等保2.0下網(wǎng)絡(luò)設(shè)備安全配置

■ 北京 趙鵬

編者按： 等保2.0標(biāo)準(zhǔn)對單位信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)提出新的要求，本文就針對等保2.0標(biāo)準(zhǔn)，探討在安全通用標(biāo)準(zhǔn)下的網(wǎng)絡(luò)設(shè)備安全配置。

2019年5月13日，《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》即等保2.0標(biāo)準(zhǔn)正式發(fā)布，等級保護(hù)上升到網(wǎng)絡(luò)空間安全，除了計算機(jī)信息系統(tǒng)外，還包含網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、云、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)安全等對象。

等保2.0標(biāo)準(zhǔn)分為安全通用要求和安全擴(kuò)展要求，本文將以華為交換機(jī)為例，從網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)、訪問控制、入侵防范、集中管控等五個部分探討安全通用要求下網(wǎng)絡(luò)設(shè)備安全配置方法。

網(wǎng)絡(luò)架構(gòu)

等保2.0標(biāo)準(zhǔn)要求網(wǎng)絡(luò)架構(gòu)“應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址”。

在網(wǎng)絡(luò)設(shè)計中，應(yīng)根據(jù)業(yè)務(wù)功能和安全防護(hù)要求，將不同用途服務(wù)器、數(shù)據(jù)存儲設(shè)備、管理網(wǎng)段、用戶網(wǎng)段等單獨劃分安全區(qū)域，通過VLAN邏輯隔離，各安全區(qū)域之間、服務(wù)器與客戶端之間網(wǎng)絡(luò)邊界應(yīng)符合最小耦合設(shè)計要求。

邊界防護(hù)

等保2.0標(biāo)準(zhǔn)要求邊界防護(hù)“應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查”，即路由交換設(shè)備端口應(yīng)與用戶計算機(jī)的MAC地址、IP地址綁定，嚴(yán)格限制非授權(quán)設(shè)備對內(nèi)部網(wǎng)絡(luò)訪問。

具體配置中推薦部署RADIUS服務(wù)器，配置802.1x協(xié)議取代傳統(tǒng)的“IP-MAC-端口”靜態(tài)綁定。華為交換機(jī)配置方法如下：

1.創(chuàng)建并配置RADIUS服務(wù)器模板RD1

[HW]radius-server template RD1(認(rèn)證服務(wù)器模板)

[HW-radius-RD1]radiusserver authentication 192.168.0.254（認(rèn)證服務(wù)器IP） 1812（認(rèn)證端口）

[HW-radius-RD1]radius-server shared-key cipher HW@2019(認(rèn)證秘鑰)

[HW-radius-RD1]quit

[HW]radiusserver authorization 192.168.0.254 shared-key cipher HW@2019

2.創(chuàng)建aaa認(rèn)證方案RZ1并配置認(rèn)證方式為radius

[HW]aaa

[ H W - a a a ]authentication-scheme RZ1(認(rèn)證方案)

[HW-aaa-authen- RZ1]authentication-mode radius

[HW-aaa-authen- RZ1]quit

3.創(chuàng)建認(rèn)證域ISP，并在其上綁定aaa認(rèn)證方案RZ1與RADIUS服務(wù)器模板RD1

[HW-aaa]domain ISP（認(rèn)證域）

[HW-aaa-domain-ISP]authentication-scheme RZ1

[HW-aaa-domain-ISP]radius-server RD1

[HW-aaa-domain-ISP]quit

[HW-aaa]quit

4.配置全局默認(rèn)域為ISP

[HW]domain ISP

5.開啟全局dot1x，設(shè)置dot1x認(rèn)證方式為eap，重認(rèn)證5次

[HW]dot1x enable

[HW]dot1x authentication-method eap

[HW]dot1x retry 5

6.在端口0/0/1上開啟802.1認(rèn)證和重認(rèn)證功能

[HW]dot1x enable interface Ethernet 0/0/1

[HW]dot1x reauthenticate Ethernet 0/0/1

訪問控制

等保2.0標(biāo)準(zhǔn)要求訪問控制“應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出”，即路由交換設(shè)備應(yīng)配置訪問控制列表（ACL），防止非法數(shù)據(jù)包在局域網(wǎng)內(nèi)擴(kuò)散。以在局域網(wǎng)內(nèi)防范勒索病毒為例，配置華為交換機(jī)如下：

1.配置高級ACL 3999，禁用TCP 135-139/445端口和UDP135-139端口

[HW]acl number 3999（高級ACL編號）

[HW-acl-adv-3999]rule 0 deny tcp destinationport range 135 139

[HW-acl-adv-3999]rule 5 deny tcp destinationport eq 445

[HW-acl-adv-3999]rule 10 deny udp destinationport range 135 139

[HW-acl-adv-3999]rule 15 permit ip[HW-acl-adv-3999]quit 2.配置流類型TC1，綁定ACL 3999

[HW]traffic classifier TC1（流類型編號）

[HW-classifier- TC1]if-match acl 3999（高 級ACL編號）

[HW-classifier- TC1]quit

3.配置流行為TB1

[HW]traffic behavior TB1（流行為編號）

[HW-behavior- TB1]filter permit

[HW-behavior- TB1]quit

4.配置流策略QB1，綁定流類型TC1和流行為TB1

[HW]qos policy QB1（流策略編號）

[HW-qospolicy- QB1]classifier TC1 behavior TB1

[HW-qospolicy- QB1]quit

5.在端口0/0/1上下發(fā)流策略QB1

[HW]inter Gigabit Ethernet 0/0/1

[HW-Gigabit Ethernet0/0/1]qos apply policy QB1 inbound

[HW-Gigabit Ethernet0/0/1]quit

入侵防范

等保2.0標(biāo)準(zhǔn)要求入侵防范“應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為”和“應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測和限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為”，即路由交換設(shè)備上應(yīng)啟用網(wǎng)絡(luò)攻擊防護(hù)并禁用非必要功能實現(xiàn)入侵防范。

因各版本路由交換設(shè)備對安全防護(hù)命令支持不一致，筆者僅以防范地址解析協(xié)議攻擊（ARP攻擊）和防范網(wǎng)絡(luò)嗅探為例，配置華為交換機(jī)如下：

1.全局模式開啟ARP攻擊防護(hù)

[HW]arp anti-attack active-ack enable

2.對用戶VLAN開啟ARP檢測功能

[HW]vlan 1（用戶 VLAN編號）

[HW-vlan1]arp detection enable

[HW-vlan1]quit

3.全局下禁用IP unreachable，防范網(wǎng)絡(luò)嗅探

[HW]undo ip unreachables

集中管控

等保2.0標(biāo)準(zhǔn)對集中管控提出以下要求：

一是“應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理”，即遠(yuǎn)程網(wǎng)管終端應(yīng)通過Secure Shell（SSH）方式連接，防止遠(yuǎn)程管理中的信息泄露。

二是“應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測”，即路由交換設(shè)備應(yīng)配置簡單網(wǎng)絡(luò)管理協(xié)議代理進(jìn)程協(xié)議（SNMP-Agent）和簡單網(wǎng)絡(luò)管理協(xié)議陷阱協(xié)議（SNMPTrap），將設(shè)備狀態(tài)信息同步到網(wǎng)絡(luò)管理服務(wù)器上。

三是“應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析”，即啟用系統(tǒng)日志記錄（syslog），將日志信息發(fā)送至日志服務(wù)器。各部分具體配置方式如下：

1.配置SSH協(xié)議

（1）全局模式開啟SSH

[HW]ssh server enable

（2）新建本地用戶USER1，創(chuàng)建密碼并設(shè)置服務(wù)模式為SSH

[HW]local-user USER1（SSH用戶名）

[HW-luser-USER1]password cipher PW1（SSH密碼）

[HW-luser-USER1]service-type ssh

[HW-luser- USER1]quit

（3）全局模式設(shè)置本地用戶USER1為SSH用戶并通過密碼方式認(rèn)證

[HW]ssh user USER1 service-type all authentication-type password

（4）在虛擬終端VTY中設(shè)置認(rèn)證協(xié)議為SSH

[HW]user-interface vty 0 4

[HW-ui-vty0-4]authentication-mode scheme

[HW-ui-vty0-4]protocol inbound ssh

[HW-ui-vty0-4]quit

2.配置SNMP

（1）全局模式開啟snmpagent和snmp-trap協(xié)議

[HW]snmp-agent

[HW]snmp-agent trap enable

（2）設(shè)置SNMP 版本為v2c

[HW]snmp-agent sysinfo version v2c

（3）設(shè)置團(tuán)體名public具有只讀權(quán)限

[HW]snmp-agent community read public（團(tuán)體名）

（4）將snmp-trap發(fā)送至網(wǎng)管服務(wù)器

[HW]snmp-agent target-host trap address udp-domain 192.168.0.254（網(wǎng) 管 服 務(wù) 器 IP） params securityname public

3.配置syslog

（1）全局模式開啟syslog中心

[HW]info-center enable

（2）設(shè)置syslog日志服務(wù)器

[HW]info-center loghost 192.168.0.254（日志服務(wù)器IP）