Huawei網(wǎng)絡(luò)設(shè)備加固規(guī)范

2023年6月

目錄

1帳號管理、認(rèn)證授權(quán)...........................................................2

1.1賬號管理.....................................................................2

1.1.1SHG-Huawei-01-01-01.....................................................................................................3

1.2登錄要求......................................................................4

1.2.1SHG-Huawei-01-02~01.....................................................................................................5

1.2.2SHG-Huawei-01-02-02.....................................................................................................5

1.2.3SHG-Huawei-01-02-03.....................................................................................................6

1.3認(rèn)證和授權(quán)...................................................................6

1.3.1SHG-Huawei-01-03-01.....................................................................................................7

2日志配置......................................................................7

2.1.1SHG-Huawei-02-01-01.....................................................................................................8

3通信協(xié)議......................................................................9

3.1.1SHG-Huawei-03-01-01....................................................................................................9

3.1.2SHG-Huawei-03-01-02..................................................................................................10

3.1.3SHG-Huawei-03-01-03..................................................................................................10

3.1.4SHG-Huawei-03-01-04..................................................................................................11

3.1.5SHG-Huawei-03-01-05.......................................................................................................11

3.1.6SHG-Huawei-03-01-06..................................................................................................11

4設(shè)備其它安全要求.............................................................11

4.1.1SHG-Huawei-04~01~01..................................................................................................11

4.1.2SHG-Huawei-04-01-02....................................................................................................1

編號：

時間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第2頁共13頁

1帳號管理、認(rèn)證授權(quán)

1.1賬號管理

1.1.lSHG-Huawei-01-01-01

編號：SHG-Huawei-01-01-01

名稱：無效帳戶清理

實施目的：刪除與設(shè)備運(yùn)行、維護(hù)等工作無關(guān)的賬號

問題影響：賬號混淆，權(quán)限不明確，存在用戶越權(quán)使用的可能。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中帳號信息。

1、參考配置操作

aaa

實施方案：

undolocal-usertest

還原系統(tǒng)配置文件。

回退方案：

標(biāo)記用戶用途，定期建立用戶列表，比較是否有非法用戶

判斷依據(jù)：

實施風(fēng)險：低

重要等級：★★★

實施風(fēng)險：低

重要等級：★★★

1.2登錄要求

1.2.1SHG-Huawei-Ol-O2-Ol

編號：Huawie-01-02-01

第2頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第3頁共13頁

名稱：遠(yuǎn)程登錄加密傳輸

實施目的：遠(yuǎn)程登陸采用加密傳輸

問題影響：泄露密碼

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中遠(yuǎn)程登陸的配置狀態(tài)。

1、參考配置操作

全局模式下配置如下命令：

(1)R36xxE系列、R2631E系列

#protocolinboundsshx[aclxxxx]；

#sshuserxxxxassignrsa-keyxxxxxx；

#sshuserxxxxauthentication-type[password|RSA|all]

實施方案：(2)NE系列

#local-userusernamepassword[simple|cipher]password

#aaaenable

#sshuserusernameauthentication-typepassword

#user-interfacevtyx

#authentication-modeschemedefault

#protocolinboundssh

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中遠(yuǎn)程登陸的配置狀態(tài)。

判斷依據(jù)：

實施風(fēng)險：高

重要等級：★

1.2.2SHG-Huawei-01-02-02

編號：SHG-Huawei-01-02-02

名稱：加固AUX端口的管理

第3頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第4頁共13頁

實施目的：除非使用撥號接入時使用AUX端口，否則禁止這個端口。

問題影響：用戶非法登陸

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于CON配置狀態(tài)。

1、參考配置操作

實施方案：#undomodem

設(shè)置完成后無法通過AUX撥號接入路由器

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中關(guān)于配置狀態(tài)。

判斷依據(jù)：CON

實施風(fēng)險：中

重要等級：★

1.2.3SHG-Huawei-01-02-03

編號：SHG-Huawei-01-02-03

名稱：遠(yuǎn)程登陸源地址限制

對登錄用戶的源IP地址進(jìn)行過濾，防止某些獲得登錄密碼的用戶從

實施目的：

非法的地址登錄到設(shè)備上。

問題影響：非法登陸。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于登錄配置狀態(tài)。

1、參考配置操作

全局模式下配置如下命令：

實施方案：aclacl-number[match[config|auto]];

rule{normal|special}{permit|deny}[sourcexxxxxx]|destination

xxxxxx]….

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中關(guān)于登錄配置狀態(tài)。

判斷依據(jù)：

第4頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第5頁共13頁

實施風(fēng)險：中

重要等級：★

1.3認(rèn)證和授權(quán)

1.3.1SHG-Huawei-Ol-O3-Ol

編號：SHG-Huawei-01-03-01

名稱：認(rèn)證和授權(quán)設(shè)置

設(shè)備通過相關(guān)參數(shù)配置，與認(rèn)證系統(tǒng)聯(lián)動，滿足帳號、口令

實施目的：

和授權(quán)的強(qiáng)制要求。

問題影響：非法登陸。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中相關(guān)配置。

1、參考配置操作

#對遠(yuǎn)程登錄用戶先用RADIUS服務(wù)器進(jìn)行認(rèn)證，如果沒有響應(yīng)，則不

認(rèn)證。

#認(rèn)證服務(wù)器IP地址為6,無備用服務(wù)器，端口號為默認(rèn)

值1812?

#配置RADIUS服務(wù)器模板。

[Router]radius-servertemplateshiva

#配置RADIUS認(rèn)證服務(wù)器IP地址和端口。

Router-radius-shiva]radius-serverauthentication129.7.66.66

實施方案：1812

#配置RADIUS服務(wù)器密鑰、重傳次數(shù)。

[Router-radius-shiva]radius-servershared-key

it-is-my-secret

[Router-radius-shiva]radius-serverretransmit2

[Router-radius-shiva]quit

#進(jìn)入AAA視圖。

[Router]aaa

#配置認(rèn)證方案r-n,認(rèn)證方法為先RADIUS,如果沒有響應(yīng)，則不認(rèn)

證。

第5頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第6頁共13頁

[Router-aaa]authentication-schemer-n

[Router-aaa-authen-r-n]authentication-moderadiusnone

[Router-aaa-authen-r-n]quit

#配置default域，在域下采用r-n認(rèn)證方案、缺省的計費(fèi)方案（不

計費(fèi)）,shiva的RADIUS模板。

[Router-aaa]domaindefault

[Router-aaa-domain-default]authentication-schemer-n

[Router-aaa-domain-defauIt]radius-servershiva

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中相關(guān)配置。

判斷依據(jù)：

實施風(fēng)險：低

重要等級：★

2日志配置

2.1.lSHG-Huawei-02-01-01

編號：SHG-Huawei-02-01-01

名稱：開啟日志功能

支持?jǐn)?shù)據(jù)日志，可以記錄系統(tǒng)日志與用戶日志。系統(tǒng)日志指系統(tǒng)運(yùn)行

實施目的：過程中記錄的相關(guān)信息，用以對運(yùn)行情況、故障進(jìn)行分析和定位，日

志文件可以通過XModem、FTP、TFTP協(xié)議，遠(yuǎn)程傳送到網(wǎng)管中心。

判斷依據(jù)：無法對用戶的登陸進(jìn)行日志記錄。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于日志功能的配置。

1、參考配置操作

#info-centerenable；默認(rèn)已啟動

實施方案：#info-centerconsole；向控制臺輸出日志

#info-centerlogbuffer；向路由器內(nèi)部緩沖器輸出日志

#info-centerloghost；向日志主機(jī)輸出日志

第6頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第7頁共13頁

#info-centermonitor；向telnet終端或啞終端輸出日志

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中關(guān)于日志功能的配置。

判斷依據(jù)：

實施風(fēng)險：中

重要等級：★★★

3通信協(xié)議

3.1.lSHG-Huawei-03-01-01

編號：SHG-Huawei-03-01-01

名稱：SNMP服務(wù)配置

如不需要提供SNMP服務(wù)的，要求禁止SNMP協(xié)議服務(wù)，注意在禁

實施目的：

止時刪除一些SNMP服務(wù)的默認(rèn)配置。

問題影響：對系統(tǒng)造成不安全影響。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

1、參考配置操作

全局模式下配置如下命令：

Undosnmpenable

實施方案：

undosnmp-agentcommunityRWuser

關(guān)閉snmp的設(shè)備不能被網(wǎng)管檢測到，關(guān)閉寫權(quán)限的設(shè)備不能進(jìn)行set

操作。

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

判斷依據(jù)：

實施風(fēng)險：中

重要等級：★

第7頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第8頁共13頁

3.1.2SHG-Huawei-03-01-02

編號：SHG-Huawei-03-01-02

名稱：更改SNMPTRAP協(xié)議端口；

如開啟SNMP協(xié)議，要求更改SNMPirap協(xié)議的標(biāo)準(zhǔn)端口號，以增

實施目的：

強(qiáng)其安全性。

問題影響：容易引起拒絕服務(wù)攻擊。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

(2)參考配置操作

全局模式下配置如下命令：

(2)R36xxE系列、R2631E系列

#snmp-agent

#snmp-agenttarget-hosttrapaddressxxx.xxx.xxx.xxxsecurityxxxport

XXX

實施方案：

#snmp-agenttrapenable

(2)NE系列

#snmp-agent

#snmp-agenttarget-hosttrapaddressudp-domainxxx.xxx.xxx.xxx

securitynamexxxudp-portxxx

#snmp-agenttrapenable

還原系統(tǒng)配置文件。

回退方案：

ShowSNMP

判斷依據(jù)：

實施風(fēng)險：高

重要等級：★

第8頁共13頁

編號：

時間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第9頁共13頁

3.1.3SHG-Huawei-03-01-03

編號：SHG-Huawei-03-01-03

名稱：限制發(fā)起SNMP連接的源地址

如開啟SNMP協(xié)議，要求更改SNMP連接的源地址，以增強(qiáng)其安全

實施目的：

性。

問題影響：被非法攻擊。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

1、參考配置操作

全局模式下配置如下命令：

實施方案：#snmp-agent

#snmp-agentcommunity[read|write]XXXXaclxxxx

【影響】：只有指定的網(wǎng)管網(wǎng)段才能使用SNMP維護(hù)

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中關(guān)于服務(wù)的配置。

判斷依據(jù)：SNMP

實施風(fēng)險：中

重要等級：★

3.1.4SHG-Huawei-03-01-04

編號：SHG-Huawei-03-01-04

名稱：設(shè)置SNMP密碼

如開啟SNMP協(xié)議，要求設(shè)置并定期更改SNMPCommunity（至少

實施目的：

半年一次），以增強(qiáng)其安全性。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

問題影響：泄露密碼，引起非法登陸。

1、參考配置操作

實施方案：

全局模式下配置如下命令：

第9頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第10頁共13頁

#snmp-agent

#snmp-agentcommunity[read|write]XXXX（不建議打開write特性）

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中關(guān)于服務(wù)的配置。

判斷依據(jù)：SNMP

實施風(fēng)險：中

重要等級：★

3.1.5SHG-Huawei-03-01-05

編號：SHG-Huawei-03-01-05

名稱：SNMP訪問安全限制

設(shè)置SNMP訪問安全限制，只允許特定主機(jī)通過SNMP訪問網(wǎng)絡(luò)設(shè)

實施目的：

備。

問題影響：非法登陸。

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于SNMP服務(wù)的配置。

1、參考配置操作

實施方案：

#snmp-agentcommunityreadXXXX01acl2000

還原系統(tǒng)配置文件。

回退方案：

查看備份的系統(tǒng)配置文件中關(guān)于服務(wù)的配置。

判斷依據(jù)：SNMP

實施風(fēng)險：中

重要等級：★

3.1.6SHG-Huawei-03-01-06

編號：SHG-Huawei-03-01-06

名稱：源地址路由檢查

第10頁共13頁

編號：

時間：2021年x月x日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第11頁共13頁

為了防止利用IPSpoofing手段假冒源地址進(jìn)行的攻擊對整個網(wǎng)絡(luò)造

成的沖擊，要求在所有的邊緣路由設(shè)備（即直接與終端用戶網(wǎng)絡(luò)互連

實施目的：的路由設(shè)備）上，根據(jù)用戶網(wǎng)段規(guī)劃添加源路由檢查。此外，該功能

會對設(shè)備的轉(zhuǎn)發(fā)性能造成影響，所以它更適用于網(wǎng)絡(luò)接入層設(shè)備，匯

聚層和核心層設(shè)備不建議使用。

問題影響：會對設(shè)備負(fù)荷造成影響.

系統(tǒng)當(dāng)前狀態(tài)：查看備份的系統(tǒng)配置文件中關(guān)于CEF服務(wù)的配置。

1、參考配置操作