批量安全加固路由器及交換機(jī)

安全加固內(nèi)容

華為路由器及交換機(jī)的驗(yàn)證授權(quán)、訪問(wèn)控制和統(tǒng)一管理，主要表現(xiàn)在登錄方式、限制登錄地址與 SNMP 管理地址、時(shí)鐘同步、統(tǒng)一日志管理、停用不使用的服務(wù)和關(guān)閉未使用的端口等方面。

1.SSH 登錄方式

TELNET是遠(yuǎn)程登錄協(xié)議，使用明文傳送口令和數(shù)據(jù)，容易被監(jiān)聽(tīng)和截獲，安全性非常低。SSH（Secure Shell）使用加密算法，基于口令或密鑰進(jìn)行安全驗(yàn)證，數(shù)據(jù)加密傳送，安全性比較高。

安全加固時(shí)，首先創(chuàng)建密鑰對(duì)，啟用SSH服務(wù)，創(chuàng)建用戶（用戶名、密碼、授權(quán)、服務(wù)類型和空閑超時(shí)），然后在VTY上使用AAA認(rèn)證和SSH協(xié)議。同時(shí)，通過(guò)Console口登錄也采用AAA驗(yàn)證方式。

2.限制登錄地址與SNMP管理地址

通過(guò)訪問(wèn)控制列表，對(duì)試圖登錄設(shè)備、SNMP管理設(shè)備的非法IP進(jìn)行過(guò)濾，確保管理員IP地址才能正常登錄和管理設(shè)備。

3.NTP時(shí)鐘同步

時(shí)間同步對(duì)網(wǎng)絡(luò)設(shè)備的安全、審計(jì)、監(jiān)控、故障檢查和溯源等非常重要。因此所有網(wǎng)絡(luò)設(shè)備需要通過(guò)NTP協(xié)議與時(shí)鐘服務(wù)器（時(shí)鐘源）同步。系統(tǒng)使用UTC時(shí)鐘，北京是東八區(qū)，北京時(shí)間

4.統(tǒng)一日志管理

網(wǎng)絡(luò)設(shè)備運(yùn)行會(huì)產(chǎn)生大量日志信息，通過(guò)日志我們可以詳細(xì)了解設(shè)備狀態(tài)、告警、錯(cuò)誤、警告等信息。如果網(wǎng)絡(luò)設(shè)備較多，逐臺(tái)登錄查看日志不太現(xiàn)實(shí)，需要指定一臺(tái)服務(wù)器，集中存放日志，統(tǒng)一分析和管理，也避免網(wǎng)絡(luò)設(shè)備遭入侵后日志可能被清空等問(wèn)題。通常使用Linux服務(wù)器或Kiwi Syslog Daemon為日志服務(wù)器。

5.停用不使用的服務(wù)

基于最小的服務(wù)等于最大的安全原則，關(guān)閉或停用 TELNET、HTTP、FTP、SFTP、DHCP等不需要使用的服務(wù)，減少風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)設(shè)備的安全性。

6.關(guān)閉未使用端口

使用shutdown命令關(guān)閉不使用的端口，防止非法用戶接入網(wǎng)絡(luò)。另外，對(duì)于接入層交換機(jī)，還要進(jìn)行環(huán)路檢測(cè)和生成樹(shù)邊緣端口等安全配置。

批量安全加固

如果網(wǎng)絡(luò)規(guī)模較大，路由器及交換機(jī)數(shù)量較多，逐臺(tái)進(jìn)行安全加固，無(wú)疑耗時(shí)耗力，非常繁瑣，容易出錯(cuò)，效率不高。

SecureCRT有非常完善腳本支持功能，利用它可以批量對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固。

腳本工作目錄是 D:work，在該目錄下創(chuàng)建網(wǎng)絡(luò)設(shè)備清單文件huawei-ippwd-pwd.txt，該文件由設(shè)備IP、登錄密碼和SUPER密碼三部分組成，空格分開(kāi)。格式如下：

設(shè)備一IP 登錄密碼SUPER密碼

設(shè)備二IP 登錄密碼SUPER密碼

...

完整的加固腳本比較冗長(zhǎng)，限于篇幅，下面的SecureCRT執(zhí)行腳本，可以批量對(duì)華為路由器及交換機(jī)登錄地址進(jìn)行加固。不同版本的華為VRP平臺(tái)在配置過(guò)程中，提示內(nèi)容略有不同，可根據(jù)實(shí)際情況進(jìn)行腳本修改。