Huawei-华为交换机安全策略配置检查表巡检模板

未禁止FTP服务防止信息失密和配置丢失相关命令：#关闭FTP服务器[Quidway]undoftpserver未禁止NTP服务防止服务对网络设备时间造成影响，如需开启，建议进行访问控制权限配置相关命令：#设置允许第2000号访问列表中的peer可以对本地设备进行时间请求、查询控制、时间同步。[Quidway]ntp-serviceaccesspeer2000#只允许第2028号访问列表中的peer对本地设备进行时间请求、查询控制。[Quidway]ntp-serviceaccess-groupsynchronization2828未禁止DhcpServer服务防止对网络稳定的影响相关命令：#关闭Dhcp服务[Quidway]undodhcpenableICMPredirect存在可被攻击的安全漏洞相关命令：#在GE1/0/0接口关闭ICMP重定向报文发送功能。[Quidway]interfacegigabitethernet1/0/0[Quidway-GigabitEthernet1/0/0]undoicmpredirectsendICMPunreachable防止ICMP-baseddenialofservice(DoS)相关命令：#在GE1/0/0接口关闭ICMP主机不可达报文发送功能。[Quidway]interfacegigabitethernet1/0/0[Quidway-GigabitEthernet1/0/0]undoicmphost-unreachablesend禁用不需要的全局服务禁用不需要的接口服务arp-proxy防止DoS攻击相关命令：在子接口GE1/0/0.1上关闭ARPProxy功能。[Quidway]interfacegigabitethernet1/0/0.1[Quidway-GigabitEthernet1/0/0.1]undoarp-proxyenable符合要求的header设置header不应当出现对攻击者有价值的信息，如路由器的名字、型号、运行的软件以及所有者的信息等相关命令：[Quidway]headershellinformation%设置用户名和密码可采用用户分级管理相关命令：[Quidway-aaa]local-userhello@163.netpasswordcipherhello[Quidway-aaa]local-userhello@163.netlevel3远程登录采用加密传输（SSH)相关命令：[Quidway-aaa]local-userhello@163.netservice-typessh设置切换低级别用户到高级别用户的密码相关命令：[Quidway]superpasswordlevel3cipherabcd限制远程登录源地址相关命令：[Quidway]aclnumber2001[Quidway-acl-basic-2001]rule0permitsourceX.X.X.X[Quidway]user-interfacevty04[Quidway-ui-vty0-4]acl2001inbound禁用不需要的接口服务路由器安全访问密码策略设置密码重试次数和超时时间相关命令：[Quidway]sshserverauthentication-retries4[Quidway]sshservertimeout80idle-timeout建议5分钟内[Quidway-ui-console0]idle-timeout130关闭AUX如不使用建议关闭相关命令：[Quidway-ui-aux0]undomodemcall-in日志服务为增强日志审计，建议开启相关命令：[Quidway]info-centerenable[Quidway]info-centerloghost1.1.1.1[Quidway]info-centerloghostsourceEthernet3/0/0SNMP读写密码设置强壮的读写密码，如无需要可关闭写服务[Quidway]snmp-agentcommunityreadcomaccess[Quidway]snmp-agentcommunitywritemgr默认SNMP读写口令为：public、private，如未修改则存在脆弱性限制管理主机地址相关命令：[Quidway]snmp-agentcommunityreadpublicacl2000未禁止没有使用或空闲的端口相关命令：[Quidway-Ethernet3/0/0]shutdown源地址路由检查防止使用地址欺骗的攻击相关命令：Quidway-GigabitEthernet1/0/0]ipurpfstrictallow-default-routeacl2999SNMP管理和log管理安全配置不足其他路由器安全访问