迈进“十四五”发展新阶段,“优化升级数字基础设施”成为了推动数字经济高质量发展的重要任务。“东数西算”、“新基建”等政策带动了数据中心的建设和布局,“双碳”战略更进一步推动着数据中心向绿色集约、高效智能的方向发展。作为数字化解决方案领导者,新华三集团积极践行“内生智能”的理念,推出多元计算、智能存储、智能管理、人工智能四大智慧IT平台,构建“云-网-边-端”能力与数字大脑持续升级的重要底座,帮助客户提升对数据价值的挖掘能力,加速上层应用的敏捷创新,推动行业数字化变革的持续深入。
2022年以来,新华三集团以前瞻的技术视野、深厚的研发实力,为智慧IT的发展注入了全新元素:
技术突破
H3C UniServer R4900 G5以4725分在SPECvirt_sc2013基准测试中刷新世界纪录。
新品发布
发布4款服务器新品,进一步满足全场景算力需求,包括为构建新一代绿色数据中心而生的液冷系统;面向数据密集场景推出高密存储优化型双路服务器,为挖掘数据价值提供了强劲的平台;以及为加速中小企业转型推出了塔式和机架式服务器,内部端口和外部端口都是原来的 服务端口里的数字
内部服务器ip 为 IP地址
例原有的第一条
服务名称-随意写 就是个描述
外部端口 8101 -8101
内部端口 8101-8101
内部服务器ip 1921681254
H3C交换机系统基本配置
[H3C]ntdp enable 缺省情况下为开启的
[H3C-Ethernet0/3]ntdp enable 缺省情况下为使能
debugging ntdp
十SNMP配置:
S1550E支持SNMPv1,SNMPv2c,主要配置包括:设置团体名,设置系统信息,设置Trap目标主机的地址,允许或禁止发送Trap,禁止SNMP Agent的运行
[H3C]snmp-agent community read bigheap 设置bigheap团体,且为只读访问
[H3C]snmp-agent max-size 1600 设置Agent能接受/发送的SNMP消息包最大为1600字节,缺省1500
[H3C]snmp-agent sys-info contact #27345 location Diqiu version v2c 设置系统信息,版本为v2c,缺省情况下联系信息为"R&D Hangzhou, H3C Technologies co,Ltd",位置为"Hangzhou China",v2c版本
[H3C]undo snmp-agent 禁止SNMP Agent的运行,若配置任何SNMP命令将重新启动SNMP Agent
[H3C]display snmp-agent community read
[H3C]display snmp-agent sys-info contact
[H3C]display snmp-agent sys-info location
[H3C]display snmp-agent sys-info version
debugging snmp-agent packet|process
十一IGMP Snooping配置:
IGMP Snooping是运行在二层交换机上的组播约束机制,用于管理和控制组播组主要负责建立和维护二层MAC地址表,同时根据建立的组播地址表来转发路由器下发的组播报文,如果不运行IGMP Snooping,则组播报文将在二层网络中广播
IGMP Snooping配置包括:启动和关闭IGMP Snooping,配置路由器端口老化时间,配置最大响应查询时间,配置组播组成员端口老化时间,配置端口快速离开,调试功能
[H3C]igmp-snooping 启用IGMP Snooping功能,默认为关闭
[H3C]igmp-snooping router-aging-time 500 配置路由器端口老化时间为500s,默认为105s
[H3C]igmp-snooping max-response-time 15 配置最大响应查询时间为15s,默认为10s
[H3C]igmp-snooping host-aging-time 300 配置组播组成员端口老化时间为300s,默认为260s
[H3C-Ethernet0/3]igmp-snooping fast-leave 配置快速离开,若收到离开报文,则立即删除端口,不询问
[H3C]display igmp-snooping configuration 显示配置信息
[H3C]display igmp-snooping statistics 显示包统计信息
[H3C]display igmp-snooping group vlan 2 显示VLAN2中IP组播组和MAC组播组的信息
reset igmp-snooping statistics 清楚统计信息
debugging igmp-snooping
十二系统调试:
debugging all 开启所有调试开关,此命令为协议调试开关
terminal debugging 终端调试开关,打开开关,默认为关闭
debugging drv 主要显示报文的实际内容,默认为关闭
[H3C]display debugging 显示调试开关状态
十三8021x配置:
[H3C-Ethernet0/3]dot1x 开启8021x特性,也可在系统视图下使用,使用后全局开启,也可用 interface参数开启指定端口的8021x特性,缺省全关闭,要启用8021x,全局和端口的都需开启
[H3C-Ethernet0/3]dot1x port-control unauthorized-force 设置工作模式为强制非授权模式,使用 模式与dot1x命令相同,默认为auto,即通过了认证才可以访问,还有authorized-force,为强制授权 模式,允许用户访问
[H3C-Ethernet0/3]dot1x port-method portbased 设置接入控制方式为基于端口的,使用模式与 dot1x命令相同,默认为macbase,基于MAC地址的
[H3C-Ethernet0/3]dot1x max-user 10 设置端口接入用户的数量最大为10个,使用模式与dot1x命令 相同,默认为128,取值范围为1-128
[H3C]dot1x authentication-method eap 设置8021x的用户认证方法为EAP,即EAP中继,直接用EAP报 文发送到服务器,需服务器支持
[H3C-Ethernet0/3]dot1x re-authenticate 开启8021x重认证功能使交换机以一定时间间隔周期性 的进行认证,使用模式同dot1x命令,缺省情况下所有端口该特性都关闭
[H3C]dot1x timer handshake-period 20 reauth-period 7200 quiet-period 30 tx-period 20 supp- timeout 20 server-timeout 200 设置8021x认证的定时器,handshake-period为认证成功后, 系统以此间隔为周期发送握手请求报文(相当于keepalive消息发送间隔),1-1024s,默认15s
reauth-period为重认证超时定时器,1-86400s,默认3600s
quiet-period为用户认证失败后,Autheticator的静默定时器,静默后再处理认证,10-120s,默认60s
tx-period为传送超时定时器,Supplicant未成功发送认证应答报文,则重发认证请求,10-120s,默认 为30s
supp-timeout为认证超时定时器,Supplicant未成功响应,则重发认证请求,10-120s,默认30s
server-timeout为服务器未成功响应的超时定时器,100-300s,默认100s
reset dot1x statistics 清除8021x统计信息
[H3C]display dot1x statistics 显示8021x的配置,运行情况和统计信息
debugging dot1x 打开8021x的相关模块的调试信息
十四RADIUS配置:
[H3C]radius scheme system 进入system方案,其各项值为缺省值,1550E只支持默认方案
[H3C-radius-system]primary authentication 1011011 1812 设置RADIUS服务器地址和UDP端口 号,默认情况下,system方案中服务器IP地址为空,UDP端口号为1812
[H3C-radius-system]key authentication 123 指示RADIUS加密共享密钥为123,默认无共享密钥
[H3C-radius-system]timer 10 设置RADIUS服务器响应超时定时器,1-10s,默认为5s
[H3C-radius-system]retry 10 设置RADIUS服务器最大响应重试次数为10,1-20次,默认为5次
[H3C]display radius 显示radius方案信息
debugging radius packet 打开radius报文调试开关
;没玩过这方面的,在别的地方抄的路由器虚拟服务器设置2007-12-09 10:20DMZ主机:
什么是“DMZ”?
即内网和外网均不能直接访问的区域,多用于连接、>
>H3C交换机安全配置基线H3C交换机安全配置基线(Version 10)2012年12月1 引言 (1)2 适用范围 (1)3 缩略语 (1)4 安全基线要求项命名规则 (2)5 文档使用说明 (2)6 注意事项 (3)7 安全配置要求 (3)71 账号管理 (3)711 运维账号共享管理 (3)712 删除与工作无关账号 (3)72 口令管理 (4)721 静态口令加密 (4)722 静态口令运维管理 (4)73 认证管理 (5)731 RADIUS认证(可选) (5)74 日志审计 (6)741 RADIUS记账(可选) (6)742 启用信息中心 (6)743 远程日志功能 (7)744 日志记录时间准确性 (7)75 协议安全 (7)751 BPDU防护 (8)752 根防护 (8)753 VRRP认证 (8)76 网络管理 (9)761 SNMP协议版本 (9)762 修改SNMP默认密码 (9)763 SNMP通信安全(可选) (10)77 设备管理 (10)771 交换机带内管理方式 (10)772 交换机带内管理通信 (11)773 交换机带内管理超时 (11)774 交换机带内管理验证 (12)775 交换机带内管理用户级别 (12)776 交换机带外管理超时 (13)777 交换机带外管理验证 (13)78 端口安全 (13)781 使能端口安全 (13)782 端口MAC地址数 (14)783 交换机VLAN划分 (14)79 其它 (15)791 交换机登录BANNER管理 (15)792 交换机空闲端口管理 (15)793 禁用版权信息显示 (16)附录A 安全基线配置项应用统计表 (17)附录B 安全基线配置项应用问题记录表 (19)
附录C 中国石油NTP服务器列表 (20)1 引言本文档规定了中国石油使用的H3C系列交换机应当遵循的交换机安全性设置标准,是中国石油安全基线文档之一。本文档旨在对信息系统的安全配置审计、加固 *** 作起到指导性作用。本文档主要起草人:靖小伟、杨志贤、张志伟、滕征岑、裴志宏、刘磊、叶铭、王勇、吴强。2 适用范围本文档适用于中国石油使用的H3C系列交换机,明确了H3C系列交换机在安全配置方面的基本要求,可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。3 缩略语TCP Transmission Control Protocol 传输控制协议UDP User Datagram Protocol 用户数据报协议SNMP Simple Network Management Protocol 简单网络管理协议ARP Address Resolution Protocol 地址解析协议VLAN Virtual LAN 虚拟局域网STP Spanning Tree Protocol 生成树协议RSTP Rapid Spanning Tree Protocol 快速生成树协议MSTP Multiple Spanning Tree Protocol 多生成树协议BPDU Bridge Protocol Data Unit 桥接协议数据单元VRRP Virtual Router Redundancy Protocol 虚拟路由器冗余协议NTP Network Time Protocol 网络时间协议AAA Authentication,Authorization,Accounting 认证,授权,记账GCC General Computer Controls 信息系统总体控制SBL Security Base Line 安全基线4 安全基线要求项命名规则安全基线要求项是安全基线的最小单位,每一个安全基线要求项对应一个基本的可执行
的安全规范明细,安全基线要求项命名规则为“安全基线–一级分类–二级分类–类型编号–明细编号”,如SBL-Switch-H3C-01-01,代表“安全基线–交换机– H3C –账号类–运维账号共享管理“。5 文档使用说明1> 随着信息技术发展,路由器与交换机在功能上逐渐融合,具有共同点,部分路由器上配有交换板卡,可以实现服务器与终端计算机接入;部分交换机配有路由引擎,可以实现路由功能。虽然两者具有一定共同点,但从路由器与交换机在生产环境中的应用定位出发,本系列文档分为路由器安全基线(侧重于路由协议等)和交换机安全基线(侧重于局域网交换与端口安全等)。2> H3C交换机可以通过命令行、Web、NMS等多种方式管理,本文档中涉及的 *** 作,均在命令行下完成。3> 命令行中需要用户定义的名称与数值,文档中均以<>标出,用户根据需要自行定义。例如local-user ,表示创建账号名称为name1的本地用户,password cipher < password1>,表示本地用户name1的密码为passowrd1。4> 由于各信息系统对于H3C系列交换机的要求不尽相同,因此对于第7章安全配置要求中的安全基线要求项,各信息系统根据实际情况选择性进行配置,并填写附录A《安全基线配置项应用统计表》。5> 在第7章安全配置要求中,部分安全基线要求项提供了阈值,如“交换机带内管理设置登录超时,超时时间不宜设置过长,参考值为5分钟。”,此阈值为参考值,通过借鉴GCC、中国石油企标、国内外大型企业信息安全最佳实践等资料得出。各信息系统如因业务需求无法应用此阈值,在附录A《安全基线配置项应用统计表》的备注项进行说明。6 注意事项由于H3C系列交换机普遍应用于重要生产环境,对于本文档中安全基线要求项,实施前需要在测试环境进行验证后应用。在应用安全基线配置项的过程中,如遇到技术性问题,填写附录B《安全基线配置项应用问题记录表》。在应用安全基线配置前需要备份交换机的配置文件,以便出现故障时进行
回退。7 安全配置要求71 账号管理711 运维账号共享管理安全基线编号SBL-Switch- H3C-01-01安全基线名称运维账号共享安全基线要求项安全基线要求按照用户分配账号,避免不同用户间共享运维账号检测 *** 作参考[Switch]dis current | i local-user安全判定依据1)网络管理员列出交换机运维人员名单;2)查看dis current | i local-user结果:local-userlocal-userlocal-user3)对比命令显示结果与运维人员账号名单,如果运维人员之间不存在共享运维账号,表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低712 删除与工作无关账号安全基线编号SBL- Switch- H3C-01-02安全基线名称账号整改安全基线要求项安全基线要求删除与工作无关的账号,提高系统账号安全检测 *** 作参考[Switch]dis current | i local-user安全判定依据1)网络管理员列出交换机运维人员的账号名单;2)查看dis current | i local-user结果:local-userlocal-userlocal-user3)对比显示结果与账号名单,如果发现与运维无关的账号,表明不符合安全要求。备注无关账号主要指测试账号、共享账号、长期不用账号(半年以上)等。基线配置项重要度高中低 *** 作风险评估高中低72 口令管理721 静态口令加密安全基线编号SBL- Switch- H3C-02-01安全基线名称静态口令加密安全基线要求项安全基线要求1)配置本地用户口令使用“cipher”关键字2)配置super口令使用“cipher”关键字检测 *** 作参考1)[Switch]dis current | b local-user2)[Switch]dis current | i super password
安全判定依据如果显示“cipher”关键字,如:1)local-userpassword cipher <密文password>2)super password level cipher <密文password> 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低722 静态口令运维管理安全基线编号SBL- Switch- H3C-02-02安全基线名称静态口令运维管理安全基线要求项安全基线要求1)采用静态口令认证技术的设备,口令最小长度不少于8个字符2)采用静态口令认证技术的设备,口令生存期最长为90天基线配置项重要度高中低73 认证管理731 RADIUS认证(可选)安全基线编号SBL- Switch- H3C-03-01安全基线名称RADIUS认证安全基线要求项安全基线要求配置RADIUS认证,确认远程用户身份,判断访问者是否为合法的网络用户检测 *** 作参考1)[Switch]dis current | b radius scheme 2)[Switch]dis current | b domain3)[Switch]dis current | b user-interface vty安全判定依据如果显示类似:1)配置RADIUS方案radius schemeprimary authenticationkey authenticationuser-name-format without-domain2)配置域domainauthentication login radius-scheme local 3)配置本地用户user-interface vty 0 4protocol inbound sshauthentication-mode scheme表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低74 日志审计741 RADIUS记账(可选)
安全基线编号SBL- Switch- H3C-04-01安全基线名称RADIUS记账安全基线要求项安全基线要求与记账服务器配合,设备配置日志功能:1)对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址;2)对用户设备 *** 作进行记录,如账号创建、删除和权限修改,口令修改等,记录需要包含用户账号, *** 作时间, *** 作内容以及 *** 作结果。检测 *** 作参考1)[Switch]dis current | b radius scheme2)[Switch]dis current | b domain安全判定依据如果显示类似:1)配置RADIUS方案radius schemeprimary accountingkey accountinguser-name-format without-domain2)配置域domainaccounting login radius-scheme local 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低742 启用信息中心安全基线编号SBL- Switch- H3C-04-02安全基线名称信息中心启用安全基线要求项安全基线要求启用信息中心,记录与设备相关的事件检测 *** 作参考[Switch]dis info-center安全判定依据如果显示类似:Information Center: enabled 表明符合安全要求。基线配置项重要度高中低 *** 作风险评估高中低743 远程日志功能安全基线编号SBL- Switch- H3C-04-03安全基线名称远程日志功能安全基线要求项安全基线要求配置远程日志功能,使设备日志能通过远程日志功能传输到日志服务器检测 *** 作参考[Switch]dis current | i info-center loghost安全判定依据如果显示类似:info-center loghost 表明符合安全要求。
¥
5
百度文库VIP限时优惠现在开通,立享6亿+VIP内容
立即获取
H3C交换机安全配置基线
H3C交换机安全配置基线
H3C交换机安全配置基线(Version 10)
2012年12月
1 引言 (1)
2 适用范围 (1)
3 缩略语 (1)
4 安全基线要求项命名规则 (2)
5 文档使用说明 (2)
6 注意事项 (3)
7 安全配置要求 (3)
H3C以前是华为和3COM一起创办的合资公司,H3C在2007年之前叫华为3COM(华为三康),2007年后,华为卖出所有股份,H3C正是改名为现在的名字(华三通信),但是华为和H3C签订了3年的保护期,此期间华为不进入行业市场,只做运营商,行业市场留给H3C来做。
现在在政府、学校、电力等等行业看到的都是H3C,而在移动、联通、电信看到的都是华为,有些特殊的是因为用户点名要华为,所以华为在行业的产品由H3C来销售。从2010年开始,华为正是进入行业市场,所以现在两个公司是正式的竞争关系。
扩展资料
华为是全球领先的信息与通信技术(ICT)解决方案供应商,专注于ICT领域,坚持稳健经营、持续创新、开放合作,在电信运营商、企业、终端和云计算等领域构筑了端到端的解决方案优势,为运营商客户、企业客户和消费者提供有竞争力的ICT解决方案、产品和服务。
华为聚焦ICT基础设施领域,围绕政府及公共事业、金融、能源、电力和交通等客户需求持续创新,提供可被合作伙伴集成的ICT产品和解决方案,帮助企业提升通信、办公和生产系统的效率,降低经营成本。
华为产品和解决方案涵盖移动、宽带、IP、光网络、网络能源 、电信增值业务和终端等领域,致力于提供全IP融合解决方案,使最终用户在任何时间、任何地点都可以通过任何终端享受一致的通信体验,方便人们的沟通和丰富人们的生活。
杭州华三通信技术有限公司(简称华三通信), 主要提供IT基础架构产品及方案的研究、开发、生产、销售及服务。华三通信在中国设有38个分支机构,目前公司有员工5000人,其中研发人员占55%。
H3C不但拥有全线路由器和以太网交换机产品,还在网络安全、云存储、云桌面、硬件服务器、WLAN、SOHO及软件管理系统等领域稳健成长,H3C已经从单一网络设备供应商转变为多产品IToIP解决方案供应商。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)