中国移动华为路由器安全配置规范

admin管理员组

文章数量:1531321

2023年12月23日发(作者：)

Specification for HUAWEI

Router Configuration Used in

China Mobile

版本号：2.0.0

╳╳╳

╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施

中国移动华为路由器

安全配置规范

中国移动通信有限公司网络部

中国移动华为路由器安全配置规范

目 录

1. 范围........................................................................................................................................... 3

2. 规范性引用文件 ....................................................................................................................... 3

2.1. 内部引用 ....................................................................................................................... 3

2.2. 外部引用 ....................................................................................................................... 4

3. 术语、定义和缩略语 ............................................................................................................... 4

4. 华为路由器设备配置安全要求 ............................................................................................... 4

4.1. 账号管理及认证授权要求 ........................................................................................... 4

4.1.1. 账号 ................................................................................................................... 5

4.1.2. 口令 ................................................................................................................... 7

4.1.3. 授权 ................................................................................................................... 8

4.1.4. 认证 ................................................................................................................... 8

4.2. 日志要求 ..................................................................................................................... 10

4.3. IP协议安全要求 ........................................................................................................ 13

4.3.1. 基本协议安全 ................................................................................................. 13

4.3.2. 路由协议安全 ................................................................................................. 17

4.3.3. SNMP协议安全 ............................................................................................. 18

4.3.4. MPLS安全 ..................................................................................................... 20

4.4. 设备其他安全要求 ..................................................................................................... 21

5. 编制历史 ................................................................................................................................. 24

1

中国移动华为路由器安全配置规范

前 言

为了贯彻安全三同步的要求，在设备选型、入网测试、工程验收以及运行维护等环节，明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。本规范是该系列规范之一，明确了中国移动各类型设备所需满足的通用安全功能和配置要求，并作为本系列其他规范的编制基础。

本标准起草单位：中国移动通信有限公司网络部、中国移动通信集团吉林有限公司。

本标准解释单位：同提出单位。

本标准主要起草人：王金星、常 伟 、陈敏时、周智、曹一生。

2

中国移动华为路由器安全配置规范

1. 范围

本规范适用于中国移动通信网、业务系统和支撑系统的华为路由器。本规范明确了华为路由器安全配置方面的基本要求。本规范作为编制设备技术规范、设备入网测试规范，工程验收手册，局数据模板等文档的依据。供中国移动内部和厂商共同使用。

2. 规范性引用文件

2.1. 内部引用

本规范是在《中国移动设备通用设备安全功能和配置规范》（以下简称《通用规范》）各项设备配置要求的基础上，提出的华为路由器安全配置要求。以下分项列出本规范对《通用规范》设备配置要求的修订情况。

编号

安全要求-设备-通用-配置-1

安全要求-设备-通用-配置-2

安全要求-设备-通用-配置-3-可选

安全要求-设备-通用-配置-4

安全要求-设备-通用-配置-5

安全要求-设备-通用-配置-6-可选

安全要求-设备-通用-配置-7-可选

安全要求-设备-通用-配置-9

安全要求-设备-通用-配置-12

安全要求-设备-通用-配置-13-可选

安全要求-设备-通用-配置-24-可选

安全要求-设备-通用-配置-14-可选

安全要求-设备-通用-配置-16-可选

安全要求-设备-通用-配置-17-可选

安全要求-设备-通用-配置-19

安全要求-设备-通用-配置-20-可选

安全要求-设备-通用-配置-27

安全要求-设备-通用-配置-29-可选

采纳意见 备注

增强要求 安全要求-设备-华为路由器-配置-1

增强要求 安全要求-设备-华为路由器-配置-2

部分采纳 安全要求-设备-华为路由器-配置-20

完全采纳

不采纳

不采纳

不采纳

完全采纳

完全采纳

完全采纳

完全采纳

完全采纳

完全采纳

不采纳

不采纳

设备不支持

设备不支持

设备不支持

设备不具备

设备不支持

部分采纳 安全要求-设备-华为路由器-配置-5

增强要求 安全要求-设备-华为路由器-配置-15

增强要求 安全要求-设备-华为路由器-配置-16

本规范新增的安全配置要求，如下：

分类

口令

认证

日志

IP基本协议

编号

安全要求-设备-华为路由器-配置-3

安全要求-设备-华为路由器-配置-4-可选

安全要求-设备-华为路由器-配置-19-可选

安全要求-设备-华为路由器-配置6-可选

3

中国移动华为路由器安全配置规范

IP基本协议

IP路由协议

IP路由协议

IP SNMP协议

IP SNMP协议

IP SNMP协议

IP SNMP协议

MPLS

其他

其他

其他

其他

其他

安全要求-设备-华为路由器-配置7-可选

安全要求-设备-华为路由器-配置-8-可选

安全要求-设备-华为路由器-配置-9-可选

安全要求-设备-华为路由器-配置-10-可选

安全要求-设备-华为路由器-配置-11

安全要求-设备-华为路由器-配置-12-可选

安全要求-设备-华为路由器-配置-13

安全要求-设备-华为路由器-配置-20

安全要求-设备-华为路由器-配置-14

安全要求-设备-华为路由器-配置-17

安全要求-设备-华为路由器-配置-18

安全要求-设备-华为路由器-配置-21

安全要求-设备-华为路由器-配置-22-可选

本规范还针对直接引用《通用规范》的配置要求，给出了在华为路由器上的具体配置方法和检测方法。

2.2. 外部引用

《中国移动通用安全功能和配置规范》

3. 术语、定义和缩略语

（对于规范出现的英文缩略语或符号在这里统一说明。）

缩写

英文描述

中文描述

4. 华为路由器设备配置安全要求

本规范提出的安全功能要求和安全配置要求，在未特别说明的情况下，均适用于华为路由器设备。本规范从帐号管理及认证授权、日志、IP协议和其他四个方面提出安全配置要求。

4.1. 账号管理及认证授权要求

认证功能用于确认登录系统的用户真实身份。认证功能的具体实现方式包括静态口令、动态口令、指纹等生物鉴别技术等。授权功能赋予系统账号的操作权限，并限制用户进行超越其账号权限的操作。账号口令管理功能是实现正确认证和授权的基础。

4

中国移动华为路由器安全配置规范

对于存在字符或图形界面（WEB界面）的人机交互的设备，应提供账号管理及认证授权功能，并应满足以下各项要求。

4.1.1. 账号

要求编号

适用版本

要求内容

安全要求-设备-华为路由器-配置-1

应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享。

操作指南 1、参考配置操作

aaa

local-user user1 password cipher PWD1

local-user user1 service-type telnet

local-user user2 password cipher PWD2

local-user user2 service-type ftp

#

user-interface vty 0 4

authentication-mode aaa

2、补充说明

无。

检测方法 1、 判定条件

用配置中没有的用户名去登录，结果是不能登录

2、 参考检测操作

display current-configuration configuration aaa）

3、 补充说明

无。

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-2

应删除与设备运行、维护等工作无关的账号。

1、参考配置操作

aaa

undo local-user test

2、补充说明

5

中国移动华为路由器安全配置规范

无。

检测方法 1、 判定条件

配置中用户信息被删除。

2、 参考检测操作

display current-configuration configuration aaa

3、 补充说明

无。

要求编号

适用版本

要求内容

安全要求-设备-华为路由器-配置-20

限制具备管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到管理员权限账号后执行相应操作。

操作指南 1、参考配置操作

super password level 3 cipher superPWD

aaa

local-user user1 password cipher PWD1

local-user user1 service-type telnet

local-user user1 level 2

#

user-interface vty 0 4

authentication-mode aaa

2、补充说明

无。

检测方法 1、 判定条件

用户用相应的操作权限登录设备后，不具有最高权限级别3，这时有些操作不能做，例如修改aaa的配置。这时如果想使用管理员权限必须提高用户级别。

2、 参考检测操作

display current-configuration configuration aaa

3、 补充说明

无。

6

中国移动华为路由器安全配置规范

4.1.2. 口令

要求编号

适用版本

要求内容

安全要求-设备-通用-配置-4

对于采用静态口令认证技术的设备，口令长度至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

操作指南 1、参考配置操作

aaa

local-user user1 password cipher NumABC%$

2、补充说明

无。

检测方法 1、 判定条件

查看用户的口令长度是否至少6位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类。

对于加密的口令，通过登陆检测。

2、 参考检测操作

display current-configuration configuration aaa

3、 补充说明

无。

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-3

静态口令必须使用不可逆加密算法加密后保存于配置文件中。

1、参考配置操作

super password level 3 cipher N`C55QK<`=/Q=^Q`MAF4<1!!

local-user 8011 password cipher N`C55QK<`=/Q=^Q`MAF4<1!!

2、补充说明

无。

检测方法 1. 判定条件

用户的加密口令在buildrun中显示的密文。

7

中国移动华为路由器安全配置规范

2. 参考检测操作

display current-configuration configuration aaa

3. 补充说明

无。

4.1.3. 授权

要求编号

适用版本

要求内容

安全要求-设备-通用-配置-9

在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

操作指南 1、参考配置操作

aaa

local-user 8011 password cipher 8011

local-user 8011 service-type telnet

local-user 8011 level 0

#

user-interface vty 0 4

authentication-mode aaa

2、补充说明

无。

检测方法 1. 判定条件

查看所有用户的级别都配置为其所需的最小权限。

1. 参考检测操作

display current-configuration configuration aaa

2. 补充说明

无。

4.1.4. 认证

要求编号 安全要求-设备-华为路由器-配置-4-可选

8

中国移动华为路由器安全配置规范

适用版本

要求内容

设备通过相关参数配置，与认证系统联动，满足帐号、口令和授权的强制要求。

操作指南 1、参考配置操作

#对远程登录用户先用RADIUS服务器进行认证，如果没有响应，则不认证。

#认证服务器IP地址为129.7.66.66，无备用服务器，端口号为默认值1812。

# 配置RADIUS服务器模板。

[Router] radius-server template shiva

# 配置RADIUS认证服务器IP地址和端口。

[Router-radius-shiva]radius-server authentication

129.7.66.66 1812

# 配置RADIUS服务器密钥、重传次数。

[Router-radius-shiva] radius-server shared-key

it-is-my-secret

[Router-radius-shiva] radius-server retransmit 2

[Router-radius-shiva] quit

# 进入AAA视图。

[Router] aaa

# 配置认证方案r-n，认证方法为先RADIUS，如果没有响应，则不认证。

[Router–aaa] authentication-scheme r-n

[Router-aaa-authen-r-n] authentication-mode radius none

[Router-aaa-authen-r-n] quit

# 配置default域，在域下采用r-n认证方案、缺省的计费方案（不计费），shiva的RADIUS模板。

[Router-aaa] domain default

[Router-aaa-domain-default] authentication-scheme r-n

[Router-aaa-domain-default]radius-server shiva

2、补充说明

无。

检测方法 1. 判定条件

对远程登陆用户先用RADIUS服务器进行认证，非法用户不可以登录。

2. 参考检测操作

display current-configuration

3. 补充说明

9

中国移动华为路由器安全配置规范

无。

4.2. 日志要求

本部分对华为路由器设备的日志功能提出要求，主要考察设备所具备的日志功能，确保发生安全事件后，设备日志能提供充足的信息进行安全事件定位。根据这些要求，设备日志应能支持记录与设备相关的重要事件，包括违反安全策略的事件、设备部件发生故障或其存在环境异常等，以便通过审计分析工具，发现安全隐患。如出现大量违反ACL规则的事件时，通过对日志的审计分析，能发现隐患，提高设备维护人员的警惕性，防止恶化

要求编号

适用版本

要求内容

安全要求-设备-通用-配置-12

设备应配置日志功能，对用户登录进行记录，记录内容包括用户登录使用的账号，登录是否成功，登录时间，以及远程登录时，用户使用的IP地址。

操作指南 1、参考配置操作

info-center console channel 0

2、补充说明

无。

检测方法 1. 判定条件

在日志缓存上正确记录了日志信息。

2. 参考检测操作

display logbuffer

3. 补充说明

无。

要求编号

适用版本

要求内容

安全要求-设备-华为路由器-配置-5-可选

设备应配置日志功能，记录用户对设备的操作。例如：账号创建、删除和权限修改，口令修改，读取和修改设备配置，读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。记录需要包含10

中国移动华为路由器安全配置规范

用户账号，操作时间，操作内容以及操作结果。

操作指南 1、参考配置操作

info-center logbuffer channel 4

2、补充说明

在系统模式下进行操作。

检测方法 1. 判定条件

对设备的操作会记录在日志中。

2. 参考检测操作

display logbuffer

3. 补充说明

无。

要求编号

适用版本

要求内容

操作指南

安全要求-设备-通用-配置-24-可选

设备应配置日志功能，记录对与设备相关的安全事件。

1、参考配置操作

info-center enable

2、补充说明

在系统模式下进行操作。

检测方法 1. 判定条件

在日志缓存上正确记录了日志信息。

2. 参考检测操作

display logbuffer

3. 补充说明

无。

要求编号

适用版本

要求内容

安全要求-设备-通用-配置-14-可选

设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口，11

中国移动华为路由器安全配置规范

如SYSLOG、FTP等。

操作指南 1、参考配置操作

info-center loghost 202.38.1.10 facility local4 language

english

2、补充说明

在系统模式下进行操作。

检测方法 1. 判定条件

是否正确配置了相应的日志服务器地址，日志服务器正确记录了日志信息。

2. 参考检测操作

display current-configuration

3. 补充说明

无。

要求编号

适用版本

要求内容

安全要求-设备-华为路由器-配置-19-可选

开启NTP服务，保证日志功能记录的时间的准确性。

路由器与NTP SERVER之间要开启认证功能。

操作指南 1、参考配置操作

ntp-service authentication-keyid 1 authentication-mode md5

N`C55QK<`=/Q=^Q`MAF4<1!!

ntp-service unicast-server 2.2.2.2 authentication-keyid 1

2、补充说明

在系统模式下进行操作。

检测方法 1. 判定条件

本地时钟与时钟源同步。

2. 参考检测操作

disp ntp-service status

3. 补充说明

无。

12

中国移动华为路由器安全配置规范

4.3. IP协议安全要求

IP协议安全分为基本协议安全、路由协议安全、SNMP协议安全、MPLS安全。基本协议安全配置可防止非法访问，过滤不必要的数据流量。路由协议安全配置主要针对各类动态路由协议，防止未认证设备将外来路由引入本地。SNMP是目前路由器广泛应用的管理协议，SNMP安全配置可防止未许可的SNMP访问，避免设备信息的外泄

4.3.1. 基本协议安全

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-6-可选

通过ACL配置对常见的漏洞攻击及病毒报文进行过滤。

1、参考配置操作

acl number 20000

rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0

source-port eq ftp-data destination-port eq 30

traffic classifier dd

if-match acl 20000

traffic behavior dd

deny

traffic policy dd

classifier dd behavior dd precedence 0

interface GigabitEthernet4/0/0

undo shutdown

ip address 4.4.4.4 255.255.255.0

traffic-policy dd inbound

2、补充说明

如下配置为常见病毒防御

Acl number 100

##用于控制Blaster蠕虫的传播

rule 1 deny tcp source any destion any destination eq 4444

rule 2 deny udp source any destion any destination eq 69

##用于控制Blaster蠕虫的扫描和攻击

rule 3 deny tcp source any destion any destination eq 135

rule 4 deny udp source any destion any destination eq 135

rule 5 deny tcp source any destion any destination eq 139

rule 6 deny udp source any destion any destination eq 139

rule 7 deny tcp source any destion any destination eq 445

13

中国移动华为路由器安全配置规范

rule 8 deny udp source any destion any destination eq 445

rule 9 deny tcp source any destion any destination eq 593

rule 10 deny udp source any destion any destination eq 593

##用于控制 Slammer 蠕虫的传播

rule 11 deny udp source any destion any destination eq 1434

##用于控制震荡波的传播

rule 12 deny tcp source any destination any destination-port

eq 5554

rule 13 deny tcp source any destination any destination-port

eq 9995

rule 14 deny tcp source any destination any destination-port

eq 9996

##其他

rule 15 deny udp destination-port eq netbios-ns

rule 16 deny udp destination-port eq netbios-dgm

检测方法 1. 判定条件

存在攻击流时，非法报文被过滤。

2. 参考检测操作

display traffic polic

3. 补充说明

无。

要求编号

适用版本

要求内容

安全要求-设备-华为路由器-配置-7-可选

条件允许情况下，端口配置URPF（Unicast Reverse Path

Forwarding），即单播反向路径查找，其主要功能是防止基于源地址欺骗的网络攻击行为。

操作指南 1、参考配置操作

interface GigabitEthernet4/0/1

undo shutdown

ip address 172.136.1.1 255.255.255.0

ip urpf strict

2、补充说明

接口模式下操作。

检测方法 1. 判定条件

14

中国移动华为路由器安全配置规范

非法攻击报文被成功过滤。

2. 参考检测操作

display current-configuration interface

3. 补充说明

无。

要求编号

适用版本

要求内容

安全要求-设备-通用-配置-16-可选

对于具备TCP/UDP协议功能的设备，设备应根据业务需要，配置基于源IP地址、通信协议TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，过滤所有和业务不相关的流量。

操作指南 1、参考配置操作

acl number 20000

rule tcp source 1.1.1.1 0.0.0.0 destination 2.2.2.2 0.0.0.0

source-port eq ftp-data destination-port eq 30

traffic classifier dd

if-match acl 20000

traffic behavior dd

car cir 2000 cbs 12288 green pass yellow remark red discard

traffic policy dd

classifier dd behavior dd precedence 0

interface GigabitEthernet4/0/0

undo shutdown

ip address 4.4.4.4 255.255.255.0

traffic-policy dd inbound

2、补充说明

在系统模式下进行操作。

检测方法 1. 判定条件

通过测试打流，相关流被成功过滤。

2. 参考检测操作

display traffic policy

3. 补充说明

无。

15

中国移动华为路由器安全配置规范

要求编号

适用版本

要求内容

安全要求-设备-通用-配置-17-可选

对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加密协议。

操作指南 1、参考配置操作

#rsa peer-public-key quidway002

public-key-code begin

339A291ABDA704F5D93DC8FDF84C427463199

1C164B0DF178C55FA833591C7D47D5381D09CE82913D7EDF9

C08511D83CA4ED2B30B809808EB0D1F52D045DE40861B74A0

E135523CCD74CAC61F8E58C452B2F3F2DA0DCC48E3306367F

E187BDD944018B3B69F3CBB0A573202C16BB2FC1ACF3EC8F8

28D55A36F1CDDC4BB45504F020125

public-key-code end

peer-public-key end

#

aaa

local-user client001 password simple huawei

local-user client002 password simple quidway

authentication-scheme default

#

authorization-scheme default

#

accounting-scheme default

#

domain default

#

ssh user client002 assign rsa-key quidway002

ssh user client001 authentication-type password

ssh user client002 authentication-type RSA

#

user-interface con 0

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

#

2、补充说明

无。

检测方法 1. 判定条件

16

中国移动华为路由器安全配置规范

通过抓包确定ssh登录的信息为加密信息。

2. 参考检测操作

disp current-configuration | begin ssh

3. 补充说明

无。

4.3.2. 路由协议安全

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-8

动态路由协议口令要求配置MD5加密。

1、参考配置操作

ospf 2

area 0.0.0.0

authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!!

2、补充说明

无。

检测方法 1. 判定条件

Md5验证不通过的ospf邻居建立部不成功。

2. 参考检测操作

display current-configuration configuration ospf

3. 补充说明

无。

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-9-可选

制定路由策略，禁止发布或接收不安全的路由信息。

1、参考配置操作

acl number 2000

rule 5 permit source 2.2.2.2 0

route-policy dd permit node 0

if-match acl 2000

ospf 2

17

中国移动华为路由器安全配置规范

area 0.0.0.0

authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!!

filter route-policy dd import

2、补充说明

无。

检测方法 1. 判定条件

被禁止接收和发布的路由成功。

2. 参考检测操作

display current-configuration configuration ospf

display route-policy

3. 补充说明

无。

4.3.3. SNMP协议安全

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-10-可选

系统应关闭未使用的SNMP协议及未使用RW权限。

1、参考配置操作

Undo snmp enable

undo snmp-agent community RWuser

2、补充说明

无。

检测方法 1. 判定条件

关闭snmp的设备不能被网管检测到，关闭写权限的设备不能进行set操作。

2. 参考检测操作

display current-configuration

3. 补充说明

无。

要求编号 安全要求-设备-华为路由器-配置-11

18

中国移动华为路由器安全配置规范

适用版本

要求内容

系统应修改SNMP的Community默认通行字，通行字应符合口令强度要求。

操作指南 1、参考配置操作

snmp-agent community read XXXX01

2、补充说明

无。

检测方法 1. 判定条件

系统成功修改SNMP的Community为用户定义口令，非常规private或者public，并且符合口令强度要求。

2. 参考检测操作

display current-configuration

3. 补充说明

无。

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-12-可选

系统应配置为SNMPV2或以上版本。

1、参考配置操作

snmp-agent sys-info version v3

2、补充说明

无。

检测方法 1. 判定条件

成功使能snmpv2c、和v3版本。

2. 参考检测操作

display current-configuration

3. 补充说明

无。

要求编号 安全要求-设备-华为路由器-配置-13

19

中国移动华为路由器安全配置规范

适用版本

要求内容

操作指南

设置SNMP访问安全限制，只允许特定主机通过SNMP访问网络设备。

1、参考配置操作

snmp-agent community read XXXX01 acl 2000

2、补充说明

无。

检测方法 1. 判定条件

通过设定acl来成功过滤特定的源才能进行访问。

2. 参考检测操作

display current-configuration

3. 补充说明

无。

4.3.4. MPLS安全

要求编号

适用版本

要求内容

安全要求-设备-华为路由器-配置-21-可选

启用LDP标签分发协议时，打开LDP协议认证功能，如MD5加密，确保与可信方进行LDP协议交互。

操作指南 1、参考配置操作

Mpls ldp

md5-password chiper LDPpwdMd5

2、补充说明

无。

检测方法 1. 判定条件

认证不匹配的ldp邻居不能成功建立。

2. 参考检测操作

display current-configuration configuration mpls

3. 补充说明

无。

20

中国移动华为路由器安全配置规范

4.4. 设备其他安全要求

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-14

关闭未使用的端口。

1、参考配置操作

[HW-Ethernet3/0/0]shutdown

2、补充说明

无。

检测方法 1. 判定条件

未使用端口状态为admin down。

2. 参考检测操作

Display interface

3. 补充说明

无。

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-15

配置定时账户自动登出，登出后用户需再次登录才能进入系统。

1、参考配置操作

user-interface vty 0 4

idle-timeout 20 0

user-interface con 0

idle-timeout 20 0

2、补充说明

无。

检测方法 1. 判定条件

在超出设定时间后，用户自动登出设备。

2. 参考检测操作

display current-configuration configuration user-interface

3. 补充说明

无。

21

中国移动华为路由器安全配置规范

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-16

配置consol口密码保护功能。

1、参考配置操作

user-interface con 0

set authentication password cipher consolPWD

2、补充说明

无。

检测方法 1. 判定条件

用consol口登录，密码输入错误，不能登录。

2. 参考检测操作

display current-configuration configuration user-interface

3. 补充说明

无。

要求编号

适用版本

要求内容

操作指南

安全要求-设备-华为路由器-配置-17

关闭网络设备不必要的服务，比如FTP、TFTP服务等。

1、参考配置操作

undo ftp server

2、补充说明

无。

检测方法 1. 判定条件

不能访问设备的ftp等服务。

2. 参考检测操作

display current-configuration

3. 补充说明

无。

要求编号

适用版本

安全要求-设备-华为路由器-配置-18

22

中国移动华为路由器安全配置规范

要求内容 系统远程管理服务TELNET、SSH默认可以接受任何地址的连接，出于安全考虑，应该只允许特定地址访问。

操作指南 1、参考配置操作

Acl 2000

Rule permit ip source 10.0.0.1 0

User-interface vty 0 4

acl 2000 inbound

2、补充说明

无。

检测方法 1. 判定条件

通过设定acl，成功过滤非法的访问。

2. 参考检测操作

display current-configuration configuration user-interface

3. 补充说明

无。

要求编号

适用版本

要求内容

安全要求-设备-华为路由器-配置-21

系统使用的端口默认无描述，安全事件处理及后期日志查询较为不变，出于安全考虑，应该将使用的端口添加符合实际应用的描述。

操作指南 1、参考配置操作

set port name module/number description-string

2、补充说明

无。

检测方法 4. 判定条件

正在使用中的端口配置了相应描述。

5. 参考检测操作

display current-configuration configuration user-interface

6. 补充说明

无。

要求编号 安全要求-设备-华为路由器-配置-22-可选

23

中国移动华为路由器安全配置规范

适用版本

要求内容

为防止ARP欺骗攻击，出于安全考虑，应该不使用ARP代理的路由器的该功能关闭。

操作指南 1、参考配置操作

arp-proxy disable

2、补充说明

无。

检测方法 7. 判定条件

不使用ARP代理服务的路由器关闭了该功能。

8. 参考检测操作

display current-configuration configuration user-interface

9. 补充说明

无。

5. 编制历史

版本号

2.0.0

更新时间

2008-11

主要内容或重大修改

1、新增以下要求：

安全要求-设备-华为路由器-配置-21

安全要求-设备-华为路由器-配置-22-可选

2、修改增强如下要求

安全要求-设备-华为路由器-配置-6-可选

安全要求-设备-华为路由器-配置-15

24

本文标签： 设备配置要求操作