本文介绍了如何在等保3级要求下增强交换机安全性,包括配置ACL限制登录主机,如允许特定IP地址及网段访问;禁用telnet并启用SSH登录,配置审计和运维账号;以及如何开启SSH服务并设置用户权限,确保网络设备的安全管理。
1. 配置 acl 限制允许登陆的主机。
配置举例
# 配置ACL 2005规则,限制VTY 0~VTY 4界面只允许IP地址为192.168.2.5的用户和10.10.1.0/24网段的用户登录设备,配置如下。
<HUAWEI> system-view
[HUAWEI] acl 2005
[HUAWEI-acl-basic-2005] rule permit source 192.168.2.5 0 //允许IP地址为192.168.1.5的用户登录设备。
[HUAWEI-acl-basic-2005] rule permit source 10.10.1.0 0.0.0.255 //允许10.10.5.0/24网段的用户登录设备。
[HUAWEI-acl-basic-2005] quit
[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] acl 2005 inbound
[HUAWEI-ui-vty0-4] quit
2、开启 ssh 登陆,取消 telnet 登陆,并配置有审计账号和运维账号,授予审计访问权限。
Telnet 缺少安全的认证方式,用户可以通过 STelnet 方式进行远程的安全登录。终端 PC 和 SSH 服务器之间路由可达,在 SSH 服务器端配置用 yunwei 和 audit01 账号,PC 使用 yunwei 和 audit01 用户通过 Password 认证方式登录 SSH 服务器。
配置思路
采用如下的思路配置用户通过STelnet登录设备:
1. PC端已安装登录SSH服务器软件。
2. 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。
3. 在SSH服务器端配置SSH用户audit01。
4. 在SSH服务器端开启STelnet服务功能。
5
最低0.47元/天 解锁文章
5468
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
