等保2.0下网络设备安全配置

■ 北京 赵鹏

编者按： 等保2.0标准对单位信息系统网络安全防护提出新的要求，本文就针对等保2.0标准，探讨在安全通用标准下的网络设备安全配置。

2019年5月13日，《信息安全技术网络安全等级保护测评要求》即等保2.0标准正式发布，等级保护上升到网络空间安全，除了计算机信息系统外，还包含网络安全基础设施、云、移动互联网、物联网、工业控制系统、大数据安全等对象。

等保2.0标准分为安全通用要求和安全扩展要求，本文将以华为交换机为例，从网络架构、边界防护、访问控制、入侵防范、集中管控等五个部分探讨安全通用要求下网络设备安全配置方法。

网络架构

等保2.0标准要求网络架构“应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址”。

在网络设计中，应根据业务功能和安全防护要求，将不同用途服务器、数据存储设备、管理网段、用户网段等单独划分安全区域，通过VLAN逻辑隔离，各安全区域之间、服务器与客户端之间网络边界应符合最小耦合设计要求。

边界防护

等保2.0标准要求边界防护“应能够对非授权设备私自联到内部网络的行为进行限制或检查”，即路由交换设备端口应与用户计算机的MAC地址、IP地址绑定，严格限制非授权设备对内部网络访问。

具体配置中推荐部署RADIUS服务器，配置802.1x协议取代传统的“IP-MAC-端口”静态绑定。华为交换机配置方法如下：

1.创建并配置RADIUS服务器模板RD1

[HW]radius-server template RD1(认证服务器模板)

[HW-radius-RD1]radiusserver authentication 192.168.0.254（认证服务器IP） 1812（认证端口）

[HW-radius-RD1]radius-server shared-key cipher HW@2019(认证秘钥)

[HW-radius-RD1]quit

[HW]radiusserver authorization 192.168.0.254 shared-key cipher HW@2019

2.创建aaa认证方案RZ1并配置认证方式为radius

[HW]aaa

[ H W - a a a ]authentication-scheme RZ1(认证方案)

[HW-aaa-authen- RZ1]authentication-mode radius

[HW-aaa-authen- RZ1]quit

3.创建认证域ISP，并在其上绑定aaa认证方案RZ1与RADIUS服务器模板RD1

[HW-aaa]domain ISP（认证域）

[HW-aaa-domain-ISP]authentication-scheme RZ1

[HW-aaa-domain-ISP]radius-server RD1

[HW-aaa-domain-ISP]quit

[HW-aaa]quit

4.配置全局默认域为ISP

[HW]domain ISP

5.开启全局dot1x，设置dot1x认证方式为eap，重认证5次

[HW]dot1x enable

[HW]dot1x authentication-method eap

[HW]dot1x retry 5

6.在端口0/0/1上开启802.1认证和重认证功能

[HW]dot1x enable interface Ethernet 0/0/1

[HW]dot1x reauthenticate Ethernet 0/0/1

访问控制

等保2.0标准要求访问控制“应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出”，即路由交换设备应配置访问控制列表（ACL），防止非法数据包在局域网内扩散。以在局域网内防范勒索病毒为例，配置华为交换机如下：

1.配置高级ACL 3999，禁用TCP 135-139/445端口和UDP135-139端口

[HW]acl number 3999（高级ACL编号）

[HW-acl-adv-3999]rule 0 deny tcp destinationport range 135 139

[HW-acl-adv-3999]rule 5 deny tcp destinationport eq 445

[HW-acl-adv-3999]rule 10 deny udp destinationport range 135 139

[HW-acl-adv-3999]rule 15 permit ip[HW-acl-adv-3999]quit 2.配置流类型TC1，绑定ACL 3999

[HW]traffic classifier TC1（流类型编号）

[HW-classifier- TC1]if-match acl 3999（高 级ACL编号）

[HW-classifier- TC1]quit

3.配置流行为TB1

[HW]traffic behavior TB1（流行为编号）

[HW-behavior- TB1]filter permit

[HW-behavior- TB1]quit

4.配置流策略QB1，绑定流类型TC1和流行为TB1

[HW]qos policy QB1（流策略编号）

[HW-qospolicy- QB1]classifier TC1 behavior TB1

[HW-qospolicy- QB1]quit

5.在端口0/0/1上下发流策略QB1

[HW]inter Gigabit Ethernet 0/0/1

[HW-Gigabit Ethernet0/0/1]qos apply policy QB1 inbound

[HW-Gigabit Ethernet0/0/1]quit

入侵防范

等保2.0标准要求入侵防范“应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为”和“应在关键网络节点处检测和限制从内部发起的网络攻击行为”，即路由交换设备上应启用网络攻击防护并禁用非必要功能实现入侵防范。

因各版本路由交换设备对安全防护命令支持不一致，笔者仅以防范地址解析协议攻击（ARP攻击）和防范网络嗅探为例，配置华为交换机如下：

1.全局模式开启ARP攻击防护

[HW]arp anti-attack active-ack enable

2.对用户VLAN开启ARP检测功能

[HW]vlan 1（用户 VLAN编号）

[HW-vlan1]arp detection enable

[HW-vlan1]quit

3.全局下禁用IP unreachable，防范网络嗅探

[HW]undo ip unreachables

集中管控

等保2.0标准对集中管控提出以下要求：

一是“应能够建立一条安全的信息传输路径，对网络中的安全设备或安全组件进行管理”，即远程网管终端应通过Secure Shell（SSH）方式连接，防止远程管理中的信息泄露。

二是“应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测”，即路由交换设备应配置简单网络管理协议代理进程协议（SNMP-Agent）和简单网络管理协议陷阱协议（SNMPTrap），将设备状态信息同步到网络管理服务器上。

三是“应对分散在各个设备上的审计数据进行收集汇总和集中分析”，即启用系统日志记录（syslog），将日志信息发送至日志服务器。各部分具体配置方式如下：

1.配置SSH协议

（1）全局模式开启SSH

[HW]ssh server enable

（2）新建本地用户USER1，创建密码并设置服务模式为SSH

[HW]local-user USER1（SSH用户名）

[HW-luser-USER1]password cipher PW1（SSH密码）

[HW-luser-USER1]service-type ssh

[HW-luser- USER1]quit

（3）全局模式设置本地用户USER1为SSH用户并通过密码方式认证

[HW]ssh user USER1 service-type all authentication-type password

（4）在虚拟终端VTY中设置认证协议为SSH

[HW]user-interface vty 0 4

[HW-ui-vty0-4]authentication-mode scheme

[HW-ui-vty0-4]protocol inbound ssh

[HW-ui-vty0-4]quit

2.配置SNMP

（1）全局模式开启snmpagent和snmp-trap协议

[HW]snmp-agent

[HW]snmp-agent trap enable

（2）设置SNMP 版本为v2c

[HW]snmp-agent sysinfo version v2c

（3）设置团体名public具有只读权限

[HW]snmp-agent community read public（团体名）

（4）将snmp-trap发送至网管服务器

[HW]snmp-agent target-host trap address udp-domain 192.168.0.254（网 管 服 务 器 IP） params securityname public

3.配置syslog

（1）全局模式开启syslog中心

[HW]info-center enable

（2）设置syslog日志服务器

[HW]info-center loghost 192.168.0.254（日志服务器IP）