arp-proxy符合要求的header设置设置用户名和密码防止DoS攻击相关命令: 在子接口GE1/0/0.1上关闭ARP Proxy功能。[Quidway] interface gigabitethernet 1/0/0.1[Quidway-GigabitEthernet1/0/0.1] undo arp-proxy enableheader不应当出现对攻击者有价值的信息,如路由器的名字、型号、运行的软件以及所有者的信息等相关命令:[Quidway] header shell information %可采用用户分级管理相关命令:[Quidway-aaa] local-user hello@163.netpassword cipher hello[Quidway-aaa] local-user hello@163.netlevel 3相关命令:[Quidway-aaa] local-user hello@163.netservice-type ssh相关命令:[Quidway] super password level 3 cipherabcd相关命令:[Quidway] acl number 2001[Quidway-acl-basic-2001] rule 0 permitsource X.X.X.X[Quidway] user-interface vty 0 4[Quidway-ui-vty0-4] acl 2001 inbound远程登录采用加密传输(SSH)设置切换低级别用路由器安全户到高级别用户的访问密码限制远程登录源地址密码策略idle-timeout关闭AUX日志服务设置密码重试次数和超时时间相关命令:[Quidway] ssh server authentication-retries4[Quidway] ssh server timeout 80建议5分钟内[Quidway-ui-console0] idle-timeout 1 30如不使用建议关闭相关命令:[Quidway-ui-aux0] undo modem call-in为增强日志审计,建议开启相关命令:[Quidway]info-center enable[Quidway]info-center loghost 1.1.1.1[Quidway] info-center loghost sourceEthernet 3/0/0设置强壮的读写密码,如无需要可关闭写服务[Quidway] snmp-agent community readcomaccess[Quidway] snmp-agent community write mgr默认SNMP读写口令为:public、private,如未修改则存在脆弱性相关命令:[Quidway] snmp-agent community read publicacl 2000相关命令:[Quidway-Ethernet3/0/0]shutdown防止使用地址欺骗的攻击相关命令:Quidway-GigabitEthernet1/0/0] ip urpfstrict allow-default-route acl 2999SNMP管理和log管理安全配置不足SNMP读写密码限制管理主机地址未禁止没有使用或空闲的端口其他源地址路由检查
因篇幅问题不能全部显示,请点此查看更多更全内容