1、技 术 文 件技术文件名称：安奈特交换机基本加固方案 技术文件编号： 版 本：V1.1.1 文件质量等级：共10页(包括封面) 拟 制 审 核 会 签 标准化 批 准 中兴通讯股份有限公司修改记录文件编号版本号拟制人/修改人拟制/修改日期更改理由主要更改内容（写要点即可）1.0王华刚2009/06/1无无1.1王华刚2009/06/15配置编号配置加固项编号1.1.1王华刚2009/07/02更新编号更新加固项编号注1：每次更改归档文件（指归档到事业部或公司档案室的文件）时，需填写此表。注2：文件第一次归档时，“更改理由”、“主要更改内容”栏写“无”。安奈特交换机基本加固方案目录(包括封面)12、修改记录21概述4内部适用性说明4外部引用说明4术语和定义4符号和缩略语42安奈特交换机安全配置操作指导62.1ZTE-AT-S-E01帐号安全加固操作62.1.1ZTE-AT-S-EM01-01更改厂家默认用户名和口令62.1.2ZTE-AT-S-EM01-02配置只读用户62.1.3ZTE-AT-S-EH01-03配置强密码62.1.4ZTE-AT-S-EH01-04修改默认口令62.1.5ZTE-AT-S-EL01-05设置密码生存期62.1.6ZTE-AT-S-EL01-06禁止使用重复密码62.1.7ZTE-AT-S-EL01-07设置最多认证失败次数72.2ZTE-AT-S-E023、网络服务/IP协议要求72.2.1ZTE-AT-S-EH02-01配置SSH连接72.2.2ZTE-AT-S-EM02-02配置流量过滤（可选）82.3ZTE-AT-S-E03日志记录要求102.3.1ZTE-AT-S-EL03-01配置远程日志服务器（可选）102.4ZTE-AT-S-E04登录会话要求102.4.1ZTE-AT-S-EL04-01登录会话超时5分钟自动退出10安奈特交换机基本加固方案1 概述内部适用性说明本方案是在业务研究院网络安全规范中各项要求的基础上，提出安奈特交换机基本加固方案。目前本手册所述的部分功能（口令复杂度、口令生存期、重复口令限制）仅适用于如下产品型号及软件4、版本。产品型号软件版本要求AT-SB4008AlliedWare SB275A08或以上AT-SB4004AlliedWare SB275A08或以上AT-9924TsAlliedWare 321-03或以上AT-x900-24XTAlliedWare 321-03或以上AT-x900-24XT-NAlliedWare 321-03或以上AT-x900-24XSAlliedWare 321-03或以上在执行安全加固操作之前，请先检查交换机软件版本，如低于上述版本，需要升级至推荐软件版本，才能实施安全加固。外部引用说明中国移动设备通用安全功能和配置规范术语和定义符号和缩略语缩写英文描述中文描述本5、文件中的字体标识如下：蓝色斜体 在具体执行时需要替换的内容检查/加固项编码意义如下：公司名称-操作系统-条目性质 风险级别 数字编号-小项数字编号条目性质中：S意为检查；E意为加固风险级别中：H意为高风险；M意为中等风险；L意为低风险，风险级别仅存于具体条目中2 安奈特交换机安全配置操作指导2.1 ZTE-AT-S-E01帐号安全加固操作2.1.1 ZTE-AT-S-EM01-01更改厂家默认用户名和口令添加新manager角色用户add user=admusername pass=password priv=manager lo=yes删除原有manager用户delete user=man6、agershow configuration system login查看是否存在无用帐号，如果存在无用帐号，用如下命令删除：delete user=username2.1.2 ZTE-AT-S-EM01-02配置只读用户add user=rousername pass=password priv=user lo=yes2.1.3 ZTE-AT-S-EH01-03配置强密码set user minpwdlen=8 pwdmincat=32.1.4 ZTE-AT-S-EH01-04修改默认口令set user=manager pass=password 2.1.5 ZTE-AT-S-EL01-07、5设置密码生存期set user pwdlifetime=90口令超期时，强制用户在登录时修改口令set user PWDForce=yes2.1.6 ZTE-AT-S-EL01-06禁止使用重复密码set user pwdhistory=52.1.7 ZTE-AT-S-EL01-07设置最多认证失败次数set user loginfail=6set user lockoutpd=12002.2 ZTE-AT-S-E02网络服务/IP协议要求2.2.1 ZTE-AT-S-EH02-01配置SSH连接add user=secusername password=password priv=secu8、 login=yeslogout命令退出现在的用户，用上面创建的安全管理员secusername来登录交换机，登录后，可以看到提示符改为：SecOff 然后需要配置密钥（用于启动SSH服务器）：SecOff create enco key=1 type=rsa length=768 form=sshSecOff create enco key=2 type=rsa length=1024 form=sshSecOff enable ssh server serverkey=1 hostkey=2 expir=1 logintime=60添加可以ssh登录的用户，包括上一步创建的secusern9、ame、admusername、rousernameSecOff add ssh user=secusername password=password SecOff add ssh user=admusername password=passwordSecOff add ssh user=rousername password=passwordSecOff enable system secu配置完成后，telnet自动关闭，只能通过ssh访问，且只有secusername有最高权限安奈特交换机只支持SSH1，所以在配置客户端连接时需要选择SSH1，如图所示2.2.2 ZTE-AT-S-EM010、2-02配置流量过滤（可选）配置方法：add ip filt=1 source=ipaddress sport=portnumber prot=protocol dest=ipaddress dport=portnumber act=action其中：source=ipaddress代表源IP地址；sport=portnumber代表源端口号；prot=protocol代表协议类型，可选参数为prot=tcp、prot=udp、prot=ospf、prot=icmp；dest=ipaddress代表目的IP地址；dport=portnumber代表目的端口号act=action代表允许或拒绝，11、可选参数为act=exclude或act=include在防火墙和路由器上已经配置安全规则的情况下，交换机可以考虑不配置安全规则业务产品规则集彩信短信WAP网关2.3 ZTE-AT-S-E03日志记录要求2.3.1 ZTE-AT-S-EL03-01配置远程日志服务器（可选）enable ipadd ip int=vlan1 ip=ipaddress mask=255.255.255.0：create log output=1 dest=syslog server=ipaddress password=yourpasswordadd log output=1 filter=1 all其中，server=ipaddress参数是syslog服务器的IP地址；如果syslog服务器要求密码认证，则需要服务器上的密码和交换机上配置的password一致，如果syslog服务器不要求密码认证，则可以不输入“password= yourpassword”参数。2.4 ZTE-AT-S-E04登录会话要求2.4.1 ZTE-AT-S-EL04-01登录会话超时5分钟自动退出set tty idle=300