等保测评命令——瑞斯康达Gazelle网络设备

依据 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》等保2.0三级 标准，针对 瑞斯康达Gazelle系列工业以太网交换机/路由器 给出可直接落地的测评命令清单。

设备类型：Gazelle S系列（接入层）、Gazelle M系列（汇聚层）、Gazelle R系列（核心路由器）操作系统：Raisecom ROS（Raisecom Operating System）

一、身份鉴别（8.1.4.1）

1.1 账户与密码管理

详细CLI命令：

# 进入特权模式
enable
configure terminal

# 1. 查看所有本地用户账户
show user
# 输出示例：
# Username    Privilege    Status    Online    Last-Login
# admin       15           Active    Yes       2024-01-15 09:30:20
# operator    1            Active    No        2024-01-10 14:22:10

# 2. 查看用户详细信息（包含密码策略）
show user detail admin
# 检查字段：
# - Password encrypted: YES (应启用加密)
# - Password last change: 2024-01-01 (应≤90天)
# - Privilege level: 15 (管理员), 1-14 (操作员)

# 3. 查看当前在线用户
show user online
# 检查：是否有异常登录IP、长时间未断开会话

# 4. 查看用户登录历史（审计）
show login-history
# 或
show log | include "LOGIN"

# 5. 检查密码策略配置
show running-config | include password
# 应包含：
# service password-encryption  # 密码加密存储
# password min-length 8          # 最小长度8位
# password complexity enable     # 复杂度检查

# 6. 查看登录失败控制配置
show login-fail
# 或
show running-config | include login
# 期望输出：
# login block-for 900 attempts 3 within 300  # 300秒内3次失败锁定15分钟
# login quiet-mode access-class 10             # 静默模式ACL

# 7. 查看控制台/SSH登录超时
show running-config | include timeout
# 期望：
# exec-timeout 10 0    # 控制台10分钟无操作断开
# ip ssh timeout 300   # SSH空闲超时300秒

1.2 远程管理安全

# 8. 检查SSH服务状态
show ipssh
# 期望输出：
# SSH Enabled - version 2.0
# Authentication timeout: 120 secs; Authentication retries: 3
# Minimum expected Diffie Hellman key size : 2048 bits
# IOS Keys in SECSH format(ssh-rsa, base64 encoded):

# 9. 查看SSH详细配置
show running-config | include ssh
# 应包含：
# ip ssh version 2                    # 强制SSHv2
# ip ssh server algorithm mac hmac-sha2-256  # 强MAC算法
# ip ssh server algorithm encryption aes256-gcm  # 强加密算法
# no ip ssh server algorithm mac hmac-md5      # 禁用弱算法

# 10. 检查Telnet状态（应禁用）
show telnet
# 或
show running-config | include telnet
# 应返回空或：no telnet server enable

# 11. 检查HTTP/HTTPS管理
show ip http
# 期望：
# HTTP server: Disabled
# HTTPS server: Enabled
# HTTPS certificate: Valid (检查有效期)

# 12. 查看HTTPS配置
show running-config | include http
# 应包含：
# no ip http server          # 禁用HTTP
# ip http secure-server      # 启用HTTPS
# ip http secure-port 443    # 标准端口或自定义

# 13. 检查管理VLAN隔离
show management-vlan
# 或
show running-config | include management
# 期望：管理接口在独立VLAN，与业务分离

二、访问控制（8.1.4.2）

2.1 权限分级与角色管理

# 14. 查看当前用户权限级别
show privilege
# 输出：Current privilege level is 15

# 15. 查看所有配置的用户及权限
show user | include Privilege
# 或查看详细权限分配
show user detail

# 16. 检查AAA配置（如果使用外部认证）
show aaa
# 或
show running-config | include aaa
# 应包含：
# aaa new-model
# aaa authentication login default local  # 或radius/tacacs+
# aaa authorization exec default local
# aaa accounting commands 15 default start-stop group tacacs+

# 17. 查看TACACS+/RADIUS服务器配置（如果使用）
show tacacs
show radius
# 检查：服务器IP、共享密钥加密、超时重传

# 18. 检查命令级授权配置
show running-config | include privilege
# 示例：privilege exec level 10 show running-config

# 19. 查看基于角色的访问控制（RBAC，如果支持）
show role
# 或
show running-config | include role

2.2 网络访问控制（ACL）

# 20. 查看所有访问控制列表
show access-list
# 或
show ip access-list

# 21. 查看特定ACL详情（管理ACL示例）
show access-list 10
# 应限制管理源IP：
# Standard IP access list 10
#    10 permit 10.1.1.0 0.0.0.255
#    20 deny any log

# 22. 查看接口应用的ACL
show ip interface vlan 1
# 检查：Inbound/Outbound ACL

# 23. 查看管理平面访问控制
show running-config | include access-class
# 期望：
# access-class 10 in  # VTY线路应用ACL
# access-class 10 out

# 24. 查看VTY线路配置
show running-config | section line vty
# 或
show line vty 015
# 应包含：
# line vty 0 4
#  access-class 10 in
#  transport input ssh
#  transport output none
#  exec-timeout 10 0

# 25. 查看控制台端口安全
show running-config | section line console
# 或
show line console 0
# 应包含：
# line con 0
#  exec-timeout 5 0
#  logging synchronous
#  login local

三、安全审计（8.1.4.3）

3.1 日志配置检查

# 26. 查看系统日志配置
show logging
# 期望输出：
# Syslog logging: enabled (11 messages dropped, 0 flushes, 0 overruns)
#    Console logging: level debugging, 45 messages logged
#    Monitor logging: level debugging, 0 messages logged
#    Buffer logging: level informational, 234 messages logged
#    Trap logging: level informational, 300 messages logged

# 27. 查看日志详细配置
show running-config | include logging
# 应包含：
# logging buffered 16384 informational  # 本地缓冲16KB，级别6
# logging trap informational            # 发送级别6
# logging facility local6               # 设备类型
# logging 192.168.1.100                 # Syslog服务器
# logging source-interface vlan 10      # 日志源接口
# logging timestamp datetime localtime    # 本地时间戳

# 28. 查看Syslog服务器配置
show logging server
# 或
show running-config | include logging.*[0-9]+\.[0-9]+

# 29. 查看日志缓冲区内容（最近事件）
show log
# 或过滤特定类型
show log | include "LOGIN\|FAIL\|DENY\|ERROR"

# 30. 查看审计日志（专用审计功能）
show audit
# 或
show running-config | include audit
# 应包含：
# audit enable
# audit policy management
# audit destination syslog

# 31. 查看SNMP配置（如用于监控审计）
show snmp
show running-config | include snmp
# 应使用SNMPv3：
# snmp-server group admin v3 priv
# snmp-server user admin admin v3 auth sha AuthPass priv aes 128 EncPass

四、入侵防范（8.1.4.4）

4.1 网络安全防护

# 32. 查看端口安全（Port Security）配置
show port-security
# 或
show port-security interface gigabitethernet 1/1
# 期望：
# Port Security: Enabled
# Violation mode: Shutdown
# Maximum MAC addresses: 1
# Sticky MAC addresses: 1

# 33. 查看DHCP Snooping配置
show ip dhcp snooping
# 应包含：
# DHCP Snooping is enabled
# DHCP Snooping is configured on following VLANs: 10,20
# Insertion of Option 82 is enabled
# Interface Trusted Rate limit (pps)
# --------- ------- ---------------
# Gi1/1     Yes     unlimited
# Gi1/2     No      10

# 34. 查看动态ARP检测（DAI）
show ip arp inspection
# 或
show ip arp inspection vlan 10
# 应启用并关联DHCP Snooping数据库

# 35. 查看IP Source Guard
show ipsource binding
# 或
show ip verify source interface gigabitethernet 1/1
# 应绑定IP-MAC-端口

# 36. 查看风暴控制配置
show storm-control
# 或
show storm-control broadcast
# 期望：
# Interface  Filter State   Upper   Lower   Current
# --------- ------------- ------- ------- -------
# Gi1/1     Forwarding     10.00%   5.00%   0.00%

# 37. 查看BPDU Guard（防止非法交换机接入）
show spanning-tree summary
# 或
show running-config | include bpduguard
# 应包含：
# spanning-tree portfast bpduguard default
# 或接口级：spanning-tree bpduguard enable

# 38. 查看Root Guard配置
show running-config | include rootguard

4.2 协议安全与防护

# 39. 查看生成树协议安全
show spanning-tree
show spanning-tree detail
# 检查：Root Guard、Loop Guard、BPDU Filter

# 40. 查看LLDP配置（链路层发现）
show lldp
show lldp neighbors
# 建议：禁用或限制敏感接口

# 41. 查看CDP配置（思科发现协议，如兼容）
show cdp
# 建议禁用：no cdp run

# 42. 查看MAC地址表安全
show mac address-table
show mac address-table count
# 检查：MAC地址数量异常、静态绑定

# 43. 查看VLAN安全配置
show vlan
show vlan brief
# 检查：未使用VLAN已删除、Native VLAN安全

# 44. 查看私有VLAN配置（如果支持）
show private-vlan

# 45. 查看VLAN访问映射
show vlan access-map

五、恶意代码防范与完整性（8.1.4.5/8.1.4.6）

5.1 系统完整性检查

# 46. 查看系统版本信息
show version
# 输出示例：
# Raisecom ROS Version 5.2.1
# Compiled Dec 15 2023 14:32:10
# System image file is "flash:/ros-5.2.1.bin"
# Hardware: Gazelle S1020i, 1024MB RAM, 256MB Flash

# 47. 查看固件信息及完整性
show firmware
# 或
show file information flash:/ros-5.2.1.bin
# 应包含：MD5/SHA校验值、签名状态

# 48. 查看启动配置
show boot
# 或
show running-config | include boot
# 应指定安全启动文件：
# boot system flash:/ros-5.2.1.bin

# 49. 查看文件系统（检查异常文件）
show flash:
dir flash:
# 检查：无未授权文件、无异常脚本

# 50. 查看配置变更历史（如果支持）
show archive
# 或
show configuration change
# 检查：变更时间、用户、内容

# 51. 查看系统完整性状态（如果支持硬件可信）
show secure-boot
# 或
show trusted-platform

六、数据安全与备份恢复（8.1.4.8/8.1.4.9）

6.1 配置备份与恢复

# 52. 查看运行配置（当前生效配置）
show running-config
# 或简写
show run

# 53. 查看启动配置（下次启动配置）
show startup-config
# 或简写
show start

# 54. 比较运行配置与启动配置差异
show archive config differences
# 或手动比较

# 55. 查看配置归档（自动备份）
show archive
# 应包含：
# Maximum number of archived configurations: 10
# Archive location: flash:/config-archive/
# Time Period for rollback: 24 hours

# 56. 查看TFTP/FTP自动备份配置
show running-config | include archive
# 或
show running-config | include tftp|ftp
# 应配置定期自动备份：
# archive
#  path tftp://192.168.1.100/config-backup/$h-$t.cfg
#  time-period 1440  # 每天备份

# 57. 手动保存配置（检查权限）
write memory
# 或
copy running-config startup-config

# 58. 查看NTP配置（时间同步，审计依赖）
show ntp
show running-config | include ntp
# 应包含：
# ntp server 192.168.1.1 prefer
# ntp authenticate
# ntp trusted-key 1

七、网络架构与冗余（8.1.4.9）

7.1 高可用配置检查

# 59. 查看VRRP/HSRP配置（虚拟路由冗余）
show vrrp
show vrrp brief
# 或
show standby
# 应配置：优先级、抢占、认证

# 60. 查看链路聚合配置
show etherchannel summary
# 或
show port-channel
# 检查：负载均衡模式、成员端口状态

# 61. 查看生成树根桥配置
show spanning-tree root
# 检查：根桥位置合理、路径开销优化

# 62. 查看环路保护配置
show spanning-tree loopguard
# 或
show running-config | include loopguard

# 63. 查看UDLD配置（单向链路检测）
show udld
# 或
show running-config | include udld

# 64. 查看Track对象（状态跟踪）
show track
# 检查：接口状态、路由状态跟踪

八、一键巡检脚本（Raisecom CLI版）

! 瑞斯康达Gazelle系列等保三级一键巡检脚本
! 执行方式：复制到设备CLI执行，或保存为脚本文件通过TFTP加载
! 权限要求：Privilege Level 15（管理员）

enable
terminal length 0
terminal width 200

! 创建输出记录
show clock
show version

! 输出标题
echo"=========================================="
echo"   瑞斯康达Gazelle 等保三级巡检报告"
echo"=========================================="

!1. 身份鉴别检查
echo""
echo"===== 1. 身份鉴别 ====="

echo"--- 用户账户检查 ---"
show user
show user detail

echo"--- 密码策略检查 ---"
show running-config | include password
show running-config | include service password-encryption

echo"--- 登录失败控制 ---"
show login-fail
show running-config | include login block-for

echo"--- 会话超时设置 ---"
show running-config | include exec-timeout
show running-config | include ipsshtimeout

!2. 访问控制检查
echo""
echo"===== 2. 访问控制 ====="

echo"--- 远程管理协议 ---"
show ipssh
show running-config | include ipssh version
show running-config | include telnet
show ip http

echo"--- 管理访问限制 ---"
show access-list
show running-config | include access-class
show running-config | section line vty

echo"--- AAA配置 ---"
show aaa
show tacacs
show radius

!3. 安全审计检查
echo""
echo"===== 3. 安全审计 ====="

echo"--- 日志配置 ---"
show logging
show running-config | include logging

echo"--- 日志服务器 ---"
show logging server
show running-config | include logging.*[0-9]+\.[0-9]+

echo"--- SNMP配置 ---"
show snmp
show running-config | include snmp-server

!4. 入侵防范检查
echo""
echo"===== 4. 入侵防范 ====="

echo"--- 端口安全 ---"
show port-security

echo"--- DHCP Snooping ---"
show ip dhcp snooping

echo"--- 动态ARP检测 ---"
show ip arp inspection

echo"--- 风暴控制 ---"
show storm-control

echo"--- 生成树安全 ---"
show spanning-tree summary
show running-config | include bpduguard
show running-config | include rootguard

!5. 数据安全与备份
echo""
echo"===== 5. 数据安全与备份 ====="

echo"--- 系统版本 ---"
show version
show firmware

echo"--- 启动配置 ---"
show boot
show startup-config

echo"--- 配置归档 ---"
show archive

echo"--- NTP配置 ---"
show ntp

!6. 高可用检查
echo""
echo"===== 6. 高可用与冗余 ====="

echo"--- VRRP配置 ---"
show vrrp

echo"--- 链路聚合 ---"
show etherchannel summary

echo"--- 生成树状态 ---"
show spanning-tree root

! 输出结束标记
echo""
echo"=========================================="
echo"   巡检完成 - 请保存输出并人工复核"
echo"   时间: "
show clock
echo"=========================================="

! 恢复终端设置
terminal length 24
end

高风险项重点核查清单

瑞斯康达Gazelle系列特性说明

与华为/华三设备对比

常用命令速查

! 系统管理
enable! 进入特权模式
configure terminal              ! 进入配置模式
show version                    ! 查看版本
show running-config             ! 查看运行配置
write memory                    ! 保存配置
reload                          ! 重启设备

! 接口管理
interface gigabitethernet 1/1   ! 进入接口
no shutdown! 启用接口
shutdown! 关闭接口
show interface status           ! 查看接口状态

! VLAN管理
vlan 10! 创建VLAN
name Management                   ! VLAN命名
interface vlan 10! 进入SVI接口
ip address 192.168.1.1 255.255.255.0

! 用户管理
username admin privilege 15 password encrypted xxxx
enable password encrypted xxxx
service password-encryption

! SSH配置
ipssh version 2
ipssh server algorithm mac hmac-sha2-256
crypto key generate rsa

! ACL配置
access-list 10 permit 10.1.1.0 0.0.0.255
access-list 10 deny any log
interface vlan 10
ip access-group 10in

! 日志配置
logging buffered 16384 informational
logging 192.168.1.100
logging trap informational

! 端口安全
interface gigabitethernet 1/1
 port-security
 port-security maximum 1
 port-security violation shutdown

参考标准：GB/T 22239-2019、GB/T 28448-2019、GB/T 22240-2020（定级指南）、电力行业等保标准

适用设备：瑞斯康达Gazelle S1020i/S2020i/M2048/M2064/R3000/R4000等系列

软件版本：Raisecom ROS 5.x/6.x/7.x

执行权限：多数命令需Privilege Level 15，部分查看命令Level 1可执行