华为交换机-关于等保“身份鉴别”的配置

最新推荐文章于 2025-05-03 07:11:40 发布
最新推荐文章于 2025-05-03 07:11:40 发布
阅读量1w 收藏 50
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 等保2.0要求 文章标签: 身份鉴别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27868757/article/details/111031015
本文详细介绍了密码管理的相关规定,包括密码的长度要求、复杂度要求以及如何配置设备的密码策略。此外,还提供了设置密码有效期和配置基于时间的ACL规则的具体步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

+++++++++++++++++++++++口令长度要求++++++++++++++++++++++++
password说明:
字符串形式,长度范围是8~16或长度是56或68。输入的密码可以是明文或者密文。
当明文输入时,长度范围为8~16,区分大小写,输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。
当密文输入时,长度是56或68。该密文密码必须以$1a$开始,以$结束;或者以%^%#开始,以%^%#结束。
说明:
如果升级前版本支持设置长度为24的密文密码,则升级时会自动兼容。
无论是明文输入还是密文输入,配置文件中都以密文形式体现。
-------------------------配置----------------------------------
set password min-length    命令用来配置设备允许的显式密码最小长度。
undo set password min-length  命令用来恢复设备允许的显式密码最小长度到缺省值。
缺省情况下,设备允许的显式密码最小长度是8。
范围:整数形式,取值范围是6~16。
# 配置设备允许的显式密码最小长度是10。
====================================
<HUAWEI> system-view
[HUAWEI] set password min-length 10
# 配置设备允许的显式密码最小长度是10。
====================================
注意事项:
如果用户执行undo user-password complexity-check命令关闭了密码复杂度检查功能,则对local-user的显式密码最小长度不具有限制作用。
为充分保证设备安全,请不要关闭密码复杂度检查功能,并定期修改密码。

+++++++++++++++++++++++++++++口令复杂度+++++++++++++++++++
输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。

user-interface password complexity-check disable命令用来关闭密码复杂度检查功能。
undo user-interface password complexity-check disable命令用来打开密码复杂度检查功能。

缺省情况下,密码复杂度检查功能打开。

命令格式
+++++++++++++++++++++++++++++有效期策略配置+++++++++++++++++++
# 设置超时为1分钟30秒。
<HUAWEI> system-view
[HUAWEI] user-interface console 0
[HUAWEI-ui-console0] idle-timeout 1 30
--------------------------------------------------------------
配置基于时间的ACL规则
创建时间段working-time(周一到周五每天8:00到18:00),并在名称为work-acl的ACL中配置规则,在working-time限定的时间范围内,拒绝源IP地址是192.168.1.0/24网段地址的报文通过。
<HUAWEI> system-view
[HUAWEI] time-range working-time 8:00 to 18:00 working-day
[HUAWEI] acl name work-acl basic
[HUAWEI-acl-basic-work-acl] rule deny source 192.168.1.0 0.0.0.255 time-range working-time

参考网址:
https://support.huawei.com/hedex/hdx.do?lib=EDOC1100126532AZI02127&docid=EDOC1100126532&lang=zh&v=03&tocLib=EDOC1100126532AZI02127&tocV=03&id=ZH-CN_TASK_0177110600&tocURL=resources%2525252Fdc%2525252Fdc_cfg_acl_1001.html&p=t&fe=1&ui=3&keyword=acl

等保2.0三级测评华为华三交换机路由器
m0_60936698的博客
12-06 1328
本研究针对等保2.0标准下的三级测评要求,深入探讨了华为和华三交换机及路由器的测评方法与实践。通过对设备的安全配置、访问控制、数据加密、日志审计等多个方面的详细分析,本研究提出了一套系统的测评流程和优化建议。研究结果表明,华为和华三的设备在满足等保2.0三级要求方面表现良好,但仍存在一些潜在的安全风险和配置优化空间。
华为网络设备配置SNMP(附NMS MIB Browser安装包)
悦分享
07-10 1万+
一、SNMP原理SNMP是广泛应用于TCP/IP网络的网络管理标准协议。网管系统可以通过SNMP协议对网络设备(包括交换机、路由器、防火墙等)进行监测和管理。SNMP是被广泛接受并投入使用的工业标准,用于保证管理信息在任意两点间传送,便于网络管理员在网络上的任何节点检索信息、修改信息、寻找故障、完成故障诊断、进行容量规划和生成报告。SNMP采用轮询机制,只提供最基本的功能集,特别适合在小型、快速和低价格的环境中使用。SNMP的实现基于连接的传输层协议UDP,得到众多产品的支持。SNMP分为NMS和Agent
华为设备有关用户名密码的策略配置
简单的创作,希望可以帮助到跟我一样的学习者!
11-25 4507
命令用来开启对密码进行复杂度检查功能,设备默认已经是开启状态。1、密码长度大于等于12位,含数字大小写字母和特殊符号。2、设置密码更换周期为90天。取值范围8-16,默认长度为8位。登录失败后锁定时间大于15分钟。3、登录失败次数小于5次。4、登录超时30分钟以内。
等保测评-华为、华三、锐捷路由、交换设备配置
08-04
等保测评相关路由、交换机设备配置
等保三级交换机加固配置解析(华为交换机为例)
最新发布
normanhere的博客
05-03 1007
设置专用安全设备管理VLAN;#创建标准ACL仅允许堡垒机管理设备;仅允许MNS网管设备。#配置管理网,网关,可以使用VRRP或者堆叠高可用。#配置DNS,为了NTP服务器解析IP使用。#建议配置浮动静态路由作为逃生链路。#针对服务器做IP MAC绑定。#配置AAA 这部分必须配置。#配置SNMPV3用于NMS。#配置登录方式和带外登录保护。#创建聚合口,用于上下联。#将日志指向日志服务器。#配置根保护,TC保护。#配置接安全设备的端口。#配置SSH加密算法。#配置权限1级别命令。
等保二级 交换机安全配置模板(华为)
normanhere的博客
07-31 937
配置console和远程登录方式 和登录超时。#创建管理员和操作员 密码锁定 分配权限。#仅允许安全设备和内网设备访问服务器。#仅允许堡垒机访问服务器的22端口。#关闭HTTP管理 TELNET。#在接服务器的接口调用ACL。#仅允许服务器访问安全设备。#打开SSH 并非用户权限。#仅允许堡垒机访问设备。#给与用户权限1的命令。
等保基线核查——交换机
weixin_43965325的博客
10-25 6951
交换机基线核查常用命令行
华为交换机安全配置
12-11
华为交换机安全配置包括华为交换机安全ACL,端口安全配置命令等
交换机(华为)双因素身份认证解决方案
m0_37462473的博客
09-27 4096
一、场景分析 在网络环境中,交换机是最重要的核心设备,是网络中的心脏,每天处理海量的文件信息,所以交换机的安全性至关重要。 二、问题分析 1、密码设置简单,非常容易被撞库破解; 2、密码设置复杂,非常容易忘记密码,增加网络管理员无意义工作; 3、设置统一或有规律的密码,一旦单点被破,极易引发全面危机; 4、定期更改密码,容易密码混淆,难以记住; 5、做密码本、存储位置容易泄漏,引发全面危机; 6、员工离职,需要修改密码,增加管理员工作量; 三、解决方法 采用CKEY DAS做密码加固
等级保护2.0基础要求 具体测评方法
Mercure's Home
11-11 4288
安全咨询, 等级保护2.0(三级) 测评方法
等保测评 安全计算环境之网络设备
weixin_45380284的博客
02-20 6159
安全计算环境之网络设备 1. 身份鉴别 a)应对登录的用户进行身份标识和鉴别身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换 1)应核查用户在登录时是否采用了身份鉴别措施 2)应核查用户列表,测试用户身份标识是否具有唯一性 3)应核查用户配置信息或访谈系统管理员,核查是否不存在空口令用户 4)应核查用户鉴别信息是否具有复杂度要求并定期更换 b)具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施 1)应核查是否配置并启用了登录失败处理功能:如果网络中部署堡
信息安全等级保护测评实施H3C和华为二级作业指导书.doc
09-02
H3C和华为交换机-等保二级测评指导书
H3C等保配置要求参考
05-06
H3C等保配置要求参考
华为交换机与路由远程登录配置
09-30
华为交换机与路由器远程登录配置。authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs(华为终端访问控制系统)服务器完成认证/授权;
华为交换机审计配置_等保3对交换机用户配置的要求
weixin_39564151的博客
01-14 6044
飞天遁地喜羊羊等保3对交换机配置的要求等保3交换机安全要求说明配置acl限制允许登陆的主机。2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。2.1 操作说明2.2 使用实例说明:2.3 审计帐号应具有的查询权限。2.4 指定权值具体操作步骤3、开启防ARP欺骗功能,IP和mac绑定等保3交换机安全要求说明配置acl限制允许登陆的主机。配置举例配置ACL 20...
等保二级 交换机安全配置模板(H3C)
normanhere的博客
07-31 690
使能密码控制 密码最小长度8位 密码组成3种类型 密码输错8次锁定2分钟 密码过期由于用堡垒机管理,这里选择不过期,然后关闭首次登录必须修改密码操作。#仅允许客户端网段和安全管理网段访问服务器网段 在interface vlan 下调用。#仅允许服务器网段访问安全管理网段,在interface vlan 下调用。#安全管理设备网段 仅允许服务器和客户端网段流量进入。#服务器网段 仅允许客户端和安全管理网段流量进入。#仅允许堡垒机访问核心交换机,在SSH 下调用。#仅允许堡垒机访问服务器的22端口。
等保三级对于交换机的配置要求
m0_55944701的博客
02-18 492
总结来说,等保三级对交换机的配置要求着重在身份认证、访问控制、网络隔离、日志审计、安全加密、物理安全、漏洞管理等方面,以确保网络设备的安全性,防止数据泄露和其他安全威胁。VLAN划分与隔离:交换机需要支持基于VLAN的网络隔离,限制不同安全区域之间的访问,确保不同业务系统之间的安全性。日志记录:交换机应配置日志功能,记录设备操作、配置变更、异常事件等,日志应当具有防篡改保护,并支持远程集中存储。端口安全:配置交换机的端口安全功能,防止未经授权的设备接入网络,防止ARP攻击、MAC地址泛洪等。
华为交换机通用配置方式方法
热门推荐
linux__xiaobai的博客
01-18 1万+
华为交换机通用配置方式方法 1,CONSOLE口接入 专用的CONSOLE线,一端连接交换机的CONSOLE口,另一端连接电脑的串口,打开电脑的超级终端进行 连入交换机后(交换机有默认用户和密码),出现提示符 2,远程管理口地址配置 system-view [quidway]interface MEth0/0/1 [quidway]ip address AAA.AAA.AAA.AAA aaa.aaa.aaa.aaa 以后就可用telent远程连结交换机进行配置,无须到机房里操作。 3,DHCP服务器配置 [
等保测评-交换机测评命令
qq_37542883的博客
06-07 4077
show run | i line ssh/telnet/console 查看ssh/telnet/console管理的超时时间。show run | b router ospf 查看ospf路由认证相关信息。show run | b logging 查看是否开启日志,是否配置日志服务器。show run | i ssh server 查看是否采用ssh方式进行管理。show run | b bgp ospf 查看bgp路由认证相关信息。
等保交换机脚本
04-28
<think>好的,用户需要与等保相关的交换机配置脚本示例。首先,我需要回忆一下等保(信息安全等级保护)的基本要求,通常包括访问控制、安全审计、入侵防范、恶意代码防范等。但交换机作为网络设备,主要涉及前几个方面。 接下来,用户之前的问题可能涉及交换机的基本配置,比如VLAN、端口安全、STP等,但现在需要结合等保要求。根据引用[1]中的内容,配置步骤包括管理IP、VLAN、端口设置、STP、端口安全、QoS等,但这些需要符合等保的具体条款。 等保二级或三级对交换机的配置有具体要求,比如访问控制策略、审计日志、身份鉴别等。我需要将这些要求转化为具体的配置命令。例如,访问控制可能需要ACL,审计需要日志服务器配置身份鉴别需要SSH和账户管理。 用户可能需要一个脚本示例,涵盖这些方面。要注意的是不同厂商(如华为、H3C、Cisco)的命令不同,但用户没有指定品牌,可能需要给出通用示例或注明厂商差异。此外,安全配置如关闭不必要的服务(HTTP、Telnet)、启用SSH,配置ACL限制管理访问,启用日志功能等。 还要考虑密码复杂度、账户锁定策略、会话超时等安全设置。同时,等保要求定期备份配置,所以脚本中应包括保存和备份配置的步骤。 需要验证这些配置是否符合等保要求,例如检查是否所有远程管理都使用加密协议,是否有足够的审计日志,是否防止了常见攻击如MAC泛洪、ARP欺骗等。可能还需要配置802.1X认证、端口安全限制MAC数量,以及DHCP Snooping等。 最后,确保脚本结构清晰,分步骤说明,并提醒用户根据实际网络环境和等保级别调整配置,进行测试后再应用。可能还需要注释每个配置步骤对应的等保条款,帮助用户理解合规性。</think>### 等保合规交换机配置脚本示例(以华为/H3C命令风格为例) #### 1. **基础安全加固(等保2.0通用要求)** ```bash # 关闭非必要服务 undo http server # 关闭HTTP服务(强制使用HTTPS)[^1] undo telnet server # 关闭Telnet(强制使用SSH) snmp-agent trap disable # 关闭SNMP陷阱(如需监控需配置v3加密) # 配置SSH加密协议 ssh server compatible-ssh1x disable # 禁用低版本SSH ssh user admin authentication-type password # 配置SSH用户认证 ssh server port 10222 # 修改默认SSH端口(等保要求端口非默认) # 配置登录超时与尝试限制 user-interface vty 0 4 idle-timeout 5 # 会话超时5分钟(等保8.1.4.2) authentication-mode aaa protocol inbound ssh user privilege level 3 # aaa local-user admin password irreversible-cipher <PASSWORD> # 使用SHA256加密 local-user admin service-type ssh local-user admin fail-times 3 unlock-time 300 # 密码错误3次锁定5分钟(等保8.1.4.3) ``` #### 2. **访问控制与审计(等保8.1.3.2/8.1.3.3)** ```bash # 配置ACL限制管理访问 acl number 2000 rule 5 permit source 192.168.10.0 0.0.0.255 # 仅允许运维网段访问 rule 10 deny ip # 应用ACL到管理接口 interface Vlanif 100 ip address 192.168.10.254 255.255.255.0 packet-filter 2000 inbound # 绑定ACL到管理VLAN # 启用日志审计(等保8.1.3.3) info-center enable info-center loghost 192.168.10.100 port 514 facility local4 # 发送日志到Syslog服务器 clock timezone UTC+08:00 # 配置标准时间戳(等保8.1.2.4) ``` #### 3. **网络边界防护(等保8.1.4.8)** ```bash # 配置端口安全(防MAC泛洪) interface GigabitEthernet0/0/1 port-security enable port-security max-mac-num 5 # 限制学习MAC数量 port-security protect-action shutdown # 违规关闭端口 # 防ARP欺骗 arp anti-attack entry-check enable arp speed-limit source-mac maximum 50 # 限制ARP报文速率 # 启用DHCP Snooping(防私接DHCP) dhcp snooping enable dhcp snooping trusted interface GigabitEthernet0/0/24 # 指定合法DHCP端口 ``` #### 4. **备份与恢复(等保8.1.5.1)** ```bash # 保存配置到TFTP服务器 tftp 192.168.10.200 put vrpcfg.zip backup_20240520.zip ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值