一、网络设备1、建议删除与设备运行、维护等工作无关的账号;(如没有需求,可删除远程登录账户)sys[H3C]aaa[H3C-aaa]undo local-user admin[H3C-aaa]undo local-user XXX2、在系统配置中对登录用户的源 IP 地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备上。(通过交换机设置 ACL+User-int Vty 实现)sys[H3C]ACL 2001[H3C-ACL-basic-2001]rule 0 permit source XXX.XXX.XXX.XXX 0[H3C-ACL-basic-2001]rule 1 deny source any [H3C-ACL-basic-2001]quit[H3C]user-interface vty 0 4[H3C-ui-vty0-4]authentication-mode aaa[H3C-ui-vty0-4]acl 20013、如不需要提供 SNMP 服务的,建议禁止 SNMP 协议服务,注意在禁止时删除一些 SNMP服务的默认配置,如开启 SNMP 协议,建议更改 SNMP 连接的源地址,以增强其安全性。(可关闭 SNMP)sys[H3C]undo snmp-agent4、为了防止利用 IP Spoofing 手段假冒源地址进行的攻击对整个网络造成的冲击,建议在所有的边缘路由设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。该功能会对设备的转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。(可开启 ARP Anti-attack 功能,接入交换机没有此针对性功能防护,常见于防护墙)sys[H3C]arp anti-attack check user-bind alarm threshold 100[H3C]arp anti-attack packet-check ip[H3C]arp anti-attack rate-limit enable5、建议关闭网络设备不必要的服务,比如 FTP、NTP、HGMP、Dhcp Server 服务等。(默认为关闭的)6、建议设置网络管理员和安全管理员的口令长度大于 8 位,并由字母和数字或特别字符组成,口令与用户名不相同,并密文存储。(用户按要求自定义)sys[H3C]aaa[H3C-aaa]local-user XXX password irreversible-cipher XXXXXXXX[H3C-aaa]local-user XXX privilege level 15[H3C-aaa]local-user XXX service-type telnet http二、防火墙1、建议防火墙配置包过滤的访问规则,包括明确的源 IP 地址、目的 IP 地址、协议及端口等。(配置域间策略即可)sys[F100]interzone source Trust destination Untrust[F100-trust-untrust]rule 0 permit[F100-trust-untrust]source-ip XXX[F100-trust-untrust]destination-ip XXX[F100-trust-untrust]service...
