等保三级下主流厂商网络设备安全配置实战指南
1. 等保三级网络设备安全配置的核心要求
等保三级作为国内网络安全等级保护的重要标准,对网络设备的安全配置提出了明确要求。在实际项目中,我经常遇到工程师对等保要求理解不到位的情况,导致设备配置反复修改。这里我结合多年经验,把等保三级对网络设备的核心要求归纳为三个关键点:
首先是密码策略,必须满足复杂度、长度和有效期要求。具体来说,密码需要包含数字、大小写字母和特殊字符中的至少三种(这就是所谓的three-of-kinds),长度不能少于8位,建议设置为9位更安全。密码有效期通常设置为90天,但有些行业要求更严格,比如金融行业可能要求30天更换一次。
其次是登录保护机制,主要包括失败锁定和会话超时。等保三级明确要求连续登录失败5次后需要锁定账号,锁定时间建议10-30分钟。会话超时建议设置为30分钟无操作自动退出,这个设置对运维人员特别重要,可以防止忘记退出导致的账号泄露风险。
最后是审计日志,这个经常被忽视但非常重要。等保三级要求记录所有账号登录、配置变更等操作日志,并且日志需要保存6个月以上。我在某次安全检查中就遇到过因为日志保存时间不足被扣分的情况。
2. 华为设备等保三级配置实战
华为作为国内主流网络设备厂商,其配置命令体系相对完善。下面我以华为防火墙和交换机为例,详细说明如何配置才能满足等保三级要求。
2.1 华为防火墙配置
进入系统视图后,首先配置密码策略:
system-view aaa local-aaa-user password policy administrator password expire 180 # 密码180天过期 password alert before-expire 45 # 过期前45天提醒 password min-length 9 # 最小长度9位 password complexity three-of-kinds # 三种字符组合登录保护配置也很关键:
local-aaa-user wrong-password retry-interval 5 # 重试间隔5分钟 retry-time 7 # 允许失败次数7次 block-time 3 # 锁定时间3分钟会话超时设置:
user-interface vty 0 4 idle-timeout 20 0 # 20分钟无操作自动退出 commit这里有个常见坑点:华为设备默认的block-time单位是分钟,但有些版本可能是秒,配置时一定要确认单位。我曾经就遇到过因为单位搞错导致锁定时间过长影响业务的情况。
2.2 华为交换机配置
华为交换机的安全配置更为丰富,建议开启安全增强模式:
local-user policy security-enhance # 开启安全增强 local-user policy password complexity-enhance # 增强复杂度 local-user policy password min-len 9 # 最小长度9 local-user policy password expire 90 prompt 15 # 90天过期,提前15天提醒登录失败处理:
local-user authentication lock times 5 10 # 失败5次锁定10分钟 local-user authentication lock duration 10 # 自动解锁时间10分钟3. 华三设备等保三级配置详解
华三设备的密码策略配置与华为有所不同,需要特别注意命令差异。以下是典型配置示例:
3.1 密码策略配置
首先启用全局密码策略:
password-control enable password-control length 8 # 最小长度8 password-control composition type-number 3 # 三种字符组合 password-control aging 90 # 90天有效期这里有个重要细节:华三设备开启全局密码策略后,会默认启用一些你可能不需要的功能,需要手动关闭:
undo password-control change-password first-login enable # 关闭首次修改密码 undo password-control history enable # 关闭密码历史记录 undo password-control complexity user-name check # 关闭用户名检查3.2 登录保护配置
登录失败处理:
password-control login-attempt 5 exceed lock-time 10 # 失败5次锁定10分钟会话超时设置:
line vty 0 63 idle-timeout 30 0 # 30分钟超时华三设备有个特点:很多安全功能是相互关联的。比如开启全局密码策略后,如果不手动关闭某些默认功能,可能会导致用户无法登录。我在实际项目中就遇到过因为password-control history enable导致用户无法使用历史密码的问题。
4. 多厂商配置对比与最佳实践
经过对华为、华三等主流厂商的配置实践,我总结出以下对比表格:
| 功能要求 | 华为命令示例 | 华三命令示例 | 注意事项 |
|---|---|---|---|
| 密码复杂度 | password complexity three-of-kinds | password-control composition type-number 3 | 华为支持四种组合,华三默认两种 |
| 密码有效期 | password expire 180 | password-control aging 90 | 单位都是天,但默认值不同 |
| 登录失败锁定 | block-time 3 | exceed lock-time 10 | 华为单位可能是分钟或秒 |
| 会话超时 | idle-timeout 20 0 | idle-timeout 30 0 | 格式相同,但华三范围更大 |
在实际配置中,我建议遵循以下最佳实践:
先测试后上线:所有安全配置先在测试环境验证,特别是锁定策略,避免影响生产环境。有次我配置了一个3次失败锁定的策略,结果因为自动化工具频繁尝试导致大量账号被锁。
文档记录:详细记录每台设备的配置变更,包括变更时间、变更内容和变更人。等保检查时这是必查项。
定期审计:至少每季度检查一次设备配置,确保没有被意外修改。可以使用自动化工具对比配置基线。
备份配置:每次变更前备份当前配置,华为和华三都支持以下命令:
save backup.cfg # 华为 copy running-config startup-config # 华三最后提醒一点:不同设备型号、不同软件版本可能存在命令差异,一定要以设备实际支持的命令为准。遇到不确定的情况,最好的办法是在测试设备上先验证。