华为 HUAWEI 数通路由交换设备 基线安全加固操作

帐号管理 ELK-Huawei-01-01-01

编号:

ELK-Huawei-01-01-01

名称:

无效帐户清理

实施目的:

删除与设备运行、维护等工作无关的账号

问题影响:

账号混淆,权限不明确,存在用户越权使用的可能。

系统当前状态:

查看备份的系统配置文件中帐号信息。

实施方案:

  1. 参考配置操作

aaa

undo local-user test 

回退方案:

还原系统配置文件。

判断依据:

标记用户用途,定期建立用户列表,比较是否有非法用户

实施风险:

重要等级:

★★★

实施风险:

重要等级:

★★★

登录要求 ELK-Huawei-01-02-01

编号:

Huawie-01-02-01

名称:

远程登录加密传输

实施目的:

远程登陆采用加密传输

问题影响:

泄露密码

系统当前状态:

查看备份的系统配置文件中远程登陆的配置状态。

实施方案:

1、参考配置操作

全局模式下配置如下命令:

(1)R36xxE系列、R2631E系列

#protocol inbound ssh x [acl xxxx];

#ssh user xxxx assign rsa-key xxxxxx;

#ssh user xxxx authentication-type [ password | RSA | all ]

(2)NE系列

#local-user username password [simple | cipher] password

#aaa enable

#ssh user username authentication-type password

#user-interface vty x

#authentication-mode scheme default

#protocol inbound ssh

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中远程登陆的配置状态。

实施风险:

重要等级:

ELK-Huawei-01-02-02

编号:

ELK-Huawei-01-02-02

名称:

加固AUX端口的管理

实施目的:

除非使用拨号接入时使用AUX端口,否则禁止这个端口。

问题影响:

用户非法登陆

系统当前状态:

查看备份的系统配置文件中关于CON配置状态。

实施方案:

1、参考配置操作

# undo modem

设置完成后无法通过AUX拨号接入路由器

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于CON配置状态。

实施风险:

重要等级:

​​​​​​​ELK-Huawei-01-02-03

编号:

ELK-Huawei-01-02-03

名称:

远程登陆源地址限制

实施目的:

对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。

问题影响:

非法登陆。

系统当前状态:

查看备份的系统配置文件中关于登录配置状态。

实施方案:

  1. 参考配置操作

全局模式下配置如下命令:

acl acl-number [match [config | auto]];

rule {normal |special} {permit | deny} [source xxx xxx] [destination xxx xxx] ….

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于登录配置状态。

实施风险:

重要等级:

​​​​​​​认证和授权 ELK-Huawei-01-03-01

编号:

ELK-Huawei-01-03-01

名称:

认证和授权设置

实施目的:

设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。

问题影响:

非法登陆。

系统当前状态:

查看备份的系统配置文件中相关配置。

实施方案:

  1. 参考配置操作

#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。

#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。

# 配置RADIUS服务器模板。

[Router] radius-server template shiva

# 配置RADIUS认证服务器IP地址和端口。

Router-radius-shiva]radius-server authentication 129.7.66.66 1812

# 配置RADIUS服务器密钥、重传次数。

[Router-radius-shiva] radius-server shared-key it-is-my-secret

[Router-radius-shiva] radius-server retransmit 2

[Router-radius-shiva] quit

# 进入AAA视图。

[Router] aaa

# 配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。

[Router–aaa] authentication-scheme r-n

[Router-aaa-authen-r-n] authentication-mode radius none

[Router-aaa-authen-r-n] quit

# 配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。

[Router-aaa] domain default

[Router-aaa-domain-default] authentication-scheme r-n

[Router-aaa-domain-default]radius-server shiva

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中相关配置。

实施风险:

重要等级:

日志配置 ELK-Huawei-02-01-01

编号:

ELK-Huawei-02-01-01

名称:

开启日志功能

实施目的:

支持数据日志,可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。

判断依据:

无法对用户的登陆进行日志记录。

系统当前状态:

查看备份的系统配置文件中关于日志功能的配置。

实施方案:

  1. 参考配置操作

#info-center enable; 默认已启动

#info-center console; 向控制台输出日志

#info-center logbuffer;     向路由器内部缓冲器输出日志

#info-center loghost; 向日志主机输出日志

#info-center monitor; 向telnet终端或哑终端输出日志

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于日志功能的配置。

实施风险:

重要等级:

★★★

通信协议 ELK-Huawei-03-01-01

编号:

ELK-Huawei-03-01-01

名称:

SNMP服务配置

实施目的:

如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。

问题影响:

对系统造成不安全影响。

系统当前状态:

查看备份的系统配置文件中关于SNMP服务的配置。

实施方案:

  1. 参考配置操作

全局模式下配置如下命令:

Undo snmp enable

undo snmp-agent community RWuser

关闭snmp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于SNMP服务的配置。

实施风险:

重要等级:

​​​​​​​ELK-Huawei-03-01-02

编号:

ELK-Huawei-03-01-02

名称:

更改SNMP TRAP协议端口;

实施目的:

如开启SNMP协议,要求更改SNMP trap协议的标准端口号,以增强其安全性。

问题影响:

容易引起拒绝服务攻击。

系统当前状态:

查看备份的系统配置文件中关于SNMP服务的配置。

实施方案:

  1. 参考配置操作

全局模式下配置如下命令:

  1. R36xxE系列、R2631E系列

#snmp-agent

#snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx

#snmp-agent trap enable

(2)NE系列

#snmp-agent

#snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname xxx udp-port xxx

#snmp-agent trap enable

回退方案:

还原系统配置文件。

判断依据:

Show SNMP

实施风险:

重要等级:

​​​​​​​ELK-Huawei-03-01-03

编号:

ELK-Huawei-03-01-03

名称:

限制发起SNMP连接的源地址

实施目的:

如开启SNMP协议,要求更改SNMP 连接的源地址,以增强其安全性。

问题影响:

被非法攻击。

系统当前状态:

查看备份的系统配置文件中关于SNMP服务的配置。

实施方案:

1、参考配置操作

全局模式下配置如下命令:

#snmp-agent

# snmp-agent community [read | write] XXXX acl xxxx

【影响】:只有指定的网管网段才能使用SNMP维护

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于SNMP服务的配置。

实施风险:

重要等级:

​​​​​​​ELK-Huawei-03-01-04

编号:

ELK-Huawei-03-01-04

名称:

设置SNMP密码

实施目的:

如开启SNMP协议,要求设置并定期更改SNMP Community(至少半年一次),以增强其安全性。

系统当前状态:

查看备份的系统配置文件中关于SNMP服务的配置。

问题影响:

泄露密码,引起非法登陆。

实施方案:

1、参考配置操作

全局模式下配置如下命令:

#snmp-agent

# snmp-agent community [read | write] XXXX(不建议打开write特性)

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于SNMP服务的配置。

实施风险:

重要等级:

​​​​​​​ELK-Huawei-03-01-05

编号:

ELK-Huawei-03-01-05

名称:

SNMP访问安全限制

实施目的:

设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。

问题影响:

非法登陆。

系统当前状态:

查看备份的系统配置文件中关于SNMP服务的配置。

实施方案:

  1. 参考配置操作

#snmp-agent community read XXXX01 acl 2000

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于SNMP服务的配置。

实施风险:

重要等级:

​​​​​​​ELK-Huawei-03-01-06

编号:

ELK-Huawei-03-01-06

名称:

源地址路由检查

实施目的:

为了防止利用IP Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击,要求在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。此外,该功能会对设备的转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。

问题影响:

会对设备负荷造成影响。

系统当前状态:

查看备份的系统配置文件中关于CEF 服务的配置。

实施方案:

  1. 参考配置操作

全局模式下配置如下命令:

#urpf enable

回退方案:

还原系统配置文件。

判断依据:

查看配置文件,核对参考配置操作

实施风险:

重要等级:

设备其它安全要求 ELK-Huawei-04-01-01

编号:

ELK-Huawei-04-01-01

名称:

禁止未使用或空闲的端口

实施目的:

防止从空闲端口渗透到系统内部

问题影响:

从空闲端口渗透到系统内部

系统当前状态:

查看备份的系统配置文件中关于端口启用的配置。

实施方案:

  1. 参考配置操作

在不使用的端口启用如下命令:

# shutdown

回退方案:

还原系统配置文件。

判断依据:

查看备份的系统配置文件中关于端口启用的配置。

实施风险:

重要等级:

★★★

​​​​​​​ELK-Huawei-04-01-02

编号:

ELK-Huawei-04-01-02

名称:

关闭不必要的服务

实施目的:

关闭网络设备不必要的服务,比如FTP、NTP、HGMP、Dhcp Server服务等

问题影响:

造成系统不安全性增加,难以管理。

系统当前状态:

查看备份的系统配置文件。

实施方案:

  1. 参考配置操作

全局模式下配置如下命令:

!FTP服务的关闭

#undo  ftp server

回退方案:

还原系统配置文件。

判断依据:

查看配置文件,核对参考配置操作。

实施风险:

重要等级:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/150886.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

学生邮箱白嫖/免费安装JetBrains全家桶(IDEA/pycharm等) —— 保姆级教程

🧸欢迎来到dream_ready的博客,📜相信您对博主首页也很感兴趣o (ˉ▽ˉ;) 博主首页,更多redis、java等优质好文以及各种保姆级教程等您挖掘! 目录 前言 JetBrains全家桶介绍 申请过程: 获取学…

这个技术也能管理教学质量,厉害了!

在当今数字化时代,教育领域也在积极应用先进的技术来提升教学质量和管理效率。在线巡课系统作为其中的一种创新工具,为学校管理者和教育工作者提供了便捷而高效的管理手段。 在线巡课系统通过数字化、自动化的方式,实现了对课堂教学的全面监控…

Python基础:正则表达式(regular expression)详解

在Python中,正则表达式是一种强大的工具,可用于匹配和操作字符串。什么是正则表达式? 正则表达式是一种模式匹配语言,用于匹配字符串中的特定模式。这些模式可以是字母、数字、字符组合或其他符号。正则表达式通常用于文本处理、网…

C语言-字符串替换

本题要求编写程序,将给定字符串中的大写英文字母按以下对应规则替换: 原字母对应字母AZBYCXDW……XCYBZA 输入格式: 输入在一行中给出一个不超过80个字符、并以回车结束的字符串。 输出格式: 输出在一行中给出替换完成后的字…

excel怎么能锁住行 和/或 列的自增长,保证粘贴公式的时候不自增长或者只有部分自增长

例如在C4单元格中输入了公式: 现在如果把C4拷贝到C5,D3会自增长为D4: 现在如果想拷贝的时候不自增长,可以先把光标放到C4单元格,然后按F4键,行和列的前面加上了$符号,锁定了: …

Linux中的进程终止(详解)

Linux中的进程终止 1. 进程退出场景2. 进程常见退出方法2.1 _exit函数2.2 exit函数2.3 return退出 1. 进程退出场景 代码运行完毕,结果正确代码运行完毕,结果不正确代码异常终止 2. 进程常见退出方法 正常终止(可以通过 echo $? 查看进程…

【小黑嵌入式系统第九课】PSoC 5LP第一个实验——LED、字符型LCD显示实验

上一课: 【小黑嵌入式系统第八课】初识PSoC Creator™开发——关于PSoC Creator&下载、创建项目、单片机中的hello world(点亮一个led) 文章目录 1 实验目的2 实验要求3 实验设备4 实验原理1. 基于 PWM 原理的 LED 亮度控制2. 时间的计量3. 按键抖动…

超全整理,Pytest自动化测试框架-多进程(pytest-xdist)运行总结...

目录:导读 前言一、Python编程入门到精通二、接口自动化项目实战三、Web自动化项目实战四、App自动化项目实战五、一线大厂简历六、测试开发DevOps体系七、常用自动化测试工具八、JMeter性能测试九、总结(尾部小惊喜) 前言 平常我们功能测试…

QtC++与QUndoView详解

介绍 QUndoView 的作用: 显示操作历史: QUndoView 用于显示 QUndoStack 中记录的撤销和重做操作的历史记录。用户可以通过该视图查看操作的执行顺序。 支持交互: 提供了用户界面元素,允许用户执行撤销和重做操作,以及…

SpringBoot-AOP学习案例

4. AOP案例 SpringAOP的相关知识我们就已经全部学习完毕了。最后我们要通过一个案例来对AOP进行一个综合的应用。 4.1 需求 需求:将案例中增、删、改相关接口的操作日志记录到数据库表中 就是当访问部门管理和员工管理当中的增、删、改相关功能接口时&#xff0…

整形数据和浮点型数据在内存中的存储差别

愿所有美好如期而遇 我们先来看代码,猜猜结果是什么呢? int main() {//以整型数据的方式存储int n 10;float* m (float*)&n;//以整型数据的方式读取printf("%d\n", n);//以浮点型数据的方式2读取printf("%f\n", *m);printf(&…

Linux下查看pytorch运行时真正调用的cuda版本

一般情况我们会安装使用多个cuda版本。而且pytorch在安装时也会自动安装一个对应的版本。 正确查看方式: 想要查看 Pytorch 实际使用的运行时的 cuda 目录,可以直接输出 cpp_extension.py 中的 CUDA_HOME 变量。 import torch import torch.utils imp…

系统移植-uboot

uboot概述: 操作系统运行之前运行的一小段代码,用于将软硬件环境初始化到 一个合适的状态,为操作系统的加载和运行做准备(其本身不是操作系统) Bootloader基本功能 1.初始化软硬件环境 2.引导加载linux内核 3. 给lin…

13 Go的错误处理

概述 在上一节的内容中,我们介绍了Go的接口,包括:定义接口、实现接口、使用接口、空接口等。在本节中,我们将介绍Go的错误处理。在Go语言中,错误处理是一种重要的编程模式,它用于处理可能出现的错误或异常情…

AutoSAR CANIF层配置代码分析

CAN物理控制单元 配置: 生成的代码: CanIf_CtrlStates 解析 类型: typedef union CanIf_CtrlStatesUTag {CanIf_CtrlStatesType raw[3];CanIf_CtrlStatesStructSType str; }CanIf_CtrlStatesUType;typedef struct sCanIf_CtrlStatesType {C…

陪诊系统搭建部署和功能,让就医更便捷和舒适

陪诊系统是一种基于智能手机平台的专门为就医提供陪伴服务的软件。该应用程序包含多种功能,包括提供的医疗知识、行为规范和陪伴服务。它不仅可以帮助用户规划就医时间、预约医生、清楚病情、解答疑问等,还可以在就医时为用户提供实时的陪伴和指导&#…

py 开启异步

在Python中,可以使用异步编程技术来开启异步操作。Python提供了多种异步编程库,其中最常用的是asyncio库。 以下是一个简单的示例,演示如何使用asyncio库来开启异步操作: import asyncioasync def my_coroutine(task):await tas…

论文阅读:JINA EMBEDDINGS: A Novel Set of High-Performance Sentence Embedding Models

Abstract JINA EMBEDINGS构成了一组高性能的句子嵌入模型,擅长将文本输入转换为数字表示,捕捉文本的语义。这些模型在密集检索和语义文本相似性等应用中表现出色。文章详细介绍了JINA EMBEDINGS的开发,从创建高质量的成对(pairwi…

WEB 自动化神器 TestCafe(一)—安装和入门篇

今天小编给大家带来WEB 自动化神器 TestCafe(一) —安装和入门篇 一、TestCafe 介绍: TestCafe 是一款基于 Node.js 的端到端 Web 自动化测试框架,支持 TypeScript 或 JavaScript 来编写测试用例,运行用例,并生成自动化测试报告。…

Flutter笔记:目录与文件存储以及在Flutter中的使用(上)

Flutter笔记 目录与文件存储以及在Flutter中的使用(上) 文件系统基础知识与路径操作 作者:李俊才 (jcLee95):https://blog.csdn.net/qq_28550263 邮箱 :291148484163.com 本文地址:h…