华为交换机ACL限制telnet登入以及安全防护配置

给交换机的telnet  ftp等配置白名单,限制非法登入。

 

启用Telnet服务

 system-view
[HUAWEI] sysname Nxera-YC
[Nxera-YC] telnet server enable

配置VTY用户界面的最大个数。

[Nxera-YC] user-interface maximum-vty 15

配置允许用户登录设备的主机地址。

[Nxera-YC] acl name telnetwhilte 2999
[Nxera-YC-acl-basic-telnetwhilte] description telnet_whilte
[Nxera-YC-acl-basic-telnetwhilte] rule 10 permit source 192.168.0.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 15 permit source 192.168.168.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 20 deny any
[Nxera-YC] user-interface vty 0 14
[Nxera-YC-ui-vty0-4] protocol inbound telnet
[Nxera-YC-ui-vty0-4] acl 2999 inbound

 

配置VTY用户界面的用户验证方式。

[Nxera-YC-ui-vty0-14] authentication-mode aaa
[Nxera-YC-ui-vty0-14] quit
[Nxera-YC] aaa
[Nxera-YC-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Nxera-YC-aaa] local-user admin1234 service-type telnet
[Nxera-YC-aaa] local-user admin1234 privilege level 3
[Nxera-YC-aaa] quit

 

SNMP漏洞规避措施配置

  • 1.      华为设备默认关闭SNMP功能;不建议使用本地用户,可使用RADIUS或HWTACACS等远端用户。

   查询SNMP agent的状态是关闭的:

   [HUAWEI]display snmp-agent  sys-info

  • 2.      华为设备使能SNMP时,默认使用SNMP V3版本。不建议使用V1和V2版本。

l  查询SNMP状态

       [HUAWEI]display snmp-agent  sys-info

l  如果查询结果显示:

               SNMP version running in the system: 

                SNMPv1 SNMPv2c SNMPv3

  l  配置关闭SNMP V1/V2协议:

                 [HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

  • 3.      如果必须使用SNMP V1/V2,建议关闭SNMP V1/V2 mib的查询用户账号节点。

          建议配置:

                 [HUAWEI] snmp-agent mib-view include userinfo internet

                 [HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

                 [HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

                 [HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

                 [HUAWEI] snmp-agent community read public mib-view userinfo 

                 [HUAWEI] snmp-agent community write private mib-view userinfo

  •  4. 在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问;

    配置举例:

           [HUAWEI] acl 2001

          [HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

          [HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

          [HUAWEI-acl-basic-2001] quit

          [HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

 

配置畸形报文攻击防范

anti-attack abnormal enable

配置分片报文攻击防范

anti-attack fragment enable

配置TCP SYN泛洪攻击防范

anti-attack tcp-syn enable

配置UDP泛洪攻击防范

anti-attack udp-flood enable

配置ICMP泛洪攻击防范

anti-attack icmp-flood enable

检查泛洪攻击防范的配置结果

执行display anti-attack statistics [ tcp-syn | udp-flood | icmp-flood ]命令

你可能感兴趣的:(交换机,网络,运维)