一、等保三级针对网络设备建议
1、建议根据需要对网络设备的用户口令设置复杂度限制,用户口令应为数字、字母、特殊字符混合组合,口令长度应为8位以上,
且应具有用户口令定期更新,如至少90天更换一次。
2、建议对网络设备的登录失败采取必要的安全措施,如登录失败5次锁定10分钟,设置网络设备的登录连接超时自动退出时间,
如登录连接30分钟无操作后自动退出
二、不同厂商的针对等保要求的相关配置
华为防火墙
system-view
aaa
local-aaa-user password policy administrator
password expire 180
password alert before-expire 45
password min-length 9
password complexity three-of-kinds
local-aaa-user wrong-password retry-interval 5 retry-time 7 block-time 3
user-interface vty 0 4
idle-timeout 20 0
commit
###############防火墙#################################
配置密码超时时间:
system-view
aaa
local-aaa-user password policy administrator
password expire xxx (单位为天)
配置密码复杂度要求:
system-view
aaa
local-aaa-user password policy administrator
password min-length xx (配置密码最小长度)
password complexity xxx(可配置two-of-kinds,three-of-kinds,four-of-kinds)
two-of-kinds
指定用户设置的密码至少包含“大写字母、小写字母、数字和特殊字符”中的两种,才能通过密码复杂度检查。
three-of-kinds
指定用户设置的密码至少包含“大写字母、小写字母、数字和特殊字符”中的三种,才能通过密码复杂度检查。
four-of-kinds
指定用户设置的密码至少包含“大写字母、小写字母、数字和特殊字符”中的四种,才能通过密码复杂度检查。
配置登陆失败处理动作:
system-view
aaa
local-aaa-user wrong-password retry-interval xxx retry-time xxx block-time xxx (已开启本地帐号锁定功能。缺省用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次,帐号锁定时间为5分钟。
配置超时自动退出:
system-view
user-interface vty 0 4
idle-timeout xx(分) xx(秒)
华为交换机
###########交换机####################
CE6857F-48s6CQ 安全加固
#使能本地用户账户安全策略功能,开启后当前账户再次登录时会要求更改密码
#这个命令开启的话是密码复杂度,长度,等安全相关的统一都开了,不用这个命令的话密码复杂度之类的需要单独配置
local-user policy security-enhance
使能本地用户的密码复杂度检查功能
开启后:密码必须包含数字、大写字母、特殊字符(不包括?和空格,但是当输入的密码两端使用引号时,可在密码中间输入空格)。密码不能与之前10次历史密码相同。
local-user policy password complexity-enhance
配置以明文形式输入的本地密码最小长度
local-user policy password min-len xx
配置密码过期时间和过期前一定时间内提醒用户修改密码
local-user policy password expire xx prompt xx(单位为天)
配置对本地帐号连续认证失败次数的限制
local-user authentication lock times xx xx
配置本地用户因连续认证失败而被锁定后,自动解锁的时间间隔。
local-user authentication lock duration
缺省情况下,自动解锁时间间隔为5分钟
设置用户连接的超时时间。
user-interface vty 0 4
idle-timeout xx(分钟) xx(秒)
华三交换机
password-control enable
password-control length 8
password-control composition type-number 3
password-control login idle-time 0
password-control login-attempt 8 exceed lock-time 2
undo password-control aging enable
undo password-control change-password first-login enable
1、根据需要对安全设备的用户口令设置复杂度限制,用户口令应为数字、字母、特殊字符混合组合,口令长度应为8位以上,且应具有用户口令定期更新,如至少90天更换一次。
#
password-control length 9-------------配置用户密码的最小长度
password-control composition type-number 3--------------------密码元素的最少组合类型为3种(数字、字母、特殊字符)
password-control aging 180----------------密码老化时间缺省就为90天(配置不显示)
password-control enable----------开启全局密码策略上面配置生效
开启全局密码策略会默认打开下面功能,需要关闭处理
undo password-control change-password first-login enable----关闭首次登录修改密码操作(全局密码策略打开后生效)
password-control login idle-time 0--------------------------关闭账号闲置时间,用户账号闲置超时后该账号将会失效,用户将无法正常登录设备,将idle-time配置为0表示Password Control对账号闲置时间无限制(全局密码策略打开后生效默认90天)
undo password-control history enable-------关闭用户密码历史记录的最大条数(全局密码策略打开后生效,默认用户密码历史记录的最大条数为4条)
undo password-control complexity user-name check-------关闭密码复杂度检查密码种包含用户名(全局密码策略打开后生效,检查密码中是否包含用户名,默认不允许包含用户名)
#
2、网络交换机设备开启登录失败处理功能和超时自动退出功能
登录失败处理功能
#
password-control login-attempt 5 exceed lock-time 10-----------登录失败5次锁定10分钟
password-control enable----------开启全局密码策略上面功能生效
开启全局密码策略会默认打开下面功能,需要关闭处理
undo password-control change-password first-login enable----关闭首次登录修改密码操作(全局密码策略打开后生效)
password-control login idle-time 0--------------------------关闭账号闲置时间,用户账号闲置超时后该账号将会失效,用户将无法正常登录设备,将idle-time配置为0表示Password Control对账号闲置时间无限制(全局密码策略打开后生效默认90天)
undo password-control length enable----------关闭密码口令长度限制(全局密码策略打开后生效,默认用户密码的最小长度10)
undo password-control composition enable--------关闭密码复杂度限制(全局密码策略打开后生效,默认用户密码复杂度最少组合类型为2种)
undo password-control aging enable----------关闭密码老化功能(全局密码策略打开后生效,默认密码老化时间90天)
undo password-control history enable-------关闭用户密码历史记录的最大条数(全局密码策略打开后生效,默认用户密码历史记录的最大条数为4条)
undo password-control complexity user-name check-------关闭密码复杂度检查密码种包含用户名(全局密码策略打开后生效,检查密码中是否包含用户名,默认不允许包含用户名)
#
line vty 0 63
idle-timeout 30 0----------------设置网络设备的登录连接超时自动退出时间,如登录连接30分钟无操作后自动退出.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
