交换机加固经验总结
一、加固之前的准备事项
1、梳理资产,确定拓扑与上一次风评之后有无改动,确认增加了什么设备,有必要的话需要重新画拓扑。
2、确定拓扑中以及资产列表清单中设备的型号,是否在用,是否需要剔除,相关设备型号还有设备的数量是否和实际环境有出入。
3、确定甲方那边加固时需要着重注意的事项,比如ssh是否需要开启或者关闭,acl策略是否运用等等。
二、交换机的加固
对于如果之一次接触交换机加固的小伙伴,那么需要准备一根console线,还有建议安装SecureCRT这个软件。
当console线连接好后,你可以看到设备管理器中会出现一个外接设备,
有的小伙伴如果之一次做需要安装驱动,驱动装好,就可以看到给你分配的口。
然后打开?SecureCRT,点击?file-quick connect
protocol选择serial,port选择前面设备管理器中给你分配的口,
baud rate视情况而定,一般选择9600。点击connect进行连接。
进入设备后首先输入system-view,进入系统视图模式,
然后输入diaplay current就可以看到完整的交换机配置了。
在进行加固的过程中,同时需要对交换机的品牌、型号、机柜位置、版本、IP地址等进行记录。
版本查询:display version
一般来说大多数的交换机都是已经进行过加固的,一般什么都要改的情况还是比较少出现的。
首先就是用户的三权,也就是实现用户的三权分立,需要有三个账户具有不同的权限。
H3C:
*** 设备未实现设备特权用户的权限分离 | 创建多个账户,设置不同权限等级,实现三权分离 | local-user user01 password simple Wingate5.00 authorization-attribute user-role level-0 service-type ssh terminal local-user user02 password simple Wingate5.00 authorization-attribute user-role level-10 service-type ssh terminal local-user user03 password simple Wingate5.00 authorization-attribute user-role level-15 service-type ssh terminal ssh user user01 service-type stelnet authentication-type password ssh user user02 service-type stelnet authentication-type password ssh user user03 service-type stelnet authentication-type password | Undo local-user user01 Undo local-user user02 Undo local-user user03 Undo ssh user user01 service-type stelnet authentication-type password Undo ssh user user02 service-type stelnet authentication-type password Undo ssh user user03 service-type stelnet authentication-type password |
华为:
由于本次的加固在华为设备中只碰到了三权分离的问题,
因此我这边也就写明了华为设备中三权分离如何做的命令,亲测是有效果的。
因此很多时候,如果又不知道的命令,那么就需要赶紧百度然后去尝试一下是否可以执行。
关闭不必要的服务:
禁用不必要的服务 | 关闭 *** 设备不必要的服务,例如FTP等 | undo ftp server enable undo ip http enable undo telnet server enable | ftp server enable ip http enable telnet server enable |
关闭不使用的端口:
禁用不必要的端口 | 关闭空闲端口 | interface range g1/0/10 to g1/0/22 shutdown(空闲端口) shutdown | interface range g1/0/10 to g1/0/22 shutdown(空闲端口) undo shutdown |
根据需求查看有无启用syslog,有无使用ssh,有无将acl运用在vty上等等
当然还有可能甲方会让你帮忙做一下不在加固范围内的事情,
这次就帮忙做了一下snmp添加地址,这边用到的命令主要是snmp-agent,这个也需要和客户确认一下读写权限,是否需要加密密码等,
如果甲方没有要求的话,当然尽可能的保证和之前的一致就可以,这样总不会出错。
Snmp的命令其实会在你display current后,如果之前已经有过snmp地址的话,那个命令其实已经是显示给你了,是可以直接照搬的。
三、总结
遇到不知道或者没有记录的命令,学会百度,同时在事后进行记录,防止以后遇到相同的问题。
学会使用,这个命令会告知你在当前情况下有什么命令可以使用。
比如snmp-agent ,就会出现snmp-agent后面你可以使用的命令,如果不确定应该使用什么,那么依旧是找度娘帮忙。
相关文章
30个有意思的历史典故(30个不一样的启示)
1、入木三分(书法家赵孟頫) 源于唐·张怀瓘《书断·王羲之》:“书法家赵孟頫书祝版,职工削之,笔入木三分。” 历史典故:流传书法家赵孟頫在木工板上写毛笔字,木匠刻时,发觉笔迹透入木工板三分...
海外网评:“行走的鹅掌风特效药复读机”蓬佩奥又演砸了
海外网评:“行走的复读机”蓬佩奥又演砸了 美国国务卿蓬佩奥近日结束对印度、斯里兰卡、马尔代夫、印度尼西亚以及越南的访问。这是蓬佩奥在美国总统大选前的最后一次外访,而结合他访问期间的言行,拉帮...
黑客查个人信息多少钱,黑客帝国3免费完整版
一、查个人信息多少钱黑客接单流程 1、流程接单1988年11月2日下午5:00,互联网经理首次在互联网上发现了unknown入侵者。查个人信息多少钱帝国3免费完整版首先,黑客需要有很多质量,但只要你设...
最早的手机是什么
全世界第一部手机是摩托罗拉手机 DynaTAC 8000X,重2磅,在线时间三十分钟,市场价格为3,995美金。设计师是Rudy Krolopp。 Dy...
痔疮出血怎么治疗法(解决痔疮出血的方法)
痔疮出血怎么治?保持该部位干净:虽然擦拭痔疮出现的部位会很疼痛,但要让痔疮开始痊愈的最重要步骤就是尽量保持该部位清洁。轻轻地用柔软毛巾、温水和温和肥皂清洁该部位。冲洗干净后,用另一件干净毛巾或非常柔软...
罗永浩一年多还债4个亿!直播带货的价值绝不仅仅是赚钱
编辑导读:9月23日,罗永浩 在《脱口秀大会》上暗示,6亿债务已经还了4亿,剩下的估量一年内还清。各人不禁感想迷惑:直播卖货真的这么赚钱吗???文章从市场代价、成长环境和存在的一些问题三个方面临直播带...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!