安全基線技術(shù)要求網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)通用安全基線技術(shù)要求網(wǎng)絡(luò)設(shè)備防護(hù)基線名稱安全設(shè)備的用戶進(jìn)行身份鑒別?；€編號IB-WLSB-01-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備通過相關(guān)參數(shù)配置，通過與認(rèn)證服務(wù)器（RADIUS或TACACS服務(wù)器）聯(lián)動的方式實(shí)現(xiàn)對用戶的認(rèn)證，滿足賬號、口令和授權(quán)的要求，對登錄設(shè)備的用戶進(jìn)行身份鑒別。備注基線名稱網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識唯一?；€編號IB-WLSB-01-02基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；禁止多個人員共用一個賬號。備注基線名稱身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換?；€編號IB-WLSB-01-03基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)修改控制中心登錄的默認(rèn)賬戶和密碼，密碼長度應(yīng)不小于8，密碼應(yīng)由字母、數(shù)字、特殊符號中的至少2種組成。備注基線名稱登錄失敗處理?；€編號IB-WLSB-01-04基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過上限時，設(shè)備自動斷開該用戶賬號的連接，并在一定時間內(nèi)禁止該用戶賬號重新認(rèn)證。備注基線名稱清除無關(guān)的賬號?；€編號IB-WLSB-01-05基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。備注基線名稱配置console口密碼保護(hù)基線編號IB-WLSB-01-06基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于具備console口的設(shè)備，應(yīng)配置console口密碼保護(hù)功能。備注基線名稱按照用戶分配賬號基線編號IB-WLSB-01-07基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。備注基線名稱配置使用SSH基線編號IB-WLSB-01-08基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議。備注基線名稱對用戶進(jìn)行分級權(quán)限控制基線編號IB-WLSB-01-09基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求原則上應(yīng)采用預(yù)定義級別的授權(quán)方法，實(shí)現(xiàn)對不同用戶權(quán)限的控制。備注基線名稱配置訪問IP地址限制基線編號IB-WLSB-01-10基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)對發(fā)起SNMP訪問的源IP地址進(jìn)行限制，并對設(shè)備接收端口進(jìn)行限制。備注基線名稱授權(quán)粒度控制基線編號IB-WLSB-01-11基線類型強(qiáng)制要求適用范圍□等保一、二級□等保三級涉普通商秘（工作秘密）□涉核心商秘基線要求原則上應(yīng)采用對命令組或命令進(jìn)行授權(quán)的方法，實(shí)現(xiàn)對用戶權(quán)限細(xì)粒度的控制的能力。備注基線名稱按最小權(quán)限方法分配帳號權(quán)限基線編號IB-WLSB-01-12基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求在設(shè)備權(quán)限配置能力內(nèi)，根據(jù)用戶的業(yè)務(wù)需要，配置其所需的最小權(quán)限。備注基線名稱配置定時賬戶自動登出基線編號IB-WLSB-01-13基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于具備字符交互界面的設(shè)備，應(yīng)配置定時賬戶自動登出。備注基線名稱限制NTP通信地址范圍基線編號IB-WLSB-01-14基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求通過ACL對NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制。備注基線名稱啟用NTP服務(wù)基線編號IB-WLSB-01-15基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)開啟NTP，保證設(shè)備日志記錄時間的準(zhǔn)確性。備注基線名稱配置會話超時基線編號IB-WLSB-01-16基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于具備字符交互界面的設(shè)備，應(yīng)配置定時賬戶自動登出。備注基線名稱配置屏幕自動鎖定基線編號IB-WLSB-01-17基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于具備圖形界面（含WEB界面）的設(shè)備，應(yīng)配置定時自動屏幕鎖定。備注基線名稱修改缺省BANNER基線編號IB-WLSB-01-18基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求隱藏設(shè)備字符管理界面的bannner信息。備注基線名稱Community字符串加密存放基線編號IB-WLSB-01-19基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求支持對SNMP協(xié)議RO、RW的Community字符串的加密存放。備注基線名稱配置路由信息發(fā)布和接受策略基線編號IB-WLSB-01-20基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求采用動態(tài)路由協(xié)議時，使用ipprefix-list過濾缺省和私有路由、設(shè)置最大路由條目限制、嚴(yán)格限制BGPPEER的源地址等方法避免設(shè)備發(fā)布或接收不安全的路由信息。備注基線名稱配置路由協(xié)議的認(rèn)證和口令加密基線編號IB-WLSB-01-21基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求啟用動態(tài)IGP（RIPV2、OSPF、ISIS等）或EGP（BGP）協(xié)議時，啟用路由協(xié)議認(rèn)證功能，如MD5加密，確保與可信方進(jìn)行路由協(xié)議交互。備注基線名稱SNMP配置-修改SNMP的默認(rèn)Community基線編號IB-WLSB-01-22基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)修改SNMP協(xié)議RO和RW的默認(rèn)Community字符串，并設(shè)置復(fù)雜的字符串作為SNMP的Community。備注基線名稱SNMP配置-禁用有寫權(quán)限的SNMPCommunity基線編號IB-WLSB-01-23基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)關(guān)閉未使用的SNMP協(xié)議，盡量不開啟SNMP的RW權(quán)限。備注基線名稱SNMP配置-配置選用較高SNMP版本基線編號IB-WLSB-01-24基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求使用SNMPV3以上的版本對設(shè)備做遠(yuǎn)程管理。備注訪問控制基線名稱避免從內(nèi)網(wǎng)主機(jī)直接訪問外網(wǎng)基線編號IB-WLSB-02-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)用代理服務(wù)器，將從內(nèi)網(wǎng)到外網(wǎng)的訪問流量通過代理服務(wù)器。設(shè)備只開啟代理服務(wù)器到外部網(wǎng)絡(luò)的訪問規(guī)則，避免在設(shè)備上配置從內(nèi)網(wǎng)的主機(jī)直接到外網(wǎng)的訪問規(guī)則。備注基線名稱配置流量控制基線編號IB-WLSB-02-02基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求使用合理的ACL或其它分組過濾技術(shù)，對設(shè)備控制流量、管理流量及其它由路由器引擎直接處理的流量（如traceroute、ICMP流量）進(jìn)行控制，實(shí)現(xiàn)對路由器引擎的保護(hù)。備注基線名稱配置安全域的訪問控制規(guī)則基線編號IB-WLSB-02-03基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求所有的安全域都具有相應(yīng)的規(guī)則進(jìn)行防護(hù)，對進(jìn)出流量進(jìn)行控制。備注基線名稱VPN用戶按照訪問權(quán)限進(jìn)行分組基線編號IB-WLSB-02-04基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于VPN用戶，必須按照其訪問權(quán)限不同而進(jìn)行分組，并在訪問控制規(guī)則中對該組的訪問權(quán)限進(jìn)行嚴(yán)格限制。備注基線名稱過濾不相關(guān)流量-ACL基線編號IB-WLSB-02-05基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于具備TCP/UDP協(xié)議功能的設(shè)備，設(shè)備應(yīng)根據(jù)業(yè)務(wù)需要，配置基于源IP地址、通信協(xié)議TCP或UDP、目的IP地址、源端口、目的端口的流量過濾，過濾所有和業(yè)務(wù)不相關(guān)的流量。備注基線名稱最小化服務(wù)基線編號IB-WLSB-02-06基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用非必要的服務(wù)。備注安全審計(jì)基線名稱開啟日志功能基線編號IB-WLSB-03-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求開啟記錄日志，記錄訪問登錄、退出等信息。備注基線名稱配置日志存儲位置基線編號IB-WLSB-03-02基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求將重要或指定級別的日志發(fā)送到日志服務(wù)器或其它位置，進(jìn)行安全存放，要求能追溯至少60天內(nèi)的日志記錄。備注基線名稱配置安全事件日志記錄基線編號IB-WLSB-03-03基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備應(yīng)配置日志功能，記錄對與設(shè)備自身相關(guān)的安全事件。備注基線名稱配置操作日志基線編號IB-WLSB-03-04基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備應(yīng)配置日志功能，記錄用戶對設(shè)備的操作，包括但不限于以下內(nèi)容：賬號創(chuàng)建、刪除和權(quán)限修改，口令修改，讀取和修改設(shè)備配置，讀取和修改業(yè)務(wù)用戶的話費(fèi)數(shù)據(jù)、身份數(shù)據(jù)、涉及通信隱私數(shù)據(jù)。記錄需要包含用戶賬號，操作時間，操作內(nèi)容以及操作結(jié)果。備注入侵防范基線名稱開啟告警功能基線編號IB-WLSB-04-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備應(yīng)具備向管理員告警的功能，配置告警功能，報(bào)告對設(shè)備本身的攻擊或者設(shè)備的系統(tǒng)嚴(yán)重錯誤。備注基線名稱配置拒絕常見漏洞所對應(yīng)端口或者服務(wù)的訪問基線編號IB-WLSB-04-02基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置訪問控制規(guī)則，拒絕對常見漏洞所對應(yīng)端口或者服務(wù)的訪問。備注基線名稱防止仿冒ARP網(wǎng)關(guān)攻擊基線編號IB-WLSB-04-03基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)對仿冒ARP網(wǎng)關(guān)攻擊進(jìn)行防護(hù)。備注基線名稱配置網(wǎng)絡(luò)層異常報(bào)文攻擊告警基線編號IB-WLSB-04-04基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置告警功能，報(bào)告網(wǎng)絡(luò)流量中對TCP/IP協(xié)議網(wǎng)絡(luò)層異常報(bào)文攻擊的相關(guān)告警。備注基線名稱關(guān)閉不必要的服務(wù)基線編號IB-WLSB-04-05基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)關(guān)閉設(shè)備上不必要的服務(wù)(如CDP、DNSlookup、DHCP、finger、udp-small-server、tcp-small-server、http、bootp、IP源路由、PAD等)。備注基線名稱關(guān)閉不必要的服務(wù)-禁用FTP服務(wù)基線編號IB-WLSB-04-06基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備設(shè)備必須關(guān)閉非必要服務(wù)。禁用FTP服務(wù)。備注Cisco路由器/交換機(jī)安全基線技術(shù)要求網(wǎng)絡(luò)設(shè)備防護(hù)基線名稱使用認(rèn)證服務(wù)器認(rèn)證基線編號IB-CISCO（SW）-01-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備通過相關(guān)參數(shù)配置，通過與認(rèn)證服務(wù)器（RADIUS或TACACS服務(wù)器）聯(lián)動的方式實(shí)現(xiàn)對用戶的認(rèn)證，滿足賬號、口令和授權(quán)的要求。配置方法參考配置操作1、Cisco(config)#aaanew-model2、Cisco(config)#aaaauthenticationlogindefaultgroup<server>local#<server>為認(rèn)證服務(wù)器名稱（首先通過認(rèn)證服務(wù)器認(rèn)證，認(rèn)證服務(wù)器認(rèn)證失敗的情況下通過本地認(rèn)證。）3、Cisco(config)#aaaauthenticationenabledefaultgroup<server>enable4、Cisco(config)#end5、Cisco#write基線名稱禁止無關(guān)賬號基線編號IB-CISCO（SW）-01-02基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。配置方法參考配置操作1、Cisco(config)#nousername<username>#其中<username>表示用戶名?；€名稱口令加密基線編號IB-CISCO（SW）-01-03基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求靜態(tài)口令應(yīng)采用安全可靠的單向散列加密算法（如md5、sha1等）進(jìn)行加密，并以密文形式存放。如使用enablesecret配置Enable密碼，不使用enablepassword配置Enable密碼。配置方法參考配置操作1、Cisco(config)#noenablepassword#配置enable密碼2、Cisco(config)#enablesecret<password>#<password>為口令3、Cisco(config)#username<username>secret<password>注：若已用password設(shè)置用戶密碼，則需要先刪除用戶(nousername<username>)，再使用secret設(shè)置用戶密碼。4、Cisco(config)#servicepassword-encryption#啟用密碼加密服務(wù)5、Cisco(config)#end6、Cisco#write基線名稱對用戶設(shè)置授權(quán)等級基線編號IB-CISCO（SW）-01-04基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求原則上應(yīng)采用預(yù)定義級別的授權(quán)方法，實(shí)現(xiàn)對不同用戶權(quán)限的控制。配置方法參考配置操作1、Switch(config)#username<username>privilege<level>#<username>用戶名，<level>權(quán)限級別。2、Switch(config)#end3、Switch#write基線名稱避免共享賬號基線編號IB-CISCO（SW）-01-05基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。配置方法參考配置操作1、Cisco(config)#username<username>privilege<level>password<password>#<username>用戶名、<level>權(quán)限級別、<password>用戶口令。2、Cisco(config)#end3、Cisco#write基線名稱配置console口密碼保護(hù)基線編號IB-CISCO（SW）-01-06基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置console口密碼保護(hù)功能。配置方法參考配置操作1、Cisco(config)#lineconsole02、Cisco(config-line)#loginlocal3、Cisco(config-line)#password<password>#<password>為console口密碼4、Cisco(config-line)#end5、Cisco#write基線名稱管理默認(rèn)賬號與口令基線編號IB-CISCO（SW）-01-07基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘 基線要求應(yīng)刪除或鎖定默認(rèn)或缺省賬號與口令。配置方法參考配置操作1、Cisco(config)#nousernamecisco#刪除cisco賬號2、Cisco(config)#end3、Cisco#write基線名稱關(guān)閉未使用的管理口基線編號IB-CISCO（SW）-01-08基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備應(yīng)關(guān)閉未使用的管理口（AUX、或者沒開啟業(yè)務(wù)的端口）配置方法參考配置操作1、Cisco(config)#interface<接口>2、Cisco(config-if)#shutdown#關(guān)閉未使用的接口。3、Cisco(config-if)#end4、Cisco#write基線名稱遠(yuǎn)程管理通信安全-SSH基線編號IB-CISCO（SW）-01-09基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于使用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備，設(shè)備應(yīng)配置使用SSH等加密協(xié)議。配置方法參考配置操作1、Cisco(config)#ipdomain-name<domain_name>#配置域名<domain_name>域名名稱可自定義2、Cisco(config)#aaanew-model3、Cisco(config)#cryptokeygeneratersa4、Cisco(config)#linevty045、Cisco(config-line)#transportinputssh#配置僅允許ssh遠(yuǎn)程登錄6、Cisco(config-line)#end7、Cisco#write基線名稱使用SNMPV3版本基線編號IB-CISCO（SW）-01-10基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于支持SNMPV3版本的設(shè)備，必須使用V3版本SNMP協(xié)議。配置方法參考配置操作1、Cisco(config)#snmp-serverhost<ip>version3auth<username>#其中<ip>表示IP，<username>表示用戶名。2、Cisco(config-line)#end3、Cisco#write基線名稱SNMP配置-修改SNMP的默認(rèn)Community基線編號IB-CISCO（SW）-01-11基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求修改SNMP的Community默認(rèn)團(tuán)體字符串，字符串應(yīng)符合口令強(qiáng)度要求。配置方法參考配置操作1、Cisco(config)#snmp-servercommunity[name]#刪除名稱為public，并修改SNMPcomm團(tuán)體名2、Cisco(config)#end3、Cisco#write基線名稱限制可發(fā)起SNMP的源IP基線編號IB-CISCO（SW）-01-12基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)對發(fā)起SNMP訪問的源IP地址進(jìn)行限制，并對設(shè)備接收端口進(jìn)行限制。配置方法參考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list標(biāo)號，<access-list>表示acl規(guī)則內(nèi)容。2、Cisco(config)#snmp-servercommunity<name><ro/rw><tag>#<name>表示community名稱，<ro/rw>表示分配的權(quán)限。3、Cisco(config)#end4、Cisco#write基線名稱SNMP服務(wù)讀寫權(quán)限管理基線編號IB-CISCO（SW）-01-13基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求未使用SNMP的WRITE功能時，禁用SNMP的寫（WRITE）功能。配置方法參考配置操作1、Cisco(config)#snmp-servercommunity<name><RO>[<tag>]#<name>表示community名稱，<RO/RW>表示分配的權(quán)限，<tag>表示access-list標(biāo)號。2、Cisco(config)#end3、Cisco#write基線名稱限制NTP通信地址范圍基線編號IB-CISCO（SW）-01-14基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求通過ACL對NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制。配置方法參考配置操作1、Cisco(config)#ntpaccess-grouppeer<tag>#<tag>表示access-list標(biāo)號。2、Ciscoh(config)#end3、Cisco#write基線名稱VTY端口防護(hù)策略基線編號IB-CISCO（SW）-01-15基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)限制VTY口的數(shù)量，通常情況下VTY口數(shù)量不超過16個。應(yīng)設(shè)定VTY口的防護(hù)策略，避免由于惡意攻擊或者錯誤操作等導(dǎo)致VTY口不可用情況的發(fā)生。（如：網(wǎng)管系統(tǒng)盡量采用snmp方式對設(shè)備進(jìn)行操作，避免使用對設(shè)備CPU負(fù)載較大的telnet方式。）配置方法參考配置操作1、vty不能刪除，僅提供檢查作用，不提供配置方法。基線名稱遠(yuǎn)程主機(jī)IP地址段限制基線編號IB-CISCO（SW）-01-16基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)通過ACL限制可遠(yuǎn)程管理設(shè)備的IP地址段。配置方法參考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list標(biāo)號，<access-list>表示ACL規(guī)則內(nèi)容。2、Cisco(config)#linevty<num1>[<num2>]#<num1>、<num2>（可選）表示要配置的vty起止序號。3、Cisco(config-line)#access-class<tag><in/out>#<in/out>表示要過濾的連接的類型。4、Cisco(config-line)#end5、Cisco#write基線名稱報(bào)文速率限制基線編號IB-CISCO（SW）-01-17基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對廣播/組播/未知單播報(bào)文速率限制和阻斷。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#配置指定接口2、Cisco(config-if)#storm-controlbroadcastlevel<threshold>#配置廣播報(bào)文限制3、Cisco(config)#interface<InterfaceName>#配置指定接口4、Ciscoh(config-if)#storm-controlmulticastlevel<threshold>#配置組播報(bào)文限制5、Cisco(config)#interface<InterfaceName>#配置指定接口6、Cisco(config-if)#storm-controlunicastlevel<threshold>#配置單播報(bào)文限制7、Cisco(config-if)#end8、Cisco#write基線名稱已對命令設(shè)置授權(quán)等級基線編號IB-CISCO（SW）-01-18基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求原則上應(yīng)采用預(yù)定義級別的授權(quán)方法，實(shí)現(xiàn)對不同用戶權(quán)限的控制。配置方法參考配置操作1、Cisco(config)#privilegeconfigurelevel7snmp-server#對snmp-server命令設(shè)置授權(quán)等級2、Cisco(config)#privilegeexeclevel7ping#對ping命令設(shè)置授權(quán)等級3、Cisco(config)#privilegeexeclevel7configure#對configure命令設(shè)置授權(quán)等級4、Cisco(config)#end5、Cisco#writee基線名稱修改缺省BANNER基線編號IB-CISCO（SW）-01-19基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求要修改缺省器缺省BANNER語，BANNER最好不要有系統(tǒng)平臺或地址等有礙安全的信息。配置方法參考配置操作1、Cisco(config)#banner<options>#<options>表示banner命令的參數(shù)2、Cisco(config)#end3、Cisco#write基線名稱會話超時配置基線編號IB-CISCO（SW）-01-20基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置定時賬戶自動登出。如TELNET、SSH、HTTP等管理連接和CONSOLE口登錄連接等。配置方法參考配置操作1、console口會話超時配置（1）、Cisco(config)#lineconsole0（2）、Cisco(config-line)#exec-timeout<mins>[<seconds>]#<mins>單位為分，<seconds>單位為秒。2、vty口會話超時配置（1）、Cisco(config)#linevty<num1>[<num2>]#<num1>，<num2>(可選)表示要配置的vty起止序號。（2）、Cisco(config-line)#exec-timeout<mins>[<seconds>]（3）、Cisco(config-line)#end（4）、Cisco#write訪問控制基線名稱限制非法數(shù)據(jù)流基線編號IB-CISCO（SW）-02-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求通過ACL實(shí)現(xiàn)對地址為未注冊或私有的非法數(shù)據(jù)流的控制。配置方法參考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list標(biāo)號，其中，<access-list>表示ACL規(guī)則內(nèi)容。2、Cisco(config)#interface<InterfaceName>#接口名稱3、Cisco(config-if)#ipaccess-group<tag><in|out>#對進(jìn)或出的流量進(jìn)行限制。4、Cisco(config-if)#end5、Cisco#write基線名稱對設(shè)備引擎直接處理的流量進(jìn)行控制基線編號IB-CISCO（SW）-02-02基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求使用合理的ACL或其它分組過濾技術(shù)，對設(shè)備控制流量、管理流量及其它由設(shè)備引擎直接處理的流量（如traceroute、ICMP流量）進(jìn)行控制，實(shí)現(xiàn)對設(shè)備引擎的保護(hù)。配置方法參考配置操作1、Cisco(config)#access-list<tag><access-list>#<tag>表示access-list標(biāo)號<access-list>表示ACL規(guī)則具體內(nèi)容2、Cisco(config)#class-mapmatch-all<cmaptag>#<cmaptag>表示class-map標(biāo)號3、Cisco(config-cmap)#matchaccess-group<tag>4、Cisco(config-cmap)#exit5、Cisco(config)#policy-map<pmaptag>#<pmaptag>表示policy-map標(biāo)號6、Cisco(config-pmap)#class<cmaptag>7、Cisco(config-pmap-c)#police<policy>#<policy>表示策略具體類容8、Cisco(config-pmap-c)#exit9、Cisco(config-pmap)#exit10、Cisco(config)#control-planeslot<slotid>#將policy-map應(yīng)用到slot11、Cisco(config-cp)#service-policyinput<pmaptag>12、Cisco(config-cp)#end13、Cisco#write安全審計(jì)基線名稱日志存儲位置基線編號IB-CISCO（SW）-03-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備應(yīng)支持遠(yuǎn)程日志功能，所有設(shè)備日志均能通過遠(yuǎn)程日志功能傳輸?shù)饺罩痉?wù)器，設(shè)備應(yīng)支持至少一種通用的遠(yuǎn)程標(biāo)準(zhǔn)日志接口，如SYSLOG、FTP等。配置方法參考配置操作1、Cisco(config)#logginghost<ip地址>#<ip地址>為遠(yuǎn)程日志服務(wù)器地址。2、Cisco(config)#end3、Cisco#write基線名稱配置發(fā)送系統(tǒng)日志的源地址基線編號IB-CISCO（SW）-03-03基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)設(shè)置發(fā)送systemlog的源地址為loopback地址。配置方法參考配置操作1、Cisco(config)#loggingsource-interfaceloopback02、Cisco(config)#end3、Cisco#write基線名稱禁止系統(tǒng)日志向控制臺輸出基線編號IB-CISCO（SW）-03-04基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備的Systemlogmessages不記錄到控制臺。配置方法參考配置操作1、Cisco(config)#nologgingconsole2、Cisco(config)#end3、Cisco#write基線名稱VTY端口訪問的認(rèn)證基線編號IB-CISCO（SW）-03-05基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求對于VTY口訪問的認(rèn)證，應(yīng)采用認(rèn)證服務(wù)器認(rèn)證或者本地認(rèn)證的方式，避免使用VTY口下設(shè)置密碼的方式認(rèn)證。配置方法參考配置操作1、Cisco(config)#aaaauthenticationlogin<name>group<authentication_server>local#首先通過認(rèn)證服務(wù)器認(rèn)證，認(rèn)證服務(wù)器認(rèn)證失敗則使用本地認(rèn)證。2、Cisco(config)#linevty043、Cisco(config-line)#loginauthentication<name>#<name>引用步驟1創(chuàng)建的認(rèn)證方案4、Cisco#write基線名稱使用認(rèn)證服務(wù)器審計(jì)系統(tǒng)行為基線編號IB-CISCO（SW）-03-06基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求采用本地或采用與認(rèn)證服務(wù)器（RADIUS或TACACS服務(wù)器）聯(lián)動（優(yōu)選方式）的方式，實(shí)現(xiàn)對用戶登錄日志的記錄和審計(jì)。記錄和審計(jì)范圍應(yīng)包括但不限于：用戶登錄的方式、使用的賬號名、登錄是否成功、登錄時間、以及遠(yuǎn)程登錄時用戶使用的IP地址。主要審計(jì)以下行為：1、系統(tǒng)行為2、設(shè)備操作3、設(shè)備命令執(zhí)行4、網(wǎng)絡(luò)行為配置方法參考配置操作1、使用認(rèn)證服務(wù)器審計(jì)系統(tǒng)行為Cisco(config)#aaaaccountingsystemdefaultstart-stopgroup<server>#<server>為認(rèn)證服務(wù)器名稱。2、使用認(rèn)證服務(wù)器審計(jì)設(shè)備操作Cisco(config)#aaaaccountingexecdefaultstart-stopgroup<server>3、使用認(rèn)證服務(wù)器審計(jì)設(shè)備命令執(zhí)行Cisco(config)#aaaaccountingcommands<level>defaultstart-stopgroup4、使用認(rèn)證服務(wù)器審計(jì)網(wǎng)絡(luò)行為Cisco(config)#aaaaccountingnetworkdefaultstart-stopgroup<server>入侵防范基線名稱配置端口安全防護(hù)基線編號IB-CISCO（SW）-04-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置交換機(jī)端口安全策略，保證網(wǎng)絡(luò)安全。如配置portsecurity特性，指定Access、trunk接口類型等。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#配置指定物理接口的switchport模式2、Cisco(config-if)#switchportmode<mode>#<mode>接口類型為Access或者trunk3、Cisco(config-if)#end4、Cisco#write基線名稱已知典型攻擊防護(hù)基線編號IB-CISCO（SW）-04-02基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求過濾已知攻擊：在網(wǎng)絡(luò)邊界，設(shè)置安全訪問控制，過濾掉已知安全攻擊數(shù)據(jù)包，例如udp1434端口（防止SQLslammer蠕蟲）、tcp5800、5900、445（防止Della蠕蟲）。tcp5554、9996、4444（應(yīng)該配置對震蕩波端口及Blaster端口的防護(hù)）。配置方法參考配置操作1、配置對SQLslammer蠕蟲的防護(hù)（1）、Cisco(config)#access-list<tag>denyudpanyanyeq1434#<tag>表示access-list標(biāo)號2、應(yīng)配置對Della蠕蟲的防護(hù)（1）、Cisco(config)#access-list<tag>denytcpanyanyeq445#<tag>表示access-list標(biāo)號（2）、Cisco(config)#access-list<tag>denytcpanyanyeq5800（3）、Cisco(config)#access-list<tag>denytcpanyanyeq59003、應(yīng)配置對震蕩波端口及Blaster端口的防護(hù)（1）、Cisco(config)#access-list<tag>denytcpanyanyeq5554#<tag>表示access-list標(biāo)號（2）、Cisco(config)#access-list<tag>denytcpanyanyeq9996（3）、Cisco(config)#access-list<tag>denytcpanyanyeq44444、配置指定接口的ACL（1）、Cisco(config)#interface<InterfaceName>#接口名稱（2）、Cisco(config-if)#ipaccess-group<tag>in（3）、Cisco(config-if)#end（4）、Cisco#write基線名稱配置MAC攻擊防護(hù)基線編號IB-CISCO（SW）-04-03基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求通過相應(yīng)的策略配置，對各種MAC地址表攻擊、ARP攻擊、Vlan攻擊、STP攻擊、DHCP攻擊進(jìn)行防護(hù)。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#配置指定接口允許的最大地址數(shù)。2、Cisco(config-if)#switchportport-securitymaximum<num>#<num>表示最大地址數(shù)。3、Cisco(config-if)#end4、Cisco#write基線名稱配置VLAN攻擊防護(hù)基線編號IB-CISCO（SW）-04-04基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求通過相應(yīng)的策略配置，對各種MAC地址表攻擊、ARP攻擊、Vlan攻擊、STP攻擊、DHCP攻擊進(jìn)行防護(hù)。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#進(jìn)入指定接口2、Cisco(config-if)#switchporttrunkallowedvlan<vlanid>#配置trunk模式的接口允許的VLAN。3、Cisco(config-if)#end4、Cisco#write基線名稱典型協(xié)議報(bào)文防護(hù)基線編號IB-CISCO（SW）-04-05基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)對典型協(xié)議報(bào)文的攻擊進(jìn)行防護(hù)。配置方法參考配置操作1、配置HSRP報(bào)文防護(hù)（1）、Cisco(config)#interface<InterfaceName>（2）、Cisco(config-if)#standby1authenticationmd5key-string<key>2、配置VRRP報(bào)文防護(hù)（1）、Cisco(config)#interface<InterfaceName>（2）、Cisco(config-if)#vrrp1authenticationmd5key-string<key>（3）、Cisco(config-if)#end（4）、Cisco#write基線名稱配置預(yù)防源地址偽造攻擊基線編號IB-CISCO（SW）-04-06基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)采用uRPF技術(shù)預(yù)防偽造源地址的攻擊。配置方法參考配置操作Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名稱。Cisco(config-if)#ipverifyunicastsourcereachable-viaanyCisco(config-if)#endCisco#write基線名稱配置ARP攻擊防護(hù)基線編號IB-CISCO（SW）-04-07基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)對仿冒ARP網(wǎng)關(guān)攻擊進(jìn)行防護(hù)。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名稱2、Cisco(config-if)#switchportport-securityviolationrestrict3、Cisco(Config-if)#end4、Cisco#write基線名稱關(guān)閉不必要的功能-禁用TCPSmall基線編號IB-CISCO（SW）-04-08基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用TCPsmall服務(wù)。配置方法參考配置操作1、Cisco(config)#noservicetcp-small-servers2、Cisco(Config-if)#end3、Cisco#write基線名稱關(guān)閉不必要的功能禁用-PROXYARP基線編號IB-CISCO（SW）-04-09基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用PROXYARP功能。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名稱2、Cisco(config-if)#noipproxy-arp3、Ciscoh(Config-if)#end基線名稱關(guān)閉不必要的功能-禁用IPmask-reply基線編號IB-CISCO（SW）-04-10基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求在非可信網(wǎng)段內(nèi)禁用IP掩碼響應(yīng)功能。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名稱。2、Ciscoconfig-if)#noipmask-reply3、Cisco(config-if)#end基線名稱應(yīng)關(guān)閉所有接口的CDP協(xié)議基線編號IB-CISCO（SW）-04-11基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用CDP服務(wù)。配置方法參考配置操作1、Cisco(Config)#nocdprun2、Cisco(Config)#interface<interface>#<interface>表示接口名稱。3、Cisco(Config-if)#nocdpenable4、Cisco(Config-if)#end5、Cisco#write基線名稱關(guān)閉不必要的服務(wù)-禁用UDPSmall服務(wù)基線編號IB-CISCO（SW）-04-12基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用UDPSmall服務(wù)。配置方法參考配置操作1、Cisco(config)#noserviceudp-small-servers2、Cisco(Config-if)#end3、Cisco#write基線名稱關(guān)閉不必要的服務(wù)-禁用Finger服務(wù)基線編號IB-CISCO（SW）-04-13基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用Finger服務(wù)。配置方法參考配置操作1、Cisco(config)#noipfinger2、Cisco(Config)#end3、Cisco#write基線名稱關(guān)閉不必要的協(xié)議-PAgP基線編號IB-CISCO（SW）-04-14基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求在面向末端用戶的端口上采用相關(guān)技術(shù)手段屏蔽不必要的協(xié)議。配置方法參考配置操作1、Cisco(config)#interface<interface>#<interface>表示接口名稱。2、Cisco(config-if)#nopagplearn-method3、Cisco(config-if)#end4、Cisco#write基線名稱關(guān)閉不必要的協(xié)議-LACP基線編號IB-CISCO（SW）-04-15基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求在面向末端用戶的端口上采用相關(guān)技術(shù)手段屏蔽不必要的協(xié)議。配置方法參考配置操作1、Cisco(config)#interface<interface>接口名稱2、Cisco(config-if)#nolacpport-priority3、Cisco(config-if)#end4、Cisco#write基線名稱關(guān)閉不必要的協(xié)議-flowcontrol基線編號IB-CISCO（SW）-04-16基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求在面向末端用戶的端口上采用相關(guān)技術(shù)手段屏蔽不必要的協(xié)議。配置方法參考配置操作1、Cisco(Config)#interface<interface>#<interface>表示接口名稱。2、Cisco(Config-if)#flowcontrolreceiveoff3、Cisco(Config-if)#end4、Cisco#write基線名稱關(guān)閉不必要的功能-禁用IPUnreachables基線編號IB-CISCO（SW）-04-17基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用ipunreachable報(bào)文響應(yīng)。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>2、Cisco(config-if)#noipunreachables3、Cisco(Config-if)#end4、Cisco#write基線名稱關(guān)閉不必要的功能-禁用IPsource-route基線編號IB-CISCO（SW）-04-18基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用源路由，防止路由信息泄露。配置方法參考配置操作1、Cisco(config)#noipsource-route#關(guān)閉source-route服務(wù)。2、Cisco(config)#end3、Cisco#write基線名稱關(guān)閉不必要的功能-禁用IPRedirects基線編號IB-CISCO（SW）-04-19基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求在非可信網(wǎng)段內(nèi)禁用IP重定向功能。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>#<InterfaceName>表示接口名稱。2、Cisco(config-if)#noipredirects3、Cisco(Config-if)#end4、Cisco#write基線名稱關(guān)閉IP直接廣播基線編號IB-CISCO（SW）-04-20基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用直播（IPDIRECTEDBROADCAST）功能。配置方法參考配置操作1、Cisco(config)#interface<InterfaceName>關(guān)閉指定接口的ipdirected-broadcast2、Cisco(config-if)#noipdirected-broadcast3、Cisco(config-if)#end4、Cisco#write基線名稱關(guān)閉不必要的服務(wù)-禁用HTTPServer基線編號IB-CISCO（SW）-04-21基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求關(guān)閉http的配置方式。配置方法參考配置操作1、Cisco(config)#noiphttpserver2、Cisco(Config)#end3、Cisco#write基線名稱關(guān)閉不必要的服務(wù)-禁用DNS查詢服務(wù)基線編號IB-CISCO（SW）-04-22基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求禁用DNS查詢服務(wù)。配置方法參考配置操作1、Cisco(config)#noipdomain-lookup2、Cisco(Config-if)#end3、Cisco#write基線名稱開啟STP功能基線編號IB-CISCO（SW）-04-23基線類型可選要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求默認(rèn)開啟STP功能。配置方法參考配置操作1、Cisco(config)#spanning-treemodepvst2、Cisco(config-if)#end3、Cisco#write華為路由器/交換機(jī)安全基線技術(shù)要求網(wǎng)絡(luò)設(shè)備防護(hù)基線名稱配置super密碼基線編號IB-HUAWEI（SW）-01-01基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求存在superpassword，則符合安全要求，否則低于安全要求。配置方法參考配置操作[Huawei]superpasswordlevel<Prioritylevel>cipher***<Huawei>save基線名稱分級權(quán)限控制基線編號IB-HUAWEI（SW）-01-02基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求根據(jù)用戶的業(yè)務(wù)需求，配置其所需的最小權(quán)限。配置方法參考配置操作:[Huawei]aaa[Huawei-aaa]local-user<username>passwordcipher***[Huawei-aaa]local-user<username>service-typessh[Huawei-aaa]local-user<username>privilegelevel<number>#給用戶指定權(quán)限級別[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-modeaaa(2).保存配置<huawei>save備注：<username>是用戶名稱?；€名稱清除無關(guān)的賬號基線編號IB-HUAWEI（SW）-01-03基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)刪除與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號。配置方法參考配置操作(1).執(zhí)行如下命令：[Huawei]aaa[Huawei-aaa]undolocal-user<username>#<username>需要刪除的賬號名稱<Huawei>save基線名稱避免共享賬號基線編號IB-HUAWEI（SW）-01-04基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)按照用戶分配賬號。避免不同用戶間共享賬號。避免用戶賬號和設(shè)備間通信使用的賬號共享。配置方法參考配置操作(1).執(zhí)行如下命令:[Huawei]user-interfacevty04[Huawei-ui-vty0-4]authentication-modeaaa[Huawei-ui-vty0-4]quit[Huawei]aaa[Huawei-aaa]local-user<username>passwordcipher***#<username>用戶名稱<Huawei>save基線名稱配置連續(xù)失敗認(rèn)證次數(shù)上限基線編號IB-HUAWEI（SW）-01-05基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求應(yīng)為設(shè)備配置用戶連續(xù)認(rèn)證失敗次數(shù)上限，當(dāng)用戶連續(xù)認(rèn)證失敗次數(shù)超過上限時，設(shè)備自動斷開該用戶賬號的連接，并在一定時間內(nèi)禁止該用戶賬號重新認(rèn)證配置方法參考配置操作(1).執(zhí)行如下命令:[huawei]aaa[Huawei-aaa]local-user<user_name>stateblockaccess-limit<number><huawei>save基線名稱;開啟NTP認(rèn)證功能,確保時鐘源可靠基線編號IB-HUAWEI（SW）-01-06基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置NTP驗(yàn)證功能配置方法參考配置操作(1).啟用NTP驗(yàn)證功能[huawei]ntp-serviceauthenticationenable(2).設(shè)置認(rèn)證密鑰[huawei]ntp-serviceauthentication-keyid<keyid_number>authentication-modemd5***(3).設(shè)置與NTP服務(wù)器通信時使用該密鑰ntp-serviceunicast-server<ntpServer_ip>authentication-keyid<keyid_number>#<keyid_number>引用步驟2創(chuàng)建的認(rèn)證密鑰(4).保存配置<huawei>save基線名稱SNMP服務(wù)讀寫權(quán)限管理基線編號IB-HUAWEI（SW）-01-07基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求系統(tǒng)應(yīng)關(guān)閉未使用的SNMP協(xié)議及未使用RW權(quán)限。配置方法參考配置操作:啟用或禁用snmpagent(1).執(zhí)行如下命令:[Huawei]snmp-agent#啟用snmpagent[Huawei]undosnmp-agent#禁用snmpagent關(guān)閉write通行字(2).執(zhí)行如下命令[Huawei]undosnmp-agentcommunitywrite****(3).保存配置<huawei>save基線名稱配置ACL對NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制基線編號IB-HUAWEI（SW）-01-08基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求通過ACL對NTP服務(wù)器與設(shè)備間的通信進(jìn)行控制。配置方法參考配置操作:創(chuàng)建acl規(guī)則(1).執(zhí)行如下命令:[Huawei]aclnumber<number>#<number>acl規(guī)則號[Huawei-acl-basic-2600]rule<number>permitsource<ip><netmask>NTP服務(wù)綁定ACL(2).執(zhí)行如下命令:[Huawei]ntp-serviceaccesspeer<number>#<number>為acl規(guī)則標(biāo)號(3).保存配置<huawei>save基線名稱關(guān)閉AUX口基線編號IB-HUAWEI（SW）-01-09基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求關(guān)閉AUX口配置方法參考配置操作:(1).關(guān)閉aux接口[huawei]user-interfaceaux0[huawei-ui-aux0]undoshell(2).保存配置<huawei>save基線名稱關(guān)閉未使用的網(wǎng)絡(luò)接口基線編號IB-HUAWEI（SW）-01-10基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求關(guān)閉未使用的網(wǎng)絡(luò)接口配置方法參考配置操作:進(jìn)入要關(guān)閉的端口視圖，執(zhí)行shutdown命令，關(guān)閉端口基線名稱SNMP配置-SNMP服務(wù)的訪問控制設(shè)置基線編號IB-HUAWEI（SW）-01-11基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置SNMP訪問安全限制，只允許特定主機(jī)通過SNMP訪問網(wǎng)絡(luò)設(shè)備。配置方法參考配置操作:啟用或禁用snmpagent(1).執(zhí)行如下命令:[Huawei]snmp-agent#啟用snmpagent[Huawei]undosnmp-agent#禁用snmpagent創(chuàng)建acl規(guī)則(2).執(zhí)行如下命令[Huawei]aclnumber<number>[Huawei-acl-basic-2100]rule<number>permitsource<ip><netmask>給團(tuán)體名綁定acl規(guī)則(3).執(zhí)行如下命令:[Huawei]snmp-agentcommunity[read|write]***acl<number>(4).保存配置<huawei>save基線名稱與認(rèn)證系統(tǒng)聯(lián)動對用戶進(jìn)行認(rèn)證、授權(quán)基線編號IB-HUAWEI（SW）-01-12基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動，滿足帳號、口令和授權(quán)的強(qiáng)制要求。配置方法參考配置操作采用RADIUS協(xié)議進(jìn)行認(rèn)證\授權(quán)示例如下:(1).配置RADIUS服務(wù)器模板[Huawei]radius-servergroup<template_name>(2).配置RADIUS主用認(rèn)證服務(wù)器[Huawei-radius-VENUStech]radius-serverauthentication<ip><port>#<ip>RADIUS服務(wù)器ip地址,<port>RADIUS服務(wù)器端口(3).配置RADIUS服務(wù)器密鑰、重傳次數(shù)。[Huawei-radius-VENUStech]radius-servershared-keycipher**[Huawei-radius-VENUStech]radius-serverretransmit2[Huawei-radius-VENUStech]quit(4).配置認(rèn)證方案[Huawei]aaa[Huawei-aaa]authentication-scheme<Scheme_name>#示例中配置認(rèn)證方案名稱為VENUStech[Huawei-aaa-authen-VENUStech]authentication-moderadiuslocal[Huawei-aaa-authen-VENUStech]quit(5).在域下應(yīng)用認(rèn)證方案[Huawei]aaa[Huawei-aaa]domain<domain_name>[Huawei-aaa-domain-default]authentication-scheme<Scheme_name>#<Scheme_name>引用步驟4創(chuàng)建的認(rèn)證方案[Huawei-aaa-domain-default]radius-server<template_name>#<template_name>引用步驟1創(chuàng)建的RADIUS服務(wù)器模板注:radius的認(rèn)證和授權(quán)綁定在一起(6).保存配置<Huawei>save采用HWTACACS協(xié)議進(jìn)行認(rèn)證\授權(quán)示例如下:(1).配置HWTACACS服務(wù)器模板[Huawei]hwtacacs-servertemplate<template_name>(2).配置HWTACACS主用認(rèn)證\授權(quán)服務(wù)器[Huawei-hwtacacs-VENUStech1]hwtacacs-serverauthentication<ip><port>#<ip>RADIUS服務(wù)器ip地址,<port>RADIUS服務(wù)器端口[Huawei-hwtacacs-VENUStech1]hwtacacs-serverauthorization<ip><port>#<ip>RADIUS服務(wù)器ip地址,<port>RADIUS服務(wù)器端口(3).配置RADIUS服務(wù)器密鑰、重傳次數(shù).[Huawei-hwtacacs-VENUStech1]hwtacacs-servershared-keycipher**[Huawei-hwtacacs-VENUStech1]quit(4).配置認(rèn)證方案[Huawei]aaa[Huawei-aaa]authentication-scheme<Scheme_name>#示例中配置認(rèn)證方案名稱為VENUStech1[Huawei-aaa-authen-VENUStech1]authentication-modehwtacacslocal[Huawei-aaa-authen-VENUStech1]quit(5).配置授權(quán)方案[Huawei]aaa[Huawei-aaa]authorization-scheme<Scheme_name>#示例中配置授權(quán)方案名稱為VENUStech2[Huawei-aaa-author-VENUStech2]authorization-modehwtacacslocal[Huawei-aaa-author-VENUStech2]quit(6).在域下應(yīng)用認(rèn)證方案[Huawei]aaa[Huawei-aaa]domain<domain_name>[Huawei-aaa-domain-default]authentication-scheme<Scheme_name>#<Scheme_name>引用步驟4創(chuàng)建的認(rèn)證方案[Huawei-aaa-domain-default]authorization-scheme<Scheme_name>#<Scheme_name>引用步驟5創(chuàng)建的授權(quán)方案[Huawei-aaa-domain-default]hwtacacs-server<template_name>#<template_name>引用步驟1創(chuàng)建的HWTACACS服務(wù)器模板(7).保存配置[Huawei]save基線名稱配置帳戶超時自動退出基線編號IB-HUAWEI（SW）-01-13基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求配置定時賬戶自動登出，登出后用戶需再次登錄才能進(jìn)入系統(tǒng)。配置方法參考配置操作:console口配置超時(1).執(zhí)行如下命令:[Huawei]user-interfacecon0[Huawei-ui-console0]idle-timeout<minutes><seconds>#<minutes>單位為分鐘,<seconds>單位為秒.vty口配置超時(2).執(zhí)行如下命令:[Huawei]user-interfacevty04[Huawei-ui-vty0-4]idle-timeout<minutes><seconds>#<minutes>單位為分鐘,<seconds>單位為秒.(3).保存配置:<Huawei>save基線名稱禁止管理員權(quán)限帳戶遠(yuǎn)程登錄基線編號IB-HUAWEI（SW）-01-14基線類型強(qiáng)制要求適用范圍等保一、二級□等保三級□涉普通商秘（工作秘密）□涉核心商秘基線要求限制具備管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員權(quán)限操作，應(yīng)先