交换机加固经验总结
一、加固之前的准备事项
1、梳理资产,确定拓扑与上一次风评之后有无改动,确认增加了什么设备,有必要的话需要重新画拓扑。
2、确定拓扑中以及资产列表清单中设备的型号,是否在用,是否需要剔除,相关设备型号还有设备的数量是否和实际环境有出入。
3、确定甲方那边加固时需要着重注意的事项,比如ssh是否需要开启或者关闭,acl策略是否运用等等。
二、交换机的加固
对于如果之一次接触交换机加固的小伙伴,那么需要准备一根console线,还有建议安装SecureCRT这个软件。
当console线连接好后,你可以看到设备管理器中会出现一个外接设备,
有的小伙伴如果之一次做需要安装驱动,驱动装好,就可以看到给你分配的口。
然后打开?SecureCRT,点击?file-quick connect
protocol选择serial,port选择前面设备管理器中给你分配的口,
baud rate视情况而定,一般选择9600。点击connect进行连接。
进入设备后首先输入system-view,进入系统视图模式,
然后输入diaplay current就可以看到完整的交换机配置了。
在进行加固的过程中,同时需要对交换机的品牌、型号、机柜位置、版本、IP地址等进行记录。
版本查询:display version
一般来说大多数的交换机都是已经进行过加固的,一般什么都要改的情况还是比较少出现的。
首先就是用户的三权,也就是实现用户的三权分立,需要有三个账户具有不同的权限。
H3C:
*** 设备未实现设备特权用户的权限分离 | 创建多个账户,设置不同权限等级,实现三权分离 | local-user user01 password simple Wingate5.00 authorization-attribute user-role level-0 service-type ssh terminal local-user user02 password simple Wingate5.00 authorization-attribute user-role level-10 service-type ssh terminal local-user user03 password simple Wingate5.00 authorization-attribute user-role level-15 service-type ssh terminal ssh user user01 service-type stelnet authentication-type password ssh user user02 service-type stelnet authentication-type password ssh user user03 service-type stelnet authentication-type password | Undo local-user user01 Undo local-user user02 Undo local-user user03 Undo ssh user user01 service-type stelnet authentication-type password Undo ssh user user02 service-type stelnet authentication-type password Undo ssh user user03 service-type stelnet authentication-type password |
华为:
由于本次的加固在华为设备中只碰到了三权分离的问题,
因此我这边也就写明了华为设备中三权分离如何做的命令,亲测是有效果的。
因此很多时候,如果又不知道的命令,那么就需要赶紧百度然后去尝试一下是否可以执行。
关闭不必要的服务:
禁用不必要的服务 | 关闭 *** 设备不必要的服务,例如FTP等 | undo ftp server enable undo ip http enable undo telnet server enable | ftp server enable ip http enable telnet server enable |
关闭不使用的端口:
禁用不必要的端口 | 关闭空闲端口 | interface range g1/0/10 to g1/0/22 shutdown(空闲端口) shutdown | interface range g1/0/10 to g1/0/22 shutdown(空闲端口) undo shutdown |
根据需求查看有无启用syslog,有无使用ssh,有无将acl运用在vty上等等
当然还有可能甲方会让你帮忙做一下不在加固范围内的事情,
这次就帮忙做了一下snmp添加地址,这边用到的命令主要是snmp-agent,这个也需要和客户确认一下读写权限,是否需要加密密码等,
如果甲方没有要求的话,当然尽可能的保证和之前的一致就可以,这样总不会出错。
Snmp的命令其实会在你display current后,如果之前已经有过snmp地址的话,那个命令其实已经是显示给你了,是可以直接照搬的。
三、总结
遇到不知道或者没有记录的命令,学会百度,同时在事后进行记录,防止以后遇到相同的问题。
学会使用,这个命令会告知你在当前情况下有什么命令可以使用。
比如snmp-agent ,就会出现snmp-agent后面你可以使用的命令,如果不确定应该使用什么,那么依旧是找度娘帮忙。
相关文章
黑客独白求歌词下载(关于黑客的歌曲)
本文导读目录: 1、听了一首歌“我的黑夜比白天多”谁能告诉我歌名吧啊 ? 2、春风觅香穿过谁家庭院是什么歌,什么歌曲的歌词 3、谁知道这歌叫什么名 4、黑客进行曲 5、求"黑客帝国(一...
沈阳高端嫩模QQ,从哪找沈阳高端嫩模
从哪找沈阳高端嫩模,湛梅云ID:3122135178cm55kg30C摩蝎座B型血蒙古2005年12月24太阳升起生在北京密云区,大专文凭毕业于温州医学院仁济学校,现定居沈阳,岗位:高端嫩模QQ性情:...
我有我老婆的身份证,结婚证,我可以去派出所查到
网购已成为人们日常消费的重要渠道,但是因为屡有消费者账户资金被盗,网购账户资金的安全性成为消费者最为担心的问题之一。昨日(3月12日),本报维权热线接到投诉反映,大型网上商城——京东商城居然存在支付漏...
什么软件能看爱人微信
. 很多孩子都会有生长痛的情况,但如果家长把其它病症误认为生长痛,耽误了病情的治疗就会很严重了,那么孩子生长痛怎么分辨,哪些病容易被误认为生长痛?下面友谊长存小编带来介绍。 孩子生长痛怎么分辨?...
我的老师500字(我的老师作文500字五篇)
我的老师500字(我的老师作文500字五篇) 篇一:漫画老师作文500字 班宏敏 高高的鼻梁上总是架着一副圆圆的眼镜,配上那可爱的樱桃小嘴,真的是美极了。 语文老师姓郑...
最高法指令再审"百香果女孩"案-强奸杀人自首
提起18年的百香果女孩案,相信不少朋友还有印象,因为整个案件太血腥太残忍!10岁女孩杨某燕售卖百香果途中被杨某毅强行拖去密林进行强奸,事后更是害怕女孩看到他的面便用小刀刺瞎女孩的双眼,行为简直令人发指...
Copyright Your WebSite.Some Rights Reserved.
免责声明:本站所发布的任何网站,全部来源于互联网,版权争议与本站无关。仅供技术交流,如有侵权或不合适,请联系本人进行删除。不允许做任何非法用途!