貝爾交換機(jī)常用加固命令參考

1、-1、帳號(hào)權(quán)限細(xì)分-# 查看所有的用戶信息 show running-config | include username # 新建admin帳號(hào)password非加密0/加密7 不支持加密，默認(rèn)不填數(shù)字為0 限制單點(diǎn)登錄 # 047538783E3B3E234D # 停用不必要的帳號(hào) user1 #confusername admin password 0 Admin123 maxlinks 1no username user1show running-config | include username# 設(shè)置enable密碼不加密（交換機(jī)不支持自動(dòng)編譯密文）0為不加密 權(quán)限為15級(jí) #ena

2、ble password 0 admin2015 level 15-2、修改設(shè)備缺省banner語-# 歡迎界面、提示符等不包含敏感信息 通過console或遠(yuǎn)程登錄即可查看提示信息 # show running-config | include banner #aaa authentication banner WARNING!-3、用IP協(xié)議進(jìn)行遠(yuǎn)程維護(hù)的設(shè)備使用SSH等加密協(xié)議-不支持-4、日志安全-# 查看日志信息（查看服務(wù)是否開啟）設(shè)置日志緩存大小4096k show running | include logging # 開啟NTP服務(wù)（與時(shí)間服務(wù)器同步） 需要提供時(shí)間服務(wù)器的地址

3、 查看NTP信息 show running | include sntp/ntp # 配置遠(yuǎn)程日志的日志服務(wù)器地址，設(shè)置發(fā)送日志的級(jí)別，最下命令設(shè)置notifications # 配置模式#設(shè)置ntp服務(wù)器 部份可能為 sntp server 1 # 警告級(jí)別7級(jí) # alerts - 需要馬上行動(dòng) critical - 臨界情況 debugging - 調(diào)試信息 emergencies - 系統(tǒng)不可用 errors - 錯(cuò)誤情況 informational - 報(bào)告性信息 notifications - 正常但很重要的情況 rate-limit - 設(shè)置日志輸出速率 wa

4、rnings - 警告情況 time-range - 設(shè)置 日志時(shí)間范圍Logging onLogging 72logging buffered 4096logging monitor notificationssntp server 1-5、設(shè)置定時(shí)賬戶自動(dòng)登出、配置console口密碼保護(hù)功能-# 設(shè)置Telnet、ssh、console登錄連接超時(shí)退出 三分鐘無操作自動(dòng)退出部分設(shè)備以秒計(jì)算# 設(shè)置console 口密碼為Admin123 0為明文傳輸（由于7不支持自動(dòng)加密且無法支持加密） #line con 0password 0 Admin1

5、23exec-timeout 180exitline vty 0 4exec-timeout 180exit-6、SNMP的Community默認(rèn)通行字口令強(qiáng)度-# SNMP協(xié)議的community團(tuán)體字，與北塔聯(lián)動(dòng) 查看snmp信息 show snmp host # Community非默認(rèn)，口令長度至少8位，數(shù)字、小寫、大寫字母和特殊符號(hào)4類中至少2類。NJ-xxpublic1 # 15 北塔地址 #snmp-server community NJ-xxpublic1 ro-7、關(guān)閉未使用的接口 （請(qǐng)勿隨便關(guān)閉，該項(xiàng)需確認(rèn)好）-# 需確認(rèn)該網(wǎng)口是否不使用，不使用關(guān)閉

6、 查看端口命令 dis cur 看到端口狀態(tài)shutdown為關(guān)閉#interface GigabitEthernet1/0/10shutdown# 進(jìn)入每一個(gè)端口禁用端口代理arp （低端交換機(jī)可能不存在該選項(xiàng)） #no arp inspection trust # 進(jìn)入每一個(gè)端口預(yù)防源地址偽造攻擊 （低端交換機(jī)可能不存在該選項(xiàng)） #urpf strict allow-default-route-8、關(guān)閉不必要的網(wǎng)絡(luò)服務(wù)(某些交換機(jī)可能不支持以下命令功能)-# 關(guān)閉DHCP服務(wù) #no dhcp disable# 關(guān)閉DNS服務(wù) #no dns disable# 關(guān)閉FTP服務(wù) #no ft

7、p disable-9、ACL白名單-ip access-list extended banprotdeny udp any any eq 69 logdeny tcp any any eq 88 logdeny udp any any eq 88 logdeny tcp any any eq 135 logdeny udp any any eq 135 logdeny udp any any eq 137 logdeny tcp any any eq 138 logdeny udp any any eq 138 logdeny tcp any any eq 139 logdeny udp a

8、ny any eq 139 logdeny tcp any any eq 445 logdeny udp any any eq 445 logdeny tcp any any eq 593 logdeny udp any any eq 593 logdeny tcp any any eq 4444 logdeny udp any any eq 5554 logdeny tcp any any eq 9995 logdeny tcp any any eq 9996 logdeny udp any any eq 1434 logpermit ip any anyexit# 端口應(yīng)用 先查看端口分別有哪些 在進(jìn)入端口應(yīng)用acl規(guī)則 # range批量進(jìn)入端口，某些型號(hào)不支持，只能挨個(gè)口進(jìn)入應(yīng)用 #int range g0/41-45ip