【正文】 ...Press CTRL+K to abort Connected to . 220 3Com 3CDaemon FTP Server Version User(:(none)):1331 User name ok, need passwordPassword:230 User logged in[ftp]bin200 Type set to I.[ftp]get 第五章 安全配置規(guī)范安全基線項目名稱配置默認級別安全基線要求項安全基線編號SBLH3C WX6000020101安全基線級別必選項安全基線項說明 AC命令級別共分為訪問、監(jiān)控、系統(tǒng)、管理4 個級別，分別對應標識0、3。配置登錄默認級別為訪問級（0VISIT）參考配置參考配置操作userinterface vty 0 4 authenticationmode scheme user privilege level 0補充說明無。備注（1）設(shè)置默認優(yōu)先級后，Level 0權(quán)限的用戶，必須配合全局Level 3的super password，才可以telnet遠程登錄設(shè)備并修改設(shè)備配置；（2）Console口安全配置按客戶規(guī)范要求實施，有明確Console口安全規(guī)范的必須添加Console口密碼防護。、維護工作無關(guān)的帳號安全基線項目名稱刪除無關(guān)帳號安全基線要求項安全基線編號SBLH3C WX6000020102安全基線級別必選項安全基線項說明 AC設(shè)備在出廠默認配置中存在h3c\admin等缺省帳號，用于設(shè)備的開局加電訪問。這些缺省帳號在設(shè)備正式上線運行后必須刪除。參考配置參考配置操作undo localuser h3c補充說明無。備注缺省帳號必須刪除，設(shè)備運行后亦嚴禁再次添加類似簡單帳號安全基線項目名稱配置帳號授權(quán)級別安全基線要求項安全基線編號SBLH3C WX6000020103安全基線級別可選項安全基線項說明 AC命令級別共分為訪問、監(jiān)控、系統(tǒng)、管理4 個級別，分別對應標識0、3。應按維護需求，對不同帳號配置授權(quán)級別。參考配置參考配置操作localuser USER1 password cipher USER1 authorizationattribute level 2localuser USER2 password cipher USER2 authorizationattribute level 0補充說明無。備注應該按客戶的維護需求，對不同管理級別維護人員開放不同的訪問權(quán)限，嚴格控制3級授權(quán)（管理級）的帳號。安全基線項目名稱密碼復雜度安全基線要求項安全基線編號SBLH3C WX6000020201安全基線級別必選項安全基線項說明 通過控制臺和遠程終端，需要密碼才能登錄. 口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。參考配置參考配置操作userinterface aux 0authenticationmode password user privilege level 0 set authentication password cipher 12abAB@^localuser USER1 password cipher 12abAB@^補充說明無。備注安全基線項目名稱口令加密存放安全基線要求項安全基線編號SBLH3C WX6000020202安全基線級別必選項安全基線項說明 對于采用靜態(tài)口令認證技術(shù)的AC設(shè)備，賬戶口令加密存放。參考配置參考配置操作localuser USER1 password cipher $c$3$JJLUdrl/+r5nXMiuTP3SVAkibk8S8L9tGgAI補充說明無。備注安全基線項目名稱口令嘗試失敗鎖定安全基線要求項安全基線編號SBLH3C WX6000020203安全基線級別必選項安全基線項說明 對于采用靜態(tài)口令認證技術(shù)的AC設(shè)備，當用戶連續(xù)認證失敗超過3次，鎖定該用戶使用的帳號60分鐘。參考配置參考配置操作passwordcontrol loginattempt 3 exceed locktime 60passwordcontrol enable補充說明無。備注安全基線項目名稱口令生存期安全基線要求項安全基線編號SBLH3C WX6000020204安全基線級別可選項安全基線項說明 對于采用靜態(tài)口令認證技術(shù)的AC設(shè)備，賬戶口令的生存期不長于90天。參考配置參考配置操作passwordcontrol aging 90passwordcontrol aging enable補充說明無。備注安全基線項目名稱口令復雜度自動檢測安全基線要求項安全基線編號SBLH3C WX6000020205安全基線級別可選項安全基線項說明 對于采用靜態(tài)口令認證技術(shù)的AC設(shè)備，應配置自動檢測口令復雜度，防止誤配簡單密碼。復雜度要求：“口令長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類”。參考配置參考配置操作passwordcontrol length 8passwordcontrol position typenumber 2passwordcontrol enable補充說明無。備注安全基線項目名稱口令歷史重復使用檢測安全基線要求項安全基線編號SBLH3C WX6000020206安全基線級別可選項安全基線項說明 對于采用靜態(tài)口令認證技術(shù)的AC設(shè)備，賬戶口令不得設(shè)置為最近5次已經(jīng)使用過的相同密碼。參考配置參考配置操作passwordcontrol history 5passwordcontrol history enable補充說明無。備注安全基線項目名稱設(shè)置訪問級別切換密碼安全基線要求項安全基線編號SBLH3C WX6000020207安全基線級別可選項安全基線項說明 用戶可以無條件切換到比當前低的用戶級別，但是當使用AUX 或VTY 用戶界面登錄，并且從低級別往高級別切換時，需要輸入級別切換密碼（級別切換密碼可以通過 super password 命令設(shè)置）。如果輸入的密碼錯誤或者沒有配置級別切換密碼，切換操作失敗。因此，在進行切換操作前，請先配置級別切換密碼。參考配置參考配置操作super password level 1 cipher password1super password level 2 cipher password2super password level 3 cipher password3補充說明無。備注安全基線項目名稱配置遠程日志服務器安全基線要求項安全基線編號SBLH3C WX6000030101安全基線級別可選項安全基線項說明 設(shè)備應配置遠程日志功能。所有設(shè)備日志均能通過遠程日志功能傳輸?shù)饺罩痉掌?。設(shè)備應配置至少一種通用的遠程標準日志接口，如SYSLOG等。參考配置參考配置操作infocenter enableinfocenter loghost channel loghost備注安全基線項目名稱使用SSH加密管理安全基線要求項安全基線編號SBLH3C WX6000040101安全基線級別必選項安全基線項說明 對于使用IP協(xié)議進行遠程維護的設(shè)備，設(shè)備應配置使用SSH等加密協(xié)議，關(guān)閉TELNET協(xié)議。參考配置 參考配置操作userinterface vty 0 4 authenticationmode scheme protocol inbound ssh 補充說明無。備注安全基線項目名稱系統(tǒng)遠程管理服務只允許特定地址訪問安全基線要求項安全基線編號SBLH3C WX6000040102安全基線級別必選項安全基線項說明 系統(tǒng)遠程管理服務SSH默認可以接受任何地址的連接，出于安全考慮，應該只允許特定地址訪問。參考配置 acl number 2000 rule 1 permit source userinterface vty 0 15 acl 2000 inbound補充說明無。備注 SNMP安全安全基線項目名稱配置SNMP團體字安全基線要求項安全基線編號SBLH3C WX6000050101安全基線級別必選項安全基線項說明 配置SNMP的Community團體字符合口令強度要求。團體字長度至少8位，并包括數(shù)字、小寫字母、大寫字母和特殊符號四類中至少兩類。參考配置參考配置操作snmpagent munity read 12abAB@^snmpagent munity write 34cdCDamp。*補充說明無。備注禁止使用public、private通用團體字屬性安全基線項目名稱SNMP版本安全基線要求項安全基線編號SBLH3C WX6000050102安全基線級別必選項安全基線項說明 系統(tǒng)應配置為SNMPv2c或以上版本。參考配置參考配置操作snmpagent sysinfo version v3補充說明 無。備注 SNMP訪問控制安全基線項目名稱SNMP訪問控制安全基線要求項安全基線編號SBLH3C WX6000050103安全基線級別必選項安全基線項說明 設(shè)置SNMP訪問安全限制，只允許特定主機通過SNMP訪問網(wǎng)絡設(shè)備。參考配置參考配置操作acl number 2000 rule 1 permit source snmpagent munity read XXXX acl 2000snmpagent munity write XXXX acl 2000補充說明無。備注運營商WLAN一般有固定的網(wǎng)管監(jiān)控平臺，acl必須限定到只允許特定的網(wǎng)管服務器IP地址通過SNMP訪問設(shè)備。安全基線項目名稱關(guān)閉不需要的服務安全基線要求項安全基線編號SBLH3C WX6000060101 安全基線級別必選項安全基線項說明 關(guān)閉網(wǎng)絡設(shè)備不必要的服務，比如FTP、HTTP、TELNET服務等。參考配置參考配置操作undo ftp serverundo ip enableundo telnet server enable補充說明無。備注服務根據(jù)客戶具體要求配置安全基線項目名稱配置Console口密碼防護安全基線要求項安全基線編號SBLH3C WX6000060102安全基線級別可選項安全基線項說明 具有Console口的AC設(shè)備以及其他WLAN設(shè)備，應設(shè)置Console口密碼防護參考配置參考配置操作userinterface console 0 authenticationmode password set authentication password cipher 12abAB!@補充說明無。備注Console口安全配置按客戶規(guī)范要求實施，有明確Console口安全規(guī)范的必須添加Console口密碼防護。安全基線項目名稱帳號登錄超時安全基線要求項安全基線編號SBLH3C WX6000060103安全基線級別可選項安全基線項說明 配置定時帳號自動登出，登出后用戶需再次登錄才能進入系統(tǒng)。設(shè)置超時時間為5分鐘.參考配置 參考配置操作設(shè)置超時時間為5分鐘(缺省為10分鐘)userinterface vty 0 4 idletimeout 5補充說明無。備注根據(jù)客戶具體要求配置，禁止關(guān)閉賬號超時退出功能安全基線項目名稱無線客戶端隔離安全基線要求項安全基線編號SBLH3C WX6000060104安全基線級別可選項安全基線項說明 配置無線客戶端隔離功能，禁止客戶端之間直接互訪參考配置 參考配置操作userisolation vlan 100 permitmac 00238949ac1euserisolation vlan 100 enable補充說明無。備注48 /