL/5/SHELL LOGIN:
Console logged
from con0.
<SW1>
<SW1>
<SW1>
<SW1>
<SW1>
<SW1>sy
System View: return to User View with ctrl+z.
[SW1]ip r
[SW1]ip route-static ta
[SW1]ip route-static 10.1.1.0 255.255.255.0 10.1.2.4
[SW1]ip r
[SW1] ip route-static 10.1.4.0 255.255.255.0 10.1.3.4
[H3C]vlan 2[H3C]undo vlan all[H3C-vlan2]port Ethernet 0/4 to Ethernet 0[H3C-vlan2]port-isolate enable[H3C-Ethernet0/4]port-isolate uplink-port[H3C]display vlan all[H3C]user-group 20[H3C-UserGroup20]port Ethernet 0/4 o[H3C]display user-group 20