一、网络设备1、建议删除与设备运行、维护等工作无关的账号;(如没有需求,可删除远程登录账户)〈H3C>sys[H3C]aaa[H3C-aaa]undo local—user admin[H3C-aaa]undo local-user XXX2、在系统配置中对登录用户的源 IP 地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。(通过交换机设置 ACL+User—int Vty 实现)sys[H3C]undo snmp—agent4、为了防止利用 IP Spoofing 手段假冒源地址进行的攻击对整个网络造成的冲击,建议在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。该功能会对设备的转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。(可开启 ARP Anti—attack 功能,接入交换机没有此针对性功能防护,常见于防护墙)〈H3C>sys[H3C]arp anti-attack check user—bind alarm threshold 100[H3C]arp anti—attack packet-check ip[H3C]arp anti—attack rate-limit enable5、建议关闭网络设备不必要的服务,比如 FTP、NTP、HGMP、Dhcp Server 服务等。(默认为关闭的)6、建议设置网络管理员和安全管理员的口令长度大于 8 位,并由字母和数字或特别字符组成,口令与用户名不相同,并密文存储。(用户按要求自定义)〈H3C〉sys[H3C]aaa[H3C—aaa]local—user XXX password irreversible—cipher XXXXXXXX[H3C-aaa]local—user XXX privilege level 15[H3C—aaa]local-user XXX service-type telnet http二、防火墙1、建议防火墙配置包过滤的访问规则,包括明确的源 IP 地址、目的 IP 地址、协议及端口等。(配置域间策略即可)〈f100〉sys[F100]interzone source Trust destination Untrust[F100-trust—untrust]rule 0 permit[F100-trust—untrust]source—ip XXX[F100—trust-u...
