給交換機的telnet ftp等配置白名單,限制非法登入。
啓用Telnet服務
<HUAWEI> system-view
[HUAWEI] sysname Nxera-YC
[Nxera-YC] telnet server enable
配置VTY用戶界面的最大個數。
[Nxera-YC] user-interface maximum-vty 15
配置允許用戶登錄設備的主機地址。
[Nxera-YC] acl name telnetwhilte 2999
[Nxera-YC-acl-basic-telnetwhilte] description telnet_whilte
[Nxera-YC-acl-basic-telnetwhilte] rule 10 permit source 192.168.0.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 15 permit source 192.168.168.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 20 deny any
[Nxera-YC] user-interface vty 0 14
[Nxera-YC-ui-vty0-4] protocol inbound telnet
[Nxera-YC-ui-vty0-4] acl 2999 inbound
配置VTY用戶界面的用戶驗證方式。
[Nxera-YC-ui-vty0-14] authentication-mode aaa
[Nxera-YC-ui-vty0-14] quit
[Nxera-YC] aaa
[Nxera-YC-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Nxera-YC-aaa] local-user admin1234 service-type telnet
[Nxera-YC-aaa] local-user admin1234 privilege level 3
[Nxera-YC-aaa] quit
SNMP漏洞規避措施配置
- 1. 華爲設備默認關閉SNMP功能;不建議使用本地用戶,可使用RADIUS或HWTACACS等遠端用戶。
查詢SNMP agent的狀態是關閉的:
[HUAWEI]display snmp-agent sys-info
- 2. 華爲設備使能SNMP時,默認使用SNMP V3版本。不建議使用V1和V2版本。
l 查詢SNMP狀態
[HUAWEI]display snmp-agent sys-info
l 如果查詢結果顯示:
SNMP version running in the system:
SNMPv1 SNMPv2c SNMPv3
l 配置關閉SNMP V1/V2協議:
[HUAWEI]undo snmp-agent sys-info version v1 v2c
- 3. 如果必須使用SNMP V1/V2,建議關閉SNMP V1/V2 mib的查詢用戶賬號節點。
建議配置:
[HUAWEI] snmp-agent mib-view include userinfo internet
[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB
[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB
[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable
[HUAWEI] snmp-agent community read public mib-view userinfo
[HUAWEI] snmp-agent community write private mib-view userinfo
- 4. 在使用SNMPv1/v2協議的情況下,通過增加訪問控制列表或防火牆來限制對SNMP v1/v2的訪問;
配置舉例:
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0
[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0
[HUAWEI-acl-basic-2001] quit
[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001
配置畸形報文攻擊防範
anti-attack abnormal enable
配置分片報文攻擊防範
anti-attack fragment enable
配置TCP SYN泛洪攻擊防範
anti-attack tcp-syn enable
配置UDP泛洪攻擊防範
anti-attack udp-flood enable
配置ICMP泛洪攻擊防範
anti-attack icmp-flood enable
檢查泛洪攻擊防範的配置結果
執行display anti-attack statistics [ tcp-syn | udp-flood | icmp-flood ]命令