优化设备初始化配置
前文提到,新华三技术有限公司H3C SecPath F10x0防火墙存在弱口令漏洞(CNVD-ID:CNVD-2020-10223)。攻击者可利用该漏洞登录系统获取敏感信息。(https://www.cnvd.org.cn/flaw/show/CNVD-2020-10223)
说实话,这是我印象中第一次配置不合规上升到了信息安全漏洞层面,所以希望能引起大家足够的重视吧。本来是打算出一期等保2.0中配置合规的专题,在本文先优化一下设备的初始化配置吧。
修改设备名称及地址
一般为了方便管理,建议按照“位置+型号+管理IP”格式进行设置。我是虚拟化,没有位置,就直接设置成vFW-200.1了。
查看接口信息,和物理防火墙不一样的是,设备默认的第一个接口没有配置信息,需要手工配置地址。在G1/0接口上配置了192.168.100.200/24的地址,ping网关100.1发现不通,也没有ARP信息,才发现是完全的空配置。
# sysname vFW-200.1 # interface GigabitEthernet1/0 port link-mode route description Management ip address 192.168.100.200 255.255.255.0
域间策略配置
首先将接口G1/0加入到安全域Management,因为是挺老的一个版本,还不支持安全策略,所以先调整域间策略。
# security-zone name Management import interface GigabitEthernet1/0 # zone-pair security source Local destination Management packet-filter 3000 # zone-pair security source Management destination Local packet-filter 3000
正常来讲,域间策略只应该精确地放通需要互访的流量,比如此处,放通规则仅添加192.168.100.0/24网段的互访,并在最后添加deny规则。
# acl advanced 3000 description zonepair rule 0 permit ip source 192.168.100.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 rule 100 deny ip
调整用户配置
新增用户Tietou,并删除默认用户admin,提升安全级别。要保证用户权限设置合理,密码强度符合要求,一般是包含数字、大小写字母、特殊字符,并且字符长度不低于8位。
# local-user Tietou class manage password simple Tietou@h3c.com service-type ssh terminal https authorization-attribute user-role network-admin
开启远程服务
尽量避免使用Telnet、HTTP等非加密协议,建议使用SSH和HTTPS,并使用ACL进行远程访问控制。
# line vty 0 63 authentication-mode scheme user-role network-operator # ssh server enable ssh server acl 2400 # acl basic 2400 description vtylogin rule 0 permit source 192.168.100.0 0.0.0.255 # ip https port 8443 ip https acl 2400 ip https enable
为避免收到攻击,需要关闭不必要的服务并删除无关账号信息,如上次传版本使用的FTP服务就要及时关闭,创建的FTP临时账号也要及时删除。
其他配置项
一般物理环境中,涉及到的配置项还有console口认证,password-control密码控制(如密码强度符合要求、定期老化更新等),登录检测(登录失败延迟、登录攻击方法等),低级别用户切换访问级别等等。遇到时具体问题具体分析,最后再按照等保要求汇总一份文档给大家。
