管理级:关系到系统基本运行,系统支撑模块的命令,这些命令对业务提供支
撑作用,包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、电源控制命
令、背板控制命令、用户管理命令、级别设置命令、系统内部参数设置命令(非协议规
定、非RFC规定)等。
建议分级设置登录口令,以便于对于不同的维护人员提供不同的口令。
3.1.1.2. 对任何方式的用户登录都进行认证
建议对于各种登录设备的方式(通过TELNET、CONSOLE口、AUX口)都进行认证。 在默认的情况下,CONSOLE口不进行认证,在使用时建议对于CONSOLE口登录配置上认证。
对于安全级别一般的设备,建议认证方式采用本地认证,认证的时候要求对用户名和密码都进行认证,配置密码的时候要采用密文方式。用户名和密码要求足够的强壮。
对于安全级别比较高的设备,建议采用AAA方式到RADIUS或TACACS+服务器去认证。H3C系列路由器、交换机支持RADIUS和TACACS+认证协议。
3.1.1.3. 对网络上已知的病毒所使用的端口进行过滤
现在网络上的很多病毒(冲击波、振荡波)发作时,对网络上的主机进行扫描搜索,该攻击虽然不是针对设备本身,但是在攻击过程中会涉及到发ARP探询主机位置等操作,某些时候对于网络设备的资源消耗十分大,同时会占用大量的带宽。对于这些常见的病毒,通过分析它们的工作方式,可知道他们所使用的端口号。
为了避免这些病毒对于设备运行的影响,建议在设备上配置ACL,对已知的病毒所使用的TCP、UDP端口号进行过滤。一方面保证了设备资源不被病毒消耗,另一方面阻止了病毒的传播,保护了网络中的主机设备。
3.1.1.4. 采用网络地址转换技术保护内部网络
地址转换,用来实现私有网络地址与公有网络地址之间的转换。地址转换的优点在于屏蔽了内部网络的实际地址;外部网络基本上不可能穿过地址代理来直接访问内部网络。