批量安全加固路由器及交换机

安全加固内容

华为路由器及交换机的验证授权、访问控制和统一管理，主要表现在登录方式、限制登录地址与 SNMP 管理地址、时钟同步、统一日志管理、停用不使用的服务和关闭未使用的端口等方面。

1.SSH 登录方式

TELNET是远程登录协议，使用明文传送口令和数据，容易被监听和截获，安全性非常低。SSH（Secure Shell）使用加密算法，基于口令或密钥进行安全验证，数据加密传送，安全性比较高。

安全加固时，首先创建密钥对，启用SSH服务，创建用户（用户名、密码、授权、服务类型和空闲超时），然后在VTY上使用AAA认证和SSH协议。同时，通过Console口登录也采用AAA验证方式。

2.限制登录地址与SNMP管理地址

通过访问控制列表，对试图登录设备、SNMP管理设备的非法IP进行过滤，确保管理员IP地址才能正常登录和管理设备。

3.NTP时钟同步

时间同步对网络设备的安全、审计、监控、故障检查和溯源等非常重要。因此所有网络设备需要通过NTP协议与时钟服务器（时钟源）同步。系统使用UTC时钟，北京是东八区，北京时间

4.统一日志管理

网络设备运行会产生大量日志信息，通过日志我们可以详细了解设备状态、告警、错误、警告等信息。如果网络设备较多，逐台登录查看日志不太现实，需要指定一台服务器，集中存放日志，统一分析和管理，也避免网络设备遭入侵后日志可能被清空等问题。通常使用Linux服务器或Kiwi Syslog Daemon为日志服务器。

5.停用不使用的服务

基于最小的服务等于最大的安全原则，关闭或停用 TELNET、HTTP、FTP、SFTP、DHCP等不需要使用的服务，减少风险，提高网络设备的安全性。

6.关闭未使用端口

使用shutdown命令关闭不使用的端口，防止非法用户接入网络。另外，对于接入层交换机，还要进行环路检测和生成树边缘端口等安全配置。

批量安全加固

如果网络规模较大，路由器及交换机数量较多，逐台进行安全加固，无疑耗时耗力，非常繁琐，容易出错，效率不高。

SecureCRT有非常完善脚本支持功能，利用它可以批量对网络设备进行安全加固。

脚本工作目录是 D:work，在该目录下创建网络设备清单文件huawei-ippwd-pwd.txt，该文件由设备IP、登录密码和SUPER密码三部分组成，空格分开。格式如下：

设备一IP 登录密码SUPER密码

设备二IP 登录密码SUPER密码

...

完整的加固脚本比较冗长，限于篇幅，下面的SecureCRT执行脚本，可以批量对华为路由器及交换机登录地址进行加固。不同版本的华为VRP平台在配置过程中，提示内容略有不同，可根据实际情况进行脚本修改。