【每日一记5】+第1天+网络设备常规加固办法
  

平凡的小网工 17911人觉得有帮助

{{ttag.title}}
从网络攻防实战来看,网络层的访问控制被证明是最有效的(攻击者很难绕过)。网络层访问控制属于基础架构安全,是整个安全防护的基础,同时也是最重要的部分。今天介绍增强网络设备安全的几个主要方法,包括安全管理配置、端口限制,访问控制,认证授权等,仅供参考!(仅以华为设备为例):加油:
1:进行MAC地址、IP地址和端口的绑定。
[Huawei]user-bind static ip-address 1.1.1.1 mac-address 1111-1111-1111 interface GigabitEthernet0/0/2  vlan id       #将IP、mac地址绑定于接口2

2:本地本地console口配置。
user-interface con 0            
authentication-mode password
set authentication password cipher Aa@110120
super password level 15 cipher         #配置super 密码
user privilege level 15

3:建立远程登录管理用户名密码及登录权限,建议使用ssh远程管理。
建立用户
aaa
local-user admin password cipher ;xj-T-wEQ6)~4-$1%8}Uf8:#
local-user admin privilege level 16
local-user admin service-type ssh

设置远程登录方式为ssh
rsa local-key-pair create                      #生成本地密钥对
undo telnet server enable                   #禁用telnet
stelnet server enable
ssh authentication-type default password
ssh client first-time enable

虚拟终端登录配置
user-interface vty 0 1         
authentication-mode aaa               
protocol inbound ssh
user-interface maximum-vty 2          #限制虚拟终端连接数量

4:将设备纳入网管,确保读写团体字的安全。
建议使用v3版本MD5验证、3des加密。
snmp-agent sys-info version v3
snmp-agent group v3 admin privacy  read-view internet
snmp-agent mib-view included internet internet
snmp-agent usm-user v3 admin admin authentication-mode md5 ******** privacy-mode 3des *******         

5:限制能够管理设备的IP地址,包括网管和远程登录。
acl number 2000
rule 1 permit source 192.168.1.1 0        仅允许192.168.1.1主机访问
snmp-agent group v3 admin acl 2000
user-interface vty 0 4
acl 2000 inbound

6:对用户操作日志进行记录,缺乏存贮介质的采用日志主机。
info-center loghost source Loopback0
info-center loghost 1.1.1.1
logging on  logging <10.x.x.x>

7:配置TACACS认证:
radius-server authorization 1.1.1.1 server-group abcdefg
radius-server authorization 1.1.1.1 shared-key cipher  123123abcd

8:关闭不必要服务、未使用端口,比如FTP、HTTP、TFTP、Telenet等。
undo ftp server
undo http server
[Router] Interface GigabitEthernet1/1/1
[Router-GigabitEthernet1/1/1] shutdown
...

9:ACL访问控制列表-禁止高危端口访问、限制网络连接实现访问控制。
建立ACL策略:
ACL number  3001
rule 1 deny icmp
rule 5 deny tcp destination-port eq ftp
rule 10 deny tcp destination-port eq telnet
rule 15 deny tcp destination-port eq smtp
rule 20 deny tcp destination-port eq 161
rule 25 deny tcp destination-port eq 445
rule 30 deny tcp destination-port eq 3389
rule 35 deny tcp destination-port range klogin kshell
rule 40 deny tcp destination-port range 135 139
管控访问IP:
方法1(黑名单方式):禁止192.168.1.0/24网段的访问
rule 100 deny tcp source 192.168.1.0 0.0.0.255
方法2(白名单方式):允许192.168.1.0/24网段对外访问,限制所有对内访问
rule 100  permit tcp  source 192.168.1.0 0.0.0.255
rule 101 permit tcp destination 192.168.1.0 0.0.0.255 established
rule 105 deny tcp
在接口应用策略:
[Router-GigabitEthernet0/0/1] traffic-filter inbound acl 3001
注1:系统默认过滤方式是Permit,即允许未匹配ACL规则的报文通过,可以配置缺省默认规则为deny。
注2:两种匹配顺序:
config:按照rule先后顺序匹配。
auto:按照“深度优先”顺序。
注3:尽量靠近数据源的接口应用ACL,减少不必要的流量进入网络。

10:Qos policy流量控制-可实现对流量的分类、标记、整形、监管、拥塞管理和避免、访问控制、统计、镜像、深度应用识别等功能。
Qos三要素:类(classifier)、行为(behavior)、策略(policy)。
acl number 2002                        #建规则
rule 5 permit source 192.168.2.0 0.0.0.255

traffic classifier 1 operator or    #建类  即规则集合
if-match acl 2002

traffic behavior 1                        #建行为动作
car cir 8

interface Ethernet0/0/0               #接口应用
traffic-policy 1 inbound

好了,网络设备的加固办法就这么多了。其实可以用基线设备帮你实现多设备部署,期待sangfor也早日能有基线设备。

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

一个无趣的人 发表于 2020-3-5 22:59
  
看了楼主的帖子,让我陷入了严肃的思考中,我认为,如果不把楼主的帖子顶上去,就是对真理的一种背叛,就是对谬论的极大妥协。因此,我决定义无返顾的顶了!
新手325719 发表于 2020-4-21 10:45
  
打卡学习
言不由衷 发表于 2021-4-11 09:22
  
打卡学习,感谢分享,学习到了!期待您更多的分享
山东_朱文鑫 发表于 2021-6-24 10:52
  

看了楼主的帖子,让我陷入了严肃的思考中,我认为,如果不把楼主的帖子顶上去,就是对真理的一种背叛,就是对谬论的极大妥协。因此,我决定义无返顾的顶了
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
技术笔记
【 社区to talk】
新版本体验
功能体验
技术咨询
标准化排查
2023技术争霸赛专题
GIF动图学习
信服课堂视频
产品连连看
自助服务平台操作指引
每周精选
秒懂零信任
技术晨报
高手请过招
技术圆桌
答题自测
安装部署配置
每日一记
玩转零信任
通用技术
场景专题
升级&主动服务
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

468
227
32

发帖

粉丝

关注

7
11
24

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

31
34
45

发帖

粉丝

关注

本版达人

新手89785...

本周建议达人

YangZhe...

本周分享达人

runner

本周提问达人