密级：秘密
文档编号：
项目代号：
XXX网站系统
汇聚层交换机安全策略检查及加固报告
XXX
2012年 10月12日
目录
一.安全检查概述 (4)
1.1检查目标 (4)
1.2检查范围 (4)
1.3检查流程 (5)
二.设备信息 (5)
三.检查内容记录 (6)
四.安全加固项 (7)
4.1关闭未使用的端口 (7)
4.2设置Telnet访问ACL限制 (7)
4.3设置系统登录信息警告 (8)
4.4设置syslog日志服务器（可选） (8)
文档信息表
一.安全检查概述
为了保障XXX网站系统的网络安全、通畅和高效的运营，XXX针对XXX 数据中心汇聚层交换机的安全策略进行安全检查，并根据检查结果给出相应的加固建议。

1.1检查目标
本次汇聚层交换机安全策略检查服务，主要通过完整详细的采集交换机设备的基本信息与运行状态数据，再对本次交换机安全策略检查采集的数据进行系统的整理与分析，然后对XXX网络安全提出相关建议报告。

对现有网络存在的问题记录；及时的反馈。

➢采集汇聚层交换机设备的运行参数，通过系统整理与分析，判断设备的运行状态。

➢检查汇聚层交换机的运行环境，分析和判断交换机设备运行环境是否满足当前安全运行的必要条件。

➢检查安全设备、配置的冗余性，确保网络系统具有抵御设备故障的能力和高可用性。

➢检查交换机的log日志记录，调查前期交换机设备运行状态情况，寻找故障隐患。

1.2检查范围
本次XXX网站系统汇聚层交换机安全策略检查的范围主要包括：
➢设备运行状况及账户安全策略设置；
➢检查日志记录情况和存储设置；
➢检查路由协议安全状况；
➢检查设备冗余情况及设备配置备份策略；
➢检查访问控制安全策略设置和各种服务运行状况。

1.3检查流程
本次XXX网站系统汇聚层交换机安全检查的流程分为以下四个阶段：
二.设备信息
三.检查内容记录
⏹有未使用的物理端口
检查发现汇集交换机vlan-interface400接口物理状态为“up”，协议状体为“down”，接口没有设备接入，这样会导致非法用户接入网络。

⏹没有设置Telnet远程访问控制
对交换机端的远程telnet访问控制可以限制登录到网络设备的IP地址，如果没有对登录VTY端口的IP地址进行限制，意味着所有网段都可以登录网络设备进行配置修改或者登录尝试，增加网络设备的威胁。

建立VTY访问控制列表，将平常用于管理设备的的管理网段或者终端加入到VTY的访问控制列表中，做到只有管理员可以telnet登陆到交换机进行相关操作。

⏹未设置系统登录信息警告
设置Modem登陆用户登陆进入用户视图时的欢迎和警告信息，可设置一些提示登陆用户的操作规范或者操作警告信息。

⏹未设置syslog日志服务器
网络设备的日志记录了设备的工作状况和操作记录，通过查看日志记录可以了解在一定时间内的操作记录和事件记录。

借助第三方软件（syslog日志软件）架设一个日志服务器，专门用来存放网络设备的日志文件，可以记录设备长时间内的日志文件。

四.安全加固项
汇聚交换机的安全加固项是根据对交换机安全策略检查出的漏洞所做的，具体加固的内容应根据用户实际情况而定，加固操作最终确保用户网络环境稳定、安全、高效的运行。

4.1关闭未使用的端口
禁用网络交换机上所有未使用的端口，这样做可以有效保护用户网络，使其免受未经授权的访问。

检查发现汇集交换机vlan-interface400接口物理状态为“up”，协议状体为“down”，接口没有设备接入，为了安全禁用此接口。

操作过程如下：
<zhongxin-ZHONGXIN-H3C7506E7506E>system-view
[zhongxin-ZHONGXIN-H3C7506E7506E]interface vlan-interface400 [zhongxin-ZHONGXIN-H3C7506E7506E]shutdown
4.2设置Telnet访问ACL限制
<ZHONGXIN-H3C7506E> system-view
[ZHONGXIN-H3C7506E] acl number 2000（2000为自定义的ACL number）[ZHONGXIN-H3C7506E-acl-basic-2000] rule 1 permit source 10.64.X.X （10.64.X.X 为自定义的可建立Telnet连接的网段）
[ZHONGXIN-H3C7506E-acl-basic-2000] rule 2 permit source 10.64.X.X （10.64.X.X 为自定义的可建立Telnet连接的网段）
[ZHONGXIN-H3C7506E-acl-basic-2000] rule 3 deny source any [ZHONGXIN-H3C7506E-acl-basic-2000] quit
[ZHONGXIN-H3C7506E] user-interface vty 0 4
[ZHONGXIN-H3C7506E-user-interface-vty0-4] acl 2000 inbound
4.3设置系统登录信息警告
<ZHONGXIN-H3C7506E> system-view
[ZHONGXIN-H3C7506E] header incoming %
******************************************************************** Welcom to incoming！%
[ZHONGXIN-H3C7506E] header legal %
Warning！ Anyone who is not admitted to login this device is refused! Please don't waster your time！
********************************************************************%
4.4设置syslog日志服务器（可选）
◆H3C汇聚交换机端设置
H3C设备配置步骤
<Zhongxin-H3C7506E> system-view
[Zhongxin-H3C7506E] info-center enable（开启信息中心功能，向日志服务器方向输出系统信息）
[Zhongxin-H3C7506E] display info-center
[Zhongxin-H3C7506E] info-center loghost XX.XX.XX.XX（设置信息中心日志服务器IP地址，XX.XX.XX.XX 指日志服务器的IP地址）
◆日志服务器端配置
1、下载kiwi_syslogd软件，新建“New File”设置syslog日志服务器所监控的汇聚交换机的IP地址。

1、自定义修改log 文件的存储路径。