优化设备初始化配置

前文提到，新华三技术有限公司H3C SecPath F10x0防火墙存在弱口令漏洞（CNVD-ID：CNVD-2020-10223）。攻击者可利用该漏洞登录系统获取敏感信息。（）

说实话，这是我印象中第一次配置不合规上升到了信息安全漏洞层面，所以希望能引起大家足够的重视吧。本来是打算出一期等保2.0中配置合规的专题，在本文先优化一下设备的初始化配置吧。

修改设备名称及地址

一般为了方便管理，建议按照"位置+型号+管理IP"格式进行设置。我是虚拟化，没有位置，就直接设置成vFW-200.1了。

查看接口信息，和物理防火墙不一样的是，设备默认的第一个接口没有配置信息，需要手工配置地址。在G1/0接口上配置了192.168.100.200/24的地址，ping网关100.1发现不通，也没有ARP信息，才发现是完全的空配置。

#

sysname vFW-200.1

#

interface GigabitEthernet1/0

port link-mode route

description Management

ip address 192.168.100.200 255.255.255.0

域间策略配置

首先将接口G1/0加入到安全域Management，因为是挺老的一个版本，还不支持安全策略，所以先调整域间策略。

#

security-zone name Management

import interface GigabitEthernet1/0

#

zone-pair security source Local destination Management

packet-filter 3000

#

zone-pair security source Management destination Local

packet-filter 3000

正常来讲，域间策略只应该精确地放通需要互访的流量，比如此处，放通规则仅添加192.168.100.0/24网段的互访，并在最后添加deny规则。

#

acl advanced 3000

description zonepair

rule 0 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

rule 100 deny ip

调整用户配置

新增用户Tietou，并删除默认用户admin，提升安全级别。要保证用户权限设置合理，密码强度符合要求，一般是包含数字、大小写字母、特殊字符，并且字符长度不低于8位。

#

local-user Tietou class manage

password simple Tietou@h3c.com

service-type ssh terminal https

authorization-attribute user-role network-admin

开启远程服务

尽量避免使用Telnet、HTTP等非加密协议，建议使用SSH和HTTPS，并使用ACL进行远程访问控制。

#

line vty 0 63

authentication-mode scheme

user-role network-operator

#

ssh server enable

ssh server acl 2400

#

acl basic 2400

description vtylogin

rule 0 permit source 192.168.100.0 0.0.0.255

#

ip https port 8443

ip https acl 2400

ip https enable

为避免受到攻击，需要关闭不必要的服务并删除无关账号信息，如上次传版本使用的FTP服务就要及时关闭，创建的FTP临时账号也要及时删除。

其他配置项

一般物理环境中，涉及到的配置项还有console口认证，password-control密码控制（如密码强度符合要求、定期老化更新等），登录检测（登录失败延迟、登录攻击方法等），低级别用户切换访问级别等等。遇到时具体问题具体分析，最后再按照等保要求汇总一份文档给大家。