华为交换机ACL限制telnet登入以及安全防护配置

编程语言 2020-03-11 10:48:04 阅读次数: 0

给交换机的telnet  ftp等配置白名单,限制非法登入。

启用Telnet服务

<HUAWEI> system-view
[HUAWEI] sysname Nxera-YC
[Nxera-YC] telnet server enable

配置VTY用户界面的最大个数。

[Nxera-YC] user-interface maximum-vty 15

配置允许用户登录设备的主机地址。

[Nxera-YC] acl name telnetwhilte 2999
[Nxera-YC-acl-basic-telnetwhilte] description telnet_whilte
[Nxera-YC-acl-basic-telnetwhilte] rule 10 permit source 192.168.0.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 15 permit source 192.168.168.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 20 deny any
[Nxera-YC] user-interface vty 0 14
[Nxera-YC-ui-vty0-4] protocol inbound telnet
[Nxera-YC-ui-vty0-4] acl 2999 inbound

配置VTY用户界面的用户验证方式。

[Nxera-YC-ui-vty0-14] authentication-mode aaa
[Nxera-YC-ui-vty0-14] quit
[Nxera-YC] aaa
[Nxera-YC-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Nxera-YC-aaa] local-user admin1234 service-type telnet
[Nxera-YC-aaa] local-user admin1234 privilege level 3
[Nxera-YC-aaa] quit

SNMP漏洞规避措施配置

  • 1.      华为设备默认关闭SNMP功能;不建议使用本地用户,可使用RADIUS或HWTACACS等远端用户。

   查询SNMP agent的状态是关闭的:

   [HUAWEI]display snmp-agent  sys-info

  • 2.      华为设备使能SNMP时,默认使用SNMP V3版本。不建议使用V1和V2版本。

l  查询SNMP状态

       [HUAWEI]display snmp-agent  sys-info

l  如果查询结果显示:

               SNMP version running in the system: 

                SNMPv1 SNMPv2c SNMPv3

  l  配置关闭SNMP V1/V2协议:

                 [HUAWEI]undo  snmp-agent  sys-info version  v1 v2c

  • 3.      如果必须使用SNMP V1/V2,建议关闭SNMP V1/V2 mib的查询用户账号节点。

          建议配置:

                 [HUAWEI] snmp-agent mib-view include userinfo internet

                 [HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB

                 [HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB

                 [HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable

                 [HUAWEI] snmp-agent community read public mib-view userinfo 

                 [HUAWEI] snmp-agent community write private mib-view userinfo

  •  4. 在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问;

    配置举例:

           [HUAWEI] acl 2001

          [HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0

          [HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0

          [HUAWEI-acl-basic-2001] quit

          [HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001

 

配置畸形报文攻击防范

anti-attack abnormal enable

配置分片报文攻击防范

anti-attack fragment enable

配置TCP SYN泛洪攻击防范

anti-attack tcp-syn enable

配置UDP泛洪攻击防范

anti-attack udp-flood enable

配置ICMP泛洪攻击防范

anti-attack icmp-flood enable

检查泛洪攻击防范的配置结果

执行display anti-attack statistics [ tcp-syn | udp-flood | icmp-flood ]命令

ashq
发布了22 篇原创文章 · 获赞 21 · 访问量 2万+
私信 关注

猜你喜欢

转载自blog.csdn.net/qq_41565459/article/details/101015240
今日推荐
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
【转】spring中对控制反转和依赖注入的理解
tms webcore 安装和使用
java程序员进阶相关书籍
SpringMVC接受请求参数、
如何保存训练好的机器学习模型
MyEclipse、Eclipse设置项目JDK的三个地方
商超行业微信小程序开发定制一般多少钱 (行业技术人员解读)
Markdown编辑器语言——30分钟入门到到精通
Linux系统下MongoDB的简单安装与基本操作
Power Strings
每日归档
更多
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022