收藏 分享(赏)
下载资源 加入VIP,免费下载

安奈特交换机基本加固方案.doc

上传人:hwpkd79526 文档编号:6393308 上传时间:2019-04-11 格式:DOC 页数:10 大小:202KB
下载 相关 举报
安奈特交换机基本加固方案.doc_第1页
第1页 / 共10页
安奈特交换机基本加固方案.doc_第2页
第2页 / 共10页
安奈特交换机基本加固方案.doc_第3页
第3页 / 共10页
安奈特交换机基本加固方案.doc_第4页
第4页 / 共10页
安奈特交换机基本加固方案.doc_第5页
第5页 / 共10页
点击查看更多>>
资源描述

1、技 术 文 件技术文件名称:安奈特交换机基本加固方案技术文件编号:版 本:V1.1.1文件质量等级:共 10 页(包括封面)拟 制 审 核 会 签 标准化 批 准 中兴通讯股份有限公司内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传 第 2 页,共 10 页修改记录文件编号 版本号 拟制人/修改人 拟制/修改 日期 更改理由 主要更改内容(写要点即可)1.0 王华刚 2009/06/1 无 无1.1 王华刚 2009/06/15 配置编号 配置加固项编号1.1.1 王华刚 2009/07/02 更新编号 更新加固项编号注 1:每次更改归档文件(指归档到事业部或公司档案室的

2、文件)时,需填写此表。注 2:文件第一次归档时, “更改理由” 、 “主要更改内容”栏写“无” 。内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传 第 3 页,共 10 页安奈特交换机基本加固方案目录(包括封面) .1修改记录 21 概述 4内部适用性说明 4外部引用说明 4术语和定义 4符号和缩略语 42 安奈特交换机安全配置操作指导 62.1 ZTE-AT-S-E01 帐号安全加固操作 .62.1.1 ZTE-AT-S-EM01-01 更改厂家默认用户名和口令 62.1.2 ZTE-AT-S-EM01-02 配置只读用户 62.1.3 ZTE-AT-S-EH01-03

3、 配置强密码 .62.1.4 ZTE-AT-S-EH01-04 修改默认口令 .62.1.5 ZTE-AT-S-EL01-05 设置密码生存期 .62.1.6 ZTE-AT-S-EL01-06 禁止使用重复密码 .62.1.7 ZTE-AT-S-EL01-07 设置最多认证失败次数 .72.2 ZTE-AT-S-E02 网络服务/IP 协议要求 72.2.1 ZTE-AT-S-EH02-01 配置 SSH 连接 72.2.2 ZTE-AT-S-EM02-02 配置流量过滤(可选) 82.3 ZTE-AT-S-E03 日志记录要求 .102.3.1 ZTE-AT-S-EL03-01 配置远程日志

4、服务器(可选) .102.4 ZTE-AT-S-E04 登录会话要求 .102.4.1 ZTE-AT-S-EL04-01 登录会话超时 5 分钟自动退出 .10内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传 第 4 页,共 10 页安奈特交换机基本加固方案1 概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上,提出安奈特交换机基本加固方案。目前本手册所述的部分功能(口令复杂度、口令生存期、重复口令限制)仅适用于如下产品型号及软件版本。产品型号 软件版本要求AT-SB4008 AlliedWare SB275A08 或以上AT-SB4004 Allied

5、Ware SB275A08 或以上AT-9924Ts AlliedWare 321-03 或以上AT-x900-24XT AlliedWare 321-03 或以上AT-x900-24XT-N AlliedWare 321-03 或以上AT-x900-24XS AlliedWare 321-03 或以上在执行安全加固操作之前,请先检查交换机软件版本,如低于上述版本,需要升级至推荐软件版本,才能实施安全加固。外部引用说明中国移动设备通用安全功能和配置规范术语和定义符号和缩略语缩写 英文描述 中文描述本文件中的字体标识如下:蓝色斜体 在具体执行时需要替换的内容内部公开本文所有信息为中兴通讯股份有限

6、公司内部信息,未经允许,不得外传 第 5 页,共 10 页检查/加固项编码意义如下:公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中:S 意为检查;E 意为加固风险级别中:H 意为高风险; M 意为中等风险;L 意为低风险,风险级别仅存于具体条目中内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传 第 6 页,共 10 页2 安奈特交换机安全配置操作指导2.1 ZTE-AT-S-E01 帐号安全加固操作2.1.1 ZTE-AT-S-EM01-01 更改厂家默认用户名和口令添加新 manager 角色用户add user=admusername pas

7、s=password priv=manager lo=yes删除原有 manager 用户delete user=managershow configuration system login查看是否存在无用帐号,如果存在无用帐号,用如下命令删除:delete user=username2.1.2 ZTE-AT-S-EM01-02 配置只读用户add user=rousername pass=password priv=user lo=yes2.1.3 ZTE-AT-S-EH01-03 配置强密码set user minpwdlen=8 pwdmincat=32.1.4 ZTE-AT-S-EH0

8、1-04 修改默认口令set user=manager pass=password 2.1.5 ZTE-AT-S-EL01-05 设置密码生存期set user pwdlifetime=90口令超期时,强制用户在登录时修改口令set user PWDForce=yes2.1.6 ZTE-AT-S-EL01-06 禁止使用重复密码set user pwdhistory=5内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传 第 7 页,共 10 页2.1.7 ZTE-AT-S-EL01-07 设置最多认证失败次数set user loginfail=6set user lock

9、outpd=12002.2 ZTE-AT-S-E02 网络服务/IP 协议要求2.2.1 ZTE-AT-S-EH02-01 配置 SSH 连接add user=secusername password=password priv=secu login=yeslogout 命令退出现在的用户,用上面创建的安全管理员 secusername 来登录交换机,登录后,可以看到提示符改为:SecOff 然后需要配置密钥(用于启动 SSH 服务器):SecOff create enco key=1 type=rsa length=768 form=sshSecOff create enco key=2 t

10、ype=rsa length=1024 form=sshSecOff enable ssh server serverkey=1 hostkey=2 expir=1 logintime=60添加可以 ssh 登录的用户,包括上一步创建的 secusername、 admusername、 rousernameSecOff add ssh user=secusername password=password SecOff add ssh user=admusername password=passwordSecOff add ssh user=rousername password=passwo

11、rdSecOff enable system secu配置完成后,telnet 自动关闭,只能通过 ssh 访问,且只有 secusername 有最高权限安奈特交换机只支持 SSH1,所以在配置客户端连接时需要选择 SSH1,如图所示内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传 第 8 页,共 10 页2.2.2 ZTE-AT-S-EM02-02 配置流量过滤(可选)配置方法:add ip filt=1 source=ipaddress sport=portnumber prot=protocol dest=ipaddress dport=portnumber ac

12、t=action其中:source=ipaddress 代表源 IP 地址;sport=portnumber 代表源端口号;prot=protocol 代表协议类型,可选参数为 prot=tcp、prot=udp、prot=ospf、prot=icmp;dest=ipaddress 代表目的 IP 地址;dport=portnumber 代表目的端口号act=action 代表允许或拒绝,可选参数为 act=exclude 或 act=include在防火墙和路由器上已经配置安全规则的情况下,交换机可以考虑不配置安全规则业务产品 规则集内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允

13、许,不得外传 第 9 页,共 10 页彩信短信内部公开本文所有信息为中兴通讯股份有限公司内部信息,未经允许,不得外传 第 10 页,共 10页WAP 网关2.3 ZTE-AT-S-E03 日志记录要求2.3.1 ZTE-AT-S-EL03-01 配置远程日志服务器(可选)enable ipadd ip int=vlan1 ip=ipaddress mask=255.255.255.0:create log output=1 dest=syslog server=ipaddress password=yourpasswordadd log output=1 filter=1 all其中,server=ipaddress 参数是 syslog 服务器的 IP 地址;如果 syslog 服务器要求密码认证,则需要服务器上的密码和交换机上配置的 password 一致,如果 syslog 服务器不要求密码认证,则可以不输入“password= yourpassword”参数。2.4 ZTE-AT-S-E04 登录会话要求2.4.1 ZTE-AT-S-EL04-01 登录会话超时 5 分钟自动退出set tty idle=300

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 实用文档 > 解决方案

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报