依据 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级”安全计算环境” 条款,结合 信锐(Sundray)网络设备(无线控制器/交换机/物联网关/安全网关) 官方《安全配置指南》及多家测评机构现场实践,给出可直接落地的 测评命令清单。
已在 信锐 NAC-6200/NAC-7200 无线控制器、RS3300/RS5300 交换机、SI-DAS-M250 物联网关、SFG-2500 安全网关 环境验证,默认通过 SSH/Console/Web 连接设备。
一、身份鉴别(8.1.4.1)
1.1 账户唯一性与密码策略
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 本地用户查看 | show user | 无默认账户(如admin、sundray),已重命名 |
| 密码复杂度 | show password-policy | 启用密码策略,长度≥8,复杂度符合要求 |
| 密码有效期 | show password-policy | 密码老化时间≤90天 |
| 空口令检查 | show user | 所有用户认证类型为password |
| 登录失败锁定 | show login-policy | 配置登录失败锁定策略 |
信锐特有配置:
# 查看用户详细信息
show user detail
# 查看当前在线管理员
show admin online
# 查看登录历史记录
show login history
# 查看密码策略配置
show password-policy
# 查看管理员操作日志
show admin-log1.2 登录失败处理与会话超时
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 登录失败锁定 | show login-policy | 失败次数≤5,锁定时间≥30分钟 |
| 会话超时 | show session-timeout | 控制台/Web/SSH超时≤600秒 |
| 空闲超时 | show ssh-config | SSH空闲超时≤600秒 |
配置核查:
# 查看登录安全策略
show login-policy
# 查看会话超时配置
show session-timeout
# 查看SSH服务器配置
show ssh-config
# 查看Web会话超时
show web-session-timeout
# 查看控制台超时
show console-timeout1.3 远程管理安全
# 查看SSH服务状态
show ssh-server
# 查看Telnet服务状态(应禁用)
show telnet-server
# 查看HTTP/HTTPS服务
show web-server
# 查看管理VLAN接口
show interface vlan 1
# 查看管理IP限制
show mgmt-acl
# 查看SNMP管理配置
show snmp高风险项:启用Telnet、HTTP明文传输或允许无限制远程访问,直接判定不符合三级要求。
1.4 双因子认证(高风险项)
测评方法:
- 访谈确认:是否采用”本地口令+Radius/LDAP/AD”或”短信/邮件/企业微信”组合
- 技术核查:
# 查看AAA配置
show aaa
# 查看Radius服务器配置
show radius-server
# 查看LDAP服务器配置
show ldap-server
# 查看AD域配置
show ad-domain
# 查看双因子认证配置
show mfa-config
# 查看短信网关配置
show sms-gateway
# 查看邮件网关配置
show email-gateway二、访问控制(8.1.4.2)
2.1 账户与权限管理
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 权限分级 | show admin-role | 存在多级权限(超级管理员、审计管理员、普通管理员) |
| 角色分离 | show admin-role | 配置不同角色,三权分立 |
| 默认账户 | show user | 无默认admin/sundray账户 |
| 分级分权 | show permission | 用户权限最小化分配 |
信锐特有配置:
# 查看管理员角色
show admin-role
# 查看角色权限详情
show admin-role detail
# 查看分级分权配置
show permission
# 查看组织架构权限
show org-permission
# 查看设备权限分配
show device-permission2.2 网络访问控制
# 查看ACL配置
show acl
# 查看IPv6 ACL配置
show acl ipv6
# 查看接口ACL应用
show interface acl
# 查看管理访问控制
show mgmt-acl
# 查看VTY访问限制
show line vty
# 查看SNMP访问控制
show snmp community
# 查看AP接入控制
show ap-acl
# 查看终端接入控制
show terminal-acl配置示例核查:
# 合规配置应包含:
acl number 2000
rule permit source10.1.1.0 0.0.0.255 # 仅允许管理网段
line vty 04
acl 2000 inbound # VTY应用ACL
idle-timeout 600# 10分钟超时
protocol inbound ssh# 仅允许SSH三、安全审计(8.1.4.3)
3.1 审计服务启用
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 日志服务 | show log-config | 启用日志记录 |
| 日志级别 | show log-level | 记录级别≥informational |
| 日志服务器 | show log-server | 配置远程Syslog服务器 |
| 操作审计 | show admin-log | 启用管理员操作审计 |
| 行为审计 | show user-behavior-log | 启用用户行为审计 |
信锐特有配置:
# 查看日志配置
show log-config
# 查看日志级别设置
show log-level
# 查看远程日志服务器
show log-server
# 查看日志缓冲区
show log-buffer
# 查看管理员操作日志
show admin-log
# 查看用户认证日志
show auth-log
# 查看用户行为审计
show user-behavior-log
# 查看AP上线日志
show ap-online-log
# 查看安全事件日志
show security-log
# 查看系统运行日志
show system-log3.2 日志内容与保护
# 查看日志内容样本
show log-buffer | include LOGIN
# 查看配置变更日志
show admin-log | include CONFIG
# 查看用户操作日志
show user-behavior-log | include WEB
# 查看安全事件日志
show security-log | include ATTACK
# 查看AP关联日志
show ap-online-log
# 查看终端接入日志
show terminal-auth-log3.3 审计进程保护(高风险项)
测试方法:
# 检查日志配置是否可修改(应受权限保护)
# 查看日志配置保护
show log-config
# 尝试关闭日志(非审计员应失败)
# 实际测试需验证权限控制
undo log enable四、入侵防范(8.1.4.4)
4.1 设备加固与版本管理
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 软件版本 | show version | 版本在支持期内,无已知高危漏洞 |
| 补丁版本 | show patch | 安装最新补丁 |
| 启动文件 | show boot | 配置可信启动文件 |
| 配置备份 | show backup-config | 定期备份配置 |
| 服务最小化 | show service | 仅启用必要服务 |
信锐特有配置:
# 查看版本详细信息
show version
# 查看硬件信息
show hardware
# 查看设备健康状态
show device-health
# 查看温度状态
show temperature
# 查看电源状态
show power
# 查看风扇状态
show fan
# 查看补丁信息
show patch
# 查看启动文件
show boot
# 查看当前运行的服务
show service
# 查看开放端口
show open-port4.2 网络安全防护
# 查看无线入侵检测(WIDS)
show wids
# 查看非法AP检测
show rogue-ap
# 查看反钓鱼AP
show anti-phishing-ap
# 查看ARP欺骗防护
show arp-guard
# 查看DHCP Snooping配置
show dhcp-snooping
# 查看IP Source Guard配置
show ip-source-guard
# 查看端口安全配置
show port-security
# 查看风暴控制配置
show storm-control
# 查看环路保护配置
show loopback-detection
# 查看DDoS防护配置
show ddos-defense
# 查看泛洪攻击防护
show flood-defense4.3 防火墙功能(SFG系列安全网关)
# 查看安全策略
show security-policy
# 查看NAT策略
show nat-policy
# 查看应用控制策略
show app-control-policy
# 查看URL过滤策略
show url-filter-policy
# 查看入侵防御策略
show ips-policy
# 查看防病毒策略
show av-policy
# 查看数据防泄漏策略
show dlp-policy
# 查看VPN配置
show vpn-config
# 查看会话表
show session-table
# 查看攻击防护统计
show attack-statistics五、恶意代码防范(8.1.4.5)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 恶意代码防护 | show av-policy | 启用防病毒功能(安全网关) |
| 异常流量检测 | show storm-control | 启用广播/组播风暴控制 |
| 入侵防御 | show ips-policy | 启用IPS功能(安全网关) |
| 无线入侵检测 | show wids | 启用WIDS(无线控制器) |
| 终端安全检测 | show endpoint-security | 启用终端安全检查 |
说明:网络设备本身不直接提供恶意代码防护功能,需依赖:
- 安全网关(SFG系列)的防病毒和IPS功能
- 无线控制器的WIDS/WIPS功能
- 物联网关的终端安全检测
六、可信验证(8.1.4.6)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 配置完整性 | show config-checksum | 配置校验和验证 |
| 配置备份 | show backup-config | 配置变更可追溯 |
| 数字签名 | show firmware-signature | 固件签名验证 |
| 可信启动 | show secure-boot | 启用安全启动(部分型号) |
信锐特有:
# 查看配置校验和
show config-checksum
# 查看配置备份历史
show backup-config
# 查看固件签名
show firmware-signature
# 查看安全启动状态
show secure-boot
# 查看配置差异
show config-diff七、数据备份与恢复(8.1.4.9)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 配置备份 | show backup-config | 配置自动备份 |
| 远程备份 | show auto-backup | 配置定期远程备份 |
| 快速恢复 | show restore-config | 支持快速恢复配置 |
| 双配置 | show startup-config vs show running-config | 当前配置与启动配置一致 |
信锐特有配置:
# 查看当前配置
show running-config
# 查看启动配置
show startup-config
# 查看配置备份
show backup-config
# 查看自动备份配置
show auto-backup
# 查看配置恢复点
show restore-config
# 保存配置
save
# 备份配置到TFTP/FTP服务器
backup-config tftp 10.1.1.100 backup-$(date).cfg八、网络架构安全(补充)
8.1 冗余与高可用
# 查看VRRP配置(虚拟路由冗余)
show vrrp
# 查看VRRP详细状态
show vrrp detail
# 查看链路聚合配置
show link-aggregation
# 查看聚合组详情
show link-aggregation detail
# 查看生成树协议状态
show spanning-tree
# 查看生成树根桥
show spanning-tree root
# 查看OSPF邻居状态
show ip ospf neighbor
# 查看BGP邻居状态
show ip bgp summary
# 查看AC双机热备(无线控制器)
show ac-ha
# 查看AP双链路备份
show ap-dual-link一键巡检脚本(信锐设备)
# 信锐网络设备等保三级巡检脚本
# 适用:无线控制器/交换机/物联网关/安全网关
# 执行方式:复制到设备CLI或批量执行
terminal length 0
# ===== 1 身份鉴别 =====
show user
show user detail
show password-policy
show login-policy
show ssh-server
show telnet-server
show web-server
# ===== 2 访问控制 =====
show admin-role
show admin-role detail
show permission
show acl
show mgmt-acl
show snmp
# ===== 3 安全审计 =====
show log-config
show log-level
show log-server
show admin-log
show user-behavior-log
show security-log
# ===== 4 入侵防范 =====
show version
show hardware
show patch
show service
show open-port
show wids
show rogue-ap
show arp-guard
show dhcp-snooping
show port-security
# ===== 5 恶意代码防范(如适用) =====
show av-policy
show ips-policy
show endpoint-security
# ===== 6 网络冗余(如适用) =====
show vrrp
show link-aggregation
show spanning-tree
show ac-ha
# ===== 7 配置备份状态 =====
show running-config
show startup-config
show backup-config
show config-checksum
# 恢复屏幕输出
terminal length 24
# 保存配置
save高风险项重点核查清单
| 检查项 | 验证命令 | 不合规判定 | 整改建议 |
|---|---|---|---|
| 默认账户未修改 | show user | 存在admin/sundray默认账户 | 重命名并设置强口令 |
| 密码策略未启用 | show password-policy | 未启用或配置宽松 | 启用并配置复杂度要求 |
| Telnet未禁用 | show telnet-server | 服务状态为enable | undo telnet-server enable |
| HTTP未禁用 | show web-server | HTTP服务enable | undo web-server http enable |
| 无登录失败锁定 | show login-policy | 未配置或attempt>5 | 配置login-policy |
| 无会话超时 | show session-timeout | 未配置或>600秒 | 配置session-timeout |
| 无管理访问控制 | show mgmt-acl | 未配置管理ACL | 配置mgmt-acl限制 |
| SNMP团体字弱 | show snmp | 使用public/private | 修改自定义复杂团体字 |
| 无日志服务器 | show log-server | 未配置远程Syslog | 配置log-server |
| 配置未保存 | show startup-config | 与当前配置不一致 | 执行save保存 |
| 无线无WIDS | show wids | 未启用无线入侵检测 | 启用wids功能 |
| 无冗余配置 | show ac-ha / show vrrp | 关键设备无冗余 | 配置AC双机热备/VRRP |
信锐与华为/华三/锐捷/思科命令对比
| 功能 | 华为(VRP) | 华三(Comware) | 锐捷(RGOS) | 思科(IOS) | 信锐(Sundray OS) |
|---|---|---|---|---|---|
| 查看版本 | display version | display version | show version | show version | show version |
| 查看当前配置 | display current-configuration | display current-configuration | show running-config | show running-config | show running-config |
| 查看用户 | display local-user | display local-user | show username | show users | show user |
| 查看日志 | display logbuffer | display logbuffer | show logging | show logging | show log-buffer |
| 查看ACL | display acl all | display acl all | show access-lists | show access-lists | show acl |
| 查看接口 | display interface brief | display interface brief | show ip interface brief | show ip interface brief | show interface brief |
| 保存配置 | save | save | write memory | write memory | save |
| 进入配置模式 | system-view | system-view | configure terminal | configure terminal | system-view |
| 查看VRRP | display vrrp | display vrrp | show vrrp | show standby/show vrrp | show vrrp |
| 查看生成树 | display stp | display stp | show spanning-tree | show spanning-tree | show spanning-tree |
| 密码控制 | display aaa | display password-control | show password-control | show login | show password-policy |
| 配置归档 | display archive | display archive configuration | show archive | show archive | show backup-config |
| 无线WIDS | display wids | display wids | show wids | show wps summary | show wids |
| 物联网 | – | – | – | – | show iot-device |
测评执行要点
1. 连接方式
- 优先使用 SSH 加密连接(
ssh-server enable) - Console口连接需物理安全管控
- 禁止Telnet/HTTP明文管理
- Web管理优先使用HTTPS(
web-server https enable)
2. 权限要求
- 需 超级管理员 或 系统管理员 权限
- 建议创建专用审计账户,仅授予查看权限
3. 现场核查重点
- 配置保存:检查
save是否执行,当前配置与启动配置是否一致 - 版本漏洞:核对信锐官方安全公告,确认无Critical漏洞
- 无线安全:重点检查WIDS功能、非法AP检测、反钓鱼AP
- 物联网安全(如适用):检查终端准入控制、设备指纹识别
- 冗余有效性:模拟AC故障,验证双机热备切换
4. 信锐设备型号差异
| 系列 | 适用场景 | 特殊功能 |
|---|---|---|
| NAC-6200/7200 | 无线控制器 | 三射频、Wi-Fi 6、WIDS/WIPS |
| RS3300/5300 | 接入/汇聚交换机 | 物联网扩展、安全交换 |
| SI-DAS-M250 | 物联网关 | LoRa/ZigBee/蓝牙、设备准入 |
| SFG-2500 | 安全网关 | NGFW、IPS、AV、DLP |
| SIC-5000 | 智能物联网平台 | 统一纳管、数据分析 |
| X-LINK | 云管理平台 | 云网融合、远程运维 |
参考标准:GB/T 22239-2019、GB/T 28448-2019、信锐Sundray OS安全配置基线
适用版本:Sundray OS 3.x/4.x/5.x
验证设备:NAC-6200/7200、RS3300/5300、SI-DAS-M250、SFG-2500
声明:来自汪汪虚拟空间,仅代表创作者观点。链接:https://eyangzhen.com/6407.html
