飞天遁地喜羊羊
等保3对交换机配置的要求

等保3交换机安全要求说明

  1. 配置acl限制允许登陆的主机。
    2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。
    2.1 操作说明
    2.2 使用实例说明:
    2.3 审计帐号应具有的查询权限。
    2.4 指定权值具体操作步骤
    3、开启防ARP欺骗功能,IP和mac绑定
    等保3交换机安全要求说明
  2. 配置acl限制允许登陆的主机。
    配置举例

配置ACL 2005规则,限制VTY 0~VTY 4界面只允许IP地址为192.168.1.5的用户和10.10.5.0/24网段的用户登录设备,配置如下。

system-view

[HUAWEI] acl 2005

[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0 //允许IP地址为192.168.1.5的用户登录设备。

[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255 //允许10.10.5.0/24网段的用户登录设备。

[HUAWEI-acl-basic-2005] quit

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] acl 2005 inbound

[HUAWEI-ui-vty0-4] quit
2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。
Telnet缺少安全的认证方式,用户可以通过STelnet方式进行远程的安全登录。终端PC和SSH服务器之间路由可达,在SSH服务器端配置用yunwei和audit01账号,PC使用yunwei和audit01用户通过Password认证方式登录SSH服务器。

配置思路
采用如下的思路配置用户通过STelnet登录设备:

  1. PC端已安装登录SSH服务器软件。

  2. 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。

  3. 在SSH服务器端配置SSH用户audit01。

  4. 在SSH服务器端开启STelnet服务功能。

  5. 在SSH服务器端配置SSH用户audit01服务方式为STelnet。

  6. 用户audit01以STelnet方式登录SSH服务器。

操作步骤

  1. 在服务器端生成本地密钥对

  2. system-view
  3. [HUAWEI] sysname SSH_Server
  4. [SSH_Server] dsa local-key-pair create
  5. Info: The key name will be: HUAWEI_Host_DSA.
  6. Info: The key modulus can be any one of the following : 1024, 2048.
  7. Info: If the key modulus is greater than 512, it may take a few minutes.
  8. Please input the modulus [default=2048]:
  9. Info: Generating keys...
    Info: Succeeded in creating the DSA host keys.
  10. 在服务器端创建SSH用户

配置VTY用户界面。

[SSH_Server] user-interface vty 0 14
[SSH_Server-ui-vty0-14] authentication-mode aaa
[SSH_Server-ui-vty0-14] protocol inbound ssh
[SSH_Server-ui-vty0-14] quit

新建用户名为client001的SSH用户,且认证方式为Password。

[SSH_Server] aaa
[SSH_Server-aaa] local-user audit01 password irreversible-cipher Huawei@123
[SSH_Server-aaa] local-user audit01 privilege level 1
[SSH_Server-aaa] local-user audit01 service-type ssh
[SSH_Server-aaa] quit
[SSH_Server] ssh user audit01 authentication-type password

  1. SSH服务器端开启STelnet服务功能

[SSH_Server] stelnet server enable

  1. 配置SSH用户client001的服务方式为STelnet

  2. [SSH_Server] ssh user audit01 service-type stelnet
  3. 验证配置结果

PC端audit01用password认证方式连接SSH服务器。

通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。

创建好账号后audit01这个账号基本没啥权限,因为我这里audit01启用的是privilege level 1的,所以需要将display的权限调整下。但是我们还是要将命令的权限也修改下匹配用户的权限。

华为系统命令分级管理:
系统将命令进行分级管理,各个视图下的每条命令都有指定的级别。设备管理员可以根据用户需要重新设置命令的级别,以实现低级别用户可以使用部分高级别命令的需求,或者将命令的级别提高,增加设备的安全性。

2.1 操作说明

command-privilege level

命令功能

command-privilege level命令用来设置指定视图内的命令的级别。

undo command-privilege命令用来恢复命令为缺省级别。

缺省情况下,各个视图下的每条命令都有指定的级别。

命令格式

command-privilege level level view view-name command-key

undo command-privilege [ level level ] view view-name command-key

参数说明

参数

参数说明

取值

level level

指定命令的级别。

整数形式,取值范围是0~15。

view view-name

指定视图名称。可在终端界面上键入“?”获取该命令视图下所有可选择的视图名称。

例如:

· shell:表示用户视图

· system:表示系统视图

· vlan:表示VLAN视图

command-key

指定设置的命令,目前不支持联想,需手动完整输入。
使用此命令行设置指定视图内命令的级别规则:

对目标命令行进行降级时,命令行中所有关键字都会降级。

对目标命令行进行升级时,只有命令行中的最后一个关键字会升级。

对目标命令行设置命令行级别时,则相同视图下的所有以此目标命令行为首的命令行级别都会被改变。

对目标命令行设置命令行级别时,和变更级别的关键字索引相同的其他命令中关键字级别也会被改变。

此命令有覆盖作用,索引相同的关键字级别如果被多次修改,则最后一次修改的级别生效。
2.2 使用实例说明:

system-view

[HUAWEI] command-privilege level 5 view shell save
2.3 审计帐号应具有的查询权限。

信息项 使用命令
基本信息 display diagnostic-information
设备信息 display device
接口信息 display interface
版本信息 display version
补丁信息 display patch-information
电子标签信息 display elabel
系统当前配置信息 display current-configuration
系统保存的配置信息 display saved-configuration
时间信息 display clock
告警信息 display trapbuffer
用户日志信息 display logbuffer
内存使用信息 display memory-usage
CPU使用情况 display cpu-usage
接口开启情况 display interface brief
2.4 指定权值具体操作步骤

[HUAWEI]command-privilege level 1 view shell display current-configuration

[HUAWEI]command-privilege level 1 view shell display diagnostic-information

[HUAWEI]command-privilege level 1 view

[HUAWEI]command-privilege level 1 view shell display trapbuffer

[HUAWEI]command-privilege level 1 view shell display logbuffer

[HUAWEI]command-privilege level 1 view shell display memory-usage

[HUAWEI]command-privilege level 1 view shell display cpu-usage

[HUAWEI]command-privilege level 1 view shell display interface brief

[HUAWEI]command-privilege level 1 view shell display clock

[HUAWEI]command-privilege level 1 view shell display saved-configuration

[HUAWEI]command-privilege level 1 view shell display elabel

[HUAWEI]command-privilege level 1 view shell display patch-information

[HUAWEI]command-privilege level 1 view shell display version

[HUAWEI]command-privilege level 1 view shell display device

3、开启防ARP欺骗功能,IP和mac绑定
根据实际需求启用,我这没有启用,纯linux应用发布,没有太多的上网需求。需要做的请自行参考华为帮助文档

来自为知笔记(Wiz)https://www.cnblogs.com/flyinghappysheep/p/10541672.html