華爲交換機ACL限制telnet登入以及安全防護配置

原創

2020-06-17 03:20

給交換機的telnet ftp等配置白名單，限制非法登入。

啓用Telnet服務

<HUAWEI> system-view
[HUAWEI] sysname Nxera-YC
[Nxera-YC] telnet server enable

配置VTY用戶界面的最大個數。

[Nxera-YC] user-interface maximum-vty 15

配置允許用戶登錄設備的主機地址。

[Nxera-YC] acl name telnetwhilte 2999
[Nxera-YC-acl-basic-telnetwhilte] description telnet_whilte
[Nxera-YC-acl-basic-telnetwhilte] rule 10 permit source 192.168.0.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 15 permit source 192.168.168.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 20 deny any
[Nxera-YC] user-interface vty 0 14
[Nxera-YC-ui-vty0-4] protocol inbound telnet
[Nxera-YC-ui-vty0-4] acl 2999 inbound

配置VTY用戶界面的用戶驗證方式。

[Nxera-YC-ui-vty0-14] authentication-mode aaa
[Nxera-YC-ui-vty0-14] quit
[Nxera-YC] aaa
[Nxera-YC-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Nxera-YC-aaa] local-user admin1234 service-type telnet
[Nxera-YC-aaa] local-user admin1234 privilege level 3
[Nxera-YC-aaa] quit

SNMP漏洞規避措施配置

1. 華爲設備默認關閉SNMP功能；不建議使用本地用戶，可使用RADIUS或HWTACACS等遠端用戶。

查詢SNMP agent的狀態是關閉的：

[HUAWEI]display snmp-agent sys-info

2. 華爲設備使能SNMP時，默認使用SNMP V3版本。不建議使用V1和V2版本。

l 查詢SNMP狀態

[HUAWEI]display snmp-agent sys-info

l 如果查詢結果顯示：

SNMP version running in the system:

SNMPv1 SNMPv2c SNMPv3

l 配置關閉SNMP V1/V2協議:

[HUAWEI]undo snmp-agent sys-info version v1 v2c

3. 如果必須使用SNMP V1/V2，建議關閉SNMP V1/V2 mib的查詢用戶賬號節點。

建議配置：

[HUAWEI] snmp-agent mib-view include userinfo internet

[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

[HUAWEI] snmp-agent community read public mib-view userinfo

[HUAWEI] snmp-agent community write private mib-view userinfo

4. 在使用SNMPv1/v2協議的情況下，通過增加訪問控制列表或防火牆來限制對SNMP v1/v2的訪問；
配置舉例：

[HUAWEI] acl 2001

[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

[HUAWEI-acl-basic-2001] quit

[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

配置畸形報文攻擊防範

anti-attack abnormal enable

配置分片報文攻擊防範

anti-attack fragment enable

配置TCP SYN泛洪攻擊防範

anti-attack tcp-syn enable

配置UDP泛洪攻擊防範

anti-attack udp-flood enable

配置ICMP泛洪攻擊防範

anti-attack icmp-flood enable

檢查泛洪攻擊防範的配置結果

執行display anti-attack statistics [ tcp-syn | udp-flood | icmp-flood ]命令

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

華爲交換機ACL限制telnet登入以及安全防護配置

[轉帖]使用NMT和pmap解決JVM資源泄漏問題原創

Python實現大麥網搶票的四大關鍵技術點解析

Python 安裝庫指令大全

salesforce零基礎學習（一百三十八）零碎知識點小總結（十）

一款開源的.NET程序集反編譯、編輯和調試神器

關於接口協議，你必須要知道這些！

基於 Milvus + LlamaIndex 實現高級 RAG

【2024-05-21】以茶會友

vSAN存儲策略概述

vCenter6.7-部署篇

oVirt-部署篇

VMware vSAN入門必會知識點

華爲交換機配置策略路由

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結