1、左右。如果出于排障目的,需要长时间登录设备检查系统状态,则需 临时延长或取消这项设置。 【应用网络层次】:在所有层面设备 【影响】:超时自动退出设备 【具体配置】: !设置 SC 地址 FJFZ-SWITCH02 (enable)set interface sc0 10.0.0.1 255.255.255.0 !设置管理路由 FJFZ-SWITCH02 (enable)set ip route default 10.0.0.2 !设置登陆密码 第 10 页 共 28 页 FJFZ-SWITCH02 (enable)set password !设置空闲时长 3 分钟 FJFZ-SWITCH02
2、(enable)set logout 3 2.1.3 访问地址限制访问地址限制 只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程 连接。 【应用网络层次】:在所有层面设备 【影响】:只有网管网段才能登陆 【具体配置】: !设置访问控制列表,只允许网管网段登陆 FJFZ-SWITCH02 (enable) set ip permit 211.138.145.192 255.255.255.192 telnet !启用访问控制列表 FJFZ-SWITCH02 (enable) set ip permit enable telnet 2.1.4 设置远程管理设置远程管理 VLAN
3、管理 VLAN 默认在 VALN1,存在着不安全性,要求修改管理 VLAN。 【应用网络层次】:在所有层面设备 【影响】:无 【具体配置】: FJFZ-SWITCH02 (enable) set interface sc0 12 ; 2.22.2 帐号和密码管理帐号和密码管理 要求应在日常维护过程中周期性地(至少按季度)更改登录密码,甚至登录帐 第 11 页 共 28 页 号。当外方人员需要登录设备时,应创建临时帐号,并指定合适的权限。临时帐 号使用完后应及时删除。登录帐号及密码的保管和更新应由专人负责,并注意保 密。帐号名字应该与使用者存在对应关系,如能反应使用者的级别、从属关系。 为了提高
4、安全性,在方便记忆的前提下,帐号名字应尽量混用字符的大小写、数 字和符号,提高猜度的难度。同样的,密码必须至少使用四种可用字符类型中的 三种:小写字母、大写字母、数字和符号,而且密码不得包含用户名或用户全名的 一部分。一般情况下密码至少包含 8 个字符。我们建议用密码生成器软件(如 )来制造随机密码。 Catalyst 交换机支持 AAA 认证,最好的口令处理方法是将这些口令保存在 TACACS+或 RADIUS 认证服务器上。Catalyst 交换机的密码是采用密文存放的, 这和思科路由器不一样。 【应用网络层次】:在所有层面设备 【影响】:无 【具体配置】: FJFZ-SWITCH02 (
5、enable) set password ;设置登陆密码 FJFZ-SWITCH02 (enable) set enablepass ;设置 enable 密码 2.32.3 帐号认证和授权帐号认证和授权 Catalyst 交换机支持 RADIUS、TACACS 或者 Kerboros 认证,通过认证可以 方便实现对大量设备的登录帐号和密码的管理。建议采用集中认证和授权模式。 通过服务器还可以弥补设备本身对执行权限管理的不足。 第 12 页 共 28 页 2.3.1 RADIUS 认证方式认证方式 RADIUS 的全称为(Remote Access Dail-In User Service),
6、它是对远程拨号用户 访问进行认证的一种协议。主要进行 Authentication Authorization Accounting (AAA) 三方面的工作。 【应用网络层次】:根据需要实施,在所有层面设备可以实施该建议。 【影响】:无 【具体配置】: FJFZ-SWITCH02 (enable) set radius server 10.0.0.1 auth-port 1645 FJFZ-SWITCH02 (enable) set radius key xxxxxx !telnet 认证 FJFZ-SWITCH02 (enable) set authentication login rad
7、ius enable telnet 2.3.2 TACACS 认证方式认证方式 终端访问控制器访问控制系统(Terminal Access Controller Access Control System,TACACS)安全协议,对认证和授权处理提供详细的记帐信息和灵活的 管理控制。 【应用网络层次】:根据需要实施,在所有层面设备可以实施该建议。 【影响】:无 【具体配置】: FJFZ-SWITCH02 (enable) set tacacs server 10.0.0.1 FJFZ-SWITCH02 (enable) set tacacs key xxxxxx !telnet 认证 FJFZ
8、-SWITCH02(enable) set authentication login tacacs enable telnet 第 13 页 共 28 页 2.3.3 Kerboros 认证方式认证方式 Kerberos 是秘密密钥网络认证协议,使用数据加密标准(DES)加密算法进行 加密和认证。Kerberos 是为对网络资源的请求进行认证而设计的。与其它秘密密 钥系统一样,Kerberos 基于可信任的第三方概念,这个第三方对用户和服务执行 安全认证。在 Kerberos 协议中,这一可信任的第三方被称为密钥分发中心 (KDC,Key Distribution Center)。 【应用网络
9、层次】:根据需要实施,在所有层面设备可以实施该建议。 【影响】:无 【具体配置】: !定义 Kerberos 域 FJFZ-SWITCH02 (enable) set kerberos local-realm !定义 KGC 服务器 FJFZ-SWITCH02 (enable) set kerberos server 10.0.0.1 !从 KGC 复制 SRVTAB 文件,确保交换机与 KDC 共享秘密的密钥 FJFZ-SWITCH02 (enable) set kerberos srvtab remote 10.0.0.1 filename !转发用户认证证书 FJFZ-SWITCH02
10、(enable) set kerberos credentials forward !使用 Kerberos 认证 FJFZ-SWITCH02 (enable) set authentication login kerberos enable telnet 2.4 snmp 协议协议 Snmp 协议是目前数据网管理中普遍使用的协议,但 snmp 协议本身也存在 安全问题。需要合理配置 snmp 协议的相关属性,才能让 snmp 协议更好的为日 常维护管理服务。 第 14 页 共 28 页 由于 snmp 协议的 MIB 存放着大量设备状态信息(称之为 Object,并以 OID 作为唯一标识)
11、,既有物理层信息(如端口状态),也有协议层信息(如端口 IP 地 址)。网管系统通过 SNMP GET 或 M-GET 指令采集这些信息作为原始数据,经 分析和处理后实现各种网管功能。部分 MIB Object 还可以让网管系统通过 SNMP SET 指令来赋值。怀有恶意的人可以通过窃取 SNMP 数据来获得网络的 基本情况,并以此发起恶意攻击,甚至通过修改 MIB Object 赋值来进行破坏。因 此 SNMP 的防护非常重要。 SNMP 自身也提供了一定的安全手段,即 Community。Community 相当于网 管系统与设备之间建立 SNMP 连接合法性的识别字串。它们两者之间的 S
12、NMP 交互都需要先做 Community 检查后,再执行。有 2 种 Community:Read-Only(简 称 RO)和 Read-Write(简称 RW)。RO 提供给 SNMP GET、SNMP M-GET、SNMP TRAP 指令使用;RW 还提供给 SNMP SET 指令使用,RW 相当危险,要求关闭 snmp rw 功能。 建议采取以下方法进行保护: 2.4.1 SNMP 服务器的服务器的关闭关闭 如不需要提供 snmp 服务的,要求禁止 SNMP 协议服务,注意在禁止时删除 一些 SNMP 服务的默认配置。 【适用网络层次】:所有设备 【影响】:关闭,网管系统无法采集到相关
13、管理数据以及告警监控等 【具体配置】: FJFZ-SWITCH01 (enable) set snmp trap disable 第 15 页 共 28 页 2.4.2 限制发起限制发起 SNMP 连接的源地址连接的源地址 【适用网络层次】:所有设备 【影响】:只有指定的网管网段才能使用 SNMP 维护设备 【具体配置】: FJFZ-SWITCH02 (enable) set snmp trap enable !指定 TRAP 接收服务器 FJFZ-SWITCH02 (enable) set snmp trap 10.0.0.1 community_name !设置 SNMP IP搀匀萀搀讀缁
14、蜰H缀窢刀椀鼂蜃敥驒噕敻搀漀挀戀搀搀昀挀愀戀挀最椀昀敥驒噕敻搀漀挀尀尀戀挀愀搀愀愀攀昀搀愀搀挀攀攀戀甀刀眀砀最一搀夀稀琀猀娀甀猀儀愀愀洀伀洀夀瀀夀瀀挀倀稀焀眀甀砀欀挀砀甀昀唀驒噕敻戀愀戀愀戀攀挀搀蜀驒噕敻晦囿匀伀鵺湏啓敢嚕敻0噴敻遒b祬腲g驒噕敻扵襺魎渀湦x渀襺遒渀噑恻遒渀驒噕敻渀O噕敻決嬀崀眀啓敢嬀崀噕敻獓嬀崀嚕敻遒b祬腲嬀崀驒瑛嬀崀瘀荑猰倀襺魎猰艳渀湦x鴀湏啓敢湦x嫿驒噕敻葵渀襺遒襺葢v噕敻荳遒渀噑恻遒渀蘀噑煻噑祿腲遒渀驒噕敻渀O噕敻渀噕敻梈扑響獶蝖瘀蝎琀娀猀夀倀唀最爀椀琀娀唀搀栀欀搀堀猀娀吀洀愀猀甀焀儀倀栀砀夀砀瘀焀氀堀樀儀漀焀夀昀甀蜀驒噕敻晦囿匀伀鵺湏啓敢嚕敻0噴敻遒b祬腲g驒噕敻扵襺魎渀湦x渀襺遒渀噑恻遒渀驒噕敻渀O琀徫%檄胔-謧-i縀$营IBM-新奥燃气控股集团05_组织&KPI Final.ppt5fb6e87070e042149c4d7bdd916f5490.gifIBM-新奥燃气控股集团05_组织KPIFinal.ppt2020-7119d866891-70e2-4f25-84ba-eb790268
