批量安全加固路由器及交換機

安全加固內容

華為路由器及交換機的驗證授權、訪問控制和統一管理，主要表現在登錄方式、限制登錄地址與 SNMP 管理地址、時鐘同步、統一日志管理、停用不使用的服務和關閉未使用的端口等方面。

1.SSH 登錄方式

TELNET是遠程登錄協議，使用明文傳送口令和數據，容易被監聽和截獲，安全性非常低。SSH（Secure Shell）使用加密算法，基于口令或密鑰進行安全驗證，數據加密傳送，安全性比較高。

安全加固時，首先創建密鑰對，啟用SSH服務，創建用戶（用戶名、密碼、授權、服務類型和空閑超時），然后在VTY上使用AAA認證和SSH協議。同時，通過Console口登錄也采用AAA驗證方式。

2.限制登錄地址與SNMP管理地址

通過訪問控制列表，對試圖登錄設備、SNMP管理設備的非法IP進行過濾，確保管理員IP地址才能正常登錄和管理設備。

3.NTP時鐘同步

時間同步對網絡設備的安全、審計、監控、故障檢查和溯源等非常重要。因此所有網絡設備需要通過NTP協議與時鐘服務器（時鐘源）同步。系統使用UTC時鐘，北京是東八區，北京時間

4.統一日志管理

網絡設備運行會產生大量日志信息，通過日志我們可以詳細了解設備狀態、告警、錯誤、警告等信息。如果網絡設備較多，逐臺登錄查看日志不太現實，需要指定一臺服務器，集中存放日志，統一分析和管理，也避免網絡設備遭入侵后日志可能被清空等問題。通常使用Linux服務器或Kiwi Syslog Daemon為日志服務器。

5.停用不使用的服務

基于最小的服務等于最大的安全原則，關閉或停用 TELNET、HTTP、FTP、SFTP、DHCP等不需要使用的服務，減少風險，提高網絡設備的安全性。

6.關閉未使用端口

使用shutdown命令關閉不使用的端口，防止非法用戶接入網絡。另外，對于接入層交換機，還要進行環路檢測和生成樹邊緣端口等安全配置。

批量安全加固

如果網絡規模較大，路由器及交換機數量較多，逐臺進行安全加固，無疑耗時耗力，非常繁瑣，容易出錯，效率不高。

SecureCRT有非常完善腳本支持功能，利用它可以批量對網絡設備進行安全加固。

腳本工作目錄是 D:work，在該目錄下創建網絡設備清單文件huawei-ippwd-pwd.txt，該文件由設備IP、登錄密碼和SUPER密碼三部分組成，空格分開。格式如下：

設備一IP 登錄密碼SUPER密碼

設備二IP 登錄密碼SUPER密碼

...

完整的加固腳本比較冗長，限于篇幅，下面的SecureCRT執行腳本，可以批量對華為路由器及交換機登錄地址進行加固。不同版本的華為VRP平臺在配置過程中，提示內容略有不同，可根據實際情況進行腳本修改。