等保测评—华为设备核查命令

爱学习的桃酥2024-04-27 12:11

Huawei设备核查命令汇总---IPS6000F

  1. 核查设备名称

执行命令display sysname,查看设备当前的主机名。

  1. 核查设备版本信息

执行命令display version,查看设备当前的版本信息。

  1. 核查时钟信息

执行命令display clock,查看系统当前日期和时钟。

  1. 查看当前生效的配置信息:

display current-configuration

对于某些正在生效的配置参数,如果与缺省参数相同,则不显示。

  1. 查看当前视图下生效的配置信息:

display this

对于某些正在生效的配置参数,如果与缺省参数相同,则不显示。

  1. 核查历史信息(剩余信息)

执行命令display history-command [ all-users ]

  1. 不指定all-users,显示当前用户键入的历史命令。
  2. 指定all-users,显示的是所有登录用户键入的历史命令。(3级及3级以上的用户才能执行此参数)
  1. 配置Console

|---------------------|------------------------------------------------------------|------------------------------------------------------------------------------------------------------------------------------------|
| 操作步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入Console用户界面视图 | user-interface console interface-number | - |
| 设置用户超时断连功能 | idle-timeout minutes [ seconds ] | 在设定的时间内,如果连接始终处于空闲状态,系统将自动断开该连接。 缺省情况下,Console用户界面断连的超时时间为5分钟。 说明: 设置用户连接的超时时间过长或者为0会导致终端一直处于登录状态,存在安全风险,建议用户执行命令lock锁定当前连接。 |
| 设置历史命令缓冲区大小 | history-command max-size size-value | 缺省情况下,用户界面历史命令缓冲区大小为10条历史命令。 |
| 进入AAA视图 | aaa | - |
| 配置本地用户名和密码 | local-user user-name password irreversible-cipher password | 为充分保证设备安全,请用户定期修改密码。 |
| 进入系统视图 | system-view | - |
| 进入Console用户界面视图 | user-interface console interface-number | - |
| 配置本地用户的接入类型为Console | local-user user-name service-type terminal | - |
| 设置用户验证方式为密码验证 | authentication-mode password | - |
| 设置验证密码 | set authentication password [ cipher password ] | 输入的密码可以是显式或者密文,当不指定cipher password参数时,将采用交互方式输入显式密码,当指定cipher password参数时,既可以输入显式密码也可以输入密文密码,但都将以密文形式保存在配置文件中。为充分保证设备安全,请用户定期修改密码。 |

  1. console接口的配置,如果采用了authentication-mode password,代表无用户名,仅需要密码登录;密码配置一般仅有cipher模式。

  2. 缺省情况下,Console用户界面断连的超时时间为5分钟。

  3. 配置VTY接口

|------------------------|-------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| 操作步骤 | 命令 | 说明 |
| 进入系统视图 | system-view | - |
| 进入VTY用户界面视图 | user-interface vty first-ui-number [ last-ui-number ] | - |
| 设置用户超时断连功能 | idle-timeout minutes [ seconds ] | 在设定的时间内,如果连接始终处于空闲状态,系统将自动断开该连接。 缺省情况下,VTY用户界面断连的超时时间为10分钟。 |
| 设置历史命令缓冲区大小 | history-command max-size size-value | 缺省情况下,用户界面历史命令缓冲区大小为10条历史命令。 |
| 设置用户级别 | user privilege level level | 缺省情况下,VTY用户界面的用户级别是0。 如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突,以用户名本身对应的级别为准。 |
| 设置用户验证方式为AAA验证 | authentication-mode aaa | - |
| 进入AAA视图 | aaa | - |
| 配置本地用户名和密码 | local-user user-name password irreversible-cipher password | 为充分保证设备安全,请用户定期修改密码。 |
| 配置本地用户的接入类型为Telnet或SSH | local-user user-name service-type { telnet | ssh } | - |
| | | |
| 也可以设置仅口令登录模式 |||
| 设置用户验证方式为密码验证 | authentication-mode password | - |
| 设置验证密码 | set authentication password [ cipher password ] | 输入的密码可以是显式或者密文,当不指定cipher password参数时,将采用交互方式输入显式密码,当指定cipher password参数时,既可以输入显式密码也可以输入密文密码,但都将以密文形式保存在配置文件中。为充分保证设备安全,请用户定期修改密码。 |
| 使能VTY用户界面的安全策略 | undo user-interface vty security-policy disable | 缺省情况下,VTY用户界面的安全策略使能。 |
| 进入VTY用户界面视图 | user-interface vty first-ui-number [ last-ui-number ] | - |
| 配置VTY类型用户界面的基于ACL的登录限制 | acl [ ipv6 ] { acl-number | acl-name } { inbound | outbound } | 当需要限制某个地址或地址段的用户登录到设备时,使用inbound。 当需要限制已经登录的用户登录到其他设备时,使用outbound。 说明: 用户界面支持基本访问控制列表(2000~2999)和高级访问控制列表(3000~3999)。 当ACL的rule配置为permit时,来自其他设备的报文匹配该规则时: 如果该ACL应用在inbound 方向,则允许其他设备访问本设备。 如果该ACL应用在outbound 方向,则允许本设备访问其他设备。 当ACL的rule配置为deny时,来自其他设备的报文匹配该规则时: 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。 当ACL配置了rule,但来自其他设备的报文没有匹配该规则时: 如果该ACL应用在inbound方向,则拒绝其他设备访问本设备。 如果该ACL应用在outbound方向,则拒绝本设备访问其他设备。 当ACL未配置rule时: 如果该ACL应用在inbound方向,则允许任何其他设备访问本设备。 如果该ACL应用在outbound方向,则允许本设备访问任何其他设备。 关于ACL配置的更多内容,请参见《CLI配置指南-IP地址与服务配置》中的"ACL配置"。 |

  1. 配置登录设备Web界面

如果通过非管理口登录设备,则需要将非管理口加入安全区域,同时允许https方式访问该接口(service-manage https permit)或者关闭该接口访问控制功能(undo service-manage enable)并配置对应安全策略允许用户访问该接口。

  1. 新建本地帐号。首次登录设备没有缺省帐号,必须先创建帐号。
    1. 进入系统视图。

system-view

  1. 进入AAA视图。

aaa

  1. 配置本地用户名和密码。

local-user user-name password { cipher | irreversible-cipher } password

  1. 配置本地用户的服务类型为http。

local-user user-name service-type http

  1. 配置本地用户的级别为3。

local-user user-name privilege level 3

用户级别为3的用户默认可以访问所有页面。如果想设置不同用户访问不同级别的页面,请参考《Web配置指南-系统-管理员》中的"创建管理员角色"。

  1. 回退到系统视图。

quit

  1. 开启HTTPS服务。

web-manager enable [ port port-number ]

  1. 可选: 配置HTTP协议强制跳转为HTTPS协议。

web-manager http forward enable

缺省情况下,该功能为开启状态。开启该功能后,如果使用HTTP协议访问Web界面,登录设备的管理接口IP地址"http://ip-address",设备会自动使用安全性更高的HTTPS协议进入Web界面。如果未开启该功能,无法使用HTTP协议访问Web界面。

  1. 可选: 配置客户端通过HTTPS协议登录设备时,设备向客户端发送的证书。

web-manager security server-certificate server-certificate-file

当不指定证书时,客户端通过HTTPS登录服务器端时,服务器端会发送默认的证书给客户端。当指定证书时,客户端通过HTTPS登录服务器端时,服务器端会发送指定的证书给客户端。客户端用户可以在设备web界面或者CA服务器上获取CA根证书并导入到浏览器,然后通过该CA证书可以验证设备的合法性。

本地证书需向CA服务器申请。CA服务器生成证书后,管理员需要将本地证书下载至设备存储路径,并导入内存中使之生效。具体配置过程请参见《CLI配置指南-安全防护配置》中的"PKI配置"。

颁发证书的机构可以是国际公认的证书机构,也可以是一台安装有证书服务的计算机。客户端是否信任证书,取决于客户端的浏览器中是否导入了证书颁发者的CA证书。不将CA证书导入浏览器,客户端仍可通过HTTPS访问设备,此时客户端无法验证设备证书的合法性,容易受到攻击。

如果本地证书由多级CA机构颁发,则需要将本地证书和CA证书制作成证书链文件导入设备,不能分开单独导入设备,否则登录界面下载到的CA根证书无法消除访问设备时候产生的非安全告警。

  1. 可选: 配置双向认证。启用该功能前,客户端需要将客户端证书导入浏览器,服务器端需要导入客户端证书对应的CA证书。客户端通过HTTPS登录服务器端时,会将客户端证书发送给服务器端,服务器端则用CA证书校验客户端证书。
    1. 启用服务器端和客户端之间的证书双向认证功能。

web-manager security verify-ssl-peer

    1. 指定设备校验客户端证书时使用的CA证书。

web-manager security ca-certificate ca-certificate

  1. **可选:**配置可用于访问Web界面的IP地址。

web-manager { ipv4 | ipv6 } server-source -a ip-address vpn-instance vpn-instance

缺省情况下,没有配置用于访问Web界面的IP地址,即所有IP地址都可用于访问Web界面

  1. 可选: 配置可用于访问Web界面的接口。
    • 配置某个接口可用于访问Web界面。

web-manager server-source -i interface-type interface-num

    • 配置所有接口都可用于访问Web界面。

web-manager server-source all-interface

  1. 缺省情况下,可通过管理口MEth0/0/0访问Web界面。
  2. 将管理员PC网口与设备的登录接口通过网线或者二层交换机相连。
  3. 在管理员PC中打开网络浏览器,访问需要登录设备的接口IP地址"https://ip-address :port"。使用步骤1中配置的帐号密码登录设备Web页面,首次登录时设备会提示修改密码。
  4. 启用Web认证页面图形验证码功能。

web-manager captcha enable

  1. 配置Web服务超时时间。

web-manager timeout time-out

超时时间内,如果Web界面无任何操作,设备会自动登出Web界面。

  1. 配置在线Web用户的最大个数。

web-manager max-user-number max-user-num

  1. 配置Web服务器的HTTP慢速攻击防御的异常报文检查参数。

web-manager slow-attack check [ content-length content-length | payload-length payload-length | packet-number packet-number ] *

  1. 开启IP地址锁定功能。在重试时间间隔内,如果某个IP地址连续登录失败达到限制次数,该IP地址将被锁定,并在锁定时间内禁止登录。

web-manager lock-ip retry-interval retry-interval retry-time retry-time block-time block-time

缺省情况下,IP地址锁定已开启,用户的重试时间间隔为15分钟,连续登录失败的限制次数为16次,IP锁定时间为5分钟。

  1. 在系统视图下执行命令display web-manager configuration查看是否开启HTTPS服务功能。如果HTTPS服务被人为关闭,用户可以在系统视图下执行命令web-manager enable,开启HTTPS服务。
  2. 检查设备上是否配置了对Web用户进行安全策略控制。

在系统视图下,执行命令display security-policy rule,查看是否有不允许HTTPS流量通行的配置。如果有,请修改安全策略。

  1. 检查Web用户的接入类型是否正确。

在AAA视图下执行命令display this,查看Web用户的接入类型是否为HTTPS。如果配置中存在local-user user-name service-type http,则说明用户名为user-name的用户接入类型为HTTPS;如果没有该配置,请在AAA视图下执行命令local-user user-name service-type http,配置Web用户的接入类型为HTTPS。

  1. 检查接口是否开启HTTPS协议的访问控制功能。

在接口视图下执行命令display this,查看是否有service-manage https permit的配置。如果没有,则需要开启。

缺省情况下,管理口已经开启了HTTPS协议的访问控制功能且不支持配置,非管理口没有开启HTTPS协议的访问控制功能,可以执行命令service-manage开启HTTPS协议的访问控制功能。

  1. 核查设备的主控板(CPU)等单板的相关信息

|-------------|--------------------------------------------------------------------------------|-------------------------------------------------------------------------------------------------------------------------|
| 查看配置的单板信息 | display device configuration | 查看配置的单板信息。 |
| 查看设备的电源状态信息 | display device power [ verbose ] | 当设备的供电出现异常时,用户可以执行该命令查看设备的电源状态信息,主要包括:电源模块的槽位号、电源模块在位状态、电源模块的工作模式等。 |
| 查看设备的当前温度值 | display device temperature [ slot slot-id ] | 设备温度过高或过低可能会导致硬件的损坏,如果想了解设备的当前温度值,可以查看温度信息。 当单板温度达到告警阈值时,设备上会产生相应告警,提醒设备维护人员对设备工作环境变量进行调整。 若要调整单板的温度告警阈值,请参考配置单板温度告警阈值。 |
| 查看CPU占用率 | display cpu-usage [ slot slot-id [ cpu cpu-id ] | all ] | 查看CPU占用率的统计信息。 |
| 查看CPU占用率 | display cpu-usage threshold [ slot slot-id [ cpu cpu-id ] ] | 查看CPU占用率的阈值信息。 |
| 查看CPU占用率 | display cpu-usage monitor { all | slot slot-id [ cpu cpu-id ] } | 查看CPU占用率的过载状态。 |
| 查看CPU占用率 | display cpu-usage monitor history [ slot slot-id [ cpu cpu-id ] ] | 查看CPU占用率过载状态的历史信息。 |
| 查看内存占用率 | display memory [ slot slot-id [ cpu cpu-id ] ] | 查看内存占用率的统计信息。 |
| 查看内存占用率 | display memory threshold [ slot slot-id [ cpu cpu-id ] ] | 查看内存占用率的阈值信息。 |

相关推荐
小松学前端1 小时前
第六章 7.0 LinkList
java·开发语言·网络
城南vision1 小时前
计算机网络——TCP篇
网络·tcp/ip·计算机网络
北京搜维尔科技有限公司2 小时前
搜维尔科技:【应用】Xsens在荷兰车辆管理局人体工程学评估中的应用
人工智能·安全
云起无垠2 小时前
技术分享 | 大语言模型赋能软件测试:开启智能软件安全新时代
人工智能·安全·语言模型
Ciderw2 小时前
块存储、文件存储和对象存储详细介绍
网络·数据库·nvme·对象存储·存储·块存储·文件存储
ac-er88882 小时前
PHP弱类型安全问题
开发语言·安全·php
知孤云出岫2 小时前
web 渗透学习指南——初学者防入狱篇
前端·网络安全·渗透·web
mushangqiujin3 小时前
ctfshow web文件上传 web166-170
网络安全
One_Blanks3 小时前
渗透测试-Linux基础(1)
linux·运维·安全
dawn3 小时前
鸿蒙ArkTS中的获取网络数据
华为·harmonyos
热门推荐
01如何才能让手机厂商主动拥抱华为,接入鸿蒙系统?02【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总03组基轨迹建模 GBTM的介绍与实现(Stata 或 R)04基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测05(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明06【经验分享】Ubuntu22.04安装微信(linux官方版)07【TC3xx芯片】TC3xx芯片电源管理系统PMS详解08全面解析:构建基于深度学习的安全帽检测系统(UI界面+YOLO代码+数据集)09RAG 实践- Ollama+RagFlow 部署本地知识库10你还在傻傻的打开页面输用户名和密码?来我教你实现自动化