一、网络设备1、建议删除与设备运行、维护等工作无关的账号;(如没有需求,可删除远程登录账户)sys[H3C]aaa[H3C-aaa]undo local-user admin[H3C-aaa]undo local-user XXX2、在系统配置中对登录用户的源 IP 地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上
(通过交换机设置 ACL+User-int Vty 实现)sys[H3C]ACL 2001[H3C-ACL-basic-2001]rule 0 permit source XXX
XXX 0[H3C-ACL-basic-2001]rule 1 deny source any [H3C-ACL-basic-2001]quit[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode aaa[H3C-ui-vty0-4]acl 20013、如不需要提供 SNMP 服务的,建议禁止 SNMP 协议服务,注意在禁止时删除一些 SNMP服务的默认配置,如开启 SNMP 协议,建议更改 SNMP 连接的源地址,以增强其安全性
(可关闭 SNMP)sys[H3C]undo snmp-agent4、为了防止利用 IP Spoofing 手段假冒源地址进行的攻击对整个网络造成的冲击,建议在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查
该功能会对设备的转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用
(可开启 ARP Anti-attack 功能,接入交换机没有此针对性功能防护,常见于防护墙)sys[H3C]arp anti-attack check user-bind alarm threshold 100[H3
