【文章內(nèi)容簡介】 查時(shí)，對于設(shè)備的接地，機(jī)柜的接地，地線的腐蝕情況，地排的腐蝕情況都要進(jìn)行全面的檢查。 定期檢查設(shè)備的相關(guān)線纜是否完好建議定期（每1－2月檢查一次）檢查設(shè)備的電源線、尾纖、接地線纜是否完好，有沒有被腐蝕，有沒有被鼠咬，以保證業(yè)務(wù)不會(huì)因?yàn)榫€纜的損壞而受到影響。 定期檢查設(shè)備的風(fēng)扇是否運(yùn)行正常設(shè)備的風(fēng)扇如果運(yùn)行不正常，會(huì)導(dǎo)致設(shè)備內(nèi)的溫度快速上升，它會(huì)使路由器的可靠性大大降低，長期高溫還會(huì)影響其壽命，過高的溫度將加速絕緣材料的老化過程，導(dǎo)致設(shè)備器件損壞，建議每天注意觀察設(shè)備風(fēng)扇是否產(chǎn)生告警，同時(shí)可以使用相關(guān)命令來查詢風(fēng)扇是否在位。如果風(fēng)扇框上的防塵網(wǎng)上積累了過多的灰塵，或者風(fēng)扇運(yùn)轉(zhuǎn)不順暢，都會(huì)影響風(fēng)扇的通風(fēng)排熱效果，建議每月檢查一次設(shè)備風(fēng)扇運(yùn)轉(zhuǎn)是否良好，是否有隱患，風(fēng)扇框上的防塵網(wǎng)是否積累了過多灰塵。第3章 華為路由器交換機(jī)數(shù)據(jù)安全配置 分級設(shè)置用戶口令華為公司的數(shù)據(jù)設(shè)備的登錄口令分為4級：參觀級、監(jiān)控級、配置級、管理級，不同的級別所能做的操作都不相同。參觀級：網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問外部設(shè)備的命令（包括：Telnet客戶端、SSH客戶端、RLOGIN）等，該級別命令不允許進(jìn)行配置文件保存的操作。監(jiān)控級：用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級別命令不允許進(jìn)行配置文件保存的操作。配置級：業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。管理級：關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對業(yè)務(wù)提供支撐作用，包括文件系統(tǒng)、FTP、TFTP、XModem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設(shè)置命令、系統(tǒng)內(nèi)部參數(shù)設(shè)置命令（非協(xié)議規(guī)定、非RFC規(guī)定）等。建議分級設(shè)置登錄口令，以便于對于不同的維護(hù)人員提供不同的口令。【配置實(shí)例】CON口對應(yīng)的優(yōu)先級缺省為3，其它用戶界面的優(yōu)先級缺省為0。 例如，設(shè)置CON口的優(yōu)先級為3，從VTY 0的優(yōu)先級為2。[Quidwayuiconsole0] user privilege level 3[Quidwayuivty0] user privilege level 2 對任何方式的用戶登錄都進(jìn)行認(rèn)證建議對于各種登錄設(shè)備的方式（通過TELNET、CONSOLE口、AUX口）都進(jìn)行認(rèn)證。在默認(rèn)的情況下，對于華為的設(shè)備，CONSOLE口是不進(jìn)行認(rèn)證，在使用時(shí)建議對于CONSOLE口登錄配置上認(rèn)證。對于安全級別一般的設(shè)備，建議認(rèn)證方式采用本地認(rèn)證，認(rèn)證的時(shí)候要求對用戶名和密碼都進(jìn)行認(rèn)證，配置密碼的時(shí)候要采用密文方式。用戶名和密碼要求足夠的強(qiáng)壯。對于安全級別比較高的設(shè)備，建議采用AAA方式到RADIUS去認(rèn)證。本部實(shí)施的是加強(qiáng)設(shè)備訪問和提供服務(wù)的安全性管理。設(shè)置設(shè)備標(biāo)題文本Header的設(shè)置要求對遠(yuǎn)程登錄的Header的設(shè)置要求必須包含非授權(quán)用戶禁止登錄的字樣。【配置實(shí)例】 配置會(huì)話建立標(biāo)題。[Quidway] header login %Enter TEXT message. End with the character 39。%39。.LOGIN : Hello! Wele use Quidway LAN Switch！If you are not authorited user, please exit!%對CON和AUX端口的安全要求針對Console口和Aux口的安全控制要求，可以為Console口配置增強(qiáng)的登錄口令認(rèn)證特性，還可以禁用不需要的Aux口使得不能通過Aux端口對設(shè)備進(jìn)行訪問。遠(yuǎn)程登錄安全要求華為全線以太網(wǎng)交換機(jī)設(shè)備提供遠(yuǎn)程管理能力，用戶可以通過遠(yuǎn)程登錄的方式對設(shè)備進(jìn)行管理。華為以太網(wǎng)交換機(jī)提供強(qiáng)大的遠(yuǎn)程登錄安全管理能力，包括：禁止遠(yuǎn)程用戶登錄、啟用安全的遠(yuǎn)程登錄，設(shè)置連接超時(shí)時(shí)間、設(shè)置登錄嘗試次數(shù)限制、設(shè)置并發(fā)用戶數(shù)目，設(shè)置根據(jù)源地址的登錄用戶過濾機(jī)制。密碼管理密碼是網(wǎng)絡(luò)設(shè)備用來防止非授權(quán)訪問的主要手段，是設(shè)備安全的重要部分。最好的密碼處理方法是將其保存在TACACS+或RADIUS認(rèn)證服務(wù)器上。對于特權(quán)模式，應(yīng)該采用enable secret命令設(shè)置強(qiáng)壯的密碼，而不要采用enable password設(shè)置密碼，enable secret 命令用于設(shè)定具有管理員權(quán)限的口令，而enable password采用的加密算法比較弱。而要采用enable secret命令設(shè)置。并且要啟用Service passwordencryption，這條命令用于對存儲在配置文件中的所有口令和類似數(shù)據(jù)（如CHAP）進(jìn)行加密。避免配置文件被不懷好意者看見，從而獲得這些數(shù)據(jù)的明文。同時(shí)，不要以為加密了就可以放心了，最好的方法就是選擇一個(gè)長的口令字（大于8個(gè)字符），避免配置文件被外界得到。RADIUS認(rèn)證的設(shè)置RADIUS（Remote access DialIn user service）可以提供遠(yuǎn)程用戶的認(rèn)證機(jī)制，為遠(yuǎn)程登錄用戶提供統(tǒng)一的認(rèn)證手段?！九渲脤?shí)例】 配置Radius服務(wù)器模板。[Quidway] radiusserver template shiva 配置Radius 主認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。[Quidwayradiusshiva] radiusserver authentication 1812 [Quidwayradiusshiva] radiusserver accounting 1813 配置Radius 備認(rèn)證、計(jì)費(fèi)服務(wù)器和端口。[Quidwayradiusshiva] radiusserver authentication 1812 secondary[Quidwayradiusshiva] radiusserver accounting 1813 secondary 配置Radius服務(wù)器密鑰、重傳次數(shù)。[Quidwayradiusshiva] radiusserver sharedkey thisismysecret[Quidwayradiusshiva] radiusserver retransmit 2 進(jìn)入AAA視圖。[Quidway]aaa 配置認(rèn)證方案，認(rèn)證方法為radius。[Quidway–aaa]authenticationscheme radius[Quidwayaaaauthenradius] authenticationmode radius 配置計(jì)費(fèi)方案，計(jì)費(fèi)方法為radius。[Quidway–aaa]accountingscheme radius[Quidway–aaaaccounting]accountingmode radius 配置huawei域，在域下采用radius認(rèn)證方案、radius計(jì)費(fèi)方案、shiva的radius模板。[Quidwayaaa]domain huawei[Quidwayaaadomainhuawei] authenticationscheme radius [Quidwayaaadomainhuawei] accountingscheme radius[Quidwayaaadomainhuawei] radiusserver shiva 對于網(wǎng)絡(luò)上已知的病毒所使用的端口進(jìn)行過濾現(xiàn)在網(wǎng)絡(luò)上的很多病毒（沖擊波、振蕩波）發(fā)作時(shí)，對網(wǎng)絡(luò)上的主機(jī)進(jìn)行掃描搜索，該攻擊雖然不是針對設(shè)備本身，但是在攻擊過程中會(huì)涉及到發(fā)ARP探詢主機(jī)位置等操作，某些時(shí)候?qū)τ诰W(wǎng)絡(luò)設(shè)備的資源消耗十分大，同時(shí)會(huì)占用大量的帶寬。對于這些常見的病毒，我們都知道它們的工作方式，知道他們所使用的端口號。為了避免這些病毒對于設(shè)備運(yùn)行的影響，建議在設(shè)備上配置ACL，對已知的病毒所使用的TCP、UDP端口號進(jìn)行過濾。一方面保證了設(shè)備資源不被病毒消耗，另一方面阻止了病毒的傳播，保護(hù)了網(wǎng)絡(luò)中的主機(jī)設(shè)備?！九渲脤?shí)例】振蕩波”病毒配置NE 16：定義防病毒訪問控制列表：[NE16B]acl number 110 matchorder auto[NE16Bacladv110]rule 10 deny tcp destinationport eq 445[NE16Bacladv110]rule 20 deny tcp destinationport eq 5554[NE16Bacladv110]rule 30 deny tcp destinationport eq 9995[NE16Bacladv110]rule 40 deny tcp destinationport eq 9996[NE16Bacladv110]quit將以上規(guī)則以應(yīng)用到相應(yīng)接口上[NE16B]interface Ethernet 2/2/0[NE16BEthernet2/2/0]firewall packetfilter 110 inbound Acl applied successfully![NE16BEthernet2/2/0]qu使能對應(yīng)槽位單板的軟件防火墻功能[NE16B]firewall enable slot 2[NE16B]NE 80/40定義“病毒”報(bào)文規(guī)則： rulemap intervlan vir1 tcp any any eq 445 rulemap intervlan vir2 tcp any any eq 5554 rulemap intervlan vir3 tcp any any eq 9995 rulemap intervlan vir3 tcp any any eq 9996 rulemap intervlan virnormal ip any any 定義丟棄“病毒”報(bào)文的規(guī)則： eacl antivir vir1 deny eacl antivir vir2 deny eacl antivir vir3 deny eacl antivir virnormal permit在相關(guān)端口上應(yīng)用策略。S 6506定義防病毒訪問控制列表：acl name anti_worm advanced rule 10 deny tcp destinationport eq 445 rule 20 deny tcp destinationport eq 5554 rule 30 deny tcp destinationport eq 9995 //振蕩波病毒D變種 rule 40 deny tcp destinationport eq 9996 //振蕩波病毒將以上規(guī)則以notcareforinterface方式在單板上全局下發(fā) 關(guān)閉危險(xiǎn)的服務(wù)如果在不使用以下服務(wù)的時(shí)候，建議將這些服務(wù)關(guān)閉，防止那些通過這些服務(wù)的攻擊對設(shè)備的影響。禁止HDP(Huawei Discovery Protocol)。禁止其他的TCP、UDP Small服務(wù)。路由器提供一些基于TCP和UDP協(xié)議的小服務(wù)如：echo、chargen和discard。這些小服務(wù)很少被使用，而且容易被攻擊者利用來越過包過濾機(jī)制。禁止Finger、NTP服務(wù)。Finger服務(wù)可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險(xiǎn)的，但是如果沒有一個(gè)很好的認(rèn)證，則會(huì)影響路由器正確時(shí)間，導(dǎo)致日志和其他任務(wù)出錯(cuò)。建議禁止HTTP服務(wù)。路由器操作系統(tǒng)支持Http協(xié)議進(jìn)行遠(yuǎn)端配置和監(jiān)視，而針對Http的認(rèn)證就相當(dāng)于在網(wǎng)絡(luò)上發(fā)送明文且對于Http沒有有效的基于挑戰(zhàn)或一次性的口令保護(hù)，這使得用Http進(jìn)行管理相當(dāng)危險(xiǎn)。禁止BOOTp服務(wù)。禁止IP Source Routing。明確的禁止IP Directed Broadcast。禁止IP Classless。禁止ICMP協(xié)議的IP Unreachables,Redirects,Mask－Replies。如果沒必要?jiǎng)t禁止WINS和DNS服務(wù)。1禁止從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件。1禁止FTP服務(wù)，網(wǎng)絡(luò)上存在大量的FTP服務(wù)，使用不同的用戶名和密碼進(jìn)行嘗試登錄設(shè)備，一旦成功登錄，就可以對設(shè)備的文件系統(tǒng)操作，十分危險(xiǎn)。 在使用SNMP協(xié)議時(shí)候的安全建議在不使用網(wǎng)管的時(shí)候，建議關(guān)閉SNMP協(xié)議。出于SNMPv1/v2協(xié)議自身不安全性的考慮，建議盡量使用SNMPv3，除非網(wǎng)管不支持SNMPv3，只能用SNMPv1/v2。在配置SNMPv3時(shí)，最好既鑒別又加密，以更有效地加強(qiáng)安全。鑒別協(xié)議可通過MD5或SHA，加密協(xié)議可通過DES。在SNMP服務(wù)中，提供了ACL過濾機(jī)制，該機(jī)制適用于SNMPv1/v2/v3三個(gè)版本，建議通過訪問控制列表來限制SNMP的客戶端。SNMP服務(wù)還提供了視圖控制，可用于SNMPv1/v2/v3。建議使用視圖來限制用戶的訪問權(quán)限。在配置SNMPv1/v2的munity名字時(shí)，建議避免使用public、private這樣公用的名字。并且在配置munity時(shí)，將RO和RW的munity分開，不要配置成相同的名字。如果不需要RW的權(quán)限，則建議不要配置RW的munit