【文章內容簡介】 t ip route default ！設置登陸密碼10 / 28FJFZSWITCH02 (enable)set password！設置空閑時長 3 分鐘FJFZSWITCH02 (enable)set logout 3 訪問地址限制只允許合法的網管網段或網管和維護主機地址作為源地址發(fā)起對設備的遠程連接?！緫镁W絡層次】：在所有層面設備 【影響】：只有網管網段才能登陸【具體配置】：！設置訪問控制列表，只允許網管網段登陸FJFZSWITCH02 (enable) set ip permit tel！啟用訪問控制列表FJFZSWITCH02 (enable) set ip permit enable tel 設置遠程管理 VLAN管理 VLAN 默認在 VALN1，存在著不安全性，要求修改管理 VLAN?！緫镁W絡層次】：在所有層面設備 【影響】：無【具體配置】：FJFZSWITCH02 (enable) set interface sc0 12 ； 帳號和密碼管理要求應在日常維護過程中周期性地（至少按季度）更改登錄密碼，甚至登錄帳11 / 28號。當外方人員需要登錄設備時， 應創(chuàng)建臨時帳號，并指定合適的權限。臨時帳號使用完后應及時刪除。登錄帳號及密碼的保管和更新應由專人負責，并注意保密。帳號名字應該與使用者存在對應關系，如能反 應使用者的級別、從屬關系。為了提高安全性，在方便記憶的前提下， 帳號名字應盡量混用字符的大小寫、數字和符號，提高猜度的難度。同樣的，密碼必須至少使用四種可用字符 類型中的三種：小寫字母、大寫字母、數字和符號，而且密碼不得包含用戶名或用戶全名的一部分。一般情況下密碼至少包含 8 個字符。我 們建議用密碼生成器軟件（如 ）來制造隨機密碼。Catalyst 交換機支持 AAA 認證，最好的口令 處理方法是將 這些口令保存在TACACS+或 RADIUS 認證 服務器上。Catalyst 交換 機的密碼是采用密文存放的，這和思科路由器不一樣。【應用網絡層次】：在所有層面設備 【影響】：無【具體配置】：FJFZSWITCH02 (enable) set password ；設置登陸密碼FJFZSWITCH02 (enable) set enablepass ；設置 enable 密碼 帳號認證和授權Catalyst 交換機支持 RADIUS、TACACS 或者 Kerboros 認證，通過認證可以方便實現對大量設備的登錄帳號和密碼的管理。建議采用集中認證和授權模式。通過服務器還可以彌補設備本身對執(zhí)行權限管理的不足。12 / 28 RADIUS 認證方式RADIUS 的全稱為(Remote Access DailIn User Service),它是對遠程撥號用戶訪問進行認證的一種協議。主要進行 Authentication Authorization Accounting (AAA) 三方面的工作。【應用網絡層次】：根據需要實施，在所有層面設備可以實施該建議?！居绊憽浚簾o【具體配置】：FJFZSWITCH02 (enable) set radius server authport 1645FJFZSWITCH02 (enable) set radius key xxxxxx！tel 認證FJFZSWITCH02 (enable) set authentication login radius enable tel TACACS 認證方式終端訪問控制器訪問控制系統（Terminal Access Controller Access Control System，TACACS）安全協議，對認證和授權處理提供詳細的記帳信息和靈活的管理控制?！緫镁W絡層次】：根據需要實施，在所有層面設備可以實施該建議?！居绊憽浚簾o【具體配置】：FJFZSWITCH02 (enable) set tacacs server FJFZSWITCH02 (enable) set tacacs key xxxxxx！tel 認證FJFZSWITCH02(enable) set authentication login tacacs enable tel13 / 28 Kerboros 認證方式Kerberos 是秘密密 鑰網絡認證協議 ，使用數據加密標準（DES ）加密算法進行加密和認證。Kerberos 是為對網絡資源的請求進行認證而設計的。與其它秘密密鑰系統一樣，Kerberos 基于可信任的第三方概念，這個第三方對用戶和服務執(zhí)行安全認證。在 Kerberos 協議 中，這一可信任的第三方被稱為密鑰分發(fā)中心（KDC，Key Distribution Center）?！緫镁W絡層次】：根據需要實施，在所有層面設備可以實施該建議?！居绊憽浚簾o【具體配置】：！定義 Kerberos 域FJFZSWITCH02 (enable) set kerberos localrealm ！定義 KGC 服務器FJFZSWITCH02 (enable) set kerberos server ！從 KGC 復制 SRVTAB 文件，確保交 換機與 KDC 共享秘密的密鑰FJFZSWITCH02 (enable) set kerberos srvtab remote filename ！轉發(fā)用戶認證證書FJFZSWITCH02 (enable) set kerberos credentials forward ！使用 Kerberos 認證FJFZSWITCH02 (enable) set authentication login kerberos enable tel snmp 協議Snmp 協議是目前數據網管理中普遍使用的協議，但 snmp 協議本身也存在安全問題。需要合理配置 snmp 協議的相關屬性，才能 讓 snmp 協議更好的為日常維護管理服務。14 / 28由于 snmp 協議的 MIB 存放著大量 設備狀態(tài)信息（稱之為 Object，并以 OID作為唯一標識），既有物理 層信息（如端口狀態(tài)），也有協議層信息（如端口 IP 地址）。網管系統通過 SNMP GET 或 MGET 指令采集這些信息作為原始數據，經分析和處理后實現各種網管功能。部分 MIB Object 還可以讓網管系統通過SNMP SET 指令來賦值。 懷有惡意的人可以通過竊取 SNMP 數據來獲得網絡的基本情況，并以此發(fā)起惡意攻擊，甚至通 過修改 MIB Object 賦值來進行破壞。因此 SNMP 的防護非常重要。SNMP 自身也提供了一定的安全手段，即 Community。Community 相當于網管系統與設備之間建立 SNMP 連接合法性的識別字串。它們兩者之間的 SNMP交互都需要先做 Community 檢查后，再 執(zhí)行。有 2 種 Community：ReadOnly（簡稱 RO）和 ReadWrite（簡稱 RW）。RO 提供給 SNMP GET、SNMP MGET、SNMP TRAP 指令使用； RW 還提供給 SNMP SET 指令使用，RW 相當危險，要求關閉snmp rw 功能。建議采取以下方法進行保護： SNMP 服務器的關閉如不需要提供 snmp 服務的，要求禁止 SNMP 協議 服務，注意在禁止時刪除一些 SNMP 服務的默認配置?！具m用網絡層次】：所有設備【影響】：關閉，網管系統無法采集到相關管理數據以及告警監(jiān)控等【具體配置】：FJFZSWITCH01 (enable) set snmp trap disable15 / 28 限制發(fā)起 SNMP 連接的源地址【適用網絡層次】：所有設備【影響】：只有指定的網管網段才能使用 SNMP 維護設備【具體配置】：FJFZSWITCH02 (enable) set snmp trap enable ！指定 TRAP 接收服務器FJFZSWITCH02 (enable) set snmp trap 〈munity_name〉！設置 SNMP IP 過濾FJFZSWITCH02 (enable) set ip permit snmp FJFZSWITCH02 (enable) set ip permit enable snmp 設置 snmp 密碼要求設置并定期更改 SNMP Community（至少半年一次）?！具m用網絡層次】：所有設備【影響】：無【具體配置】：！設置只讀 COMMUNITY NAME 不使用默認的 munity name,如publicFJFZSWITCH02(enable)set snmp munity readonly xxxxxxx！設置讀寫 COMMUNITY NAME 不使用默認的 munity name,如privateFJFZSWITCH02(enable)set snmp munity readwrite xxxxxxx HT