等保3對交換機用戶配置的要求

飛天遁地喜羊羊
等保3對交換機配置的要求

等保3交換機安全要求說明

1. 配置acl限制容許登錄的主機。
   二、開啓ssh登錄，取消telnet登錄，並配置有審計帳號和運維帳號，授予審計訪問權限。
   2.1 操做說明
   2.2 使用實例說明：
   2.3 審計賬號應具備的查詢權限。
   2.4 指定權值具體操做步驟
   三、開啓防ARP欺騙功能,IP和mac綁定
   等保3交換機安全要求說明
2. 配置acl限制容許登錄的主機。
   配置舉例

配置ACL 2005規則，限制VTY 0～VTY 4界面只容許IP地址爲192.168.1.5的用戶和10.10.5.0/24網段的用戶登陸設備，配置以下。

<HUAWEI> system-view

[HUAWEI] acl 2005

[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0 //容許IP地址爲192.168.1.5的用戶登陸設備。

[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255 //容許10.10.5.0/24網段的用戶登陸設備。

[HUAWEI-acl-basic-2005] quit

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] acl 2005 inbound

[HUAWEI-ui-vty0-4] quit
二、開啓ssh登錄，取消telnet登錄，並配置有審計帳號和運維帳號，授予審計訪問權限。
Telnet缺乏安全的認證方式，用戶能夠經過STelnet方式進行遠程的安全登陸。終端PC和SSH服務器之間路由可達，在SSH服務器端配置用yunwei和audit01帳號，PC使用yunwei和audit01用戶經過Password認證方式登陸SSH服務器。

配置思路
採用以下的思路配置用戶經過STelnet登陸設備：

1. PC端已安裝登陸SSH服務器軟件。

2. 在SSH服務器端生成本地密鑰對，實如今服務器端和客戶端進行安全地數據交互。

3. 在SSH服務器端配置SSH用戶audit01。

4. 在SSH服務器端開啓STelnet服務功能。

5. 在SSH服務器端配置SSH用戶audit01服務方式爲STelnet。

6. 用戶audit01以STelnet方式登陸SSH服務器。

操做步驟

1. 在服務器端生成本地密鑰對

2. <HUAWEI> system-view
3. [HUAWEI] sysname SSH_Server
4. [SSH_Server] dsa local-key-pair create
5. Info: The key name will be: HUAWEI_Host_DSA.
6. Info: The key modulus can be any one of the following : 1024, 2048.
7. Info: If the key modulus is greater than 512, it may take a few minutes.
8. Please input the modulus [default=2048]:
9. Info: Generating keys...
   Info: Succeeded in creating the DSA host keys.
10. 在服務器端建立SSH用戶

配置VTY用戶界面。

[SSH_Server] user-interface vty 0 14
[SSH_Server-ui-vty0-14] authentication-mode aaa
[SSH_Server-ui-vty0-14] protocol inbound ssh
[SSH_Server-ui-vty0-14] quit

新建用戶名爲client001的SSH用戶，且認證方式爲Password。

[SSH_Server] aaa
[SSH_Server-aaa] local-user audit01 password irreversible-cipher Huawei@123
[SSH_Server-aaa] local-user audit01 privilege level 1
[SSH_Server-aaa] local-user audit01 service-type ssh
[SSH_Server-aaa] quit
[SSH_Server] ssh user audit01 authentication-type password

11. SSH服務器端開啓STelnet服務功能

[SSH_Server] stelnet server enable

12. 配置SSH用戶client001的服務方式爲STelnet

13. [SSH_Server] ssh user audit01 service-type stelnet
14. 驗證配置結果

PC端audit01用password認證方式鏈接SSH服務器。

經過PuTTY軟件登陸設備，輸入設備的IP地址，選擇協議類型爲SSH。

建立好帳號後audit01這個帳號基本沒啥權限，由於我這裏audit01啓用的是privilege level 1的，因此須要將display的權限調整下。可是咱們仍是要將命令的權限也修改下匹配用戶的權限。

華爲系統命令分級管理：
系統將命令進行分級管理，各個視圖下的每條命令都有指定的級別。設備管理員能夠根據用戶須要從新設置命令的級別，以實現低級別用戶可使用部分高級別命令的需求，或者將命令的級別提升，增長設備的安全性。

2.1 操做說明

command-privilege level

命令功能

command-privilege level命令用來設置指定視圖內的命令的級別。

undo command-privilege命令用來恢復命令爲缺省級別。

缺省狀況下，各個視圖下的每條命令都有指定的級別。

命令格式

command-privilege level level view view-name command-key

undo command-privilege [ level level ] view view-name command-key

參數說明

參數

參數說明

取值

level level

指定命令的級別。

整數形式，取值範圍是0～15。

view view-name

指定視圖名稱。可在終端界面上鍵入「?」獲取該命令視圖下全部可選擇的視圖名稱。

例如：

· shell：表示用戶視圖

· system：表示系統視圖

· vlan：表示VLAN視圖

command-key

指定設置的命令，目前不支持聯想，需手動完整輸入。
使用此命令行設置指定視圖內命令的級別規則：

對目標命令行進行降級時，命令行中全部關鍵字都會降級。

對目標命令行進行升級時，只有命令行中的最後一個關鍵字會升級。

對目標命令行設置命令行級別時，則相同視圖下的全部以此目標命令行爲首的命令行級別都會被改變。

對目標命令行設置命令行級別時，和變動級別的關鍵字索引相同的其餘命令中關鍵字級別也會被改變。

此命令有覆蓋做用，索引相同的關鍵字級別若是被屢次修改，則最後一次修改的級別生效。
2.2 使用實例說明：

<HUAWEI> system-view

[HUAWEI] command-privilege level 5 view shell save
2.3 審計賬號應具備的查詢權限。

信息項 使用命令
基本信息 display diagnostic-information
設備信息 display device
接口信息 display interface
版本信息 display version
補丁信息 display patch-information
電子標籤信息 display elabel
系統當前配置信息 display current-configuration
系統保存的配置信息 display saved-configuration
時間信息 display clock
告警信息 display trapbuffer
用戶日誌信息 display logbuffer
內存使用信息 display memory-usage
CPU使用狀況 display cpu-usage
接口開啓狀況 display interface brief
2.4 指定權值具體操做步驟

[HUAWEI]command-privilege level 1 view shell display current-configuration

[HUAWEI]command-privilege level 1 view shell display diagnostic-information

[HUAWEI]command-privilege level 1 view

[HUAWEI]command-privilege level 1 view shell display trapbuffer

[HUAWEI]command-privilege level 1 view shell display logbuffer

[HUAWEI]command-privilege level 1 view shell display memory-usage

[HUAWEI]command-privilege level 1 view shell display cpu-usage

[HUAWEI]command-privilege level 1 view shell display interface brief

[HUAWEI]command-privilege level 1 view shell display clock

[HUAWEI]command-privilege level 1 view shell display saved-configuration

[HUAWEI]command-privilege level 1 view shell display elabel

[HUAWEI]command-privilege level 1 view shell display patch-information

[HUAWEI]command-privilege level 1 view shell display version

[HUAWEI]command-privilege level 1 view shell display device

三、開啓防ARP欺騙功能,IP和mac綁定
根據實際需求啓用，我這沒有啓用，純linux應用發佈，沒有太多的上網需求。須要作的請自行參考華爲幫助文檔

來自爲知筆記(Wiz)https://www.cnblogs.com/flyinghappysheep/p/10541672.html