华为网络设备加固基线命令配置
配置用户连续认证失败次数上限 :
华为交换机 S5730S 系列:
[SW]aaa
[SW]local-aaa-user wrong-password retry-interval 5 retry-time 5 block-time 5
//设置 ssh 账号密码输入失败次数为 5 次,加入黑名单时间为 5mins
华为防火墙 USG6600 系列:
[FW]aaa
[FW]lock-authentication fail-count 12 //认证次数 12 次
[FW]lock-authentication timeout 20 //加入黑名单时间 20 分
日志相关
开启流量监控日志功能 :
华为防火墙 USG6600 系列:
[FW]log type traffic enable
开启 NAT 二进制日志记录功能
华为防火墙 USG6600 系列:
[FW]firewall log nat-nopat enable
攻击防范相关
开启 UDP Flood 攻击防范功能 :
华为防火墙 USG6600 系列:
[FW]anti-ddos udp-flood dynamic-fingerprint-learn
开启 SYN Flood 攻击防范功能 :
华为防火墙 USG6600 系列:
[FW]anti-ddos syn-flood source-detect
开启 ICMP Flood 攻击防范功能 :
华为防火墙 USG6600 系列:
[接口视图]anti-ddos icmp-flood
登陆策略
-----------------------------------
登录尝试
local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 5
密码有效期