-------------------------------------------------------------------------------1、帐号权限细分-------------------------------------------------------------------------------# 查看所有的用户信息show running-config | include username ## 新建admin帐号password[非加密0/加密7] 不支持加密，默认不填数字为0 限制单点登录## 047538783E3B3E234D ## 停用不必要的帐号user1 #confusername admin password 0 Admin123maxlinks 1no username user1show running-config | include username# 设置enable密码不加密（交换机不支持自动编译密文）0为不加密权限为15级# enable password 0 admin2015 level 15-------------------------------------------------------------------------------2、修改设备缺省banner语-------------------------------------------------------------------------------# 欢迎界面、提示符等不包含敏感信息通过console或远程登录即可查看提示信息## show running-config | include banner #aaa authentication banner "WARNING!!!"-------------------------------------------------------------------------------3、用IP协议进行远程维护的设备使用SSH等加密协议-------------------------------------------------------------------------------不支持-------------------------------------------------------------------------------4、日志安全-------------------------------------------------------------------------------# 查看日志信息（查看服务是否开启）设置日志缓存大小4096k show running | include logging ## 开启NTP服务（与时间服务器同步）需要提供时间服务器的地址查看NTP信息show running | include sntp/ntp ## 配置远程日志的日志服务器地址，设置发送日志的级别，最下命令设置notifications ## 配置模式#设置ntp服务器部份可能为sntp server 10.111.1.11 ## 警告级别7级#alerts -- 需要马上行动critical -- 临界情况debugging -- 调试信息emergencies -- 系统不可用errors -- 错误情况informational -- 报告性信息notifications -- 正常但很重要的情况rate-limit -- 设置日志输出速率warnings -- 警告情况time-range -- 设置日志时间范围Logging onLogging 10.181.109.172logging buffered 4096logging monitor notificationssntp server 10.111.1.11------------------------------------------------------------------------------- 5、设置定时账户自动登出、配置console口密码保护功能-------------------------------------------------------------------------------# 设置Telnet、ssh、console登录连接超时退出三分钟无操作自动退出部分设备以秒计算## 设置console 口密码为Admin123 0为明文传输（由于7不支持自动加密且无法支持加密）#line con 0password 0 Admin123exec-timeout 180exitline vty 0 4exec-timeout 180exit-------------------------------------------------------------------------------6、SNMP的Community默认通行字口令强度-------------------------------------------------------------------------------# SNMP协议的community团体字，与北塔联动查看snmp信息show snmp host ## Community非默认，口令长度至少8位，数字、小写、大写字母和特殊符号4类中至少2类。

NJ-xx@public1 ## 10.181.108.115 北塔地址#snmp-server community NJ-xx@public1 ro-------------------------------------------------------------------------------7、关闭未使用的接口（请勿随便关闭，该项需确认好）-------------------------------------------------------------------------------# 需确认该网口是否不使用，不使用关闭查看端口命令dis cur 看到端口状态shutdown 为关闭#interface GigabitEthernet1/0/10shutdown# 进入每一个端口禁用端口代理arp （低端交换机可能不存在该选项）#no arp inspection trust# 进入每一个端口预防源地址伪造攻击（低端交换机可能不存在该选项）#urpf strict allow-default-route-------------------------------------------------------------------------------8、关闭不必要的网络服务(某些交换机可能不支持以下命令功能)-------------------------------------------------------------------------------# 关闭DHCP服务#no dhcp disable# 关闭DNS服务#no dns disable# 关闭FTP服务#no ftp disable------------------------------------------------------------------------------- 9、ACL白名单-------------------------------------------------------------------------------ip access-list extended banprotdeny udp any anyeq 69 logdeny tcp any anyeq 88 logdeny udp any anyeq 88 logdeny tcp any anyeq 135 logdeny udp any anyeq 135 logdeny udp any anyeq 137 logdeny tcp any anyeq 138 logdeny udp any anyeq 138 logdeny tcp any anyeq 139 logdeny udp any anyeq 139 logdeny tcp any anyeq 445 logdeny udp any anyeq 445 logdeny tcp any anyeq 593 logdeny udp any anyeq 593 logdeny tcp any anyeq 4444 logdeny udp any anyeq 5554 logdeny tcp any anyeq 9995 logdeny tcp any anyeq 9996 logdeny udp any anyeq 1434 logpermit ip any anyexit# 端口应用先查看端口分别有哪些在进入端口应用acl规则# # range批量进入端口，某些型号不支持，只能挨个口进入应用# int range g0/41-45ip access-group banprot egress# 交换机差别应用out/egress ## 贝尔不支持vty设置acl #ip access-list extended managepermit ip 10.0.0.0 255.0.0.0 any。