等保3对交换机配置的要求

时间:2024-03-06 08:18:09

等保3交换机安全要求说明

1. 配置acl限制允许登陆的主机。

配置举例

# 配置ACL 2005规则,限制VTY 0~VTY 4界面只允许IP地址为192.168.1.5的用户和10.10.5.0/24网段的用户登录设备,配置如下。

<HUAWEI> system-view

[HUAWEI] acl 2005

[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0   //允许IP地址为192.168.1.5的用户登录设备。

[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255   //允许10.10.5.0/24网段的用户登录设备。

[HUAWEI-acl-basic-2005] quit

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] acl 2005 inbound

[HUAWEI-ui-vty0-4] quit

2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。

Telnet缺少安全的认证方式,用户可以通过STelnet方式进行远程的安全登录。终端PC和SSH服务器之间路由可达,在SSH服务器端配置用yunwei和audit01账号,PC使用yunwei和audit01用户通过Password认证方式登录SSH服务器。

配置思路
采用如下的思路配置用户通过STelnet登录设备:

1.   PC端已安装登录SSH服务器软件。

2.   在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。

3.   在SSH服务器端配置SSH用户audit01。

4.   在SSH服务器端开启STelnet服务功能。

5.   在SSH服务器端配置SSH用户audit01服务方式为STelnet。

6.   用户audit01以STelnet方式登录SSH服务器。

操作步骤
1.   在服务器端生成本地密钥对

2.  <HUAWEI> system-view
3.  [HUAWEI] sysname SSH_Server
4.  [SSH_Server] dsa local-key-pair create
5.  Info: The key name will be: HUAWEI_Host_DSA.                                                                                
6.  Info: The key modulus can be any one of the following : 1024, 2048.                                                            
7.  Info: If the key modulus is greater than 512, it may take a few minutes.        
8.  Please input the modulus [default=2048]:                                        
9.  Info: Generating keys...                                                        
Info: Succeeded in creating the DSA host keys.
10.  在服务器端创建SSH用户

# 配置VTY用户界面。

[SSH_Server] user-interface vty 0 14
[SSH_Server-ui-vty0-14] authentication-mode aaa
[SSH_Server-ui-vty0-14] protocol inbound ssh
[SSH_Server-ui-vty0-14] quit
# 新建用户名为client001的SSH用户,且认证方式为Password。

[SSH_Server] aaa
[SSH_Server-aaa] local-user audit01 password irreversible-cipher Huawei@123
[SSH_Server-aaa] local-user audit01 privilege level 1
[SSH_Server-aaa] local-user audit01 service-type ssh
[SSH_Server-aaa] quit
[SSH_Server] ssh user audit01 authentication-type password
11.  SSH服务器端开启STelnet服务功能

[SSH_Server] stelnet server enable
12.  配置SSH用户client001的服务方式为STelnet

13. [SSH_Server] ssh user audit01 service-type stelnet
14.  验证配置结果

# PC端audit01用password认证方式连接SSH服务器。

# 通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。

创建好账号后audit01这个账号基本没啥权限,因为我这里audit01启用的是privilege level 1的,所以需要将display的权限调整下。但是我们还是要将命令的权限也修改下匹配用户的权限。

华为系统命令分级管理:
系统将命令进行分级管理,各个视图下的每条命令都有指定的级别。设备管理员可以根据用户需要重新设置命令的级别,以实现低级别用户可以使用部分高级别命令的需求,或者将命令的级别提高,增加设备的安全性。

2.1 操作说明

command-privilege level

命令功能

command-privilege level命令用来设置指定视图内的命令的级别。

undo command-privilege命令用来恢复命令为缺省级别。

缺省情况下,各个视图下的每条命令都有指定的级别。

命令格式

command-privilege level level view view-name command-key

undo command-privilege [ level level ] view view-name command-key

参数说明

参数

参数说明

取值

level level

指定命令的级别。

整数形式,取值范围是0~15。

view view-name

指定视图名称。可在终端界面上键入“?”获取该命令视图下所有可选择的视图名称。

例如:

·        shell:表示用户视图

·        system:表示系统视图

·        vlan:表示VLAN视图

command-key

指定设置的命令,目前不支持联想,需手动完整输入。
使用此命令行设置指定视图内命令的级别规则:

 对目标命令行进行降级时,命令行中所有关键字都会降级。

对目标命令行进行升级时,只有命令行中的最后一个关键字会升级。

 对目标命令行设置命令行级别时,则相同视图下的所有以此目标命令行为首的命令行级别都会被改变。

 对目标命令行设置命令行级别时,和变更级别的关键字索引相同的其他命令中关键字级别也会被改变。

此命令有覆盖作用,索引相同的关键字级别如果被多次修改,则最后一次修改的级别生效。

2.2 使用实例说明:

<HUAWEI> system-view

[HUAWEI] command-privilege level 5 view shell save

2.3 审计帐号应具有的查询权限。

信息项                           使用命令
基本信息                        display   diagnostic-information
设备信息                        display device
接口信息                        display interface
版本信息                        display version
补丁信息                         display patch-information
电子标签信息                   display elabel
系统当前配置信息            display current-configuration
系统保存的配置信息         display saved-configuration
时间信息                          display clock
告警信息                          display trapbuffer
用户日志信息                   display logbuffer
内存使用信息                   display memory-usage
CPU使用情况                   display cpu-usage
接口开启情况                   display interface brief

2.4 指定权值具体操作步骤

[HUAWEI]command-privilege level 1 view shell  display current-configuration

[HUAWEI]command-privilege level 1 view shell  display diagnostic-information

[HUAWEI]command-privilege level 1 view 

[HUAWEI]command-privilege level 1 view shell  display  trapbuffer       

[HUAWEI]command-privilege level 1 view shell  display  logbuffer 

[HUAWEI]command-privilege level 1 view shell  display memory-usage

[HUAWEI]command-privilege level 1 view shell  display cpu-usage   

[HUAWEI]command-privilege level 1 view shell  display  interface brief        

[HUAWEI]command-privilege level 1 view shell  display  clock          

[HUAWEI]command-privilege level 1 view shell  display  saved-configuration

[HUAWEI]command-privilege level 1 view shell  display  elabel             

[HUAWEI]command-privilege level 1 view shell  display  patch-information

[HUAWEI]command-privilege level 1 view shell  display  version          

[HUAWEI]command-privilege level 1 view shell  display  device 

3、开启防ARP欺骗功能,IP和mac绑定

根据实际需求启用,我这没有启用,纯linux应用发布,没有太多的上网需求。需要做的请自行参考华为帮助文档