vFW初始配置简单合规

优化设备初始化配置

前文提到,新华三技术有限公司H3C SecPath F10x0防火墙存在弱口令漏洞(CNVD-ID:CNVD-2020-10223)。攻击者可利用该漏洞登录系统获取敏感信息。(https://www.cnvd.org.cn/flaw/show/CNVD-2020-10223

说实话,这是我印象中第一次配置不合规上升到了信息安全漏洞层面,所以希望能引起大家足够的重视吧。本来是打算出一期等保2.0中配置合规的专题,在本文先优化一下设备的初始化配置吧。等保2.0简单介绍

修改设备名称及地址

一般为了方便管理,建议按照“位置+型号+管理IP”格式进行设置。我是虚拟化,没有位置,就直接设置成vFW-200.1了。

 

vFW初始配置简单合规_第1张图片

查看接口信息,和物理防火墙不一样的是,设备默认的第一个接口没有配置信息,需要手工配置地址。在G1/0接口上配置了192.168.100.200/24的地址,ping网关100.1发现不通,也没有ARP信息,才发现是完全的空配置。

#

 sysname vFW-200.1

#

interface GigabitEthernet1/0

 port link-mode route

 description Management

 ip address 192.168.100.200 255.255.255.0

 

vFW初始配置简单合规_第2张图片

域间策略配置

首先将接口G1/0加入到安全域Management,因为是挺老的一个版本,还不支持安全策略,所以先调整域间策略。

 

#

security-zone name Management

 import interface GigabitEthernet1/0

#

zone-pair security source Local destination Management

 packet-filter 3000

#

zone-pair security source Management destination Local

 packet-filter 3000

正常来讲,域间策略只应该精确地放通需要互访的流量,比如此处,放通规则仅添加192.168.100.0/24网段的互访,并在最后添加deny规则。

#

acl advanced 3000

 description zonepair

 rule 0 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

rule 100 deny ip

调整用户配置

新增用户Tietou,并删除默认用户admin,提升安全级别。要保证用户权限设置合理,密码强度符合要求,一般是包含数字、大小写字母、特殊字符,并且字符长度不低于8位。

#

local-user Tietou class manage

 password simple [email protected]

 service-type ssh terminal https

 authorization-attribute user-role network-admin

开启远程服务

尽量避免使用Telnet、HTTP等非加密协议,建议使用SSH和HTTPS,并使用ACL进行远程访问控制。

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

 ssh server enable

 ssh server acl 2400

#

acl basic 2400

 description vtylogin

 rule 0 permit source 192.168.100.0 0.0.0.255

#

 ip https port 8443

 ip https acl 2400

 ip https enable

为避免收到攻击,需要关闭不必要的服务并删除无关账号信息,如上次传版本使用的FTP服务就要及时关闭,创建的FTP临时账号也要及时删除。

其他配置项

一般物理环境中,涉及到的配置项还有console口认证,password-control密码控制(如密码强度符合要求、定期老化更新等),登录检测(登录失败延迟、登录攻击方法等),低级别用户切换访问级别等等。遇到时具体问题具体分析,最后再按照等保要求汇总一份文档给大家。

 

http://www.h3c.com/cn/Service/Document_Software/Software_Download/NFV/H3C_SecPath_vFW/H3C_SecPath_vFW2000/

欢迎访问guotiejun.com获取更多信息,个人黄页地址为i.guotiejun.com。

也可以扫码关注公众号“铁军哥”,感谢您的支持!

我还拉个微信群吧,方便和粉丝们一起交流网络、安全、云计算之类的问题,也可以关注公众号后选择“补充能量”→“加入交流群”获取最新加群二维码。

你可能感兴趣的:(网络技术,安全,vfw,h3c,服务器,ssh)