等保3交换机安全要求说明
1. 配置acl限制允许登陆的主机。
2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。
2.1 操作说明
2.2 使用实例说明:
2.3 审计帐号应具有的查询权限。
2.4 指定权值具体操作步骤
3、开启防ARP欺骗功能,IP和mac绑定
1. 配置acl限制允许登陆的主机。
2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。
2.1 操作说明
2.2 使用实例说明:
2.3 审计帐号应具有的查询权限。
2.4 指定权值具体操作步骤
3、开启防ARP欺骗功能,IP和mac绑定
等保3交换机安全要求说明
1. 配置acl限制允许登陆的主机。
配置举例
# 配置ACL 2005规则,限制VTY 0~VTY 4界面只允许IP地址为192.168.1.5的用户和10.10.5.0/24网段的用户登录设备,配置如下。
<HUAWEI> system-view
[HUAWEI] acl 2005
[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0 //允许IP地址为192.168.1.5的用户登录设备。
[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255 //允许10.10.5.0/24网段的用户登录设备。
[HUAWEI-acl-basic-2005] quit
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] acl 2005 inbound
[HUAWEI-ui-vty0-4] quit
2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。
Telnet缺少安全的认证方式,用户可以通过STelnet方式进行远程的安全登录。终端PC和SSH服务器之间路由可达,在SSH服务器端配置用yunwei和audit01账号,PC使用yunwei和audit01用户通过Password认证方式登录SSH服务器。
配置思路
采用如下的思路配置用户通过STelnet登录设备:
1. PC端已安装登录SSH服务器软件。
2. 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。
3. 在SSH服务器端配置SSH用户audit01。
4. 在SSH服务器端开启STelnet服务功能。
5. 在SSH服务器端配置SSH用户audit01服务方式为STelnet。
6. 用户audit01以STelnet方式登录SSH服务器。
操作步骤
1. 在服务器端生成本地密钥对
2. <HUAWEI> system-view
3. [HUAWEI] sysname SSH_Server
4. [SSH_Server] dsa local-key-pair create
5. Info: The key name will be: HUAWEI_Host_DSA.
6. Info: The key modulus can be any one of the following : 1024, 2048.
7. Info: If the key modulus is greater than 512, it may take a few minutes.
8. Please input the modulus [default=2048]:
9. Info: Generating keys...
Info: Succeeded in creating the DSA host keys.
10. 在服务器端创建SSH用户
# 配置VTY用户界面。
[SSH_Server] user-interface vty 0 14
[SSH_Server-ui-vty0-14] authentication-mode aaa
[SSH_Server-ui-vty0-14] protocol inbound ssh
[SSH_Server-ui-vty0-14] quit
# 新建用户名为client001的SSH用户,且认证方式为Password。
[SSH_Server] aaa
[SSH_Server-aaa] local-user audit01 password irreversible-cipher Huawei@123
[SSH_Server-aaa] local-user audit01 privilege level 1
[SSH_Server-aaa] local-user audit01 service-type ssh
[SSH_Server-aaa] quit
[SSH_Server] ssh user audit01 authentication-type password
11. SSH服务器端开启STelnet服务功能
[SSH_Server] stelnet server enable
12. 配置SSH用户client001的服务方式为STelnet
13. [SSH_Server] ssh user audit01 service-type stelnet
14. 验证配置结果
# PC端audit01用password认证方式连接SSH服务器。
# 通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。
创建好账号后audit01这个账号基本没啥权限,因为我这里audit01启用的是privilege level 1的,所以需要将display的权限调整下。但是我们还是要将命令的权限也修改下匹配用户的权限。
华为系统命令分级管理:
系统将命令进行分级管理,各个视图下的每条命令都有指定的级别。设备管理员可以根据用户需要重新设置命令的级别,以实现低级别用户可以使用部分高级别命令的需求,或者将命令的级别提高,增加设备的安全性。
2.1 操作说明
command-privilege level
命令功能
command-privilege level命令用来设置指定视图内的命令的级别。
undo command-privilege命令用来恢复命令为缺省级别。
缺省情况下,各个视图下的每条命令都有指定的级别。
命令格式
command-privilege level level view view-name command-key
undo command-privilege [ level level ] view view-name command-key
参数说明
参数
参数说明
取值
level level
指定命令的级别。
整数形式,取值范围是0~15。
view view-name
指定视图名称。可在终端界面上键入“?”获取该命令视图下所有可选择的视图名称。
例如:
· shell:表示用户视图
· system:表示系统视图
· vlan:表示VLAN视图
command-key
指定设置的命令,目前不支持联想,需手动完整输入。
使用此命令行设置指定视图内命令的级别规则:
对目标命令行进行降级时,命令行中所有关键字都会降级。
对目标命令行进行升级时,只有命令行中的最后一个关键字会升级。
对目标命令行设置命令行级别时,则相同视图下的所有以此目标命令行为首的命令行级别都会被改变。
对目标命令行设置命令行级别时,和变更级别的关键字索引相同的其他命令中关键字级别也会被改变。
此命令有覆盖作用,索引相同的关键字级别如果被多次修改,则最后一次修改的级别生效。
2.2 使用实例说明:
<HUAWEI> system-view
[HUAWEI] command-privilege level 5 view shell save
2.3 审计帐号应具有的查询权限。
信息项 使用命令
基本信息 display diagnostic-information
设备信息 display device
接口信息 display interface
版本信息 display version
补丁信息 display patch-information
电子标签信息 display elabel
系统当前配置信息 display current-configuration
系统保存的配置信息 display saved-configuration
时间信息 display clock
告警信息 display trapbuffer
用户日志信息 display logbuffer
内存使用信息 display memory-usage
CPU使用情况 display cpu-usage
接口开启情况 display interface brief
2.4 指定权值具体操作步骤
[HUAWEI]command-privilege level 1 view shell display current-configuration
[HUAWEI]command-privilege level 1 view shell display diagnostic-information
[HUAWEI]command-privilege level 1 view
[HUAWEI]command-privilege level 1 view shell display trapbuffer
[HUAWEI]command-privilege level 1 view shell display logbuffer
[HUAWEI]command-privilege level 1 view shell display memory-usage
[HUAWEI]command-privilege level 1 view shell display cpu-usage
[HUAWEI]command-privilege level 1 view shell display interface brief
[HUAWEI]command-privilege level 1 view shell display clock
[HUAWEI]command-privilege level 1 view shell display saved-configuration
[HUAWEI]command-privilege level 1 view shell display elabel
[HUAWEI]command-privilege level 1 view shell display patch-information
[HUAWEI]command-privilege level 1 view shell display version
[HUAWEI]command-privilege level 1 view shell display device
3、开启防ARP欺骗功能,IP和mac绑定
根据实际需求启用,我这没有启用,纯linux应用发布,没有太多的上网需求。需要做的请自行参考华为帮助文档