【文章內(nèi)容簡介】 查時，對于設(shè)備的接地，機柜的接地，地線的腐蝕情況，地排的腐蝕情況都要進行全面的檢查。 定期檢查設(shè)備的相關(guān)線纜是否完好建議定期（每1－2月檢查一次）檢查設(shè)備的電源線、尾纖、接地線纜是否完好，有沒有被腐蝕，有沒有被鼠咬，以保證業(yè)務(wù)不會因為線纜的損壞而受到影響。 定期檢查設(shè)備的風扇是否運行正常設(shè)備的風扇如果運行不正常，會導致設(shè)備內(nèi)的溫度快速上升，它會使路由器的可靠性大大降低，長期高溫還會影響其壽命，過高的溫度將加速絕緣材料的老化過程，導致設(shè)備器件損壞，建議每天注意觀察設(shè)備風扇是否產(chǎn)生告警，同時可以使用相關(guān)命令來查詢風扇是否在位。如果風扇框上的防塵網(wǎng)上積累了過多的灰塵，或者風扇運轉(zhuǎn)不順暢，都會影響風扇的通風排熱效果，建議每月檢查一次設(shè)備風扇運轉(zhuǎn)是否良好，是否有隱患，風扇框上的防塵網(wǎng)是否積累了過多灰塵。第3章 華為路由器交換機數(shù)據(jù)安全配置 分級設(shè)置用戶口令華為公司的數(shù)據(jù)設(shè)備的登錄口令分為4級：參觀級、監(jiān)控級、配置級、管理級，不同的級別所能做的操作都不相同。參觀級：網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問外部設(shè)備的命令（包括：Telnet客戶端、SSH客戶端、RLOGIN）等，該級別命令不允許進行配置文件保存的操作。監(jiān)控級：用于系統(tǒng)維護、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級別命令不允許進行配置文件保存的操作。配置級：業(yè)務(wù)配置命令，包括路由、各個網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。管理級：關(guān)系到系統(tǒng)基本運行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。建議分級設(shè)置登錄口令，以便于對于不同的維護人員提供不同的口令?！九渲脤嵗緾ON口對應(yīng)的優(yōu)先級缺省為3，其它用戶界面的優(yōu)先級缺省為0。 例如，設(shè)置CON口的優(yōu)先級為3，從VTY 0的優(yōu)先級為2。[Quidwayuiconsole0] user privilege level 3[Quidwayuivty0] user privilege level 2 對任何方式的用戶登錄都進行認證建議對于各種登錄設(shè)備的方式（通過TELNET、CONSOLE口、AUX口）都進行認證。在默認的情況下，對于華為的設(shè)備，CONSOLE口是不進行認證，在使用時建議對于CONSOLE口登錄配置上認證。對于安全級別一般的設(shè)備，建議認證方式采用本地認證，認證的時候要求對用戶名和密碼都進行認證，配置密碼的時候要采用密文方式。用戶名和密碼要求足夠的強壯。對于安全級別比較高的設(shè)備，建議采用AAA方式到RADIUS去認證。本部實施的是加強設(shè)備訪問和提供服務(wù)的安全性管理。設(shè)置設(shè)備標題文本Header的設(shè)置要求對遠程登錄的Header的設(shè)置要求必須包含非授權(quán)用戶禁止登錄的字樣?！九渲脤嵗?配置會話建立標題。[Quidway] header login %Enter TEXT message. End with the character 39。%39。.LOGIN : Hello! Wele use Quidway LAN Switch！If you are not authorited user, please exit!%對CON和AUX端口的安全要求針對Console口和Aux口的安全控制要求，可以為Console口配置增強的登錄口令認證特性，還可以禁用不需要的Aux口使得不能通過Aux端口對設(shè)備進行訪問。遠程登錄安全要求華為全線以太網(wǎng)交換機設(shè)備提供遠程管理能力，用戶可以通過遠程登錄的方式對設(shè)備進行管理。華為以太網(wǎng)交換機提供強大的遠程登錄安全管理能力，包括：禁止遠程用戶登錄、啟用安全的遠程登錄，設(shè)置連接超時時間、設(shè)置登錄嘗試次數(shù)限制、設(shè)置并發(fā)用戶數(shù)目，設(shè)置根據(jù)源地址的登錄用戶過濾機制。密碼管理密碼是網(wǎng)絡(luò)設(shè)備用來防止非授權(quán)訪問的主要手段，是設(shè)備安全的重要部分。最好的密碼處理方法是將其保存在TACACS+或RADIUS認證服務(wù)器上。對于特權(quán)模式，應(yīng)該采用enable secret命令設(shè)置強壯的密碼，而不要采用enable password設(shè)置密碼，enable secret 命令用于設(shè)定具有管理員權(quán)限的口令，而enable password采用的加密算法比較弱。而要采用enable secret命令設(shè)置。并且要啟用Service passwordencryption，這條命令用于對存儲在配置文件中的所有口令和類似數(shù)據(jù)（如CHAP）進行加密。避免配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文。同時，不要以為加密了就可以放心了，最好的方法就是選擇一個長的口令字（大于8個字符），避免配置文件被外界得到。RADIUS認證的設(shè)置RADIUS（Remote access DialIn user service）可以提供遠程用戶的認證機制，為遠程登錄用戶提供統(tǒng)一的認證手段?！九渲脤嵗?配置Radius服務(wù)器模板。[Quidway] radiusserver template shiva 配置Radius 主認證、計費服務(wù)器和端口。[Quidwayradiusshiva] radiusserver authentication 1812 [Quidwayradiusshiva] radiusserver accounting 1813 配置Radius 備認證、計費服務(wù)器和端口。[Quidwayradiusshiva] radiusserver authentication 1812 secondary[Quidwayradiusshiva] radiusserver accounting 1813 secondary 配置Radius服務(wù)器密鑰、重傳次數(shù)。[Quidwayradiusshiva] radiusserver sharedkey thisismysecret[Quidwayradiusshiva] radiusserver retransmit 2 進入AAA視圖。[Quidway]aaa 配置認證方案，認證方法為radius。[Quidway–aaa]authenticationscheme radius[Quidwayaaaauthenradius] authenticationmode radius 配置計費方案，計費方法為radius。[Quidway–aaa]accountingscheme radius[Quidway–aaaaccounting]accountingmode radius 配置huawei域，在域下采用radius認證方案、radius計費方案、shiva的radius模板。[Quidwayaaa]domain huawei[Quidwayaaadomainhuawei] authenticationscheme radius [Quidwayaaadomainhuawei] accountingscheme radius[Quidwayaaadomainhuawei] radiusserver shiva 對于網(wǎng)絡(luò)上已知的病毒所使用的端口進行過濾現(xiàn)在網(wǎng)絡(luò)上的很多病毒（沖擊波、振蕩波）發(fā)作時，對網(wǎng)絡(luò)上的主機進行掃描搜索，該攻擊雖然不是針對設(shè)備本身，但是在攻擊過程中會涉及到發(fā)ARP探詢主機位置等操作，某些時候?qū)τ诰W(wǎng)絡(luò)設(shè)備的資源消耗十分大，同時會占用大量的帶寬。對于這些常見的病毒，我們都知道它們的工作方式，知道他們所使用的端口號。為了避免這些病毒對于設(shè)備運行的影響，建議在設(shè)備上配置ACL，對已知的病毒所使用的TCP、UDP端口號進行過濾。一方面保證了設(shè)備資源不被病毒消耗，另一方面阻止了病毒的傳播，保護了網(wǎng)絡(luò)中的主機設(shè)備?！九渲脤嵗空袷幉ā辈《九渲肗E 16：定義防病毒訪問控制列表：[NE16B]acl number 110 matchorder auto[NE16Bacladv110]rule 10 deny tcp destinationport eq 445[NE16Bacladv110]rule 20 deny tcp destinationport eq 5554[NE16Bacladv110]rule 30 deny tcp destinationport eq 9995[NE16Bacladv110]rule 40 deny tcp destinationport eq 9996[NE16Bacladv110]quit將以上規(guī)則以應(yīng)用到相應(yīng)接口上[NE16B]interface Ethernet 2/2/0[NE16BEthernet2/2/0]firewall packetfilter 110 inbound Acl applied successfully![NE16BEthernet2/2/0]qu使能對應(yīng)槽位單板的軟件防火墻功能[NE16B]firewall enable slot 2[NE16B]NE 80/40定義“病毒”報文規(guī)則： rulemap intervlan vir1 tcp any any eq 445 rulemap intervlan vir2 tcp any any eq 5554 rulemap intervlan vir3 tcp any any eq 9995 rulemap intervlan vir3 tcp any any eq 9996 rulemap intervlan virnormal ip any any 定義丟棄“病毒”報文的規(guī)則： eacl antivir vir1 deny eacl antivir vir2 deny eacl antivir vir3 deny eacl antivir virnormal permit在相關(guān)端口上應(yīng)用策略。S 6506定義防病毒訪問控制列表：acl name anti_worm advanced rule 10 deny tcp destinationport eq 445 rule 20 deny tcp destinationport eq 5554 rule 30 deny tcp destinationport eq 9995 //振蕩波病毒D變種 rule 40 deny tcp destinationport eq 9996 //振蕩波病毒將以上規(guī)則以notcareforinterface方式在單板上全局下發(fā) 關(guān)閉危險的服務(wù)如果在不使用以下服務(wù)的時候，建議將這些服務(wù)關(guān)閉，防止那些通過這些服務(wù)的攻擊對設(shè)備的影響。禁止HDP(Huawei Discovery Protocol)。禁止其他的TCP、UDP Small服務(wù)。路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機制。禁止Finger、NTP服務(wù)。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但是如果沒有一個很好的認證，則會影響路由器正確時間，導致日志和其他任務(wù)出錯。建議禁止HTTP服務(wù)。路由器操作系統(tǒng)支持Http協(xié)議進行遠端配置和監(jiān)視，而針對Http的認證就相當于在網(wǎng)絡(luò)上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護，這使得用Http進行管理相當危險。禁止BOOTp服務(wù)。禁止IP Source Routing。明確的禁止IP Directed Broadcast。禁止IP Classless。禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask－Replies。如果沒必要則禁止WINS和DNS服務(wù)。1禁止從網(wǎng)絡(luò)啟動和自動從網(wǎng)絡(luò)下載初始配置文件。1禁止FTP服務(wù)，網(wǎng)絡(luò)上存在大量的FTP服務(wù)，使用不同的用戶名和密碼進行嘗試登錄設(shè)備，一旦成功登錄，就可以對設(shè)備的文件系統(tǒng)操作，十分危險。 在使用SNMP協(xié)議時候的安全建議在不使用網(wǎng)管的時候，建議關(guān)閉SNMP協(xié)議。出于SNMPv1/v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3，除非網(wǎng)管不支持SNMPv3，只能用SNMPv1/v2。在配置SNMPv3時，最好既鑒別又加密，以更有效地加強安全。鑒別協(xié)議可通過MD5或SHA，加密協(xié)議可通過DES。在SNMP服務(wù)中，提供了ACL過濾機制，該機制適用于SNMPv1/v2/v3三個版本，建議通過訪問控制列表來限制SNMP的客戶端。SNMP服務(wù)還提供了視圖控制，可用于SNMPv1/v2/v3。建議使用視圖來限制用戶的訪問權(quán)限。在配置SNMPv1/v2的munity名字時，建議避免使用public、private這樣公用的名字。并且在配置munity時，將RO和RW的munity分開，不要配置成相同的名字。如果不需要RW的權(quán)限，則建議不要配置RW的munit