华为设备登录安全配置案例

这篇具有很好参考价值的文章主要介绍了华为设备登录安全配置案例。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

知识改变命运,技术就是要分享,有问题随时联系,免费答疑,欢迎联系!

厦门微思网络​​​​​​ https://www.xmws.cn
华为认证\华为HCIA-Datacom\华为HCIP-Datacom\华为HCIE-Datacom
Linux\RHCE\RHCE 9.0\RHCA\
Oracle OCP\CKA\K8S\
CISP\CISSP\PMP

华为设备登录安全配置案例,华为,安全

 

华为设备登录安全配置案例

在现网中,登录设备的方式主要有以下两种:本地Console口和远程STelnet。

本地Console口登录安全配置示例

通过Console口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式(如Telnet和STelnet)的基础。一旦攻击者接触到Console口后,交换机将暴露给攻击者,交换机的安全无法保障。通过配置Console口用户界面的认证方式、用户的认证信息和用户级别,可以保证Console登录的安全性。

部署注意事项
  • 如果用户通过Console口登录设备再进行Console用户界面配置,所配置的属性需退出当前登录,再次通过Console口登录才会生效。
  • 为充分保证设备安全,首次登录设备时,必须按照要求修改缺省密码,并定期修改密码。
配置步骤

1.配置Console用户界面的认证方式。

<HUAWEI> system-view

[HUAWEI] user-interface console 0 //进入Console用户界面

[HUAWEI-console0] authentication-mode aaa //配置认证方式为AAA,默认情况下即AAA

[HUAWEI-console0] quit

2.配置Console用户的认证信息及用户级别。

[HUAWEI] aaa

[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建本地用户admin123,登录密码为YsHsjx_202206

[HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户admin123的级别为15

Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y

[HUAWEI-aaa] local-user admin123 service-type terminal //配置本地用户admin123的接入类型为终端用户,即Console用户

3.通过Console口连接设备,提示用户输入用户名和密码,实现Console口登录设备。(本举例配置的用户名为admin123,密码为YsHsjx_202206)

Login authentication

Username:admin123

Password:

<HUAWEI>文章来源地址https://www.toymoban.com/news/detail-797591.html

远程STelnet登录安全配置示例

Telnet和STelnet是远程登录交换机两种方式,Telnet协议存在安全风险,而STelnet则基于SSH协议,实现了在不安全网络上提供安全的远程登录,提供安全信息保障和强大认证功能,保护交换机不受IP欺骗等攻击。

部署注意事项
  • 登录设备前,需要确保终端PC和设备之间路由可达。
  • 使用STelnet V1协议存在安全风险,建议使用STelnet V2登录设备。
  • 配置STelnet登录交换机前,用户终端应该已安装SSH服务器登录软件。本举例中,SSH服务器登录软件以第三方软件PuTTY为例。
  • 通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。
  • 为充分保证设备安全,请定期修改密码。
配置步骤

1.配置VTY用户界面的支持协议类型、认证方式和用户级别。

[HUAWEI] user-interface vty 0 4

[HUAWEI-ui-vty0-4] authentication-mode aaa //配置VTY用户界面认证方式为AAA认证

[HUAWEI-ui-vty0-4] protocol inbound ssh //配置VTY用户界面支持的协议为SSH,默认情况下即SSH

[HUAWEI-ui-vty0-4] user privilege level 15 //配置VTY用户界面的级别为15

[HUAWEI-ui-vty0-4] quit

2.开启STelnet服务器功能并创建SSH用户。

[HUAWEI] stelnet server enable //使能设备的STelnet服务器功能

[HUAWEI] ssh user admin123 //创建SSH用户admin123

[HUAWEI] ssh user admin123 service-type stelnet //配置SSH用户的服务方式为STelnet

3.配置SSH用户认证方式。

配置SSH用户认证方式为Password。

使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。

[HUAWEI] ssh user admin123 authentication-type password //配置SSH用户认证方式为password

[HUAWEI] aaa

[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建与SSH用户同名的本地用户和对应的登录密码

[HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户级别为15

[HUAWEI-aaa] local-user admin123 service-type ssh //配置本地用户的服务方式为SSH

[HUAWEI-aaa] quit

配置SSH用户认证方式为RSA、DSA或ECC。(以ECC认证方式为例,RSA、DSA认证方式步骤类似)

使用RSA、DSA或ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。

[HUAWEI] ssh user admin123 authentication-type ecc //配置SSH用户认证方式为ecc

[HUAWEI] ecc peer-public-key key01 encoding-type pem //配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称

Enter "ECC public key" view, return system view with "peer-public-key end".

[HUAWEI-ecc-public-key] public-key-code begin //进入公共密钥编辑视图

Enter "ECC key code" view, return last view with "public-key-code end".

[HUAWEI-dsa-key-code] 308188 //拷贝复制客户端的公钥,为十六进制字符串

[HUAWEI-dsa-key-code] 028180

[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB

[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F

[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B

[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5

[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931

[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2

[HUAWEI-ecc-key-code] 171896FB 1FFC38CD

[HUAWEI-ecc-key-code] 0203

[HUAWEI-ecc-key-code] 010001

[HUAWEI-ecc-key-code] public-key-code end //退回到公共密钥视图

[HUAWEI-ecc-public-key] peer-public-key end //退回到系统视图

[HUAWEI] ssh user admin123 assign ecc-key key01 //为用户admin123分配一个已经存在的公钥key01

4.在服务器端生成本地密钥对。

system-view

[HUAWEI] ecc local-key-pair create

Info: The key name will be: HUAWEI_Host_ECC.

Info: The key modulus can be any one of the following: 256, 384, 521.

Info: If the key modulus is greater than 512, it may take a few minutes.

Please input the modulus [default=521]:521

Info: Generating keys..........

Info: Succeeded in creating the ECC host keys.

5.客户端STelnet登录设备。

PC端用Password认证方式连接SSH服务器。

通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。

华为设备登录安全配置案例,华为,安全

点击“Open”,出现如下界面,输入用户名和密码,并按Enter键,至此已登录到SSH服务器。(以下显示信息仅为示例)

login as: admin123

Sent username "admin123"

admin123@10.10.10.20's password:

Info: The max number of VTY users is 8, and the number

of current VTY users on line is 5.

The current login time is 2022-12-22 09:35:28+00:00.

<HUAWEI>

到了这里,关于华为设备登录安全配置案例的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 使用RSA密钥交换和密码验证进行安全的stelnet远程登录配置实验(华为ensp实现)

    配置R1与R3之间的RSA密钥交换,使得R1可以通过stelnet方式安全地访问R3。 配置R2通过使用密码登录,使得R2可以通过stelnet方式安全地访问R3。 了解了RSA密钥交换和密码验证方式在实际中的应用,加深了对这些知识点的理解。 设备:ensp下的路由器R1,R2,R3和交换机。 连接:R1的

    2024年02月04日
    浏览(55)
  • 华为设备配置的常用命令

    华为交换机配置 端口表示方法 E1/0/1 显示系统版本信息:display version 显示诊断信息:display diagnostic-information 显示系统当前配置:display current-configuration 显示系统保存配置: display saved-configuration 显示接口信息:display interface 显示路由信息:display ip routing-table 显示 VLAN 信息:

    2024年02月09日
    浏览(45)
  • 华为设备IPsec简单配置

    IPsec VPN是指采用IPsec实现远程接入的一种VPN技术,通过在公网上为两个或多个私有网络之间建立IPsec通道,并通过加密和认证保证通道的安全性。IPsec保护的是点对点之间的通信,通过IPsec VPN可以实现主机和主机之间、主机和网关之间、网关和网关之间建立安全的隧道连接。工

    2024年02月11日
    浏览(42)
  • 华为设备NAT的配置

    实现内网外网地址转换 静态转换 动态转换 最多有两台主机同时访问外网 端口多路复用 NAPT(Network Address Port Translation):需要有单独的NAT转换外网ip 查看配置内容:dis nat outbound ** Easy-Ip(重点常用) :只需要一个外网ip(外网ip就是原来的55),使用接口外网IP作为NAT转换的外网

    2024年01月19日
    浏览(40)
  • 华为设备VRRP配置

    核心代码: 需要对所有虚拟路由器设置(要进入到对应的端口) ①mac由vrid生成 ②指定虚拟ip ③虚拟ip作为内部主机的网关,对外表现为不同路由器,具有不同的真实ip

    2024年01月21日
    浏览(45)
  • 华为设备配置Telnet简单命令

    在华为设备上配置使用telnet的大前提是一定要网络互通,如果你都无法互联还怎么远程,路由器上配置路由协议,交换机上配置vlanif Telnet配置有两种登录方式,一种是连接后直接输入密码登录,另一种是需要账号密码登录。具体根据实际需求配置。 然后去其他互联设备上即

    2024年02月13日
    浏览(39)
  • 华为设备配置篇——VRRP配置(虚拟路由冗余)

            VRRP可以监视上行端口的状态,当设备感知上行端口或者链路发生故障时,可以主动的降低VRRP的优先级,从而保证上行链路正常的backup设备能够通过选举切换成Master状态,指导报文转发。         接入交换机为SW1,核心交换机为SW2和SW3,SW2与SW3做一个VRRP路由冗

    2024年02月06日
    浏览(52)
  • 华为路由设备DHCPV6配置

    组网需求 如果大量的企业用户IPv6地址都是手动配置,那么网络管理员工作量大,而且可管理性很差。管理员希望实现公司用户IPv6地址和网络配置参数的自动获取,便于统一管理,实现IPv6的层次布局。 图1  DHCPv6服务器组网图 配置思路 DHCPv6服务器的配置思路如下: 使能接口

    2024年01月18日
    浏览(43)
  • 华为设备DHCP snooping配置命令

    [Huawei]dhcp snooping enable //全局使能DHCP Snooping功能 [Huawei]dhcp snooping enable vlan 10 //使能DHCP Snooping功能 [Huawei-vlan10]dhcp snooping enable [Huawei-GigabitEthernet0/0/1]dhcp snooping enable [Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //配置接口为“信任”接口 [Huawei-vlan10]dhcp snooping trusted interface g0/0/1 [Huaw

    2024年02月07日
    浏览(45)
  • 设备安全——防火墙j基础策略实验【华为NSP】

    本实验为了熟悉基于云连接防火墙建立配置与拦截 环境:使用华为eNSP模拟器 点击启动云进行设置 第三步:只要不是公网网卡就可以 第七步映射,使1与2能互通 在开启防火墙时,如果你是第一次打开它需要你输入原始账号【admin】与密码【Admin@123】、进入后要求你重新设置密

    2023年04月18日
    浏览(48)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包