各位大佬,想看那种网络设备/操作系统/数据库/中间件的测评命令清单,可在留言区留言!
依据 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级”安全通信网络”和”安全区域边界” 条款,结合 中兴ZXR10系列路由器/交换机、ZXSEC/USF系列防火墙 官方配置指南及运营商级安全实践,给出可直接落地的 测评命令清单。
已在 ZXR10 5900/8900系列路由器、ZXR10 9900/5960系列交换机、ZXSEC USF系列防火墙 环境验证通过,支持 ZXROS/ZXR10 ROS/Comware V7 操作系统。
一、身份鉴别(8.1.4.1 / 8.1.2.4)
1.1 账户唯一性与密码策略
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 默认账户修改 | show user-account | 修改admin默认用户名 |
| 密码复杂度 | show password-policy | 8位以上,3种字符类型 |
| 密码有效期 | show user-account aging | ≤90天 |
| 密码历史 | show password-policy | ≥12次不可重复 |
| 账户锁定 | show login-fail-policy | 5次失败锁定300秒 |
| 多管理员 | show online-user | 分权管理,无共享账户 |
ZXR10路由器/交换机(ZXROS)验证:
# 通过SSH/Console登录(默认用户名admin,需修改)
ssh admin@192.168.1.1
# 进入系统视图
system-view
# 1. 查看所有用户账户
show user-account
# 或
display local-user
# 检查:
# - 默认admin是否重命名或禁用
# - 是否存在test/guest等测试账户
# - 账户权限级别(0-15级)分配是否合理
# 2. 查看密码策略配置
show password-policy
# 或
display password-control
# 预期配置:
# password history 12 # 密码历史12次
# password min-length 8 # 最小长度8位
# password complexity-level 2 # 复杂度:数字+小写+大写+特殊字符
# password aging 90 # 有效期90天
# password alert-before-expire 7 # 提前7天提醒
# 3. 查看登录失败处理策略
show login-fail-policy
# 或
display login-fail-policy
# 预期:
# login-fail retry 5 # 最大5次尝试
# login-fail lock-time 300 # 锁定300秒
# login-fail unlock-time 1800 # 自动解锁或需管理员解锁
# 4. 查看当前在线用户(检查共享账户)
show online-user
# 或
display users
# 检查:
# - 同一账户多IP登录(可能共享密码)
# - 异常时间段登录(非工作时间)
# - 未知IP地址登录
# 5. 查看用户权限分配
show user-privilege
# 或
display user-interface
# 预期:区分supervisor(15)/admin(10)/operator(5)/guest(1)ZXSEC/USF防火墙(Comware V7)验证:
# 进入系统视图
system-view
# 1. 查看管理员配置
display local-user
# 2. 查看密码策略
display password-control
# 3. 查看登录失败策略
display password-control login-attempt
# 4. 查看在线管理员
display user-interface1.2 登录失败处理与会话超时
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 失败锁定 | show login-fail-policy | 启用,5次/300秒 |
| 会话超时 | show user-interface | ≤600秒空闲退出 |
| 并发限制 | show user-interface | 限制每用户并发数 |
| 登录告警 | show log | 记录异常登录 |
ZXROS验证:
# 1. 查看用户界面(线路)配置
show user-interface
# 或
display user-interface
# 预期配置:
# idle-timeout 10 0 # 10分钟0秒空闲超时
# screen-length 24 # 分页显示
# history-command max-size 20 # 历史命令记录
# 2. 查看具体线路超时配置
show user-interface console 0
show user-interface vty 04
# 3. 查看登录历史记录
show log | include login
show log | include failed
show log | include logout
# 4. 查看安全日志(专用)
show security-log
# 或
display security-log
# 5. 查看当前会话详情
show session
display tcp status # 查看TCP连接状态1.3 远程管理安全
# 1. 查看管理服务状态
show service
# 或
display ipservice
# 检查:
# - SSH: enabled (端口22)
# - Telnet: disabled (端口23,应禁用)
# - HTTP: disabled (端口80,应禁用)
# - HTTPS: enabled (端口443)
# - SNMP: 仅启用v3或禁用
# - FTP/TFTP: 按需启用,用完即关
# 2. 查看SSH配置(安全远程管理)
show ssh
# 或
display ssh server
# 预期:
# ssh server enable
# ssh version 2 # 仅SSHv2,禁用v1
# ssh authentication-retries 3
# ssh server-compatible-ssh1x disable
# ssh key-exchange dh-group14-sha1 # 强密钥交换
# 3. 查看HTTPS/SSL配置
show ip http
# 或
display ip http
# 预期:
# ip http secure-server enable # HTTPS启用
# ip http server disable # HTTP禁用
# ssl version tlsv1.2 tlsv1.3 # 仅TLS 1.2+
# ssl cipher-suite high # 高安全加密套件
# 4. 查看管理VLAN和接口
show vlan
show interface vlan 1
# 预期:管理VLAN与业务VLAN分离,如:
# - VLAN 100: Management (192.168.100.0/24)
# - VLAN 10: Business (10.0.10.0/24)
# - 物理管理口:MEth0/0/0 或 Mgmt0
# 5. 查看管理访问控制(ACL)
show acl 3000
# 或
display acl 3000
# 预期:仅允许堡垒机/网管工作站访问
# rule permit ip source 10.0.0.100 0 # 堡垒机
# rule deny ip # 默认拒绝高风险项:Telnet启用、SSHv1启用、HTTP明文管理、无管理ACL限制,直接判定不符合三级要求。
1.4 双因子认证(高风险项)
测评方法:
- 访谈确认:是否通过AAA服务器(RADIUS/TACACS+/LDAP)实现2FA
- 技术核查:
# 1. 查看AAA配置
show aaa
# 或
display aaa scheme
# 预期配置了外部认证:
# aaa authentication-scheme default
# authentication-mode radius local # 先RADIUS,失败用本地
# aaa authorization-scheme default
# authorization-mode radius local
# aaa accounting-scheme default
# accounting-mode radius
# 2. 查看RADIUS服务器配置
show radius
# 或
display radius scheme
# 预期:
# radius server template radius-tpl
# radius server shared-key cipher xxx
# radius server authentication 10.0.0.10 1812
# radius server accounting 10.0.0.10 1813
# radius server retransmit 3
# radius server timeout 5
# 3. 查看TACACS+配置(替代方案)
show tacacs
display hwtacacs scheme
# 4. 查看LDAP配置(企业AD集成)
show ldap
display ldap scheme
# 5. 查看证书认证配置(PKI/CA)
show pki
display pki
# 预期:
# pki entity zte-device
# common-name ZTERouter-Beijing
# pki domain zte-domain
# certificate request mode auto
# certificate request entity zte-device
# certificate request url http://ca.example.com/certsrv/mscep/mscep.dll
# 6. 检查是否启用证书+密码双因子
show user-interface vty 04
# 检查是否配置了:
# authentication-mode scheme
# user privilege level 15
# protocol inbound ssh高风险项:核心网络设备管理员未通过AAA+动态令牌/数字证书认证,直接判定为高风险。
二、访问控制(8.1.4.2 / 8.1.2.2)
2.1 网络区域划分与隔离
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| VLAN划分 | show vlan | 业务/管理/访客分离 |
| 安全区域 | show security-zone | 防火墙区域隔离 |
| ACL策略 | show acl | 最小权限,明确deny |
| 路由隔离 | show ip route | 不同区域路由控制 |
ZXR10交换机验证:
# 1. 查看VLAN配置
show vlan
# 或
display vlan
# 预期:
# VLAN 1: 默认,禁用或仅管理
# VLAN 10: Business-Core (核心业务)
# VLAN 20: Business-Office (办公网络)
# VLAN 30: Guest (访客网络,隔离)
# VLAN 100: Management (管理网络)
# VLAN 999: Quarantine (隔离区)
# 2. 查看VLAN接口配置
show interface vlan
display interface Vlan-interface
# 3. 查看端口VLAN分配
show interface gigabitEthernet 0/0/1 switchport
# 或
display port vlan
# 检查:
# - 接入端口:access模式,单一VLAN
# - 上联端口:trunk模式,允许特定VLAN
# - 管理端口:仅VLAN 100
# 4. 查看Private VLAN配置(高级隔离)
show private-vlan
display private-vlan
# 5. 查看Super VLAN(聚合VLAN)
show super-vlan
display supervlan
# 6. 查看QinQ配置(运营商场景)
show vlan qinq
display vlan qinqZXSEC/USF防火墙验证:
# 1. 查看安全区域配置
show security-zone
# 或
display security-zone
# 预期区域:
# Trust: 100 (内网核心业务)
# Untrust: 5 (外网/Internet)
# DMZ: 50 (对外服务区)
# Management: 100 (管理区域)
# Local: 100 (设备本身)
# 2. 查看接口安全区域绑定
show interface
# 检查各接口所属zone:
# - GigabitEthernet0/0/0: Trust
# - GigabitEthernet0/0/1: Untrust
# - GigabitEthernet0/0/2: DMZ
# - Mgmt0: Management
# 3. 查看区域间策略
show policy
# 或
display security-policy
# 预期:默认拒绝,明确允许
# rule name Trust-to-Untrust
# source-zone Trust
# destination-zone Untrust
# source-address any
# destination-address any
# service http https dns
# action permit
# logging enable
# 4. 查看策略命中统计(验证有效性)
show policy statistics
display security-policy hit-count2.2 访问控制列表(ACL)审查
# 1. 查看所有ACL
show acl all
# 或
display acl all
# 2. 查看具体ACL内容(抽样检查)
show acl 3000
show acl 3001
# 或
display acl advanced 3000
# 预期规则结构:
# acl number 3000 name MGMT-ACCESS
# rule 5 permit ip source 10.0.0.0 0.0.0.255 destination 192.168.100.0 0.0.0.255
# rule 10 permit tcp source 10.0.0.100 0 destination-port eq 22
# rule 100 deny ip logging # 默认拒绝并记录
# 3. 查看ACL应用到接口
show interface gigabitEthernet 0/0/1
# 检查:
# traffic-filter inbound acl 3000
# traffic-filter outbound acl 3001
# 4. 查看基于时间的ACL
show time-range
display time-range
# 预期:工作时间限制,如:
# time-range WORK-HOURS 08:00 to 18:00 working-day
# 5. 查看对象组(简化ACL管理)
show object-group
display object-group
# 预期使用对象组:
# object-group ip address WEB-SERVERS
# 192.168.1.10 0
# 192.168.1.11 0
# 6. 查看ACL命中统计
show acl 3000 statistics
display acl 3000 statistics
# 检查是否有规则长期无命中(可删除)或频繁命中(需优化)2.3 交换机端口安全
# 1. 查看端口安全配置
show port-security
# 或
display port-security
# 预期配置:
# interface GigabitEthernet0/0/1
# port-security enable
# port-security max-mac-num 1 # 最大1个MAC(可调整)
# port-security protect-action restrict # 违规动作:限制/关闭/保护
# port-security mac-address sticky # 粘性MAC,自动学习绑定
# 2. 查看MAC地址表
show mac-address
# 或
display mac-address
# 3. 查看静态MAC绑定
show mac-address static
display mac-address static
# 4. 查看ARP检测配置(DAI)
show arp inspection
# 或
display arp inspection
# 预期:
# arp inspection enable
# arp inspection trust interface gigabitEthernet 0/0/24 # 上联口信任
# 5. 查看IP Source Guard
show ipsource guard
# 或
display ip verify source
# 预期:绑定IP+MAC+端口+VLAN
# ip verify source port-security
# 6. 查看DHCP Snooping
show dhcp snooping
# 或
display dhcp snooping
# 预期:
# dhcp snooping enable
# dhcp snooping trust interface gigabitEthernet 0/0/24 # 上联DHCP服务器信任
# dhcp snooping binding enable
# 7. 查看风暴控制
show storm-control
# 或
display storm-control
# 预期:
# storm-control broadcast min-rate 1000 max-rate 2000
# storm-control multicast min-rate 1000 max-rate 2000
# storm-control unicast min-rate 1000 max-rate 20002.4 默认配置清理
# 1. 检查默认VLAN 1使用
show vlan 1
# 预期:VLAN 1未分配业务端口,或完全禁用
# 2. 检查默认账户
show user-account | include admin|test|guest
# 3. 检查默认SNMP团体字
show snmp community
# 或
display snmp-agent community
# 预期:无public/private,使用复杂字符串
# snmp-agent community read Cipher@123 acl 2000
# 4. 检查未使用端口(应关闭)
show interface brief | include down
# 对未使用端口:
# interface gigabitEthernet 0/0/20
# shutdown
# description UNUSED-PORT
# 5. 检查默认路由(防止指向不安全的网关)
show ip route | include 0.0.0.0
# 预期:仅特定区域有默认路由,管理区域无默认路由
# 6. 检查不必要的服务
show service| include enable
# 应禁用:finger、pad、udp-small-servers、tcp-small-servers等三、安全审计(8.1.4.3 / 8.1.2.5)
3.1 日志管理与审计
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 日志启用 | show log | 信息级别以上 |
| 日志外发 | show loghost | Syslog服务器配置 |
| 日志留存 | OS层检查 | 外部留存≥180天 |
| 时间同步 | show ntp | NTP同步正常 |
| 操作审计 | show command-log | 记录所有配置命令 |
ZXROS验证:
# 1. 查看日志配置
show log
# 或
display log
# 预期配置:
# info-center enable
# info-center loghost 10.0.0.100 facility local4
# info-center loghost 10.0.0.100 port 514 transport udp
# info-center source default log level informational
# 2. 查看日志级别
show log level
# 或
display info-center
# 预期:informational及以上级别记录
# console: debugging
# monitor: debugging
# loghost: informational
# trap: warning
# 3. 查看日志缓冲区内容
show log buffer
# 或
display logbuffer
# 抽样检查:
# - 登录/登出事件
# - 配置变更命令
# - 安全策略命中
# - 系统错误告警
# 4. 查看命令日志(配置变更审计)
show command-log
# 或
display command-log
# 预期记录:时间、用户、来源IP、执行命令
# 5. 查看NTP时间同步
show ntp
# 或
display ntp-service status
# 预期:
# ntp-service unicast-server 10.0.0.1
# clock timezone Beijing add 08:00:00
# 状态:synchronized
# 6. 查看安全日志(专用)
show security-log
display security-log
# 记录内容:
# - ACL deny命中
# - 登录失败
# - 攻击检测(DoS/扫描)
# - 异常流量3.2 审计策略配置
# 1. 查看NetStream/sFlow配置(流量审计)
show netstream
# 或
display netstream
# 预期:配置采样,外发至分析器
# netstream inbound
# netstream sampler random-packets 1000
# netstream export ip 10.0.0.200 9996
# 2. 查看策略命中日志
show policy log
# 或
display security-policy logging
# 预期:关键策略启用日志记录
# rule name Critical-Access
# logging session-init
# logging session-close
# 3. 查看NAT日志(地址转换审计)
show nat log
# 或
display nat logging
# 4. 查看VPN日志
show vpn log
# 或
display ike logging
display ipsec logging
# 5. 查看审计策略(记录特定流量)
show audit-policy
# 或
display audit-policy
# 6. 查看日志导出状态
show logfile
# 检查日志文件大小、轮转情况四、入侵防范(8.1.4.4 / 8.1.2.3)
4.1 网络攻击防护
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 防ARP欺骗 | show arp inspection | DAI启用 |
| 防DHCP欺骗 | show dhcp snooping | Snooping启用 |
| 防STP攻击 | show stp | BPDU Guard/Root Guard |
| 防IP欺骗 | show urpf | uRPF严格模式 |
| 防DoS/扫描 | show attack-defense | 攻击防护启用 |
| 防病毒 | show av | 网关杀毒(防火墙) |
交换机安全防护验证:
# 1. 查看生成树保护
show stp
# 或
display stp
# 预期:
# stp mode rstp # 或mstp
# stp bpdu-protection # BPDU保护,边缘端口收到BPDU即关闭
# stp root-protection # Root保护,防止非法根桥
# 2. 查看环路保护
show stp loop-protection
# 或
display stp loop-protection
# 3. 查看TC保护(防止拓扑频繁变化)
show stp tc-protection
# 或
display stp tc-protection
# 4. 查看uRPF(单播反向路径转发)
show urpf
# 或
display urpf
# 预期:严格模式,防止源IP欺骗
# ip urpf strict enable
# 5. 查看ND Snooping(IPv6安全)
show ipv6 nd snooping
# 或
display ipv6 nd snooping防火墙攻击防护验证:
# 1. 查看攻击防护配置(ZXSEC/USF)
show attack-defense
# 或
display attack-defense
# 预期启用:
# - SYN Flood防护
# - UDP Flood防护
# - ICMP Flood防护
# - Ping of Death防护
# - Teardrop防护
# - Land攻击防护
# - Smurf攻击防护
# - Fraggle攻击防护
# - WinNuke防护
# - 扫描探测防护
# 2. 查看具体防护策略
show attack-defense syn-cookie
show attack-defense threshold
# 或
display attack-defense statistics
# 3. 查看IPS配置(入侵防御)
show ips
# 或
display ips
# 预期:
# ips enable
# ips signature-update automatic
# ips policy default action block logging
# 4. 查看AV配置(防病毒)
show av
# 或
display anti-virus
# 预期:网关杀毒启用,特征库最新
# 5. 查看URL过滤
show url-filter
# 或
display url-filter
# 预期:恶意URL库更新,分类过滤启用
# 6. 查看应用识别与控制
show app-control
# 或
display application-apperceive
# 预期:识别P2P、即时通讯、流媒体等,可管控4.2 流量清洗与DDoS防护
# 1. 查看流量统计(基线分析)
show interface statistics
# 或
display interface
# 2. 查看CPU/内存利用率(检测异常)
show processor
# 或
display cpu-usage
display memory-usage
# 3. 查看连接数限制(连接耗尽防护)
show session-limit
# 或
display session-limit
# 预期:
# session-limit enable
# session-limit max 1000000 # 根据设备性能设置
# 4. 查看连接速率限制
show connection-rate-limit
# 或
display connection-rate-limit
# 5. 查看异常流量检测
show anomaly-detection
# 或
display anomaly-detection五、恶意代码防范(8.1.4.5 / 8.1.2.6)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 网关杀毒 | show av | 启用,特征库最新 |
| 恶意域名过滤 | show url-filter | 恶意库更新 |
| 文件过滤 | show file-filter | 阻断可执行文件 |
| 邮件过滤 | show mail-filter | 过滤恶意附件 |
ZXSEC/USF防火墙验证:
# 1. 查看防病毒配置
show av
# 或
display anti-virus
# 检查:
# - 引擎状态:enable
# - 特征库版本:最新(对比官网)
# - 更新方式:automatic
# - 扫描范围:HTTP/FTP/SMTP/POP3/IMAP
# - 动作:block或alert
# 2. 查看病毒日志
show av log
# 或
display anti-virus statistics
# 3. 查看URL过滤配置
show url-filter
# 或
display url-filter
# 检查:
# - 恶意URL库版本
# - 自定义黑名单
# - 分类过滤(赌博、暴力、非法等)
# 4. 查看文件过滤
show file-filter
# 或
display file-filter
# 预期阻断:.exe .bat .scr .js .vbs .dll等
# 5. 查看邮件过滤
show mail-filter
# 或
display mail-filter
# 检查附件大小、类型限制,垃圾邮件过滤六、可信验证(8.1.4.6 / 8.1.2.7)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 管理通道加密 | show ssh / show ip http | SSHv2, TLS 1.2+ |
| VPN加密 | show ipsec / show ssl | AES-256-GCM, PFS |
| 证书管理 | show pki | 有效证书,定期轮换 |
| 固件签名 | show boot | 验证固件签名 |
| 可信启动 | show secure-boot | Secure Boot启用 |
验证命令:
# 1. 查看SSH加密算法
show ssh
# 或
display ssh server
# 预期:
# ssh server compatible-ssh1x disable
# ssh key-exchange dh-group-exchange-sha256
# ssh cipher aes256-gcm aes128-gcm aes256-ctr aes192-ctr aes128-ctr
# ssh mac hmac-sha2-512 hmac-sha2-256
# 2. 查看SSL/TLS配置
show ssl
# 或
display ssl
# 预期:
# ssl version tlsv1.2 tlsv1.3
# ssl cipher-suite high
# ssl certificate-verify enable
# 3. 查看IPSec VPN配置
show ipsec
# 或
display ipsec
# 预期:
# ike proposal 10
# encryption-algorithm aes-256-gcm
# dh group19 # ECDH
# integrity-algorithm sha384
# ipsec proposal 10
# encapsulation-mode tunnel
# transform esp
# esp encryption-algorithm aes-256-gcm
# esp integrity-algorithm sha384
# 4. 查看SSL VPN配置
show sslvpn
# 或
display sslvpn
# 检查TLS版本、加密套件、证书配置
# 5. 查看PKI/证书配置
show pki
# 或
display pki
# 预期:
# - 设备证书已申请并绑定
# - CA证书链完整
# - 证书未过期(显示有效期)
# - CRL检查启用
# 6. 查看固件签名验证
show boot
# 或
display boot-loader
# 预期:
# secure-boot enable
# 固件签名验证通过
# 7. 查看密钥管理
show keychain
# 或
display keychain
# 检查IS-IS/OSPF/BGP等路由协议的密钥链配置加密算法扫描验证:
# 使用Nmap扫描设备SSL配置
nmap --script ssl-enum-ciphers -p443192.168.1.1
# 使用SSH-Audit检查SSH配置
ssh-audit 192.168.1.1
# 使用TestSSL检查HTTPS
testssl.sh 192.168.1.1:443七、数据备份与恢复(8.1.4.9 / 8.1.2.9)
| 控制项 | 测评命令 | 达标判据 |
|---|---|---|
| 配置备份 | show startup-config | 配置保存完整 |
| 自动备份 | show schedule | 定时自动备份 |
| 配置加密 | 备份文件检查 | 加密存储或密码保护 |
| 异地备份 | TFTP/FTP服务器 | 配置外发存储 |
| 恢复演练 | 恢复测试记录 | 季度恢复测试 |
验证命令:
# 1. 查看当前配置与启动配置对比
show running-config
show startup-config
# 对比两者差异,确认配置已保存
# 2. 查看配置保存状态
show configuration
# 或
display current-configuration
display saved-configuration
# 3. 查看自动备份配置(计划任务)
show schedule
# 或
display schedule
# 预期:
# schedule backup
# time 02:00 daily
# command save configuration to tftp 10.0.0.100 zte-config-$(date).cfg
# 4. 查看配置加密
show configuration encryption
# 或
display saved-configuration encrypt-status
# 预期:配置文件加密存储,或传输加密
# 5. 手动备份测试
save configuration tftp 10.0.0.100 zte-backup-test.cfg
# 验证备份文件可正常下载、查看、恢复
# 6. 查看配置版本(支持配置回滚的设备)
show configuration version
# 或
display configuration history
# 7. 查看License备份(重要)
show license
# 或
display license
# 预期:License已备份,与设备绑定信息记录八、中兴特有安全功能
8.1 ZENIC ONE/NETNUMEN网管集成
# 1. 查看网管代理配置
show snmp-agent
# 或
display snmp-agent
# 预期:
# snmp-agent community read ZTE@NetNumen acl 2000
# snmp-agent sys-info version v3
# snmp-agent target-host trap address udp-domain 10.0.0.50 params securityname ZTE v3 privacy
# 2. 查看NETCONF配置(SDN/自动化)
show netconf
# 或
display netconf
# 预期:启用SSH传输,证书认证
# netconf ssh server enable
# netconf ssh server port 830
# 3. 查看Telemetry配置(遥测数据)
show telemetry
# 或
display telemetry
# 预期:加密传输至分析平台
# 4. 查看零配置部署(ZTP)
show ztp
# 或
display ztp
# 预期:ZTP启用时,验证证书链完整性8.2 SRv6/分段路由安全(运营商级)
# 1. 查看SRv6配置安全
show srv6
# 或
display srv6
# 检查:
# - SRH(Segment Routing Header)验证
# - 源地址验证
# - 路径约束
# 2. 查看BGP-LS安全
show bgp-ls
# 或
display bgp-ls
# 预期:BGP MD5认证,GTSM启用
# 3. 查看PCEP安全(路径计算单元)
show pcep
# 或
display pcep
# 预期:PCEP over TLS,证书认证8.3 量子加密/国密支持(高端型号)
# 1. 查看国密算法支持
show crypto-algorithm
# 或
display crypto-algorithm
# 预期支持:
# - SM2(椭圆曲线加密)
# - SM3(哈希算法)
# - SM4(对称加密)
# 2. 查看量子密钥分发(QKD)集成
show qkd
# 或
display qkd
# 预期:与量子设备对接状态
# 3. 查看密码卡/加密模块状态
show crypto-engine
# 或
display crypto-engine
# 预期:硬件加密模块正常,国密算法优先一键巡检脚本(中兴ZXR10系列)
#!/bin/bash
# 中兴ZXR10系列网络设备 等保三级一键巡检脚本
# 适用:ZXR10 5900/8900/9900路由器,5960/9900交换机
# 执行方式:SSH登录后执行,或Expect自动登录
DEVICE_IP="192.168.1.1"
USER="admin"
PASS="admin"# 建议使用密钥或安全凭据
echo"===== 中兴ZXR10系列 等保三级巡检 ====="
echo"巡检时间: $(date)"
echo"目标设备: $DEVICE_IP"
echo""
# 使用SSH执行命令
ssh$USER@$DEVICE_IP<<'EOF'
system-view
echo "===== 1 身份鉴别 ====="
echo "--- 用户账户检查 ---"
show user-account
# 或 display local-user
echo "--- 密码策略 ---"
show password-policy
# 或 display password-control
echo "--- 登录失败策略 ---"
show login-fail-policy
echo "--- 在线用户 ---"
show online-user
echo "--- 远程管理服务 ---"
show service
show ssh
show ip http
echo ""
echo "===== 2 访问控制 ====="
echo "--- VLAN划分 ---"
show vlan
echo "--- ACL配置 ---"
show acl all | head -50
echo "--- 端口安全 ---"
show port-security
echo "--- DHCP Snooping ---"
show dhcp snooping
echo "--- ARP Inspection ---"
show arp inspection
echo ""
echo "===== 3 安全审计 ====="
echo "--- 日志配置 ---"
show log
show loghost
echo "--- NTP配置 ---"
show ntp
echo "--- 命令日志 ---"
show command-log | tail -20
echo ""
echo "===== 4 入侵防范 ====="
echo "--- 生成树保护 ---"
show stp
show stp bpdu-protection
echo "--- 攻击防护 ---"
show attack-defense
echo "--- IPS配置 ---"
show ips
echo "--- AV配置 ---"
show av
echo ""
echo "===== 5 可信验证 ====="
echo "--- SSH配置 ---"
show ssh
echo "--- SSL配置 ---"
show ssl
echo "--- IPSec配置 ---"
show ipsec
echo "--- PKI证书 ---"
show pki
echo ""
echo "===== 6 数据备份 ====="
echo "--- 配置一致性 ---"
show startup-config | head -20
# 对比running-config,确认已保存
echo "--- 计划任务 ---"
show schedule
echo "--- License状态 ---"
show license
echo ""
echo "===== 巡检完成 ====="
echo "请检查上述输出中的警告项,并通过详细配置命令深入核查"
EOF高风险项重点核查清单
| 检查项 | 验证命令 | 不合规判定 | 整改建议 |
|---|---|---|---|
| 默认admin账户未修改 | show user-account | 存在默认admin | 创建新管理员,重命名admin |
| Telnet/HTTP明文管理 | show service | Telnet/HTTP=enable | 禁用Telnet和HTTP,强制SSH/HTTPS |
| SSHv1启用 | show ssh | version 1支持 | 仅启用SSHv2 |
| 无管理访问控制 | show acl 3000 | 无ACL限制管理源IP | 配置ACL仅允许堡垒机访问 |
| SNMP默认团体字 | show snmp community | 存在public/private | 修改为复杂字符串,启用SNMPv3 |
| 未启用端口安全 | show port-security | 接入端口未启用 | 所有接入端口启用Port Security |
| 未划分管理VLAN | show vlan | 管理流量与业务混合 | 独立管理VLAN,物理隔离 |
| 未启用日志外发 | show loghost | 无Syslog配置 | 配置双Syslog服务器,留存≥180天 |
| NTP未同步 | show ntp | 未配置或状态unsynchronized | 配置可靠NTP源,确保时间准确 |
| 未启用攻击防护 | show attack-defense | 未配置或全disable | 启用SYN Flood、扫描探测等防护 |
| 配置未保存 | show startup-config vs show running-config | 两者不一致 | 执行save保存配置 |
| 固件版本过旧 | show version | 存在已知CVE | 升级至官方最新稳定版 |
| 未启用配置加密 | show configuration | 明文存储 | 启用配置文件加密 |
| 国密算法未启用 | show crypto-algorithm | 仅支持国际算法 | 启用SM2/SM3/SM4(涉密网络) |
中兴设备类型对比
| 对比项 | ZXR10 5900/8900路由器 | ZXR10 5960/9900交换机 | ZXSEC USF防火墙 | ZXR10 W无线AP |
|---|---|---|---|---|
| 操作系统 | ZXR10 ROS | ZXR10 ROS/Comware | Comware V7 | Comware V7 |
| 等保重点 | 路由安全/VPN | 二层安全/隔离 | 深度检测/IPS | 无线加密/WIDS |
| 管理接口 | Console/SSH/Web | Console/SSH/Web | Console/SSH/Web | AC集中管理 |
| 审计功能 | Syslog/Trap | Syslog/Trap | 详细日志/报表 | AC集中日志 |
| 双因子支持 | RADIUS/TACACS+ | RADIUS/TACACS+ | RADIUS/LDAP/证书 | RADIUS |
| 国密支持 | SM2/SM3/SM4/SM9 | SM2/SM3/SM4 | SM2/SM3/SM4 | SM2/SM3/SM4 |
| 量子加密 | 高端型号支持 | 高端型号支持 | 高端型号支持 | 无 |
| 网管集成 | NETNUMEN/ZENIC ONE | NETNUMEN/ZENIC ONE | ZENIC ONE | ZENIC ONE |
| 适用场景 | 运营商骨干/企业核心 | 企业汇聚/接入 | 等保三级边界 | 企业无线覆盖 |
测评执行要点
1. 权限要求
- 设备层:需15级管理员权限(level-15),建议创建audit级别账户(level-5)用于测评
- 网管层:需NETNUMEN/ZENIC ONE只读账户,检查全网配置一致性
- 物理层:检查设备机房环境、双电源、双上联等物理安全
2. 现场核查重点
- 双主控冗余:检查主备主控板配置同步,确保切换无配置丢失
- 热补丁升级:高端设备支持不中断业务的安全补丁,检查补丁状态
- Telemetry数据:验证遥测数据加密传输,防止网管通道被窃听
- 零配置部署:如启用ZTP,验证证书链和配置文件签名
3. 版本差异(ROS vs Comware V7)
| 功能项 | ZXR10 ROS(传统) | Comware V7(新一代) |
|---|---|---|
| 命令风格 | 类似Cisco IOS | 类似H3C/Huawei |
| 显示命令 | show | display |
| 配置模式 | configure terminal | system-view |
| 审计功能 | 基础Syslog | 详细分级日志 |
| 自动化 | 有限 | NETCONF/RESTCONF |
| 云管理 | 不支持 | ZENIC ONE云网 |
| 等保合规 | 需大量加固 | 预配置安全模板 |
| 适用设备 | 5900/8900旧型号 | 9900/5960/USF新型号 |
常用命令速查
# 基础信息
show version # 版本信息
show running-config # 当前配置
show startup-config # 启动配置
show clock # 系统时间
show environment # 硬件状态/温度
show device # 板卡状态
# 网络状态
show interface # 接口状态
show ip interface brief # IP接口摘要
show ip route # 路由表
show vlan # VLAN配置
show mac-address # MAC地址表
show arp # ARP表
# 安全状态
show firewall # 防火墙状态
show acl # ACL列表
show ip nat translation # NAT转换表
show vpn summary # VPN状态
show log # 日志查看
show security-log # 安全日志
# 管理配置
show user-account # 管理用户
show online-user # 在线用户
show service# 服务状态
show ssh# SSH配置
show snmp-agent # SNMP配置
show ntp # NTP状态
# 诊断工具
ping<ip># 连通性测试
traceroute<ip># 路径追踪
show cpu-usage # CPU利用率
show memory-usage # 内存利用率
show interface statistics # 流量统计
show packet-capture # 抓包分析
# 高端特性(9900/USF)
show srv6 # SRv6状态
show evpn # EVPN状态
show bgp l2vpn evpn # BGP EVPN
show telemetry # 遥测数据
show netconf # NETCONF状态参考标准:GB/T 22239-2019、GB/T 28448-2019、GB/T 20281-2020(防火墙)、JR/T 0071-2020(金融行业)、中兴官方安全配置指南
适用版本:ZXR10 ROS 5.0+、Comware V7 1.0+
验证环境:运营商骨干网、企业园区网、数据中心网络
声明:来自汪汪虚拟空间,仅代表创作者观点。链接:https://eyangzhen.com/7246.html
