(一)增强方法
增强方法 | 说明 | |
1 | 配置交换机访问口令和ACL,限制安全登录 | 登录和访问方式: ①Console端口 ②AUX端口 ③SNMP访问 ④Telnet访问 ⑤SSH访问 ⑥HTTP访问 交换机支持ACL访问和口令认证安全控制 安全访问控制分级: ①第一级通过控制用户连接实现。配置交换机ACL对登录用户过滤,合法用户才能建立连接 ②第二级通过用户口令认证实现。用户必须通过口令认证才能真正登录到设备。 通过配置ACL对登录用户过滤机制,在口令认证前将恶意或不合法请求过滤掉,保证设备安全 |
2 | 利用镜像技术监测网络流量 | 以太网交换机提供基于端口和流量的镜像功能,将指定的1个或多个端口报文或数据包复制到监控端口,用于报文分析和监视、网络检测和故障排除 observe-port 1 interface GigabitEthernet1/0/2 //观察口 interface GigabitEthernet1/0/1 //镜像口 port-mirroring to observe-port 1 inbound/outbound/both |
3 | MAC地址控制技术 | ①设置最大可通过MAC地址数。控制以太网交换机维护的MAC地址表项数量(默认无限制) ②设置MAC地址老化时间。 老化时间过长➝过时MAC地址表项过多➝耗尽MAC地址表资源; 老化时间太短➝可能删除有效MAC地址表项(推荐老化时间age默认值=300秒) |
4 | 安全增强 | 作用:减少交换机网络攻击威胁面,提升抗攻击能力 方法:关闭交换机不必要网络服务、限制安全远程访问、限制控制台访问、启动登录安全检查、安全审计等 |
(二)增强措施
(1)关闭不必要的网络服务
# no ip http server
# no ip http secure-server
# no service dhcp
# no cpd run
# no lldp run global
# no ip bootp server
# no ip domain-lookup
# no ip source-route
(2)创建本地账号
# username netadmin privilege 15 secret 1111
# enable secret 2222
# service password-encryption
# aaa new-model
# aaa authentication login default local-case
# aaa local authentication attempts max-fail 10
(3)启用SSH服务
# ip domain-name techspacekh .com
# crypto key generate rsa modulus 2048
# ip ssh version 2
# ip ssh time-out 30# ip ssh logging events
# ip ssh maxstartups 10
# ip ssh authentication-retries 5
(4)限制安全远程访问
# ip access-list standard ACL-SSH
permit 10.10.20.0 0.0.0.255 log
deny any log
# line vty 04
transport input ssh
access-class ACL-SSH in
exec-timeout 15
(5)限制控制台访问
# line con 0
exec-timeout 15
no privilege level 15
(6)启动登录安全检查
# login block-for 300 attempts 5 within 120
# login delay 2
# login on-failure log
# login on-success log
(7)安全审计(发送到日志服务器)
# logging buffered 16000 informational
# logging X.Y.Z.5
# logging source-interface Loopback 0
# service timestamps debug datetime msec localtime show-timezone
# service timestamps log datetime msec localtime show-timezone
(8)限制SNMP访问
# ip access-list standard ACL-SNMP
permit x.Y.z.6
deny any log
# snmp-server community T@s9aMon RO ACL-SNMP
# snmp-server location DC
(9)安全保存交换机IOS软件镜像文件
# ip scp server enable
# copy scp://username@ x.Y.2.20/ home/techspacekh/file.txt flash:
# configuration mode exclusive auto
# secure boot-image
# secure boot-config
(10)关闭不必要端口
# int range fa0/1 - 48
switchport port-security maximum 2
switchport port-security aging time 10
switchport port-security aging type inactivity
switchport port-security
(11)关闭监视台机监测审计
# no logging console
# no logging monitor
(12)警示信息