织梦网站优化,昆明电商网站开发,注册网站授权书怎么写,企业网站设计注意事项部署思路 表1 设备登录安全策略部署 部署建议 功能描述 应用场景 配置本地Console口登录的安全功能 配置Console口用户界面的认证方式和用户级别等。 本地Console口登录设备时建议配置此功能#xff0c;提升本地设备登录的安全性。 配置远程STelnet登录的安全功能 配置…
部署思路 表1 设备登录安全策略部署 部署建议 功能描述 应用场景 配置本地Console口登录的安全功能 配置Console口用户界面的认证方式和用户级别等。 本地Console口登录设备时建议配置此功能提升本地设备登录的安全性。 配置远程STelnet登录的安全功能 配置VTY用户界面的协议类型、认证方式和用户级别等。 远程登录设备时建议配置此功能基于SSH协议实现在不安全网络上提供安全的远程登录。 表2 接入层设备安全策略部署 部署建议 功能描述 应用场景 部署位置 缺省情况 配置流量抑制功能 对超过设定速率的广播、未知组播或未知单播报文进行丢弃或阻塞。 建议在网络内部互联接口配置此功能减少异常环路的广播风暴对整网业务的影响。 下行接口或VLAN 广播报文的流量抑制已使能 未知组播、未知单播报文的流量抑制未使能 配置风暴控制功能 对超过设定速率广播、未知组播或未知单播报文进行阻塞或关闭接口。 在树形组网接口下挂用户网络时建议配置此功能防止用户网络广播风暴影响整个网络。 下行接口 未使能 配置DHCP Snooping功能 通过配置信任接口利用合法的DHCP交互报文创建DHCP Snooping绑定表对来自不信任接口的DHCP报文的进行匹配检查将不匹配的DHCP报文进行丢弃。 当主机通过DHCP获取IP地址时建议在DHCP客户端的上层接入设备配置此功能保证DHCP客户端从合法的DHCP服务器获取IP地址防止DHCP服务器仿冒者攻击、仿冒DHCP报文攻击和DHCP报文泛洪攻击等。 下行接口或VLAN 说明 上行直接或间接连接DHCP服务器的接口配置为信任接口。 未使能 配置IPSGIP源防攻击功能 利用静态绑定表、DHCP Snooping绑定表或ND Snooping绑定表匹配检查收到的IP报文将不匹配的IP报文进行丢弃。 当主机通过DHCP获取IP地址或使用静态IP地址时建议在与用户直连的接入设备上配置此功能防止非法主机仿冒主机IP地址或私自更改IP地址攻击网络。 下行接口或VLAN 未使能 配置ND Snooping功能 利用DAD过程中的邻居请求报文NS创建的ND Snooping绑定表匹配检查ND报文将不匹配的ND报文进行丢弃。 当网络中未部署DHCPv6服务器主机只能通过无状态地址自动配置方式获取IPv6地址时建议部署此功能防止地址欺骗攻击和RA攻击。 下行接口或VLAN 未使能 配置DAI动态ARP检查功能 利用DHCP Snooping绑定表匹配检查收到的ARP报文将不匹配的ARP报文进行丢弃。 为防止中间人伪造ARP报文攻击导致通信双方的数据被窃取时建议配置此功能。 下行接口或VLAN 未使能 配置端口安全功能 通过将接口学习到的动态MAC地址转换为安全MAC地址阻止非法用户通过本接口和交换机通信。 为增强主机接入的安全性控制接入主机数量或防止仿冒主机从其他端口攻击时建议配置此功能。 下行接口 未使能 配置端口隔离功能 将端口加入到隔离组中配置隔离模式以及单向或双向隔离。 为实现同一VLAN内端口之间的二层隔离或二三层均隔离时建议配置此功能。 下行接口 未使能 表3 汇聚层设备安全策略部署 部署建议 功能描述 如果核心层作为用户网关汇聚层下接了多个接入层设备主要负责业务流量的二层转发只需要配置端口隔离即可。 解决不同接入层设备下连接的终端设备二层互通的问题。 如果汇聚层作为用户网关相关的安全策略部署请参考核心层设备安全策略部署。 - 如果汇聚层下接了终端设备相关的安全策略部署请参考接入层设备安全策略部署。 - 表4 核心层设备安全策略部署 安全维度 部署建议 功能描述 应用场景 缺省情况 CPU安全 本机防攻击 配置CPU防攻击功能 将单位时间内上送CPU报文的数量限制在一定范围之内从而保护CPU的安全。 网络中上送CPU处理的报文过多或者发生恶意报文攻击CPU导致CPU占用率高性能下降影响其他业务正常运行时建议配置本机防攻击业务。 已使能 配置攻击溯源功能 根据攻击报文信息找出攻击源用户或攻击源接口发送日志告警通知管理员并对攻击源实施惩罚。 已使能 配置端口防攻击功能 通过对超过检查阈值的报文进行溯源和限速避免因为攻击端口的报文挤占带宽而导致其他端口的报文无法正常上送CPU。 已使能 配置用户级限速功能 基于MAC地址对特定用户上送CPU的报文进行限速避免单个用户发起攻击时影响其他用户。 已使能 ARP安全 防ARP泛洪攻击 配置ARP报文限速功能 防止设备因处理大量ARP报文导致CPU负荷过重。 用户上网慢、用户掉线、频繁断网、无法上网、业务中断 设备CPU占用率较高无法正常学习部分ARP、设备脱管、下挂设备掉线、设备主备状态震荡、设备端口指示灯红色快闪 Ping有时延、丢包或不通 根据源IP地址的ARP报文限速设备允许1秒内最多只能有同一个源IP地址的30个ARP报文通过。根据源MAC地址的ARP报文限速未使能针对全局、VLAN和接口的ARP报文限速未使能 配置ARP Miss消息限速功能 防止设备处理大量目的IP不能解析的报文触发大量ARP Miss报文。 根据源IP地址的ARP Miss消息限速设备允许每秒最多处理同一个源IP地址触发的30个ARP Miss消息。针对全局、VLAN和接口的ARP Miss消息限速未使能 配置临时ARP表项的老化功能 减少ARP Miss报文的触发频率。 临时ARP表项的老化时间为3秒 配置禁止过路ARP报文上送CPU功能 对过路ARP报文直接转发提高设备防御ARP泛洪攻击的能力。 已使能 配置ARP优化应答功能 堆叠系统的备/从交换机对目的IP是本系统接口IP地址的ARP请求报文直接回复ARP应答报文提高堆叠系统防御ARP防泛洪攻击的能力。 已使能 配置ARP表项严格学习功能 只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP防止设备收到大量ARP攻击报文时ARP表被无效的ARP条目占满。 未使能 配置ARP表项限制功能 限制设备接口只能学习到设定的最大动态ARP表项数目防止当一个接口所接入的某一台用户主机发起ARP攻击时消耗整个设备的ARP表项资源。 在规格范围内设备对接口能够学习到的最大动态ARP表项数目没有限制。 配置禁止接口学习ARP表项功能 防止该接口下所接入的用户主机发起ARP攻击时消耗整个设备的ARP表项资源。 已使能 ARP安全 防ARP欺骗攻击 配置ARP表项固化功能 设备在第一次学习到ARP之后不再允许用户更新此ARP表项或只能更新此ARP表项的部分信息或者通过发送单播ARP请求报文的方式对更新ARP条目的报文进行合法性确认以防止攻击者伪造ARP报文修改正常用户的ARP表项内容。 用户掉线、频繁断网、无法上网、业务中断 Ping丢包或不通 已使能 配置ARP防网关冲突功能 防止用户仿冒网关发送ARP报文非法修改网络内其他用户的ARP表项。 用户掉线、频繁断网、无法上网、业务中断 设备脱管、下挂设备掉线、网关冲突 Ping丢包或不通 未使能 配置ARP网关保护功能 通过保护网关的IP地址防止用户仿冒网关发送ARP报文非法修改网络内其他用户的ARP表项。 用户掉线、频繁断网、无法上网、业务中断 设备脱管、下挂设备掉线、网关冲突 Ping丢包或不通 未使能 配置发送ARP免费报文功能 设备作为网关主动向用户发送以自己IP地址为目标IP地址的ARP请求报文定时更新用户ARP表项的网关MAC地址防止用户的报文不能正常的转发到网关或者被攻击者窃听。 用户上网慢、用户掉线、频繁断网、无法上网、业务中断 Ping有时延、丢包或不通 未使能 配置ARP报文内MAC地址一致性检查功能 防止以太网数据帧首部中的源、目的MAC地址和ARP报文数据区中的源、目的MAC地址不一致的ARP欺骗攻击。 用户上网慢、用户掉线、频繁断网、无法上网、业务中断 设备脱管、下挂设备掉线、网关冲突 Ping有时延、丢包或不通 未使能 配置ARP报文合法性检查功能 设备会对MAC地址和IP地址不合法的报文进行过滤。 未使能 配置ARP表项严格学习功能 只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP防止设备收到大量ARP攻击报文时ARP表被无效的ARP条目占满。 未使能 配置DHCP触发ARP学习功能 设备根据收到的DHCP ACK报文直接生成ARP表项。当DHCP用户数目很大时可以避免大规模ARP表项的学习和老化对设备性能和网络环境形成的冲击。 用户上网慢、用户掉线、频繁断网、无法上网、业务中断 Ping有时延、丢包或不通 未使能 表5 无线业务安全策略部署 部署建议 功能描述 应用场景 缺省情况 配置WIDS/WIPS无线入侵检测系统/无线干扰防御系统功能 通过配置设备检测和反制功能对检测出的非法设备或干扰设备进行反制避免非法STA接入网络。通过配置攻击检测和动态黑名单功能将存在泛洪攻击、弱IV向量攻击、欺骗攻击和暴力破解密钥攻击行为的设备加入黑名单。 为保护企业和用户不被无线网络上未经授权的设备访问同时对非法用户或AP进行检测时建议配置此功能。 设备检测和反制功能未开启 攻击检测和动态黑名单功能未开启 配置安全策略功能 通过开放认证、WEP安全、WPA/WPA2-PSK认证、WPA/WPA2-802.1X认证、WAPI-PSK认证和WAPI-证书认证等方式对无线终端进行身份验证对用户的报文进行加密。 为保证无线用户上网的安全性实现无线链路建立时的链路认证无线用户上线时的接入认证无线用户业务数据传输时的数据加密建议配置此功能。 开放认证 配置STA黑白名单功能 通过配置黑白名单列表来管理无线终端的接入。 为了对无线用户的接入进行控制以保证合法用户正常接入WLAN网络避免非法用户强行接入WLAN网络建议配置此功能。 未开启 配置VAP内的用户隔离功能 通过在流量模板下配置用户隔离使得同一VAP内的用户之间的报文相互不能转发。 为实现同一个VAP内的用户间二层隔离三层互通提高用户通信安全性建议配置此功能。 未开启 配置端口隔离功能 将端口加入到隔离组中配置隔离模式以及单向或双向隔离。 为解决同一VLAN内不同AP间的WLAN用户二层互通的问题提升无线用户通信安全性建议在接入AP的交换机上配置此功能。 未开启 设备登录安全配置示例
在现网中登录设备的方式主要有以下两种本地Console口和远程STelnet。
本地Console口登录安全配置示例
通过Console口也称串口登录交换机是登录设备的最基本方式也是其他登录方式如Telnet和STelnet的基础。一旦攻击者接触到Console口后交换机将暴露给攻击者交换机的安全无法保障。通过配置Console口用户界面的认证方式、用户的认证信息和用户级别可以保证Console登录的安全性。
部署注意事项 如果用户通过Console口登录设备再进行Console用户界面配置所配置的属性需退出当前登录再次通过Console口登录才会生效。 为充分保证设备安全首次登录设备时必须按照要求修改缺省密码并定期修改密码。
配置步骤
配置Console用户界面的认证方式。 HUAWEI system-view
[HUAWEI] user-interface console 0 //进入Console用户界面
[HUAWEI-console0] authentication-mode aaa //配置认证方式为AAA默认情况下即AAA
[HUAWEI-console0] quit 配置Console用户的认证信息及用户级别。 [HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建本地用户admin123登录密码为YsHsjx_202206
[HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户admin123的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] local-user admin123 service-type terminal //配置本地用户admin123的接入类型为终端用户即Console用户 通过Console口连接设备提示用户输入用户名和密码实现Console口登录设备。本举例配置的用户名为admin123密码为YsHsjx_202206 Login authenticationUsername:admin123
Password:
HUAWEI
远程STelnet登录安全配置示例
Telnet和STelnet是远程登录交换机两种方式Telnet协议存在安全风险而STelnet则基于SSH协议实现了在不安全网络上提供安全的远程登录提供安全信息保障和强大认证功能保护交换机不受IP欺骗等攻击。
部署注意事项
登录设备前需要确保终端PC和设备之间路由可达。使用STelnet V1协议存在安全风险建议使用STelnet V2登录设备。配置STelnet登录交换机前用户终端应该已安装SSH服务器登录软件。本举例中SSH服务器登录软件以第三方软件PuTTY为例。通过STelnet登录设备需配置用户界面支持的协议是SSH必须设置VTY用户界面认证方式为AAA认证。 为充分保证设备安全请定期修改密码。
配置步骤
配置VTY用户界面的支持协议类型、认证方式和用户级别。 [HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] authentication-mode aaa //配置VTY用户界面认证方式为AAA认证
[HUAWEI-ui-vty0-4] protocol inbound ssh //配置VTY用户界面支持的协议为SSH默认情况下即SSH
[HUAWEI-ui-vty0-4] user privilege level 15 //配置VTY用户界面的级别为15
[HUAWEI-ui-vty0-4] quit 开启STelnet服务器功能并创建SSH用户。 [HUAWEI] stelnet server enable //使能设备的STelnet服务器功能
[HUAWEI] ssh user admin123 //创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet //配置SSH用户的服务方式为STelnet 配置SSH用户认证方式。 # 配置SSH用户认证方式为Password。使用Password认证方式时需要在AAA视图下配置与SSH用户同名的本地用户。[HUAWEI] ssh user admin123 authentication-type password //配置SSH用户认证方式为password
[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建与SSH用户同名的本地用户和对应的登录密码
[HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户级别为15
[HUAWEI-aaa] local-user admin123 service-type ssh //配置本地用户的服务方式为SSH
[HUAWEI-aaa] quit # 配置SSH用户认证方式为RSA、DSA或ECC。以ECC认证方式为例RSA、DSA认证方式步骤类似 使用RSA、DSA或ECC认证方式时需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时自己的私钥如果与输入的公钥匹配成功则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。 [HUAWEI] ssh user admin123 authentication-type ecc //配置SSH用户认证方式为ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem //配置ECC公共密钥编码格式并进入ECC公共密钥视图,key01为公共密钥名称
Enter ECC public key view, return system view with peer-public-key end.
[HUAWEI-ecc-public-key] public-key-code begin //进入公共密钥编辑视图
Enter ECC key code view, return last view with public-key-code end.
[HUAWEI-dsa-key-code] 308188 //拷贝复制客户端的公钥为十六进制字符串
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end //退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end //退回到系统视图
[HUAWEI] ssh user admin123 assign ecc-key key01 //为用户admin123分配一个已经存在的公钥key01 在服务器端生成本地密钥对。 HUAWEI system-view
[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The key modulus can be any one of the following: 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys. 客户端STelnet登录设备。 PC端用Password认证方式连接SSH服务器。 通过PuTTY软件登录设备输入设备的IP地址选择协议类型为SSH。 点击“Open”出现如下界面输入用户名和密码并按Enter键至此已登录到SSH服务器。以下显示信息仅为示例 login as: admin123
Sent username admin123admin12310.10.10.20s password:Info: The max number of VTY users is 8, and the numberof current VTY users on line is 5.The current login time is 2018-12-22 09:35:2800:00.
HUAWEI
