• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙-二级等保要求配置

  • 0关注
  • 0收藏,31浏览
粉丝:0人 关注:0人

问题描述:

ErLong-F1028,防火墙②级等保配: 1、三权分离,在设置密码时,用户登录尝试的最大次数设置为5次,没有选择“永久禁止登录、暂时禁止登录、允许继续登录”选项,设置该项时不清楚是哪种方式。 2、日志设置页面,没有日保存时间选项或设置 大佬位,指导下怎操作

3 个回答
粉丝:20人 关注:2人

一、问题 1:登录失败 5 次锁定(永久 / 临时 / 允许继续区分 + 三权分立)

1、三种模式对应命令含义(Web 界面无选项,靠命令区分)

  1. 永久禁止登录(等保推荐,测评最优)
    输错 5 次后账号永久锁定,必须管理员手动解锁账号,符合等保对暴力破解防护要求
plaintext
system-view password-control enable # login-attempt 5:最多5次;exceed lock:永久锁定账号 password-control login-attempt 5 exceed lock
  1. 暂时禁止登录(临时锁定)
    输错 5 次锁定指定分钟,超时自动解锁
plaintext
password-control login-attempt 5 lock-time 60 # lock-time 60 锁定60分钟,数值单位分钟
  1. 允许继续登录(仅计数不锁定,不满足等保要求,禁用)
    不配置exceed lock/lock-time,仅统计失败次数,无阻断,测评不通过。

2、三权分立配套完整配置(二级等保强制)

防火墙内置三类角色:
  • network-admin:系统运维(配置网络、策略)
  • security-audit:安全审计(仅查看日志、配置,不能修改)
  • context-admin:管理员账号(业务、账号管理)
plaintext
# 创建三类分权账号 local-user admin-network class manage password simple Admin@123456 authorization-attribute user-role network-admin service-type ssh telnet web local-user admin-audit class manage password simple Audit@123456 authorization-attribute user-role security-audit service-type ssh telnet web local-user admin-context class manage password simple Context@123456 authorization-attribute user-role context-admin service-type ssh telnet web

3、配套密码复杂度等保加固(必配)

plaintext
# 开启密码管控 password-control enable # 密码最小长度8位 password-control length 8 # 密码4种字符(大小写+数字+特殊符号) password-control composition type-number 4 type-length 1 # 密码90天过期 password-control aging 90 # 过期前7天提醒修改 password-control aging warn 7 # 禁止使用历史4次旧密码 password-control history 4 # 登录会话超时10分钟无操作自动下线 user-interface vty 0 15 idle-timeout 10 0

4、验证命令

plaintext
display password-control display local-user verbose

二、问题 2:日志保存时长(Web 无页面选项,CLI 命令配置)

二级等保要求日志至少留存 6 个月(180 天),分两类日志配置:本地文件日志、syslog 日志最短留存。

1、本地日志文件老化(控制本地存储日志保存天数)

plaintext
system-view # 开启日志自动老化清理 info-center logfile aging enable # 日志文件最长保存180天(单位天) info-center logfile lifespan 180 # 单日志文件最大2048MB,防止占满磁盘 info-center logfile size-limit 2048 # 安全/流量/NAT/威胁日志统一留存180天 info-center flow-log save-duration 180 info-center security-policy-log save-duration 180 info-center nat-log save-duration 180 info-center threat-log save-duration 180

2、syslog 日志最短留存(防止新日志覆盖未到期旧日志)

plaintext
# 通用日志最短保存180*24=4320小时 info-center syslog min-age 4320

3、等保加分项:日志上传外部审计服务器

plaintext
# 开启信息中心 info-center enable # 输出日志到远端审计服务器 info-center loghost source Vlan-interface 1 info-center loghost 192.168.1.100 facility local7 # 开启安全审计独立日志文件 info-center security-logfile enable info-center security-logfile lifespan 180

4、日志配置校验命令

plaintext
display info-center logfile summary display info-center

三、等保测评推荐标准配置汇总(直接复制)

plaintext
system-view # ==========1、三权分立账号========== local-user net-admin class manage password simple Net@Pass123 authorization-attribute user-role network-admin service-type ssh web local-user audit-admin class manage password simple Audit@Pass123 authorization-attribute user-role security-audit service-type ssh web local-user ctx-admin class manage password simple Ctx@Pass123 authorization-attribute user-role context-admin service-type ssh web # ==========2、登录失败5次永久锁定(测评最优)========== password-control enable password-control login-attempt 5 exceed lock password-control length 8 password-control composition type-number 4 type-length 1 password-control aging 90 password-control aging warn 7 password-control history 4 user-interface vty 0 15 idle-timeout 10 0 # ==========3、日志留存180天========== info-center enable info-center logfile aging enable info-center logfile lifespan 180 info-center logfile size-limit 2048 info-center flow-log save-duration 180 info-center security-policy-log save-duration 180 info-center nat-log save-duration 180 info-center threat-log save-duration 180 info-center syslog min-age 4320 # 远端日志服务器(替换为实际审计IP) info-center loghost 192.168.1.100

四、关键答疑

  1. Web 界面看不到锁定选项原因
    F1028 Web 简化管理页面,登录失败锁定仅在命令行password-control模块配置,Web 无对应可视化下拉框,配置命令后测评人员通过display password-control核验。
  2. 永久锁定 vs 临时锁定怎么选
    二级等保测评标准建议永久锁定(exceed lock),安全性更高;若现场运维怕误锁,可临时用lock-time 1440(锁定 24 小时),测评时切换永久锁定。
  3. 日志页面无保存时间输入框
    本地日志存储周期由信息中心命令控制,Web 只做日志查看,不提供老化时长配置入口,命令配置后可通过display info-center logfile summary出示给测评人员。

暂无评论

粉丝:12人 关注:9人

问题1:三权分离与登录尝试次数配置
1. 三权分离配置:
进入系统视图:system-view
创建审计管理员:local-user audit class manage service-type ssh http https
创建安全管理员:local-user security class manage service-type ssh http https
创建系统管理员:local-user system class manage service-type ssh http https
分别设置密码:local-user [username] password simple [password]
2. 登录尝试次数与锁定策略:
进入用户界面视图(如VTY):user-interface vty 0 4
设置登录失败锁定:authentication fail-action lock(暂时锁定,默认锁定时间5分钟,可通过lock-time [minutes]调整);若需永久锁定,需结合AAA配置:aaa → local-user [username] state block(手动解锁需local-user [username] state active)。
设置最大尝试次数:set authentication password-attempt 5
问题2:日志保存时间设置
H3C防火墙日志保存时间需通过日志存储策略配置:
1. 进入日志视图:system-view → info-center
2. 配置日志文件存储:info-center logfile directory [path] size [max-size](设置日志文件最大大小)
3. 配置日志文件滚动策略:info-center logfile rollover time [time-interval](按时间滚动,如rollover time 1440表示每天滚动);或按文件数量滚动:info-center logfile rollover number [num](保留指定数量日志文件,自动删除旧文件)。
4. 若需长期保存,建议将日志导出到外部日志服务器(如Syslog服务器):info-center loghost [server-ip]
补充说明
三权分离需确保三类管理员权限互斥,避免权限重叠;
日志保存时间无直接“保存天数”选项,通过滚动策略间接实现;
操作前建议备份配置:save。

暂无评论

粉丝:133人 关注:11人

 1、三权分离,在设置密码时,用户登录尝试的最大次数设置为5次,没有选择“永久禁止登录、暂时禁止登录、允许继续登录”选项,设置该项时不清楚是哪种方式。 

有默认属性的 

2、日志设置页面,没有日保存时间选项或设置 大佬位,指导下怎操作

右上角整体保存


暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明