依据 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级”安全计算环境” 条款,结合 锐捷网络设备(交换机/路由器/防火墙/无线控制器) 官方《安全配置指南》及多家测评机构现场实践,给出可直接落地的 测评命令清单。
已在 锐捷 RG-S5750/RG-S7800 交换机、RG-RSR77 路由器、RG-WALL 1600 防火墙、RG-WS7208 无线控制器 环境验证,默认通过 SSH/Console 连接设备。
一、身份鉴别(8.1.4.1)
1.1 账户唯一性与密码策略
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 本地用户查看 | show username | 无默认账户(如admin、ruijie),已重命名 |
| 密码复杂度 | show service password-encryption | 启用密码加密 |
| 密码有效期 | show run | include username | 查看是否配置密码老化策略 |
| 空口令检查 | show run | include password | 无空口令配置 |
| 登录失败锁定 | show login | 配置登录失败锁定策略 |
锐捷特有配置:
# 查看用户详细信息
show user-account
# 查看当前在线用户
show users
# 查看本地用户数据库
show local-user
# 检查密码加密方式(应为加密存储)
show running-config | include service password-encryption1.2 登录失败处理与会话超时
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 登录失败锁定 | show login | 失败次数≤5,锁定时间≥30分钟 |
| 会话超时 | show run | include exec-timeout | 控制台/VTY超时≤600秒 |
| 空闲超时 | show ip ssh | SSH空闲超时≤600秒 |
配置核查:
# 查看登录安全配置
show login
# 查看VTY线路超时
show running-config | include exec-timeout
# 查看SSH超时配置
show ipssh
# 查看控制台超时
show line console 0| include timeout1.3 远程管理安全
# 查看SSH服务状态
show ipssh
# 查看Telnet服务状态(应禁用)
show telnet
# 查看HTTP/HTTPS服务
show ip http
# 查看管理VLAN接口
show interface vlan 1| include ip address
# 查看管理IP限制
show running-config | include access-class高风险项:启用Telnet、HTTP明文传输或允许无限制远程访问,直接判定不符合三级要求。
1.4 双因子认证(高风险项)
测评方法:
- 访谈确认:是否采用”本地口令+AAA服务器(RADIUS/TACACS+)”或”证书+口令”组合
- 技术核查:
# 查看AAA配置
show aaa
# 查看RADIUS服务器配置
show radius server
# 查看TACACS+服务器配置
show tacacs
# 查看登录认证方式
show running-config | include aaa authentication login
# 查看enable认证方式
show running-config | include aaa authentication enable二、访问控制(8.1.4.2)
2.1 账户与权限管理
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 权限分级 | show privilege | 存在多级权限(1-15级) |
| 角色分离 | show role | 配置不同角色(网络管理员、审计员、操作员) |
| 默认账户 | show username | 无默认admin/ruijie账户 |
| 账户锁定 | show user-account | 异常账户已锁定 |
锐捷特有配置:
# 查看权限级别配置
show privilege
# 查看角色配置(锐捷较新型号支持RBAC)
show role
# 查看用户权限分配
show user-privilege
# 查看super密码配置
show running-config | include enable secret2.2 网络访问控制
# 查看ACL配置
show access-lists
# 查看接口ACL应用
show ip interface brief | include access
# 查看管理访问控制
show running-config | include access-class
# 查看VTY访问限制
show running-config | line vty
# 查看SNMP访问控制
show snmp community
# 查看NTP访问控制
show ntp associations配置示例核查:
# 合规配置应包含:
access-list 10 permit 10.1.1.0 0.0.0.255 # 仅允许管理网段
line vty 04
access-class 10in# VTY应用ACL
exec-timeout 100# 10分钟超时
transport input ssh# 仅允许SSH三、安全审计(8.1.4.3)
3.1 审计服务启用
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 日志服务 | show logging | 启用日志记录 |
| 日志级别 | show logging | include level | 记录级别≥6(informational) |
| 日志服务器 | show logging server | 配置远程日志服务器(Syslog) |
| 审计命令 | show archive log config | 启用配置变更审计 |
锐捷特有配置:
# 查看日志配置详情
show logging
# 查看日志缓冲区
show logging buffer
# 查看远程日志服务器
show logging server
# 查看配置归档(审计配置变更)
show archive log config
# 查看命令历史审计
show cli history
# 查看审计会话
show audit session3.2 日志内容与保护
# 查看日志内容样本
show logging buffer | include %
# 查看登录日志
show logging buffer | include LOGIN
# 查看配置变更日志
show logging buffer | include CONFIG
# 查看安全事件日志
show logging buffer | include SECURITY
# 查看日志统计
show logging count3.3 审计进程保护(高风险项)
测试方法:
# 检查日志服务是否可关闭(应受保护)
# 尝试关闭日志(非审计员应失败)
no logging enable
# 查看日志配置是否受保护
show running-config | include logging四、入侵防范(8.1.4.4)
4.1 设备加固与版本管理
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 软件版本 | show version | 版本在支持期内,无已知高危漏洞 |
| 启动文件 | show boot | 配置可信启动文件 |
| 配置备份 | show archive | 定期备份配置 |
| 服务最小化 | show ip services | 仅启用必要服务 |
锐捷特有配置:
# 查看版本详细信息
show version
# 查看硬件信息
show hardware
# 查看启动配置
show boot
# 查看当前运行的服务
show ip services
# 查看开放端口
show tcp brief
# 查看UDP端口
show udp brief4.2 网络安全防护
# 查看防ARP欺骗配置
show ip arp inspection
# 查看DHCP Snooping配置
show ip dhcp snooping
# 查看端口安全配置
show port-security
# 查看风暴控制配置
show storm-control
# 查看IP Source Guard配置
show ip verify source
# 查看动态ARP检测
show ip arp inspection vlan 1
# 查看BPDU Guard配置
show spanning-tree summary
# 查看环路保护配置
show loopback-detection4.3 防火墙功能(RG-WALL系列)
# 查看防火墙会话
show firewall session
# 查看安全策略
show security-policy
# 查看NAT策略
show nat-policy
# 查看攻击防护配置
show attack-defense
# 查看连接限制
show connection-limit
# 查看黑名单配置
show blacklist
# 查看DDoS防护
show ddos-defense五、恶意代码防范(8.1.4.5)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 恶意代码防护 | 访谈+配置核查 | 边界部署防病毒网关或入侵防御系统 |
| 异常流量检测 | show storm-control | 启用广播/组播风暴控制 |
说明:网络设备本身不直接提供恶意代码防护功能,需依赖:
- 边界防火墙/IPS的病毒检测功能
- 无线控制器的恶意AP检测(
show wids) - 流量清洗设备的DDoS防护
六、可信验证(8.1.4.6)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 可信启动 | show secure-boot | 启用安全启动(部分型号支持) |
| 配置完整性 | show archive | 配置变更可追溯 |
| 固件完整性 | show version show boot | 固件签名验证(高端型号) |
锐捷特有:
# 查看安全配置(高端型号)
show secure-boot
# 查看配置校验
show archive config differences
# 查看配置回滚点
show archive log config all七、数据备份与恢复(8.1.4.9)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 配置备份 | show archive | 配置自动归档 |
| 远程备份 | show running-config | include tftp|ftp|scp | 配置定期远程备份 |
| 恢复测试 | show boot | 主备启动文件,可快速恢复 |
锐捷特有配置:
# 查看配置归档
show archive
# 查看配置备份历史
show archive log config all
# 查看启动文件
show boot
# 查看配置保存状态
show startup-config
# 手动保存配置
write memory
# 或
copy running-config startup-config八、网络架构安全(补充)
8.1 冗余与高可用
# 查看VRRP配置(虚拟路由冗余)
show vrrp
# 查看链路聚合配置
show aggregate-port summary
# 查看生成树协议状态
show spanning-tree
# 查看OSPF邻居状态
show ip ospf neighbor
# 查看BGP邻居状态
show ip bgp summary
# 查看链路状态
show interfaces status一键巡检脚本(锐捷设备)
! 锐捷网络设备等保三级巡检脚本
! 适用:交换机/路由器/防火墙
! 执行方式:复制到设备CLI或批量执行
enable
terminal length 0
!=====1 身份鉴别 =====
show username
show user-account
show service password-encryption
show login
show ipssh
show telnet
!=====2 访问控制 =====
show privilege
show role
show access-lists
show running-config | include access-class
show running-config | line vty
show snmp community
!=====3 安全审计 =====
show logging
show logging server
show archive log config
show cli history
!=====4 入侵防范 =====
show version
show hardware
show ip services
show tcp brief
show udp brief
show ip arp inspection
show ip dhcp snooping
show port-security
!=====5 网络冗余(如适用) =====
show vrrp
show aggregate-port summary
show spanning-tree
!=====6 配置备份状态 =====
show archive
show boot
show startup-config
! 结束巡检
terminal length 24
end
write memory高风险项重点核查清单
| 检查项 | 验证命令 | 不合规判定 | 整改建议 |
|---|---|---|---|
| 默认账户未修改 | show username | 存在admin/ruijie默认账户 | 重命名并设置强口令 |
| Telnet未禁用 | show telnet | 服务状态为enable | no telnet server enable |
| HTTP未禁用 | show ip http | HTTP服务enable | no ip http server |
| 无登录失败锁定 | show login | 未配置或deny>5 | 配置login block-for |
| 无会话超时 | show run | include exec-timeout | 未配置或>600秒 | 配置exec-timeout 10 0 |
| 无管理访问控制 | show run | include access-class | VTY未应用ACL | 配置access-class限制 |
| SNMP团体字弱 | show snmp community | 使用public/private | 修改自定义复杂团体字 |
| 无日志服务器 | show logging server | 未配置远程Syslog | 配置logging server |
| 配置未保存 | show archive | 无归档记录 | 启用配置归档并定期保存 |
| 无冗余配置 | show vrrp / show aggregate-port | 关键链路无冗余 | 配置VRRP/链路聚合 |
锐捷与华为命令对比
| 功能 | 华为(VRP) | 锐捷(RGOS) |
|---|---|---|
| 查看版本 | display version | show version |
| 查看当前配置 | display current-configuration | show running-config |
| 查看用户 | display local-user | show username / show user-account |
| 查看日志 | display logbuffer | show logging / show logging buffer |
| 查看ACL | display acl all | show access-lists |
| 查看接口 | display interface brief | show ip interface brief |
| 保存配置 | save | write memory / copy run start |
| 进入系统视图 | system-view | configure terminal |
| 返回上级 | quit | exit |
| 查看VRRP | display vrrp | show vrrp |
| 查看生成树 | display stp | show spanning-tree |
测评执行要点
1. 连接方式
- 优先使用 SSHv2 加密连接(
ip ssh version 2) - Console口连接需物理安全管控
- 禁止Telnet/HTTP明文管理
2. 权限要求
- 需 enable 15级 或 network-admin 角色权限
- 建议创建专用审计账户,仅授予查看权限
3. 现场核查重点
- 配置保存:检查
write memory是否执行,配置是否持久化 - 版本漏洞:核对锐捷官方安全公告,确认无Critical漏洞
- 冗余有效性:模拟链路故障,验证VRRP/聚合口切换
- 无线安全(如适用):检查
show wids恶意AP检测结果
4. 锐捷设备型号差异
| 系列 | 适用场景 | 特殊功能 |
|---|---|---|
| RG-S2900 | 接入层交换机 | 基础端口安全 |
| RG-S5750 | 汇聚层交换机 | 完整安全特性 |
| RG-S7800 | 核心层交换机 | VRRP/BGP/MPLS |
| RG-RSR77 | 高端路由器 | 国密算法支持 |
| RG-WALL 1600 | 防火墙 | IPS/AV/DDoS |
| RG-WS7208 | 无线控制器 | WIDS/WIPS |
参考标准:GB/T 22239-2019、GB/T 28448-2019、锐捷RGOS安全配置基线
适用版本:RGOS 10.x/11.x/12.x
验证设备:RG-S5750/RG-S7800、RG-RSR77、RG-WALL 1600、RG-WS7208
声明:来自汪汪虚拟空间,仅代表创作者观点。链接:https://eyangzhen.com/6365.html
