devbox
Gausst松鼠会
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

网络设备安全配置_网络安全设备的配置

作者:Gausst松鼠会 | 2024-05-02 12:12:13

网络安全设备的配置
  1. 配置操作指南
    1. 登录限制

基线编号

SR-02001

基线内容

设备远程终端管理应关闭TELNET和HTTP方式,只采用SSH加密方式,并配置管理主机限制;本地CON口和AUX口启用验证。

参考配置操作

1、启用SSH加密方式配置实施指导:

local-user huawei //创建本地用户账户

 service-type ssh telnet terminal //设置该账户服务类型

 level 3 //设置用户权限级别

#

ssh server enable //开启ssh server 服务

#

public-key local create rsa //创建公钥

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to aboSR.

Input the bits of the modulus[default = 1024]: <直接回车>

Generating Keys...

.......................................................++++++

.............++++++

...........++++++++

....++++++++

#

user-interface vty 0 4

protocol inbound ssh //限制远程终端管理只允许使SSH协议

2、配置管理主机限制:

acl number 2000 name PERMIT_TELNET //创建标准访问控制列表

rule 10 permit source 10.xx.xx.xx 0 logging

rule 15 permit source 10.xx.xx.xx 0 logging

rule 20 permit source 10. xx.xx.xx 0 logging

rule 25 permit source 10. xx.xx.xx  0 logging

#

user-interface vty 0 4 //进入终端配置模式下

acl 2000 inbound //下发访问控制列表

quit

3、CON口和AUX口启用验证:

user-interface con 0

 authentication-mode scheme

user-interface aux 0

 authentication-mode scheme

补充操作说明

在系统模式下进行操作

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

    1. 口令加固

基线编号

SR-02002

基线内容

对于采用静态口令认证技术的设备,口令长度至少6位,并包括数字、小写字母、大写字母和特殊符号4类中至少2类;静态口令必须使用不可逆加密算法加密后保存于配置文件中。

参考配置操作

aaa

local-user user1 password cipher NumABC%$

display curr

local-user user1 password cipher N`C55QK<`=/Q=^Q`MAF4<1!!

补充操作说明

在系统模式下进行操作

    1. 登录超时

基线编号

SR-02004

基线内容

配置登录空闲超时自动登出,登出后用户需再次登录才能进入系统。

参考配置操作

user-interface con 0

idle-timeout 3 0     //CON口空闲3分钟自动断开连接

user-interface aux 0

idle-timeout 3 0     //AUX口空闲3分钟自动断开连接

user-interface vty 0 4

idle-timeout 3 0    //远程终端管理空闲3分钟自动断开连接 

补充操作说明

配置空闲时间不大于5分钟

    1. 账户管理

基线编号

SR-02005

基线内容
        1. 应按照用户分配账号。避免不同用户间共享账号。避免用户账号和设备间通信使用的账号共享;
        2. 应删除与设备运行、维护等工作无关的账号;
        3. 限制具备管理员权限的用户远程登录。远程执行管理员权限操作, 应先以普通权限用户远程登录后,再切换到管理员权限账号后执行相应操作。

参考配置操作

1、按照不同管理员创建不同账户

aaa

local-user user1 password cipher PWD1

local-user user1 service-type telnet

local-user user2 password cipher PWD2

local-user user2 service-type ftp

#

user-interface vty 0 4

authentication-mode aaa

2、删除默认账户和不使用账户

aaa

undo local-user test

3、 账户权限分配

super password level 3 cipher superPWD    

aaa

local-user user1 password cipher PWD1

local-user user1 service-type telnet

local-user user1 level 2

#

user-interface vty 0 4

authentication-mode aaa

补充操作说明

在系统模式下进行操作

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

    1. 关闭不适用服务

基线编号

SR-03002

基线内容

关闭网络设备不使用的或默认开启的服务,比如NDP、FTP、HTTP、TFTP服务等。

参考配置操作

Undo ndp enable

Undo http server enable

Undo ftp server

补充操作说明

在系统模式下进行操作

    1. 开启ntp服务

基线编号

SR-03003

基线内容

1、开启NTP服务,保证日志功能记录的时间的准确性;

2、路由器与NTP SERVER之间要开启认证功能;

3、配置正确的时区;

4、如不具备同步网络NTP服务器环境,建议更改设备时间为当前时间。

参考配置操作
  1. 配置NTP服务器

ntp-service unicast-server 2.2.2.2

  1. 配置NTP认证

ntp-service authentication-keyid 1 authentication-mode md5 N`C55QK<`=/Q=^Q`MAF4<1!!

ntp-service unicast-server 2.2.2.2 authentication-keyid 1

  1. 配置正确的时区

clock timezone bj add 8:00:00

4、修改设备时钟

clock datetime 时:分:秒 月/日/年

补充操作说明

在系统模式下进行操作

    1. 配置snmp

基线编号

SR-03004

基线内容
  1. 系统应关闭未使用的SNMP协议及未使用RW权限;
  2. 系统应修改SNMP的Community默认通行字,通行字应符合口令强度要求;
  3. 系统应配置为SNMPV2或以上版本;
  4. 设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。

参考配置操作

1、如不使用SNMP网管协议对设备进行管理,建议关闭

Undo snmp enable

undo snmp-agent community RWuser

2、snmp-agent community read XXXX01

3、snmp-agent sys-info version v3

4、snmp-agent community read XXXX01 acl 2000

补充操作说明

在系统模式下进行操作

    1. 端口安全

基线编号

SR-04001

基线内容

1、关闭未使用的端口;

2、条件允许情况下,端口配置URPF(Unicast Reverse Path Forwarding),即单播反向路径查找,其主要功能是防止基于源地址欺骗的网络攻击行为。

参考配置操作

1、关闭不使用端口

[HW-Ethernet3/0/0]shutdown

2、开启防源地址欺骗攻击

interface GigabitEthernet4/0/1

 undo shutdown

 ip address 172.136.1.1 255.255.255.0

 ip urpf strict

补充操作说明

在系统模式下进行操作

    1. 登录旗标

基线编号

SR-04002

基线内容

配置登录旗标,警告非法登录设备人员及方便管理员维护设备,登录旗标最好不要有系统平台或地址等有碍安全的信息。

参考配置操作

Header login % Warning: Only Allowed Consumer Can Enter ! %

补充操作说明

进入系统模式下操作

    1. 日志配置

基线编号

SR-05002

基线内容

1、设备应开启日志记录功能,记录对与设备相关的安全事件。

2、设备应配置日志功能,记录用户对设备的操作。例如:账号创建、删除和权限修改,口令修改,读取和修改设备配置,读取和修改业务用户的计费数据、身份数据、涉及通信隐私数据。记录需要包含用户账号,操作时间,操作内容以及操作结果。

3、设备应支持远程日志功能。所有设备日志均能通过远程日志功能传输到日志服务器。设备应支持至少一种通用的远程标准日志接口,如SYSLOG、FTP等。

参考配置操作
  1. 开启日志记录功能

info-center enable

  1. 配置日志记录级别

info-center logbuffer channel 4 

  1. 配置外部日志服务器

info-center loghost 202.38.1.10 facility local4 language english

补充操作说明

在系统模式下进行操作。

    1. 路由协议

 

基线编号

SR-06001

基线内容

动态路由协议口令要求配置MD5加密。

参考配置操作

ospf 2

 area 0.0.0.0

  authentication-mode md5 1 cipher N`C55QK<`=/Q=^Q`MAF4<1!!      

补充操作说明

路由协议配置模式下操作

 

 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Gausst松鼠会/article/detail/524020
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号