华为交换机审计配置_等保3对交换机用户配置的要求--688IT编程网

华为交换机审计配置_等保3对交换机⽤户配置的要求

飞天遁地喜⽺⽺

等保3对交换机配置的要求

等保3交换机安全要求说明

配置acl限制允许登陆的主机。

2、开启ssh登陆，取消telnet登陆，并配置有审计账号和运维账号，授予审计访问权限。

2.1 操作说明

2.2 使⽤实例说明：

2.3 审计帐号应具有的查询权限。

2.4 指定权值具体操作步骤

3、开启防ARP欺骗功能,IP和mac绑定

等保3交换机安全要求说明

配置acl限制允许登陆的主机。

配置举例

配置ACL 2005规则，限制VTY 0～VTY 4界⾯只允许IP地址为192.168.1.5的⽤户和10.10.5.0/24⽹段的⽤户登录设备，配置如下。

system-view

[HUAWEI] acl 2005

[HUAWEI-acl-basic-2005] rule permit source 192.168.1.5 0 //允许IP地址为192.168.1.5的⽤户登录设备。

[HUAWEI-acl-basic-2005] rule permit source 10.10.5.0 0.0.0.255 //允许10.10.5.0/24⽹段的⽤户登录设备。

[HUAWEI-acl-basic-2005] quit

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] acl 2005 inbound

[HUAWEI-ui-vty0-4] quit

2、开启ssh登陆，取消telnet登陆，并配置有审计账号和运维账号，授予审计访问权限。

Telnet缺少安全的认证⽅式，⽤户可以通过STelnet⽅式进⾏远程的安全登录。终端PC和SSH服务器之间路由可达，在SSH服务器端配置⽤yunwei和audit01账号，PC使⽤yunwei和audit01⽤户通过Password认证⽅式登录SSH服务器。

配置思路

采⽤如下的思路配置⽤户通过STelnet登录设备：

PC端已安装登录SSH服务器软件。

在SSH服务器端⽣成本地密钥对，实现在服务器端和客户端进⾏安全地数据交互。

在SSH服务器端配置SSH⽤户audit01。

在SSH服务器端开启STelnet服务功能。

在SSH服务器端配置SSH⽤户audit01服务⽅式为STelnet。

⽤户audit01以STelnet⽅式登录SSH服务器。

操作步骤

在服务器端⽣成本地密钥对

system-view

[HUAWEI] sysname SSH_Server

[SSH_Server] dsa local-key-pair create

Info: The key name will be: HUAWEI_Host_DSA.

Info: The key modulus can be any one of the following : 1024, 2048.

Info: If the key modulus is greater than 512, it may take a few minutes.

Please input the modulus [default=2048]:

Info:

Info: Succeeded in creating the DSA host keys.

在服务器端创建SSH⽤户

配置VTY⽤户界⾯。

[SSH_Server] user-interface vty 0 14

[SSH_Server-ui-vty0-14] authentication-mode aaa

[SSH_Server-ui-vty0-14] protocol inbound ssh

[SSH_Server-ui-vty0-14] quit

新建⽤户名为client001的SSH⽤户，且认证⽅式为Password。

[SSH_Server] aaa

[SSH_Server-aaa] local-user audit01 password irreversible-cipher Huawei@123

[SSH_Server-aaa] local-user audit01 privilege level 1

[SSH_Server-aaa] local-user audit01 service-type ssh

[SSH_Server-aaa] quit

[SSH_Server] ssh user audit01 authentication-type password

SSH服务器端开启STelnet服务功能

[SSH_Server] stelnet server enable

配置SSH⽤户client001的服务⽅式为STelnet

[SSH_Server] ssh user audit01 service-type stelnet

验证配置结果

PC端audit01⽤password认证⽅式连接SSH服务器。

通过PuTTY软件登录设备，输⼊设备的IP地址，选择协议类型为SSH。

创建好账号后audit01这个账号基本没啥权限，因为我这⾥audit01启⽤的是privilege level 1的，所以需要将display的权限调整下。但是我们还是要将命令的权限也修改下匹配⽤户的权限。

华为系统命令分级管理：

系统将命令进⾏分级管理，各个视图下的每条命令都有指定的级别。设备管理员可以根据⽤户需要重新设置命令的级别，以实现低级别⽤户可以使⽤部分⾼级别命令的需求，或者将命令的级别提⾼，增加设备的安全性。

2.1 操作说明

command-privilege level

命令功能cipher命令

command-privilege level命令⽤来设置指定视图内的命令的级别。

undo command-privilege命令⽤来恢复命令为缺省级别。

缺省情况下，各个视图下的每条命令都有指定的级别。

命令格式

command-privilege level level view view-name command-key

undo command-privilege [ level level ] view view-name command-key

参数说明

参数

参数说明

取值

level level

指定命令的级别。

整数形式，取值范围是0～15。

view view-name

指定视图名称。可在终端界⾯上键⼊“?”获取该命令视图下所有可选择的视图名称。

例如：

· shell：表⽰⽤户视图

· system：表⽰系统视图

· vlan：表⽰VLAN视图

command-key

指定设置的命令，⽬前不⽀持联想，需⼿动完整输⼊。

使⽤此命令⾏设置指定视图内命令的级别规则：

对⽬标命令⾏进⾏降级时，命令⾏中所有关键字都会降级。

对⽬标命令⾏进⾏升级时，只有命令⾏中的最后⼀个关键字会升级。

对⽬标命令⾏设置命令⾏级别时，则相同视图下的所有以此⽬标命令⾏为⾸的命令⾏级别都会被改变。

对⽬标命令⾏设置命令⾏级别时，和变更级别的关键字索引相同的其他命令中关键字级别也会被改变。

此命令有覆盖作⽤，索引相同的关键字级别如果被多次修改，则最后⼀次修改的级别⽣效。

2.2 使⽤实例说明：

system-view

[HUAWEI] command-privilege level 5 view shell save

2.3 审计帐号应具有的查询权限。

信息项使⽤命令

基本信息 display diagnostic-information

设备信息 display device

接⼝信息 display interface

版本信息 display version

补丁信息 display patch-information

电⼦标签信息 display elabel

系统当前配置信息 display current-configuration

系统保存的配置信息 display saved-configuration

时间信息 display clock

告警信息 display trapbuffer

⽤户⽇志信息 display logbuffer

内存使⽤信息 display memory-usage

CPU使⽤情况 display cpu-usage

接⼝开启情况 display interface brief

2.4 指定权值具体操作步骤

[HUAWEI]command-privilege level 1 view shell display current-configuration

[HUAWEI]command-privilege level 1 view shell display diagnostic-information

[HUAWEI]command-privilege level 1 view

[HUAWEI]command-privilege level 1 view shell display trapbuffer

[HUAWEI]command-privilege level 1 view shell display logbuffer

[HUAWEI]command-privilege level 1 view shell display memory-usage

[HUAWEI]command-privilege level 1 view shell display cpu-usage

[HUAWEI]command-privilege level 1 view shell display interface brief

[HUAWEI]command-privilege level 1 view shell display clock

[HUAWEI]command-privilege level 1 view shell display saved-configuration

[HUAWEI]command-privilege level 1 view shell display elabel

[HUAWEI]command-privilege level 1 view shell display patch-information

[HUAWEI]command-privilege level 1 view shell display version

[HUAWEI]command-privilege level 1 view shell display device

3、开启防ARP欺骗功能,IP和mac绑定

根据实际需求启⽤，我这没有启⽤，纯linux应⽤发布，没有太多的上⽹需求。需要做的请⾃⾏参考华为帮助⽂档

688IT编程网

华为交换机审计配置_等保3对交换机用户配置的要求

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林算法的改进方法

基于随机森林算法的风险预警模型研究

Python中的随机森林算法详解

随机森林发展历史

如何使用随机森林进行时间序列数据模式识别(八)

随机森林回归模型原理

如何使用随机森林进行时间序列数据模式识别(六)

如何使用随机森林进行时间序列数据预测(四)

如何使用随机森林进行异常检测(六)

随机森林算法和grandientboosting算法 -回复

随机森林方法总结全面

随机森林算法原理和步骤

随机森林的原理

随机森林重要性

随机森林算法

机器学习中随机森林的原理

随机森林算法原理

使用计算机视觉技术进行动物识别的技巧

基于crf命名实体识别实验总结

transformer预测模型训练方法

最新文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

随机森林结合直接正交信号校正的模型传递方法

标签列表

688IT编程网

华为交换机审计配置_等保3对交换机用户配置的要求

发表评论

推荐文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

热门文章

随机森林算法的改进方法

基于随机森林算法的风险预警模型研究

Python中的随机森林算法详解

随机森林发展历史

如何使用随机森林进行时间序列数据模式识别(八)

随机森林回归模型原理

如何使用随机森林进行时间序列数据模式识别(六)

如何使用随机森林进行时间序列数据预测(四)

如何使用随机森林进行异常检测(六)

随机森林算法和grandientboosting算法 -回复

随机森林方法总结全面

随机森林算法原理和步骤

随机森林的原理

随机森林 重要性

随机森林算法

机器学习中随机森林的原理

随机森林算法原理

使用计算机视觉技术进行动物识别的技巧

基于crf命名实体识别实验总结

transformer预测模型训练方法

最新文章

随机森林算法介绍及R语言实现

基于随机森林优化的神经网络算法在冬小麦产量预测中的应用研究_百度文 ...

基于正则化贪心森林算法的情感分析方法研究

随机森林算法和grandientboosting算法

基于随机森林的图像分类算法研究

随机森林结合直接正交信号校正的模型传递方法

标签列表

随机森林重要性