华为交换机ACL限制telnet登入以及安全防护配置

交换机 同时被 3 个专栏收录
4 篇文章 0 订阅
15 篇文章 0 订阅
25 篇文章 2 订阅

给交换机的telnet  ftp等配置白名单,限制非法登入。

 

启用Telnet服务

<HUAWEI> system-view
[HUAWEI] sysname Nxera-YC
[Nxera-YC] telnet server enable

配置VTY用户界面的最大个数。

[Nxera-YC] user-interface maximum-vty 15

配置允许用户登录设备的主机地址。

[Nxera-YC] acl name telnetwhilte 2999
[Nxera-YC-acl-basic-telnetwhilte] description telnet_whilte
[Nxera-YC-acl-basic-telnetwhilte] rule 10 permit source 192.168.0.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 15 permit source 192.168.168.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 20 deny any
[Nxera-YC] user-interface vty 0 14
[Nxera-YC-ui-vty0-4] protocol inbound telnet
[Nxera-YC-ui-vty0-4] acl 2999 inbound

 

配置VTY用户界面的用户验证方式。

[Nxera-YC-ui-vty0-14] authentication-mode aaa
[Nxera-YC-ui-vty0-14] quit
[Nxera-YC] aaa
[Nxera-YC-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Nxera-YC-aaa] local-user admin1234 service-type telnet
[Nxera-YC-aaa] local-user admin1234 privilege level 3
[Nxera-YC-aaa] quit

 

SNMP漏洞规避措施配置

  • 1.      华为设备默认关闭SNMP功能;不建议使用本地用户,可使用RADIUS或HWTACACS等远端用户。

   查询SNMP agent的状态是关闭的:

   [HUAWEI]display snmp-agent  sys-info

  • 2.      华为设备使能SNMP时,默认使用SNMP V3版本。不建议使用V1和V2版本。

l  查询SNMP状态

       [HUAWEI]display snmp-agent  sys-info

l  如果查询结果显示:

               SNMP version running in the system: 

                SNMPv1 SNMPv2c SNMPv3

  l  配置关闭SNMP V1/V2协议:

                 [HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

  • 3.      如果必须使用SNMP V1/V2,建议关闭SNMP V1/V2 mib的查询用户账号节点。

          建议配置:

                 [HUAWEI] snmp-agent mib-view include userinfo internet

                 [HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

                 [HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

                 [HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

                 [HUAWEI] snmp-agent community read public mib-view userinfo 

                 [HUAWEI] snmp-agent community write private mib-view userinfo

  •  4. 在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问;

    配置举例:

           [HUAWEI] acl 2001

          [HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

          [HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

          [HUAWEI-acl-basic-2001] quit

          [HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

 

配置畸形报文攻击防范

anti-attack abnormal enable

配置分片报文攻击防范

anti-attack fragment enable

配置TCP SYN泛洪攻击防范

anti-attack tcp-syn enable

配置UDP泛洪攻击防范

anti-attack udp-flood enable

配置ICMP泛洪攻击防范

anti-attack icmp-flood enable

检查泛洪攻击防范的配置结果

执行display anti-attack statistics [ tcp-syn | udp-flood | icmp-flood ]命令

  • 5
    点赞
  • 0
    评论
  • 25
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

©️2022 CSDN 皮肤主题:黑客帝国 设计师:我叫白小胖 返回首页

打赏作者

ashq

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值