(word 完整版)智能电网网络安全加固建议(配置命令)
一、网络设备
1、建议删除与设备运行、维护等工作无关的账号;(如没有需求,可删除远程登录账户)
〈H3C>sys
[H3C]aaa
[H3C-aaa]undo local—user admin
[H3C-aaa]undo local-user XXX
2、在系统配置中对登录用户的源 IP 地址进行过滤,防止某些获得登录密码的用户从非法的地址登录到设备
上。(通过交换机设置 ACL+User—int Vty 实现)
<H3C〉sys
[H3C]ACL 2001
[H3C—ACL-basic—2001]rule 0 permit source XXX。XXX。XXX.XXX 0
[H3C-ACL-basic—2001]rule 1 deny source any
[H3C-ACL—basic—2001]quit
[H3C]user-interface vty 0 4
[H3C-ui—vty0-4]authentication-mode aaa
[H3C—ui-vty0—4]acl 2001
3、如不需要提供 SNMP 服务的,建议禁止 SNMP 协议服务,注意在禁止时删除一些 SNMP 服务的默认配置,如
开启 SNMP 协议,建议更改 SNMP 连接的源地址,以增强其安全性。(可关闭 SNMP)
〈H3C>sys
[H3C]undo snmp—agent
4、为了防止利用 IP Spoofing 手段假冒源地址进行的攻击对整个网络造成的冲击,建议在所有的边缘路由
设备(即直接与终端用户网络互连的路由设备)上,根据用户网段规划添加源路由检查。该功能会对设备的
转发性能造成影响,所以它更适用于网络接入层设备,汇聚层和核心层设备不建议使用。(可开启 ARP
Anti—attack 功能,接入交换机没有此针对性功能防护,常见于防护墙)
〈H3C>sys
[H3C]arp anti-attack check user—bind alarm threshold 100
[H3C]arp anti—attack packet-check ip
[H3C]arp anti—attack rate-limit enable
5、建议关闭网络设备不必要的服务,比如 FTP、NTP、HGMP、Dhcp Server 服务等。(默认为关闭的)
6、建议设置网络管理员和安全管理员的口令长度大于 8 位,并由字母和数字或特殊字符组成,口令与用户
名不相同,并密文存储。(用户按要求自定义)
〈H3C〉sys
[H3C]aaa
[H3C—aaa]local—user XXX password irreversible—cipher XXXXXXXX
[H3C-aaa]local—user XXX privilege level 15
[H3C—aaa]local-user XXX service-type telnet http
二、防火墙
1、建议防火墙配置包过滤的访问规则,包括明确的源 IP 地址、目的 IP 地址、协议及端口等。(配置域间策
略即可)
〈f100〉sys
[F100]interzone source Trust destination Untrust
[F100-trust—untrust]rule 0 permit
评论0
最新资源