交换机加固经验总结
一、加固之前的准备事项
1、梳理资产,确定拓扑与上一次风评之后有无改动,确认增加了什么设备,有必要的话需要重新画拓扑。
2、确定拓扑中以及资产列表清单中设备的型号,是否在用,是否需要剔除,相关设备型号还有设备的数量是否和实际环境有出入。
3、确定甲方那边加固时需要着重注意的事项,比如ssh是否需要开启或者关闭,acl策略是否运用等等。
二、交换机的加固
对于如果之一次接触交换机加固的小伙伴,那么需要准备一根console线,还有建议安装SecureCRT这个软件。
当console线连接好后,你可以看到设备管理器中会出现一个外接设备,
有的小伙伴如果之一次做需要安装驱动,驱动装好,就可以看到给你分配的口。
然后打开?SecureCRT,点击?file-quick connect
protocol选择serial,port选择前面设备管理器中给你分配的口,
baud rate视情况而定,一般选择9600。点击connect进行连接。
进入设备后首先输入system-view,进入系统视图模式,
然后输入diaplay current就可以看到完整的交换机配置了。
在进行加固的过程中,同时需要对交换机的品牌、型号、机柜位置、版本、IP地址等进行记录。
版本查询:display version
一般来说大多数的交换机都是已经进行过加固的,一般什么都要改的情况还是比较少出现的。
首先就是用户的三权,也就是实现用户的三权分立,需要有三个账户具有不同的权限。
H3C:
*** 设备未实现设备特权用户的权限分离 | 创建多个账户,设置不同权限等级,实现三权分离 | local-user user01 password simple Wingate5.00 authorization-attribute user-role level-0 service-type ssh terminal local-user user02 password simple Wingate5.00 authorization-attribute user-role level-10 service-type ssh terminal local-user user03 password simple Wingate5.00 authorization-attribute user-role level-15 service-type ssh terminal ssh user user01 service-type stelnet authentication-type password ssh user user02 service-type stelnet authentication-type password ssh user user03 service-type stelnet authentication-type password | Undo local-user user01 Undo local-user user02 Undo local-user user03 Undo ssh user user01 service-type stelnet authentication-type password Undo ssh user user02 service-type stelnet authentication-type password Undo ssh user user03 service-type stelnet authentication-type password |
华为:
由于本次的加固在华为设备中只碰到了三权分离的问题,
因此我这边也就写明了华为设备中三权分离如何做的命令,亲测是有效果的。
因此很多时候,如果又不知道的命令,那么就需要赶紧百度然后去尝试一下是否可以执行。
关闭不必要的服务:
禁用不必要的服务 | 关闭 *** 设备不必要的服务,例如FTP等 | undo ftp server enable undo ip http enable undo telnet server enable | ftp server enable ip http enable telnet server enable |
关闭不使用的端口:
禁用不必要的端口 | 关闭空闲端口 | interface range g1/0/10 to g1/0/22 shutdown(空闲端口) shutdown | interface range g1/0/10 to g1/0/22 shutdown(空闲端口) undo shutdown |
根据需求查看有无启用syslog,有无使用ssh,有无将acl运用在vty上等等
当然还有可能甲方会让你帮忙做一下不在加固范围内的事情,
这次就帮忙做了一下snmp添加地址,这边用到的命令主要是snmp-agent,这个也需要和客户确认一下读写权限,是否需要加密密码等,
如果甲方没有要求的话,当然尽可能的保证和之前的一致就可以,这样总不会出错。
Snmp的命令其实会在你display current后,如果之前已经有过snmp地址的话,那个命令其实已经是显示给你了,是可以直接照搬的。
三、总结
遇到不知道或者没有记录的命令,学会百度,同时在事后进行记录,防止以后遇到相同的问题。
学会使用,这个命令会告知你在当前情况下有什么命令可以使用。
比如snmp-agent ,就会出现snmp-agent后面你可以使用的命令,如果不确定应该使用什么,那么依旧是找度娘帮忙。
相关文章
怎么训泰迪狗不乱叫(训练泰迪狗狗有什么好方
人的天性就喜欢可爱的东西,所以很多人就养了宠物,但是有时候宠物不乖,还到处咬东西,这让人觉得十分的很头疼,今天本文教你几种训练狗狗的方法,希望可以帮助到大家。 两脚直立训练 1.可以零食或者狗粮拿...
资讯:QQ超级会员SVIP8正式上线了,享京东钻石会员特权
谢谢本站杂谈版主“Adosh”分享信息 QQ早前就推出超级会员,并一直说要推出SVIP8 今天终于上线了,特权还不错,享受京东钻石会员特权 QQ超级会员SVIP8 升级地址:点击升级...
"套路贷"中还有"套路" 直击虚假诉讼隐秘角落
直击虚假诉讼的“隐秘角落” 虚假借贷、虚假仲裁,与“套路贷”、涉黑犯罪交织……新领域、新类型的虚假诉讼为检察监督带来新课题。解难题,补短板,虚假诉讼监督已成为做强民事检察工作的着力点。 1.企业破...
黑客日娃有多牛,手机真实黑客软件
一、日娃有多牛黑客接单流程 1、接单黑客但在媒体报道中,黑客这个词常常指的是软件可怕的软件。日娃有多牛手机真实软件黑客的基本含义是一个熟练的计算机技术的人,但大多数媒体都把黑客当作计算机入侵者。XXX...
山海镜花灵曜阁攻略 山海镜花灵曜阁通关阵容
山海镜花灵曜阁怎么通关,相信很多玩家都不清楚,那么阵容上怎么选择搭配呢,接下来小编为大家介绍山海镜花灵曜阁通关阵容攻略。 山海镜花灵曜阁通关阵容攻略 第1-9关 太简单了随便打打就ok。...
香港房产信息:西营盘63 Pokfulam七一开示位 首批
文章转载自:香港地产资讯网 九建旗下西营盘薄扶林道豪宅项目邀请学习西方书法30年的书法家PatrickLeung即席写出项目名称,项目正式命名为63 Pokfulam。 双子大楼350伙主攻1房...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!