1.1概述
各家网络设备厂商就设备登录配置不尽相同,本期总结分享一篇关于此的文章,希望各位小伙伴有所收获。
1.2参考依据
GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》传输保密性保护要求:应采用密码技术保证通信过程中数据的保密性。远程管理防护要求:当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
1.3关键词
SSH、Telnet、Console、堡垒机
1.4华三网络设备登录配置
交换机的软件版本:H3C Comware Software, Version 7.1.075
#启用telnet服务,不建议开启telnet的登录方式(明文传输)
[SW_1]telnet server enable
#启动SSH服务
[SW_1]ssh server enable
#添加用户Test,建议自定义账户,不要使用admin等用户名
[SW_1]local-user Test
New local user added.
#设置用户名密码,建议密码至少8位,需同时包含大小写字母和特殊字符
[SW_1-luser-manage-Test]password simple Test_123
#设置用户登录是最高权限
[SW_1-luser-manage-Test]authorization-attribute user-role level-15
#设置用户的服务类型,terminal指console登录,务必添加。
[SW_1-luser-manage-Test]service-type terminal ssh telnet
#设置vty,采用用户名和密码登录
[SW_1]line vty 0 4
[SW_1-line-vty0-4]authentication-mode scheme
#设置console登录,采用用户名和密码登录
[SW_1]line console 0
[SW_1-line-console0]
[SW_1-line-console0]authentication-mode scheme
[SW_1]
高级选项——源地址登录限制
#定义仅允许192.168.1.2主机访问的访问控制列表
[SW_1]acl advanced 3000
[SW_1-acl-ipv4-adv-3000]rule permit ip source 192.168.1.2 0
#ssh服务调用定义的访问控制列表
[SW_1]ssh server acl 3000
#SSH源地址限制登录日志
[SW_1]%Aug 13 14:12:52:945 2021 SW_1 SSHS/5/SSHS_ACL_DENY: The SSH Connection 192.168.1.3 request was denied according to ACL rules.
1.5华为网络设备登录配置
交换机的软件版本:S5735 V200R020C10SPC500
#在AAA模块中添加用户、设置密码和赋予权限等
[SW_1-aaa]
local-user Test password irreversible-cipher Test_123
local-user Test privilege level 15
local-user Test service-type telnet terminal ssh
#启用telnet和stelnet(SSH)服务,不建议开启telnet的登录方式(明文传输)
[SW_1]stelnet server enable
[SW_1]telnet server enable
#配置ssh登录用户参数,如修改SSH远程登录的默认端口(22)和SSH登录超时时间等
[SW_1]ssh user Test
[SW_1]ssh user Test authentication-type password
[SW_1]ssh user Test service-type all
[SW_1]ssh client first-time enable
#软件版本要求,必须设置服务的源IP地址
[SW_1]ssh server-source all-interface
[SW_1]telnet server-source all-interface
#设置console登录,采用用户名和密码登录
[SW_1]user-interface con 0
authentication-mode aaa
#设置vty,采用用户名和密码登录
[SW_1]user-interface vty 0 4
authentication-mode aaa
protocol inbound all
#创建本地dsa及rsa密钥
[SW_1]dsa local-key-pair create
[SW_1]rsa local-key-pair create
高级选项——源地址登录限制
[SW_1]acl number 3000
[SW_1-acl-adv-3000]rule permit ip source 192.168.1.102 0
[SW_1]user-interface vty 0 4
[SW_1-ui-vty0-4]acl 3000 inbound
[SW_1-ui-vty0-4]authentication-mode aa
[SW_1-ui-vty0-4]protocol inbound all
1.6总结
1.不同厂商的网络设备的不同软件版本,设备登录配置略有差异,不过其配置的逻辑是通用的,即启用服务、建立本地用户和用户接口调用创建的用户等。
2.鉴于Telnet协议采用明文传输,建议网络设备采用SSH2登录方式,同时对Console登录进行有效限制。
3.若内网有堡垒机设备,网络设备可仅限堡垒机(SSH2、Telnet)登录,不但可从实现网络设备登录管理的可管、可控,而且符合等级保护的网络安全审计要求。
以上总结,希望大家有所收获,不足之处,欢迎各位小伙伴留言指正。
网络设备登录配置总结
最新推荐文章于 2024-05-24 11:32:00 发布