密码策略
idle-timeout 关闭AUX
日志服务
SNMP管理和 log管理安全
配置不足 SNMP读写密码
其他
限制管理主机地址 未禁止没有使用或 空闲的端口
源地址路由检查
设置密码重试次数和超时时间 相关命令： [Quidway] ssh server authentication-retries 4 [Quidway] ssh server timeout 80 建议5分钟内 [Quidway-ui-console0] idle-timeout 1 30 如不使用建议关闭 相关命令： [Quidway-ui-aux0] undo modem call-in 为增强日志审计，建议开启 相关命令： [Quidway]info-center enable [Quidway]info-center loghost 1.1.1.1 [Quidway] info-center loghost source Ethernet 3/0/0
防止ICMP-based denial of service (DoS)
相关命令：
禁用不需要 的接口服务
ICMP
unreachable
# 在GE1/0/0接口关闭ICMP主机不可达报文发送功 能。 [Quidway] interface gigabitethernet 1/0/0
[Quidway-GigabitEthernet1/0/0] undo icmp
host-unreachable send
禁用不需要 的接口服务
arp-proxy
符合要求的header 设置
设置用户名和密码
防止DoS攻击 相关命令：
在子接口GE1/0/0.1上关闭ARP Proxy功能。 [Quidway] interface gigabitethernet 1/0/0.1 [Quidway-GigabitEthernet1/0/0.1] undo arpproxy enable
存在Hale Waihona Puke 被攻击的安全漏洞相关命令：
ICMP redirect
# 在GE1/0/0接口关闭ICMP重定向报文发送功能。 [Quidway] interface gigabitethernet 1/0/0
[Quidway-GigabitEthernet1/0/0] undo icmp
redirect send
# 只允许第2028号访问列表中的peer对本地设备
进行时间请求、查询控制。
[Quidway] ntp-service access-group
synchronization 2828
未禁止Dhcp 服务
Server
防止对网络稳定的影响 相关命令： # 关闭Dhcp服务
[Quidway] undo dhcp enable
防止信息失密和配置丢失
未禁止FTP服务
相关命令： # 关闭FTP服务器
[Quidway] undo ftp server
防止服务对网络设备时间造成影响，如需开启，
建议进行访问控制权限配置
相关命令：
# 设置允许第2000号访问列表中的peer可以对本
禁用不需要 的全局服务
未禁止NTP服务
地设备进行时间请求、查询控制、时间同步。 [Quidway] ntp-service access peer 2000
abcd
限制远程登录源地 址
相关命令： [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule 0 permit source X.X.X.X [Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] acl 2001 inbound
设置强壮的读写密码，如无需要可关闭写服务 [Quidway] snmp-agent community read comaccess [Quidway] snmp-agent community write mgr 默认SNMP读写口令为：public、private，如未修 改则存在脆弱性
相关命令： [Quidway] snmp-agent community read public acl 2000 相关命令： [Quidway-Ethernet3/0/0]shutdown 防止使用地址欺骗的攻击 相关命令： Quidway-GigabitEthernet1/0/0] ip urpf strict allow-default-route acl 2999
远程登录采用加密 传输（SSH)
相关命令： [Quidway-aaa] local-user hello@ service-type ssh
设置切换低级别用 相关命令：
路由器安全 户到高级别用户的 [Quidway] super password level 3 cipher
访问 密码
header不应当出现对攻击者有价值的信息，如路 由器的名字、型号、运行的软件以及所有者的信 息等 相关命令： [Quidway] header shell information %
可采用用户分级管理 相关命令： [Quidway-aaa] local-user hello@ password cipher hello [Quidway-aaa] local-user hello@ level 3