网络设备安全防护指导手册.pptVIP

目录 01 03 用户与口令 网络服务 02 04 设备管理 日志与审计 05 安全防护 用户与口令 a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。 弱密码：admin123、123456等 强密码：xX0o@5F5（密码长度应大于8位、同时包含大写字母，小写字母，数字以及特殊符号） 未感信息泄露。 用户与口令 H3C设备配置账户和密码: 1.配置三个不同权限的账户。 2.在本地接口进行AAA认证，保证Console口登陆设备。 用户与口令 加固方法 用户与口令 华为设备配置账户和密码: 1.配置三个不同权限的账户。 2.在本地接口进行AAA认证，保证Console口登陆设备。 用户与口令 加固方法 目录 02 03 设备管理 网络服务 01 04 用户与口令 日志与审计 05 安全防护 设备管理 c)应具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。 b) 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 配置ssh远程管理 配置设备登陆超时 设备管理 Snmp Public 默认口令漏洞 测试方法 H3C设备配置： 1、生成RSA及DSA密钥对，并启动SSH服务器。 2、设置SSH客户端登录用户界面的认证方式为scheme。 远程管理 加固方法 设备管理 Snmp Public 默认口令漏洞 测试方法 华为设备配置： 1、生成RSA密钥对，并启动SSH服务器。 2、设置SSH客户端登录用户界面的认证方式为AAA认证。 远程管理 加固方法 设备管理 Snmp Public 默认口令漏洞 测试方法 H3C设备配置：Console口或远程登录后超过5分钟无动作自动退出。 远程登录超时 加固方法 设备管理 Snmp Public 默认口令漏洞 测试方法 华为设备配置：Console口或远程登录后超过5分钟无动作自动退出。 远程登录超时 加固方法 目录 03 02 网络服务 设备管理 01 04 用户与口令 日志与审计 05 安全防护 常用加固项 c)关闭不需要的网络服务。 禁止不必要的服务 网络服务 网络服务 H3C设备： 禁用不必要的服务，允许开放SNMP,SSH,NTP，TCPSMALLSERVERS、UDPSMALLSERVERS、Finger、HTTPSERVER、BOOTPSERVER等特定服务。 禁用不必要的服务 加固方法 网络服务 华为设备： 禁用不必要的服务，允许开放SNMP,SSH,NTP，TCPSMALLSERVERS、UDPSMALLSERVERS、Finger、HTTPSERVER、BOOTPSERVER等特定服务。 禁用不必要的服务 加固方法 目录 04 02 日志与审计 设备管理 01 03 用户与口令 网络服务 05 安全防护 配置日志策略 启用snmp协议 常用加固项 d)禁系统日志策略配置文件，对系统登录、访问等行为进行审计，为后续问题追溯提供依据。 日志与审计 日志与审计 H3C设备SNMP协议配置： 启用snmp协议 加固方法 日志与审计 华为设备SNMP协议配置： 启用snmp协议 加固方法 日志与审计 H3C设备日志策略配置： 配置日志策略 加固方法 日志与审计 华为设备日志策略配置： 配置日志策略 加固方法 目录 05 02 安全防护 设备管理 01 03 用户与口令 网络服务 04 日志与审计 修改BANNER信息 设置ACL访问控制列表 空闲端口管理 MAC地址绑定 常见加固项 e)重要网段应采取技术手段防止地址欺骗。； f)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级； g)关闭不需要的网络端口; 安全防护 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 网络设备安全防护指导手册 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *