等保二级 交换机安全配置模板(H3C)

原创 已于 2024-08-01 21:10:32 修改 · 918 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#安全
于 2024-07-31 20:36:02 首次发布

#首先是定义时区和时间,推荐用NTP
clock timezone beijing add 08:00:00
clock protocol ntp
#其次是定义日志服务器,这边指定发送日志的接口是SVI VLAN2
info-center loghost source Vlan-interface2
info-center loghost 192.168.0.203
#打开SSH服务,并且只允许堡垒机来访问设备
ssh server enable
ssh server acl 2000
#打开IP地址冲突日志记录功能
arp ip-conflict log prompt
#使能NTP服务,并且指定NTP出接口,指定NTP服务器
ntp-service enable
ntp-service source Vlan-interface3
ntp-service unicast-server 202.112.29.82
#仅允许堡垒机访问核心交换机,在SSH 下调用
acl basic 2000
description Baoleiji_ssh_to_core_sw
rule 0 permit source 192.168.0.202 0
rule 20 deny
#仅允许服务器网段访问安全管理网段,在interface vlan 下调用
acl basic 2002
description ban_anquanguanli
rule 0 permit source 192.168.100.0 0.0.0.255 logging
rule 5 deny
#仅允许客户端网段和安全管理网段访问服务器网段 在interface vlan 下调用
acl basic 2003
description ban_to_server
rule 0 permit source 192.168.0.0 0.0.255.255 logging
rule 1 permit source 192.168.101.0 0.0.0.255 logging
rule 5 deny
#仅允许堡垒机访问服务器的22端口
acl advanced 3000
description ban_other_to_tcp_22
rule 0 permit tcp source 192.168.0.202 0 destination-port eq 22 logging
rule 5 deny tcp destination-port eq 22 logging
rule 10 permit ip
#服务器网段 仅允许客户端和安全管理网段流量进入
interface Vlan-interface100
ip address 192.168.100.254 255.255.255.0
packet-filter 2003 inbound
#安全管理设备网段 仅允许服务器和客户端网段流量进入
interface Vlan-interface101
ip address 192.168.101.254 255.255.255.0
packet-filter 2002 inbound
#在接服务器端口调用ACL 仅允许堡垒机访问服务器的22端口
interface GigabitEthernet1/0/8
description connect_to_server_192.168.0.208
port access vlan 2
packet-filter 3000 inbound
#使能密码控制 密码最小长度8位 密码组成3种类型 密码输错8次锁定2分钟 密码过期由于用堡垒机管理,这里选择不过期,然后关闭首次登录必须修改密码操作
password-control enable
password-control length 8
password-control composition type-number 3
password-control login-attempt 8 exceed lock-time 2
undo password-control aging enable 如果这句没写 那么需要增加 password-control login idle-time 0 过期后账户永久有效
undo password-control change-password first-login enable
#创建非admin名称管理员
local-user PW class manage
service-type ssh terminal
password simple fuzamima
authorization-attribute user-role network-admin
#创建审计员
local-user user class manage
service-type ssh terminal
password simple fuzamima
authorization-attribute user-role network-operator
#关闭telnet http https服务
undo telnet server enable
#配置超时时间
line aux 0
authentication-mode scheme
user-role network-admin
idle-timeout 30 0
#远程登录仅允许SSH 并配置超时时间
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
protocal inbound ssh
idle-timeout 30 0

exit
sav f
#业务 服务器 安全设备 交换机自身管理 分别1个VLAN 并做VLAN间ACL

normanhere
关注
H3C等保配置要求参考
05-06
H3C等保配置要求参考
等保测评-华为、华三、锐捷路由、交换设备配置
08-04
等保测评相关路由、交换机设备配置
华为交换机审计配置_等保3对交换机用户配置的要求
weixin_39564151的博客
01-14 6506
飞天遁地喜羊羊等保3对交换机配置的要求等保3交换机安全要求说明配置acl限制允许登陆的主机。2、开启ssh登陆,取消telnet登陆,并配置有审计账号和运维账号,授予审计访问权限。2.1 操作说明2.2 使用实例说明:2.3 审计帐号应具有的查询权限。2.4 指定权值具体操作步骤3、开启防ARP欺骗功能,IP和mac绑定等保3交换机安全要求说明配置acl限制允许登陆的主机。配置举例配置ACL 20...
网络安全等级保护测评H3C命令核查4
w13359990065的博客
07-12 2070
EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)是一种二层VPN技术,控制平面采用MP-BGP通告EVPN路由信息,数据平面采用VXLAN封装方式转发报文。租户的物理站点分散在不同位置时,EVPN可以基于已有的服务提供商或企业IP网络,为同一租户的相同子网提供二层互联;通过EVPN网关为同一租户的不同子网提供三层互联,并为其提供与外部网络的三层互联。EVPN不仅继承了MP-BGP和VXLAN的优势,还提供了新的功能。EVPN具有如下特点:
H3C交换机日常安全配置
lu07ya的博客
12-03 9839
H3C交换机日常安全配置
firewall-cmd(常用的防火墙命令详解)
热门推荐
weixin_48692664的博客
11-16 1万+
防火墙(计算机术语) 防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。 安装服务 #安装firewalld yum
等保二级 交换机安全配置模板(中兴)
normanhere的博客
07-31 1786
创建2个用户1个是管理员 另外1个是审计 (可选密码过期时间90天) 定义密码复杂度。$如果中兴作为核心和是要参照H3C一样分VLAN 做VLAN间ACL 等。$开启NTP 定义NTP服务器 定义时区。$ 配置特权密码 符合复杂度要求。$打开SSH服务并调用ACL。$仅限堡垒机访问设备。
使用Zabbix SNMP模板高效监控H3C交换机实战指南
y4z5a6b7的博客
02-27 347
本文提供了一份使用Zabbix SNMP模板监控H3C交换机的实战指南。详细介绍了从准备工作、核心配置到高级调优的完整流程,重点讲解了如何利用Template Module Interfaces SNMPv2模板实现端口的自动发现与监控,并分享了配置触发器、图形化展示以及常见问题的避坑经验,帮助运维人员快速构建高效、稳定的网络设备监控体系。
基于Zabbix与SNMP协议实现H3C交换机高效监控配置指南
pink7的博客
02-18 366
本文提供了一份基于Zabbix与SNMP协议实现H3C交换机高效监控的详细配置指南。内容涵盖从交换机SNMP基础配置、Zabbix服务器准备,到主机添加、模板应用、自动发现规则调优及设备健康监控(如CPU、内存)的全流程实践。重点阐述了如何利用Zabbix模板与宏配置,结合SNMP协议实现对交换机端口流量及设备本身状态的自动化监控与告警,帮助网络管理员构建稳定、高效的监控体系。
为编写Python脚本实现H3C交换机自动化配置笔记一
qq_28776313的博客
06-16 701
配置VLAN接口IP:interface vlan 230 → ip address [IP] [mask](如192.168.230.1/24)。设置Console超时时间:user-interface con 0 → idle-timeout 15 0(15分钟超时)。先启用SSH并关闭其他服务 → 基础配置(Console/TACACS) → VLAN/DHCP → 接口配置 → 镜像口。扩展性:可封装函数模块(如configure_ssh()、setup_dhcp_pool())提升复用性。
保姆级教程:手把手教你为H3C S5130交换机配置Zabbix监控(SNMP v3实战)
weixin_28366053的博客
04-15 333
本文提供了一份详细的H3C S5130交换机Zabbix监控配置指南,重点介绍SNMP v3协议的安全优势及实战配置步骤。通过认证加密、细粒度权限控制等机制,确保企业级网络监控的安全性,并包含Zabbix服务端的深度配置与故障排查技巧。
华为交换机-关于等保“身份鉴别”的配置
学无止境
12-11 1万+
+++++++++++++++++++++++口令长度要求++++++++++++++++++++++++ password说明: 字符串形式,长度范围是8~16或长度是56或68。输入的密码可以是明文或者密文。 当明文输入时,长度范围为8~16,区分大小写,输入的密码至少包含两种类型字符,包括大写字母、小写字母、数字及特殊字符。特殊字符不包括“?”和空格。 当密文输入时,长度是56或68。该密文密码必须以$1a$开始,以$结束;或者以%^%#开始,以%^%#结束。 说明: 如果升级前版本支持设置长度为24
H3C-防火墙-交换机基础配置,值得收藏学习
m0_68698993的博客
05-25 9514
H3C] Firewall zone trust 配置安全域(这里分四个域,local,trust,untrust,DMZ,其中DMZ是介于内网和外网之间的网络,例如,在一个提供电子商务服务的网络中,某些主机需要对外提供服务,如Web服务器、FTP服务器和邮件服务器等,为了更好地提供优质的服务,同时又要有效保护内部网络的安全)system-view是我们最常用的视图,在系统视图,我们可以查看全局配置,同时可以修改和进行所有系统配置,每一个接口视图间的切换都需要回到系统视图。
5. 3级等保-安全通信网络-网络架构测评
土豆123的博客
07-08 4596
1. 应保证网络设备的业务处理能力满足业务高峰期需要 (1) 应核查业务高峰时期一段时间内主要网络设备的 CPU 使用率和内存使用率是否满足需要; 华为/H3C: 思科/锐捷: (2) 应核查网络设备是否从未出现过宕机情况; 查看设备在线时长 华为/H3C: 思科/锐捷: (3)应测试验证设备是否满足业务高峰期需求。 查看各设备日志,看是否出现性能告警信息 华为/H3C: 思科/锐捷: 2. 应保证网络各个部分的带宽满足业务高峰期需要; 通过网络管理平台查看,或在业务高峰时段登录登录链路接入设.
等保二级 交换机安全配置模板(华为)
normanhere的博客
07-31 1197
配置console和远程登录方式 和登录超时。#创建管理员和操作员 密码锁定 分配权限。#仅允许安全设备和内网设备访问服务器。#仅允许堡垒机访问服务器的22端口。#关闭HTTP管理 TELNET。#在接服务器的接口调用ACL。#仅允许服务器访问安全设备。#打开SSH 并非用户权限。#仅允许堡垒机访问设备。#给与用户权限1的命令。
【亲测免费】 H3C等保配置要求参考
gitblog_06604的博客
10-29 565
H3C等保配置要求参考 去发现同类优质开源项目:https://gitcode.com/ 简介 本仓库提供了一份关于H3C等保配置要求的参考文件,旨在帮助用户了解和实施符合等保标准的网络设备配置。该文件详细介绍了H3C设备在等保要求下的配置规范,适用于网络安全管理员、系统工程师和IT技术人员。 资源文件 文件名称: H3C等保配置要求参考 文件格式: PDF 文件大小: [文件大小] 更新日期:...
别再手动巡检了!用Zabbix 5.0 + SNMPv3自动监控H3C交换机(保姆级避坑指南)
weixin_30776273的博客
05-29 807
本文详细介绍了如何利用Zabbix 5.0和SNMPv3协议实现H3C交换机的自动化监控,提供从环境准备、安全配置到监控模板二次开发的完整解决方案。通过实战案例和避坑指南,帮助运维人员构建高效、稳定的企业级网络监控体系,显著降低应急处理时间。
别再手动巡检了!用Zabbix 5.0 + SNMPv3 自动监控H3C交换机(保姆级避坑指南)
最新发布
weixin_30918633的博客
05-29 322
本文详细介绍了如何利用Zabbix 5.0和SNMPv3协议实现H3C交换机的自动监控,告别传统手工巡检的低效模式。通过实战配置、高可用部署、智能告警等环节,构建7×24小时无休的监控体系,大幅提升运维效率与网络稳定性。
告别Prometheus独大:手把手教你用Zabbix 5.0和SNMPv3搞定H3C交换机监控(附企业微信告警)
weixin_30470643的博客
05-29 404
本文详细介绍了如何利用Zabbix 5.0和SNMPv3协议构建H3C交换机监控方案,实现从数据采集到企业微信告警的完整闭环。通过对比Prometheus的局限性,突出Zabbix在网络设备监控中的原生优势,包括自动发现网络拓扑、Trap事件处理等核心功能,并提供部署优化、安全配置及告警集成的实战指南。
告别Prometheus独大:手把手教你用Zabbix 5.0 + SNMPv3搞定H3C交换机监控(附企业微信告警)
weixin_30421809的博客
05-29 302
本文详细介绍了如何利用Zabbix 5.0与SNMPv3构建高效的H3C交换机监控体系,替代Prometheus在网络设备监控中的不足。通过实战指南,包括Zabbix部署、SNMPv3安全配置、企业微信告警集成及高级监控项定制,帮助运维工程师实现安全、低延迟的网络设备监控。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值