Copy of
date
Nov 15, 2023 06:29 AM
Related to 日程数据 1 (blog)
tags
slug
summary
icon
category
password
网络安全 一、路由协议配置
1、 OSPF禁止引入外部路由,并应在ABR上对路由进行有效聚合;厂站端静默下联接口。 配置区域间认证; ospf 1 silent-interface GigabitEthernetX/X/X 静默下联接口 area 0.0.0.X // x表示区域号 network x.x.x.x x.x.x.x //宣告loopback接口,与核心、汇聚互联接口 authentication-mode simple plain xxx //认证内容自定义 asbr-summary y.y.y.y mask y.y.y.y //聚合互联地址 2、 禁止配置默认路由,例如 ip route-static 0.0.0.0 0.0.0.0 X.X.X.X。
二、网络设备账户密码
2.1删除网络设备供应商缺省账户
2.1.1华为系列配置举例
aaa undo local-user admin //删除默认用户账户 2.1.2华三系列配置举例
Undo local-user admin //删除默认用户账户 2.2配置登录用户及登录方式
1、 密码必须是数字与字符的组合且长度至少为8位 2、 Console口使用用户名和口令相结合的方式登录。远程登录方式采用SSH,并限制登录源地址范围,只允许网管地址以及设备,登录后空闲时间超过5分钟应自动退出,退出后用户需重新登录; 2.2.1华为系列配置举例
2.2.1.1AAA用户配置
aaa local-user XXX password xxx //配置用户名密码自定义 local-user XXX privilege level 15 //用户权限为最高15级 local-user XXX service-type terminal ssh //用户所应有的服务类型
2.2.1.2ACL配置
acl XXX description stelnet //描述自定义 rule 1 permit source x.x.x.x 0 0.0.0.255 //网管地址段 rule 2 permit source x.x.x.x 0.0.0.3 //设备互联地址段 rule 10 deny //其余流量拒绝 2.2.1.3登录方式配置
user-interface con 0 // console口本地登录 authentication-mode aaa //认证方式调用AAA idle-timeout 5 0 // 空闲登录超时时间为5分钟 user-interface vty 0 4 //远程方式登录 acl XXX inbound //调用ACL authentication-mode aaa //认证方式调用AAA idle-timeout 5 0 // 空闲登录超时时间为5分钟 protocol inbound ssh // 只允许SSH远程登录协议
stelnet server enable//开启SSH rsa local-key-pair create//生成本地RSA秘钥 ssh user XXX//建立SSH用户 ssh user XXX authentication-type password//配置认证类型 ssh user XXX service-type stelnet//配置认证服务 ssh client first-time enable//开启SSH客户端首次认证
2.2.2华三系列配置举例
2.2.2.1AAA用户配置举例
local-user XXX class manage//用户名自定义 password hash XXX //密码自定义 service-type ssh telnet terminal //应用服务类型 authorization-attribute user-role level-15 //用户权限最高15级 authorization-attribute user-role network-admin //权限为管理员级别 2.2.2.2ACL配置举例
acl basic 2000 description to_stelnet //描述自定义 rule 1 permit source X.X.X.X 0.0.0.0.255//网管地址段 rule 2 permit source X.X.X.X 0.0.0.3/设备互联地址段 rule 10 deny //其余流量拒绝
2.2.2.3登录方式配置举例
line con 0 // console口本地登录 authentication-mode scheme//认证类型为用户名密码模式 idle-timeout 5 0 //空闲登录超时时长5分钟 user-role network-admin //权限为管理员级别
line vty 0 4 //远程方式登录 authentication-mode scheme//认证类型为用户名密码模式 user-role network-admin //权限为管理员级别 protocol inbound ssh //只允许SSH 协议 idle-timeout 5 0 //空闲登录超时时长5分钟
ssh server enable //开启SSH功能 ssh user admin service-type stelnet authentication-type password //创建SSH 用户及应用类型,认证方式 ssh server acl 2000 //SSH登录应用ACL
三、SNMP配置举例
SNMP协议应采用V2C及以上版本,禁止使用默认的通信字符串,长度应不小于8位,且为数字和字符的组合,应采用snmp trap上送告警信息,应对日志服务器地址进行限制。 3.1华为系列配置举例
3.1.1SNMP V2配置举例
snmp-agent //开启SNMP snmp-agent community read XXXX_r acl 2000 //配置团体字符,团体名称自定义,并绑定ACL snmp-agent community write XXXX_w acl 2000 snmp-agent sys-info version v2c //选择V2C版本 snmp-agent target-host trap-hostname XXXX address X.X.X.X udp-port 162 trap-paramsname XXXX_r //配置trap告警地址 snmp-agent trap source LoopBack0/vlanifX //配置告警源地址 snmp-agent trap enable //开启trap告警功能
3.1.2SNMP V3配置举例
snmp-agent //开启SNMP snmp-agent sys-info version v3 //选择V3版本 snmp-agent mib-view included isoview iso //配置MIB视图isoview能够访问iso子树。 snmp-agent group v3 group001 privacy write-view isoview acl 2001 //配置用户组名为group001,安全级别为privacy,并应用ACL snmp-agent usm-user v3 user001 group group001 //配置用户名user001,并将用户名加入指定的用户组。 snmp-agent usm-user v3 user001 authentication-mode sha Please configure the authentication password (8-64) Enter Password: //输入认证密码,本例的认证密码为:Authe@1234。 Confirm Password: //确认认证密码,本例的认证密码为:Authe@1234。 snmp-agent usm-user v3 user001 privacy-mode aes128 Please configure the privacy password (8-64) Enter Password: //输入加密密码,本例的加密密码为:Priva@1234。 Confirm Password: //确认加密密码,本例的加密密码为:Priva@1234。 snmp-agent trap enable//打开交换机上所有的Trap开关。缺省情况下仅打开了部分告警开关,可通过display snmp-agent trap all命令查看。 snmp-agent target-host trap address udp-domain 10.1.1.1 params securityname user001 v3 privacy //配置告警主机,缺省情况发送Trap的UDP端口号为162,安全名和用户名必须保持一致,否则无法管理设备。
3.2华三系列配置举例
3.2.1SNMP V2配置举例
snmp-agent //开启SNMP snmp-agent community read XXXX_r acl 2000 //配置团体字符,团体名称自定义,并绑定ACL snmp-agent community write XXXX_w acl 2000 snmp-agent sys-info version v2c //选择V2C版本 snmp-agent target-host trap address udp-domain X.X.X.X params securit yname XXXX snmp-agent trap source LoopBack0/vlanifX //配置告警源地址 snmp-agent trap enable //开启trap告警功能
3.2.2SNMP V3配置举例
snmp-agent //开启SNMP snmp-agent sys-info version v3 //选择V3版本 snmp-agent mib-view included mibtest 1 //创建MIB视图,名字为mibtest,包含mib-2子树(OID为“1”)所有对象 snmp-agent group v3 managev3group privacy read-view mibtest write-view mibtest notify-view mibtest //创建SNMPv3组managev3group,并配置与该组绑定的SNMPv3用户与服务器建立连接时,均进行认证和加密,服务器可以对设备进行读写的视图均为mibtest。 snmp-agent usm-user v3 managev3user managev3group simple authentication-mode sha 123456TESTauth&! privacy-mode aes128 123456TESTencr&! //设置SNMPv3用户名为managev3user,认证算法为SHA-1,认证密码为123456TESTauth&!,加密算法为AES,加密密码是123456TESTencr&!。 snmp-agent trap enable //开启trap告警功能 snmp-agent target-host trap address udp-domain 192.168.100.4 params securityname managev3user v3 privacy //置接收SNMP告警信息的目的主机IP地址,配置安全认证参数为managev3user。
四、NTP服务配置
网络设备应配置NTP协议,保证网络设备系统时间准确,接入层和汇聚层网络设备均应与核心层路由器对时。 ntp-service enable //开启NTP服务 ntp-service source-interface LoopBack0/VLANifX //配置NTP服务源地址,路由器为loopback地址;交换机为管理VLANif地址。 ntp-service unicast-peer X.X.X.X //配置对时主机地址
五、日志功能
网络设备应开启日志审计功能,日志缓冲区应设置为最大值。 info-center enable info-center logbuffer size 1024
六、关闭不必要服务
6.1华三系列举例
undo http https-port //关闭HTTP服务 undo dhcp enable //关闭DHCP功能 undo ftp server enable // 关闭FTP功能 undo dns server // 关闭DNS服务功能 undo header incoming // 关闭网络设备Banner默认信息 6.2华为系列配置举例
undo ftp server //关闭FTP服务功能 undo ip http //关闭HTTP服务功能 undo dns server //关闭DNS服务功能 undo dhcp enable // 关闭DHCP服务功能 undo header incoming // 关闭网络设备Banner默认信息
七、交换机端口安全
7.1空闲端口关闭
interface GigabitEthernet0/0/0 //进入指定接口 shutdown //shutdown为关闭接口; undo shutdown // undo shutdown 为开启接口 7.2配置端口粘性地址绑定
interface gigabitethernet 1/0/1 //进入端口 port-security enable //开启端口安全 port-security mac-address sticky //配置粘性绑定 port-security max-mac-num 2 //最多学习两个MAC地址 7.3绑定IP、MAC和端口
interface GigabitEthernet 1/0/1 user-bind ip-addr X.X.X.X mac-addr XX-XX-XX-XX //绑定指定IP和MAC
7.4 VLAN配置举例
7.4.1创建VLAN
VLAN 100 //创建单个VLAN VLAN batch 10 to 15 //创建连续VLAN,例如:创建VLAN 10 11 12 13 14 15 。 7.4.2划分VLAN
7.4.2.1华为系列配置举例
interface GigabitEthernet0/0/2 description to-xxx // 端口描述 port link-type access //修改端口所在链路类型为access port default vlan 10 // 将端口划分VLAN 10 7.4.2.2华三系列配置举例
interface GigabitEthernet0/0/2 description to-xxx port access vlan 10 // 端口链路类型为access 划分VLAN 10
7.4.2.3trunk链路
特定接口允许多个VLAN通过 interface GigabitEthernet0/0/24 description to-XXX // 端口描述 port link-type trunk //修改端口所在链路为 trunk 类型 port trunk allow-pass vlan 10 20 //允许端口所在链路允许通过VLAN为10 20 7.4.2.4创建vlanif地址
在交换机配置三层时,需创建多个vlanif作为网关或互联地址 Interface vlanif10 Ip address X.X.X.X 255.255.255.X
相关文章
技师复习
Lazy loaded image
迁移apitable到nocodb
Lazy loaded image
nothing
Lazy loaded image
大练兵
Lazy loaded image
hackthebox靶场练习
Lazy loaded image
在线web靶机收集
Lazy loaded image
迁移apitable到nocodbnothing
Loading...
lea
lea
一个普通的干饭人🍚
最新发布
影子输入法初始化个人配置
影子输入法初始化个人配置
2024-12-25
技师复习
技师复习
2024-9-11
迁移apitable到nocodb
迁移apitable到nocodb
2024-4-19
[攻防世界]功夫再高也怕菜刀(misc)
[攻防世界]功夫再高也怕菜刀(misc)
2024-4-12
数据网相关
数据网相关
2023-11-15
wifi相关
wifi相关
2023-11-15