1. 等保三级网络设备安全配置的核心要求等保三级作为国内网络安全等级保护的重要标准对网络设备的安全配置提出了明确要求。在实际项目中我经常遇到工程师对等保要求理解不到位的情况导致设备配置反复修改。这里我结合多年经验把等保三级对网络设备的核心要求归纳为三个关键点首先是密码策略必须满足复杂度、长度和有效期要求。具体来说密码需要包含数字、大小写字母和特殊字符中的至少三种这就是所谓的three-of-kinds长度不能少于8位建议设置为9位更安全。密码有效期通常设置为90天但有些行业要求更严格比如金融行业可能要求30天更换一次。其次是登录保护机制主要包括失败锁定和会话超时。等保三级明确要求连续登录失败5次后需要锁定账号锁定时间建议10-30分钟。会话超时建议设置为30分钟无操作自动退出这个设置对运维人员特别重要可以防止忘记退出导致的账号泄露风险。最后是审计日志这个经常被忽视但非常重要。等保三级要求记录所有账号登录、配置变更等操作日志并且日志需要保存6个月以上。我在某次安全检查中就遇到过因为日志保存时间不足被扣分的情况。2. 华为设备等保三级配置实战华为作为国内主流网络设备厂商其配置命令体系相对完善。下面我以华为防火墙和交换机为例详细说明如何配置才能满足等保三级要求。2.1 华为防火墙配置进入系统视图后首先配置密码策略system-view aaa local-aaa-user password policy administrator password expire 180 # 密码180天过期 password alert before-expire 45 # 过期前45天提醒 password min-length 9 # 最小长度9位 password complexity three-of-kinds # 三种字符组合登录保护配置也很关键local-aaa-user wrong-password retry-interval 5 # 重试间隔5分钟 retry-time 7 # 允许失败次数7次 block-time 3 # 锁定时间3分钟会话超时设置user-interface vty 0 4 idle-timeout 20 0 # 20分钟无操作自动退出 commit这里有个常见坑点华为设备默认的block-time单位是分钟但有些版本可能是秒配置时一定要确认单位。我曾经就遇到过因为单位搞错导致锁定时间过长影响业务的情况。2.2 华为交换机配置华为交换机的安全配置更为丰富建议开启安全增强模式local-user policy security-enhance # 开启安全增强 local-user policy password complexity-enhance # 增强复杂度 local-user policy password min-len 9 # 最小长度9 local-user policy password expire 90 prompt 15 # 90天过期提前15天提醒登录失败处理local-user authentication lock times 5 10 # 失败5次锁定10分钟 local-user authentication lock duration 10 # 自动解锁时间10分钟3. 华三设备等保三级配置详解华三设备的密码策略配置与华为有所不同需要特别注意命令差异。以下是典型配置示例3.1 密码策略配置首先启用全局密码策略password-control enable password-control length 8 # 最小长度8 password-control composition type-number 3 # 三种字符组合 password-control aging 90 # 90天有效期这里有个重要细节华三设备开启全局密码策略后会默认启用一些你可能不需要的功能需要手动关闭undo password-control change-password first-login enable # 关闭首次修改密码 undo password-control history enable # 关闭密码历史记录 undo password-control complexity user-name check # 关闭用户名检查3.2 登录保护配置登录失败处理password-control login-attempt 5 exceed lock-time 10 # 失败5次锁定10分钟会话超时设置line vty 0 63 idle-timeout 30 0 # 30分钟超时华三设备有个特点很多安全功能是相互关联的。比如开启全局密码策略后如果不手动关闭某些默认功能可能会导致用户无法登录。我在实际项目中就遇到过因为password-control history enable导致用户无法使用历史密码的问题。4. 多厂商配置对比与最佳实践经过对华为、华三等主流厂商的配置实践我总结出以下对比表格功能要求华为命令示例华三命令示例注意事项密码复杂度password complexity three-of-kindspassword-control composition type-number 3华为支持四种组合华三默认两种密码有效期password expire 180password-control aging 90单位都是天但默认值不同登录失败锁定block-time 3exceed lock-time 10华为单位可能是分钟或秒会话超时idle-timeout 20 0idle-timeout 30 0格式相同但华三范围更大在实际配置中我建议遵循以下最佳实践先测试后上线所有安全配置先在测试环境验证特别是锁定策略避免影响生产环境。有次我配置了一个3次失败锁定的策略结果因为自动化工具频繁尝试导致大量账号被锁。文档记录详细记录每台设备的配置变更包括变更时间、变更内容和变更人。等保检查时这是必查项。定期审计至少每季度检查一次设备配置确保没有被意外修改。可以使用自动化工具对比配置基线。备份配置每次变更前备份当前配置华为和华三都支持以下命令save backup.cfg # 华为 copy running-config startup-config # 华三最后提醒一点不同设备型号、不同软件版本可能存在命令差异一定要以设备实际支持的命令为准。遇到不确定的情况最好的办法是在测试设备上先验证。