【文章內(nèi)容簡介】 查時，對于設備的接地，機柜的接地，地線的腐蝕情況，地排的腐蝕情況都要進行全面的檢查。 定期檢查設備的相關線纜是否完好建議定期（每1－2月檢查一次）檢查設備的電源線、尾纖、接地線纜是否完好，有沒有被腐蝕，有沒有被鼠咬，以保證業(yè)務不會因為線纜的損壞而受到影響。 定期檢查設備的風扇是否運行正常設備的風扇如果運行不正常，會導致設備內(nèi)的溫度快速上升，它會使路由器的可靠性大大降低，長期高溫還會影響其壽命，過高的溫度將加速絕緣材料的老化過程，導致設備器件損壞，建議每天注意觀察設備風扇是否產(chǎn)生告警，同時可以使用相關命令來查詢風扇是否在位。如果風扇框上的防塵網(wǎng)上積累了過多的灰塵，或者風扇運轉不順暢，都會影響風扇的通風排熱效果，建議每月檢查一次設備風扇運轉是否良好，是否有隱患，風扇框上的防塵網(wǎng)是否積累了過多灰塵。第3章 華為路由器交換機數(shù)據(jù)安全配置 分級設置用戶口令華為公司的數(shù)據(jù)設備的登錄口令分為4級：參觀級、監(jiān)控級、配置級、管理級，不同的級別所能做的操作都不相同。參觀級：網(wǎng)絡診斷工具命令（ping、tracert）、從本設備出發(fā)訪問外部設備的命令（包括：Telnet客戶端、SSH客戶端、RLOGIN）等，該級別命令不允許進行配置文件保存的操作。監(jiān)控級：用于系統(tǒng)維護、業(yè)務故障診斷等，包括display、debugging命令，該級別命令不允許進行配置文件保存的操作。配置級：業(yè)務配置命令，包括路由、各個網(wǎng)絡層次的命令，這些用于向用戶提供直接網(wǎng)絡服務。管理級：關系到系統(tǒng)基本運行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設置命令、系統(tǒng)內(nèi)部參數(shù)設置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。建議分級設置登錄口令，以便于對于不同的維護人員提供不同的口令?！九渲脤嵗緾ON口對應的優(yōu)先級缺省為3，其它用戶界面的優(yōu)先級缺省為0。 例如，設置CON口的優(yōu)先級為3，從VTY 0的優(yōu)先級為2。[Quidwayuiconsole0] user privilege level 3[Quidwayuivty0] user privilege level 2 對任何方式的用戶登錄都進行認證建議對于各種登錄設備的方式（通過TELNET、CONSOLE口、AUX口）都進行認證。在默認的情況下，對于華為的設備，CONSOLE口是不進行認證，在使用時建議對于CONSOLE口登錄配置上認證。對于安全級別一般的設備，建議認證方式采用本地認證，認證的時候要求對用戶名和密碼都進行認證，配置密碼的時候要采用密文方式。用戶名和密碼要求足夠的強壯。對于安全級別比較高的設備，建議采用AAA方式到RADIUS去認證。本部實施的是加強設備訪問和提供服務的安全性管理。設置設備標題文本Header的設置要求對遠程登錄的Header的設置要求必須包含非授權用戶禁止登錄的字樣?！九渲脤嵗?配置會話建立標題。[Quidway] header login %Enter TEXT message. End with the character 39。%39。.LOGIN : Hello! Wele use Quidway LAN Switch！If you are not authorited user, please exit!%對CON和AUX端口的安全要求針對Console口和Aux口的安全控制要求，可以為Console口配置增強的登錄口令認證特性，還可以禁用不需要的Aux口使得不能通過Aux端口對設備進行訪問。遠程登錄安全要求華為全線以太網(wǎng)交換機設備提供遠程管理能力，用戶可以通過遠程登錄的方式對設備進行管理。華為以太網(wǎng)交換機提供強大的遠程登錄安全管理能力，包括：禁止遠程用戶登錄、啟用安全的遠程登錄，設置連接超時時間、設置登錄嘗試次數(shù)限制、設置并發(fā)用戶數(shù)目，設置根據(jù)源地址的登錄用戶過濾機制。密碼管理密碼是網(wǎng)絡設備用來防止非授權訪問的主要手段，是設備安全的重要部分。最好的密碼處理方法是將其保存在TACACS+或RADIUS認證服務器上。對于特權模式，應該采用enable secret命令設置強壯的密碼，而不要采用enable password設置密碼，enable secret 命令用于設定具有管理員權限的口令，而enable password采用的加密算法比較弱。而要采用enable secret命令設置。并且要啟用Service passwordencryption，這條命令用于對存儲在配置文件中的所有口令和類似數(shù)據(jù)（如CHAP）進行加密。避免配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文。同時，不要以為加密了就可以放心了，最好的方法就是選擇一個長的口令字（大于8個字符），避免配置文件被外界得到。RADIUS認證的設置RADIUS（Remote access DialIn user service）可以提供遠程用戶的認證機制，為遠程登錄用戶提供統(tǒng)一的認證手段?！九渲脤嵗?配置Radius服務器模板。[Quidway] radiusserver template shiva 配置Radius 主認證、計費服務器和端口。[Quidwayradiusshiva] radiusserver authentication 1812 [Quidwayradiusshiva] radiusserver accounting 1813 配置Radius 備認證、計費服務器和端口。[Quidwayradiusshiva] radiusserver authentication 1812 secondary[Quidwayradiusshiva] radiusserver accounting 1813 secondary 配置Radius服務器密鑰、重傳次數(shù)。[Quidwayradiusshiva] radiusserver sharedkey thisismysecret[Quidwayradiusshiva] radiusserver retransmit 2 進入AAA視圖。[Quidway]aaa 配置認證方案，認證方法為radius。[Quidway–aaa]authenticationscheme radius[Quidwayaaaauthenradius] authenticationmode radius 配置計費方案，計費方法為radius。[Quidway–aaa]accountingscheme radius[Quidway–aaaaccounting]accountingmode radius 配置huawei域，在域下采用radius認證方案、radius計費方案、shiva的radius模板。[Quidwayaaa]domain huawei[Quidwayaaadomainhuawei] authenticationscheme radius [Quidwayaaadomainhuawei] accountingscheme radius[Quidwayaaadomainhuawei] radiusserver shiva 對于網(wǎng)絡上已知的病毒所使用的端口進行過濾現(xiàn)在網(wǎng)絡上的很多病毒（沖擊波、振蕩波）發(fā)作時，對網(wǎng)絡上的主機進行掃描搜索，該攻擊雖然不是針對設備本身，但是在攻擊過程中會涉及到發(fā)ARP探詢主機位置等操作，某些時候對于網(wǎng)絡設備的資源消耗十分大，同時會占用大量的帶寬。對于這些常見的病毒，我們都知道它們的工作方式，知道他們所使用的端口號。為了避免這些病毒對于設備運行的影響，建議在設備上配置ACL，對已知的病毒所使用的TCP、UDP端口號進行過濾。一方面保證了設備資源不被病毒消耗，另一方面阻止了病毒的傳播，保護了網(wǎng)絡中的主機設備?！九渲脤嵗空袷幉ā辈《九渲肗E 16：定義防病毒訪問控制列表：[NE16B]acl number 110 matchorder auto[NE16Bacladv110]rule 10 deny tcp destinationport eq 445[NE16Bacladv110]rule 20 deny tcp destinationport eq 5554[NE16Bacladv110]rule 30 deny tcp destinationport eq 9995[NE16Bacladv110]rule 40 deny tcp destinationport eq 9996[NE16Bacladv110]quit將以上規(guī)則以應用到相應接口上[NE16B]interface Ethernet 2/2/0[NE16BEthernet2/2/0]firewall packetfilter 110 inbound Acl applied successfully![NE16BEthernet2/2/0]qu使能對應槽位單板的軟件防火墻功能[NE16B]firewall enable slot 2[NE16B]NE 80/40定義“病毒”報文規(guī)則： rulemap intervlan vir1 tcp any any eq 445 rulemap intervlan vir2 tcp any any eq 5554 rulemap intervlan vir3 tcp any any eq 9995 rulemap intervlan vir3 tcp any any eq 9996 rulemap intervlan virnormal ip any any 定義丟棄“病毒”報文的規(guī)則： eacl antivir vir1 deny eacl antivir vir2 deny eacl antivir vir3 deny eacl antivir virnormal permit在相關端口上應用策略。S 6506定義防病毒訪問控制列表：acl name anti_worm advanced rule 10 deny tcp destinationport eq 445 rule 20 deny tcp destinationport eq 5554 rule 30 deny tcp destinationport eq 9995 //振蕩波病毒D變種 rule 40 deny tcp destinationport eq 9996 //振蕩波病毒將以上規(guī)則以notcareforinterface方式在單板上全局下發(fā) 關閉危險的服務如果在不使用以下服務的時候，建議將這些服務關閉，防止那些通過這些服務的攻擊對設備的影響。禁止HDP(Huawei Discovery Protocol)。禁止其他的TCP、UDP Small服務。路由器提供一些基于TCP和UDP協(xié)議的小服務如：echo、chargen和discard。這些小服務很少被使用，而且容易被攻擊者利用來越過包過濾機制。禁止Finger、NTP服務。Finger服務可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但是如果沒有一個很好的認證，則會影響路由器正確時間，導致日志和其他任務出錯。建議禁止HTTP服務。路由器操作系統(tǒng)支持Http協(xié)議進行遠端配置和監(jiān)視，而針對Http的認證就相當于在網(wǎng)絡上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護，這使得用Http進行管理相當危險。禁止BOOTp服務。禁止IP Source Routing。明確的禁止IP Directed Broadcast。禁止IP Classless。禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask－Replies。如果沒必要則禁止WINS和DNS服務。1禁止從網(wǎng)絡啟動和自動從網(wǎng)絡下載初始配置文件。1禁止FTP服務，網(wǎng)絡上存在大量的FTP服務，使用不同的用戶名和密碼進行嘗試登錄設備，一旦成功登錄，就可以對設備的文件系統(tǒng)操作，十分危險。 在使用SNMP協(xié)議時候的安全建議在不使用網(wǎng)管的時候，建議關閉SNMP協(xié)議。出于SNMPv1/v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3，除非網(wǎng)管不支持SNMPv3，只能用SNMPv1/v2。在配置SNMPv3時，最好既鑒別又加密，以更有效地加強安全。鑒別協(xié)議可通過MD5或SHA，加密協(xié)議可通過DES。在SNMP服務中，提供了ACL過濾機制，該機制適用于SNMPv1/v2/v3三個版本，建議通過訪問控制列表來限制SNMP的客戶端。SNMP服務還提供了視圖控制，可用于SNMPv1/v2/v3。建議使用視圖來限制用戶的訪問權限。在配置SNMPv1/v2的munity名字時，建議避免使用public、private這樣公用的名字。并且在配置munity時，將RO和RW的munity分開，不要配置成相同的名字。如果不需要RW的權限，則建議不要配置RW的munit