(word完整版)智能电网网络安全加固建议(配置命令)
(word完整版)智能电网网络安全加固建议(配置命令)
(word完整版)智能电网网络安全加固建议(配置命令)
一、网络设备
1、建议删除与设备运行、维护等工作无关的账号;(如没有需求，可删除远程登录账户）
〈H3C>sys
[H3C]aaa
[H3C-aaa］undolocal—useradmin
［H3C-aaa］undolocal-userXXX

2、在系统配置中对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。（通过交换机设置ACL+User—intVty实现）
<H3C〉sys
[H3C]ACL2001
[H3C—ACL-basic—2001］rule0permitsourceXXX。XXX。XXX.XXX0
［H3C-ACL-basic—2001]rule1denysourceany
［H3C-ACL—basic—2001]quit
［H3C]user-interfacevty04
[H3C-ui—vty0-4］authentication-modeaaa
［H3C—ui-vty0—4］acl2001

3、如不需要提供SNMP服务的，建议禁止SNMP协议服务，注意在禁止时删除一些SNMP服务的默认配置，如开启SNMP协议，建议更改SNMP连接的源地址，以增强其安全性。(可关闭SNMP）
〈H3C>sys
［H3C］undosnmp—agent

4、为了防止利用IPSpoofing手段假冒源地址进行的攻击对整个网络造成的冲击，建议在所有的边缘路由设备（即直接与终端用户网络互连的路由设备）上，根据用户网段规划添加源路由检查。该功能会对设备的转发性能造成影响，所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。（可开启ARPAnti—attack功能，接入交换机没有此针对性功能防护,常见于防护墙）
〈H3C>sys
［H3C]arpanti-attackcheckuser—bindalarmthreshold100
[H3C］arpanti—attackpacket-checkip
[H3C]arpanti—attackrate-limitenable

5、建议关闭网络设备不必要的服务，比如FTP、NTP、HGMP、DhcpServer服务等。（默认为关闭的）

6、建议设置网络管理员和安全管理员的口令长度大于8位，并由字母和数字或特殊字符组成，口令与用户名不相同,并密文存储。（用户按要求自定义）
〈H3C〉sys
[H3C］aaa
[H3C—aaa]local—userXXXpasswordirreversible—cipherXXXXXXXX
［H3C-aaa］local—userXXXprivilegelevel15
［H3C—aaa］local-userXXXservice-typetelnethttp

二、防火墙
1、建议防火墙配置包过滤的访问规则，包括明确的源IP地址、目的IP地址、协议及端口等。（配置域间策略即可）
〈f100〉sys
［F100］interzonesourceTrustdestinationUntrust
［F100-trust—untrust]rule0permit
[F100-trust—untrust］source—ipXXX
［F100—trust-untrust］destination—ipXXX
[F100-trust—untrust]serviceXXX
［F100-trust—untrust]ruleenable
［F100-trust-untrust］quit
［F100］interzonesourceUntrustdestinationTrust
[F100-untrust-trust］rule0permit
[F100—untrust-trust]source—ipXXX
[F100—untrust—trust]destination—ipXXX
[F100-untrust—trust］serviceXXX
［F100—untrust-trust］ruleenable

2、建议部署接入控制平台，有相应的接入控制程序和授权审批手续。（软件本身只有web，ssh,telnet几种登录方式）
〈f100>sys
[F100]local—userXXX
[F100]passwordcipherXXXXXXX
[F100]authorization-attributelevel3
[F100]service-typetelnet
[F100］service—typeweb

3、建议在会话处于非活跃一定时间或会话结束后终止网络连接。（可设置中断时间）
<f100〉sys