给交换机的telnet ftp等配置白名单,限制非法登入。
启用Telnet服务
<HUAWEI> system-view
[HUAWEI] sysname Nxera-YC
[Nxera-YC] telnet server enable
配置VTY用户界面的最大个数。
[Nxera-YC] user-interface maximum-vty 15
配置允许用户登录设备的主机地址。
[Nxera-YC] acl name telnetwhilte 2999
[Nxera-YC-acl-basic-telnetwhilte] description telnet_whilte
[Nxera-YC-acl-basic-telnetwhilte] rule 10 permit source 192.168.0.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 15 permit source 192.168.168.0 0.0.0.255
[Nxera-YC-acl-basic-telnetwhilte] rule 20 deny any
[Nxera-YC] user-interface vty 0 14
[Nxera-YC-ui-vty0-4] protocol inbound telnet
[Nxera-YC-ui-vty0-4] acl 2999 inbound
配置VTY用户界面的用户验证方式。
[Nxera-YC-ui-vty0-14] authentication-mode aaa
[Nxera-YC-ui-vty0-14] quit
[Nxera-YC] aaa
[Nxera-YC-aaa] local-user admin1234 password irreversible-cipher Helloworld@6789
[Nxera-YC-aaa] local-user admin1234 service-type telnet
[Nxera-YC-aaa] local-user admin1234 privilege level 3
[Nxera-YC-aaa] quit
SNMP漏洞规避措施配置
- 1. 华为设备默认关闭SNMP功能;不建议使用本地用户,可使用RADIUS或HWTACACS等远端用户。
查询SNMP agent的状态是关闭的:
[HUAWEI]display snmp-agent sys-info
- 2. 华为设备使能SNMP时,默认使用SNMP V3版本。不建议使用V1和V2版本。
l 查询SNMP状态
[HUAWEI]display snmp-agent sys-info
l 如果查询结果显示:
SNMP version running in the system:
SNMPv1 SNMPv2c SNMPv3
l 配置关闭SNMP V1/V2协议:
[HUAWEI]undo snmp-agent sys-info version v1 v2c
- 3. 如果必须使用SNMP V1/V2,建议关闭SNMP V1/V2 mib的查询用户账号节点。
建议配置:
[HUAWEI] snmp-agent mib-view include userinfo internet
[HUAWEI] snmp-agent mib-view excluded userinfo snmpUsmMIB
[HUAWEI] snmp-agent mib-view excluded userinfo snmpVacmMIB
[HUAWEI] snmp-agent mib-view excluded userinfo hwLocalUserTable
[HUAWEI] snmp-agent community read public mib-view userinfo
[HUAWEI] snmp-agent community write private mib-view userinfo
- 4. 在使用SNMPv1/v2协议的情况下,通过增加访问控制列表或防火墙来限制对SNMP v1/v2的访问;
配置举例:
[HUAWEI] acl 2001
[HUAWEI-acl-basic-2001] rule 5 permit source 1.1.1.2 0.0.0.0
[HUAWEI-acl-basic-2001] rule 6 deny source 1.1.1.1 0.0.0.0
[HUAWEI-acl-basic-2001] quit
[HUAWEI] snmp-agent community read cipher security-read mib-view userinfo acl 2001
配置畸形报文攻击防范
anti-attack abnormal enable
配置分片报文攻击防范
anti-attack fragment enable
配置TCP SYN泛洪攻击防范
anti-attack tcp-syn enable
配置UDP泛洪攻击防范
anti-attack udp-flood enable
配置ICMP泛洪攻击防范
anti-attack icmp-flood enable
检查泛洪攻击防范的配置结果
执行display anti-attack statistics [ tcp-syn | udp-flood | icmp-flood ]命令