龙空技术网

vFW初始配置简单合规

衡水铁头哥 115

前言:

今天各位老铁们对“域账号登录临时配置用户”大致比较关怀,你们都需要了解一些“域账号登录临时配置用户”的相关知识。那么小编也在网上收集了一些对于“域账号登录临时配置用户””的相关知识,希望看官们能喜欢,各位老铁们一起来学习一下吧!

优化设备初始化配置

前文提到,新华三技术有限公司H3C SecPath F10x0防火墙存在弱口令漏洞(CNVD-ID:CNVD-2020-10223)。攻击者可利用该漏洞登录系统获取敏感信息。()

说实话,这是我印象中第一次配置不合规上升到了信息安全漏洞层面,所以希望能引起大家足够的重视吧。本来是打算出一期等保2.0中配置合规的专题,在本文先优化一下设备的初始化配置吧。

修改设备名称及地址

一般为了方便管理,建议按照"位置+型号+管理IP"格式进行设置。我是虚拟化,没有位置,就直接设置成vFW-200.1了。

查看接口信息,和物理防火墙不一样的是,设备默认的第一个接口没有配置信息,需要手工配置地址。在G1/0接口上配置了192.168.100.200/24的地址,ping网关100.1发现不通,也没有ARP信息,才发现是完全的空配置。

#

sysname vFW-200.1

#

interface GigabitEthernet1/0

port link-mode route

description Management

ip address 192.168.100.200 255.255.255.0

域间策略配置

首先将接口G1/0加入到安全域Management,因为是挺老的一个版本,还不支持安全策略,所以先调整域间策略。

#

security-zone name Management

import interface GigabitEthernet1/0

#

zone-pair security source Local destination Management

packet-filter 3000

#

zone-pair security source Management destination Local

packet-filter 3000

正常来讲,域间策略只应该精确地放通需要互访的流量,比如此处,放通规则仅添加192.168.100.0/24网段的互访,并在最后添加deny规则。

#

acl advanced 3000

description zonepair

rule 0 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.100.0 0.0.0.255

rule 100 deny ip

调整用户配置

新增用户Tietou,并删除默认用户admin,提升安全级别。要保证用户权限设置合理,密码强度符合要求,一般是包含数字、大小写字母、特殊字符,并且字符长度不低于8位。

#

local-user Tietou class manage

password simple Tietou@h3c.com

service-type ssh terminal https

authorization-attribute user-role network-admin

开启远程服务

尽量避免使用Telnet、HTTP等非加密协议,建议使用SSH和HTTPS,并使用ACL进行远程访问控制。

#

line vty 0 63

authentication-mode scheme

user-role network-operator

#

ssh server enable

ssh server acl 2400

#

acl basic 2400

description vtylogin

rule 0 permit source 192.168.100.0 0.0.0.255

#

ip https port 8443

ip https acl 2400

ip https enable

为避免受到攻击,需要关闭不必要的服务并删除无关账号信息,如上次传版本使用的FTP服务就要及时关闭,创建的FTP临时账号也要及时删除。

其他配置项

一般物理环境中,涉及到的配置项还有console口认证,password-control密码控制(如密码强度符合要求、定期老化更新等),登录检测(登录失败延迟、登录攻击方法等),低级别用户切换访问级别等等。遇到时具体问题具体分析,最后再按照等保要求汇总一份文档给大家。

标签: #域账号登录临时配置用户