文章详细描述了华为设备中的账号管理、登录要求(包括加密传输和远程登录源地址限制)、认证授权(如RADIUS服务器配置)以及SNMP服务的安全配置,强调了日志记录和通信协议调整的重要性,同时提到了网络安全学习资源。
1 帐号管理、认证授权
1.1 账号管理
1.1.1 ELK-Huawei-01-01-01
编号:
|
ELK-Huawei- 01-01-01
—|—
名称:
|
无效帐户清理
实施目的:
|
删除与设备运行、维护等工作无关的账号
问题影响:
|
账号混淆,权限不明确,存在用户越权使用的可能。
系统当前状态:
|
查看备份的系统配置文件中帐号信息。
实施方案:
|
参考配置操作
aaa
undo local-user test
回退方案:
|
还原系统配置文件。
判断依据:
|
标记用户用途,定期建立用户列表,比较是否有非法用户
实施风险:
|
低
重要等级:
|
★★★
实施风险:
|
低
重要等级:
|
★★★
1.2 登录要求
1.2.1 ELK-Huawei-01-02-01
编号:
|
Huawie-01-02-01
—|—
名称:
|
远程登录加密传输
实施目的:
|
远程登陆采用加密传输
问题影响:
|
泄露密码
系统当前状态:
|
查看备份的系统配置文件中远程登陆的配置状态。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
(1)R36xxE系列、R2631E系列
#protocol inbound ssh x [acl xxxx];
#ssh user xxxx assign rsa-key xxxxxx;
#ssh user xxxx authentication-type [ password | RSA | all ]
(2)NE系列
#local-user username password [simple | cipher] password
#aaa enable
ssh user username authentication-type password
#user-interface vty x
#authentication-mode scheme default
#protocol inbound ssh
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中远程登陆的配置状态。
实施风险:
|
高
重要等级:
|
★
1.2.2 ELK-Huawei-01-02-02
编号:
|
ELK-Huawei- 01-02-02
—|—
名称:
|
加固AUX端口的管理
实施目的:
|
除非使用拨号接入时使用AUX端口,否则禁止这个端口。
问题影响:
|
用户非法登陆
系统当前状态:
|
查看备份的系统配置文件中关于CON配置状态。
实施方案:
|
参考配置操作
undo modem
设置完成后无法通过AUX拨号接入路由器
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于CON配置状态。
实施风险:
|
中
重要等级:
|
★
1.2.3 ELK-Huawei-01-02-03
编号:
|
ELK-Huawei- 01-02-03
—|—
名称:
|
远程登陆源地址限制
实施目的:
|
对登录用户的源IP地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。
问题影响:
|
非法登陆。
系统当前状态:
|
查看备份的系统配置文件中关于登录配置状态。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
acl acl-number [match [config | auto]];
rule {normal |special} {permit | deny} [ source xxx xxx] [
destination xxx xxx] ….
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于登录配置状态。
实施风险:
|
中
重要等级:
|
★
1.3 认证和授权
1.3.1 ELK-Huawei-01-03-01
编号:
|
ELK-Huawei- 01-03-01
—|—
名称:
|
认证和授权设置
实施目的:
|
设备通过相关参数配置,与认证系统联动,满足帐号、口令和授权的强制要求。
问题影响:
|
非法登陆。
系统当前状态:
|
查看备份的系统配置文件中相关配置。
实施方案:
|
参考配置操作
#对远程登录用户先用RADIUS服务器进行认证,如果没有响应,则不认证。
#认证服务器IP地址为129.7.66.66,无备用服务器,端口号为默认值1812。
配置RADIUS服务器模板。
[Router] radius-server template shiva
配置RADIUS认证服务器IP地址和端口。
Router-radius-shiva]radius-server authentication 129.7.66.66 1812
配置RADIUS服务器密钥、重传次数。
[Router-radius-shiva] radius-server shared-key it-is-my-secret
[Router-radius-shiva] radius-server retransmit 2
[Router-radius-shiva] quit
进入AAA视图。
[Router] aaa
配置认证方案r-n,认证方法为先RADIUS,如果没有响应,则不认证。
[Router–aaa] authentication-scheme r-n
[Router-aaa-authen-r-n] authentication-mode radius none
[Router-aaa-authen-r-n] quit
配置default域,在域下采用r-n认证方案、缺省的计费方案(不计费),shiva的RADIUS模板。
[Router-aaa] domain default
[Router-aaa-domain-default] authentication-scheme r-n
[Router-aaa-domain-default] radius-server shiva
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中相关配置。
实施风险:
|
低
重要等级:
|
★
2 日志配置
2.1 ELK-Huawei-02-01-01
编号:
|
ELK-Huawei- 02-01-01
—|—
名称:
|
开启日志功能
实施目的:
|
支持数据日志,可以记录系统日志与用户日志。系统日志指系统运行过程中记录的相关信息,用以对运行情况、故障进行分析和定位,日志文件可以通过XModem、FTP、TFTP协议,远程传送到网管中心。
判断依据:
|
无法对用户的登陆进行日志记录。
系统当前状态:
|
查看备份的系统配置文件中关于日志功能的配置。
实施方案:
|
参考配置操作
#info-center enable; 默认已启动
#info-center console; 向控制台输出日志
#info-center logbuffer; 向路由器内部缓冲器输出日志
#info-center loghost; 向日志主机输出日志
#info-center monitor; 向telnet终端或哑终端输出日志
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于日志功能的配置。
实施风险:
|
中
重要等级:
|
★★★
3 通信协议
3.1 ELK-Huawei-03-01-01
编号:
|
ELK-Huawei- 03-01-01
—|—
名称:
|
SNMP服务配置
实施目的:
|
如不需要提供SNMP服务的,要求禁止SNMP协议服务,注意在禁止时删除一些SNMP服务的默认配置。
问题影响:
|
对系统造成不安全影响。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
****参考配置操作
全局模式下配置如下命令:
Undo snmp enable
undo snmp-agent community RWuser
关闭snmp的设备不能被网管检测到,关闭写权限的设备不能进行set操作。
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.2 ELK-Huawei-03-01-02
编号:
|
ELK-Huawei- 03-01-02
—|—
名称:
|
更改SNMP TRAP协议端口;
实施目的:
|
如开启SNMP协议,要求更改SNMP trap协议的标准端口号,以增强其安全性。
问题影响:
|
容易引起拒绝服务攻击。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
R36xxE系列、R2631E系列
#snmp-agent
#snmp-agent target-host trap address xxx.xxx.xxx.xxx security xxx port xxx
#snmp-agent trap enable
NE系列
#snmp-agent
#snmp-agent target-host trap address udp-domain xxx.xxx.xxx.xxx securityname
xxx udp-port xxx
#snmp-agent trap enable
回退方案:
|
还原系统配置文件。
判断依据:
|
Show SNMP
实施风险:
|
高
重要等级:
|
★
3.3 ELK-Huawei-03-01-03
编号:
|
ELK-Huawei- 03-01-03
—|—
名称:
|
限制发起SNMP连接的源地址
实施目的:
|
如开启SNMP协议,要求更改SNMP 连接的源地址,以增强其安全性。
问题影响:
|
被非法攻击。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
#snmp-agent
snmp-agent community [read | write] XXXX acl xxxx
【影响】:只有指定的网管网段才能使用SNMP维护
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.4 ELK-Huawei-03-01-04
编号:
|
ELK-Huawei- 03-01-04
—|—
名称:
|
设置SNMP密码
实施目的:
|
如开启SNMP协议,要求设置并定期更改SNMP Community(至少半年一次),以增强其安全性。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
问题影响:
|
泄露密码,引起非法登陆。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
#snmp-agent
snmp-agent community [read | write] XXXX(不建议打开write特性)
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.5 ELK-Huawei-03-01-05
编号:
|
ELK-Huawei- 03-01-05
—|—
名称:
|
SNMP访问安全限制
实施目的:
|
设置SNMP访问安全限制,只允许特定主机通过SNMP访问网络设备。
问题影响:
|
非法登陆。
系统当前状态:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施方案:
|
参考配置操作
#snmp-agent community read XXXX01 acl 2000
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于SNMP服务的配置。
实施风险:
|
中
重要等级:
|
★
3.6 ELK-Huawei-03-01-06
编号:
|
ELK-Huawei- 03-01-06
—|—
名称:
|
源地址路由检查
实施目的:
|
为了防止利用IP
Spoofing手段假冒源地址进行的攻击对整个网络造成的冲击,要求在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。此外,该功能会对设备的转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。
问题影响:
|
会对设备负荷造成影响。
系统当前状态:
|
查看备份的系统配置文件中关于CEF 服务的配置。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
#urpf enable
回退方案:
|
还原系统配置文件。
判断依据:
|
查看配置文件,核对参考配置操作
实施风险:
|
高
重要等级:
|
★
4 设备其它安全要求
4.1 ELK-Huawei-04-01-01
编号:
|
ELK-Huawei- 04-01-01
—|—
名称:
|
禁止未使用或空闲的端口
实施目的:
|
防止从空闲端口渗透到系统内部
问题影响:
|
从空闲端口渗透到系统内部
系统当前状态:
|
查看备份的系统配置文件中关于端口启用的配置。
实施方案:
|
参考配置操作
在不使用的端口启用如下命令:
shutdown
回退方案:
|
还原系统配置文件。
判断依据:
|
查看备份的系统配置文件中关于端口启用的配置。
实施风险:
|
中
重要等级:
|
★★★
4.2 ELK-Huawei-04-01-02
编号:
|
ELK-Huawei- 04-01-02
—|—
名称:
|
关闭不必要的服务
实施目的:
|
关闭网络设备不必要的服务,比如FTP、NTP、HGMP、Dhcp Server服务等
问题影响:
|
造成系统不安全性增加,难以管理。
系统当前状态:
|
查看备份的系统配置文件。
实施方案:
|
参考配置操作
全局模式下配置如下命令:
!FTP服务的关闭
#undo ftp server
回退方案:
|
还原系统配置文件。
判断依据:
|
查看配置文件,核对参考配置操作。
实施风险:
|
中
重要等级:
|
★
题外话
初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:
2023届全国高校毕业生预计达到1158万人,就业形势严峻;
国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。
一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。
6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。
2022届大学毕业生月收入较高的前10个专业
本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。
具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。
网络安全行业特点
1、就业薪资非常高,涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!
2、人才缺口大,就业机会多
2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
行业发展空间大,岗位非常多
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…
职业增值潜力大
网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。
随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。
从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。
黑客&网络安全如何学习
今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。
1.学习路线图
攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。
2.视频教程
网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
3.技术文档和电子书
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。
还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。
这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。
参考解析:深信服官网、奇安信官网、Freebuf、csdn等
内容特点:条理清晰,含图像化表示更加易懂。
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
