交换机网络加固手册

H3C交换机安全加固手册

2011年6月29日

H3c Switch加固方案

启动一致性

编号： 名称： 系统当前状态： H3C-01004 启动一致性 Hostname# display current-configuration Hostname# display saved-configuration 实施方案 Hostname# ftp xxx.xxx.xxx.xxx（FTP服务器地址） [ftp] put vrpcfg.txt [ftp] quit Hostname# save 实施目的 实施风险 备注： 可以确保系统重启后配置和现有配置相同 如果在现有配置下网络运行正常，则无实施风险 启用用户权限管理

编号： 名称： 系统当前状态： 实施方案 H3C-03008 启用用户权限管理

Hostname# display current-configuration Hostname#ssh2 source-ip xxx.xxx.xxx.xxx Hostname#acl number xxxx Hostname#rule 10 permit source xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx Hostname#rule 20 permit source xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx Hostname#rule 30 deny Hostname#user-interface vty x Hostname#acl xxxx inbound 实施目的 实施风险 备注： 控制用户管理地址 管理复杂度上升 启用Vty登陆超时

编号： 名称： 系统当前状态： 实施方案 H3C-06001 启用vty登陆超时 Hostname#show running-config Hostname# user-interface aux 0 Hostname# idle-timeout 3 0 Hostname# ssh server timeout 60 实施目的 实施风险 备注：

确保设备在无人值守时能迅速断开连接 无 日志审核加强

编号： 名称： 系统当前状态： 实施方案 H3C-03010 日志审核增强 Hostname#show running-config Hostname# info-center enable Hostname# iundo info-center source default channel channel6 Hostname# info-center loghost XXX.XXX.XXX.XXX channel 6 Hostname# info-center source L2INF channel 6 log level informational state on trap level informational state on debug state off 实施目的 在条件允许的情况为可能的服务设置必要的日志系统，用于记录、监控、分析网络中发生的各种行为。 实施风险 备注： 无 网络与服务加固

编号：

H3C-04001，H3C-04002，H3C-04003，H3C-04004， H3C-04005，H3C-04006 名称： 系统当前状态： 实施方案 网络与服务加固 Hostname# display current-configuration Hostname# undo ip http shutdown Hostname# undo header Hostname#undo ntp-service Hostname#undo dhcp server Hostname # undo hgmpserver 实施目的 实施风险 关闭所有不必要的服务 可能使部分相关服务不可用，必须根据用户的具体需要确定关闭那些服务，不能一概而确定。 备注：