要求内容 | 使能aaa认证或password或local认证,不要使用authentication-mode none |
操作指南 | 1、参考配置操作 ur-interface con 0 authentication-mode aaa 2、补充操作说明 无。 |
检测方法 | 1、 判定条件 用配置中没有的用户名去登录,结果是不能登录 2、 检测操作 display current-configuration | begin con 0 3、 补充说明 缺省用户名口令是 eudemon eudemon。 |
要求内容 | 使能aaa认证或password或local认证,不要使用authentication-mode none |
操作指南 | 1、参考配置操作 ur-interface aux 0 authentication-mode aaa 2、补充操作说明 无。 |
检测方法 | 1、 判定条件 用配置中没有的用户名去登录,结果是不能登录 2、 检测操作 display current-configuration | begin aux 0 3、 补充说明 缺省不验证。 |
要求内容 | 使能aaa认证或password或local认证,不要使用authentication-mode none 对登录用用户网段做acl限制 建议使用SSH方式登录。防火墙ssh只支持1.5的版本,不支持2.0的版本。 |
操作指南 | 1、参考配置操作 ur-interface vty 0 4 acl 3000 inbound protocol inbound ssh authentication-mode aaa 2、补充操作说明 无。 |
检测方法 | 1、 判定条件 用配置中没有的用户名去登录,结果是不能登录, 在不允许的网段无法登录, 2、 检测操作 display current-configuration | begin vty 3、 补充说明 无。 |
要求内容 | 尽可能不要配置域间的缺省规则,特别的不要配置firewall packet-filter default permit all 尽可能在域间应用包过滤规则 本例就是配置firewall packet-filter default permit all的显示结果。 建议使用严格的包过滤规则。 |
操作指南 | 1、参考配置操作 如下的配置不可取 firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone local vzone direction inbound firewall packet-filter default permit interzone local vzone direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone trust vzone direction inbound firewall packet-filter default permit interzone trust vzone direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound firewall packet-filter default permit interzone untrust vzone direction inbound firewall packet-filter default permit interzone dmz vzone direction inbound firewall packet-filter default permit interzone dmz vzone direction outbound 2、补充操作说明 无。 |
检测方法 | 1、 判定条件 过宽的条件,过多的开放了域间允许规则 2、 检测操作 display current-configuration | include firewall packet-filter default 3、 补充说明 缺省不使能域间permit规则。 |
要求内容 | 如果不需要,不要使能FTP rver功能。 |
操作指南 | 1、参考配置操作 Undo ftp rver enable 2、补充操作说明 无。 |
检测方法 | 1、 判定条件 无法使用FTP连接到防火墙 2、 检测操作 display current-configuration | include ftp rver 3、 补充说明 缺省不使能。 |
要求内容 | 根据需要开启攻击防范,一般情况下,不要配置firewall defend all enable。 |
操作指南 | 1、参考配置操作 不推荐打开所有的攻击防范,如下配置不可取 firewall defend ip-spoofing enable firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend syn-flood enable firewall defend udp-flood enable firewall defend icmp-flood enable firewall defend icmp-redirect enable firewall defend icmp-unreachable enable firewall defend ip-sweep enable firewall defend port-scan enable firewall defend source-route enable firewall defend route-record enable firewall defend tracert enable firewall defend time-stamp enable firewall defend ping-of-death enable firewall defend teardrop enable firewall defend tcp-flag enable firewall defend ip-fragment enable firewall defend large-icmp enable 2、补充操作说明 无。 |
检测方法 | 1、 判定条件 是否打开了所有的攻击防范功能 2、 检测操作 display current-configuration | include firewall defend 3、 补充说明 缺省不使能攻击防范。 |
本文发布于:2023-05-07 07:56:52,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/fan/90/99001.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
