华为安全管理配置手册.docx
《华为安全管理配置手册.docx》由会员分享,可在线阅读,更多相关《华为安全管理配置手册.docx(15页珍藏版)》请在冰豆网上搜索。
华为安全管理配置手册
华为安全管理配置手册
锁定用户界面lock
3.2.2设置S-switch设备时间
请在用户视图下进行下列操作。
操作命令
设置UTC标准时间clockdatetimetime
设置采用夏时制clockdaylight-saving-timetime-zone-nameoneyear
start-timestart-dateend-timeend-dateoffset
设置所在的时区clocktimezone
切换语言模式
请在用户视图下进行下列操作。
操作命令
切换为中文模式language-modechinese
切换为英文模式language-modeenglish
切换用户级别
操作命令
[tswitch]sysnameswitchfortest
[switchfortest]superpasswordlevel15simple111
user-interfacevty04
authentication-modepassword
setauthenticationpasswordsimple111
userprivilegelevel15
quit
切换用户级别super[level]
配置Console用户界面属性
配置用户界面的显示属性
背景信息
要配置用户界面的显示属性,需执行以下步骤:
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令user-interface{0|console0},进入用户界面视图。
步骤3执行命令screen-lengthscreen-length,配置终端屏幕的行数;
步骤4执行命令history-commandmax-sizesize,配置历史命令缓冲区大小。
配置用户界面的登录参数
背景信息
要配置用户界面的登录参数,需执行以下步骤:
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令user-interface{0|console0},进入用户界面视图。
步骤3执行命令idle-timeoutminutes[seconds],配置登录用户的超时断连时间。
缺省情况下,登录用户的超时断连时间为10分钟,即如果登录用户10分钟内没有任何
操作,则此终端线路自动断开。
使用idle-timeout00命令可以设置为永不超时断连
配置Password方式验证登录用户
背景信息
说明
配置Password验证方式,必须设置验证密码,否则不能登录。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令user-interface{0|console0},进入用户界面视图。
步骤3执行命令authentication-modepassword,配置采用Password验证方式。
步骤4执行命令
要配置AAA本地方式验证登录用户,需执行以下步骤:
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令user-interface{0|console0},进入用户界面视图。
步骤3执行命令authentication-modeaaa,进入AAA视图。
步骤4执行命令quit,退回到系统视图。
步骤5执行命令aaa,进入AAA视图。
步骤6执行命令local-useruser-namepassword{simple|cipher}password,配置本地用户名及
密码。
步骤7执行命令local-useruser-nameservice-type{ftp|ppp|ssh|telnet|terminal}*,配置用
4-11
此步骤可选。
步骤8执行命令local-useruser-namelevellevel,配置用户的登录级别。
步骤9执行命令authentication-schemeauthentication-scheme-name,创建验证方案,并进入验
证方案视图。
步骤10执行命令authentication-modelocal,配置AAA验证方式为本地。
在
#
aaa
authentication-schemedefault
authorization-schemedefault
accounting-schemedefault
domaindefault
domaindefault_admin
local-useradminpasswordsimpleadmin
local-useradminlevel15
local-useradminftp-directoryflash:
local-useradminservice-typetelnet
变更AAA模式密码
sys
aaa
local-useradminpasswordsimple999
#执行命令local-useruser-namepassword{simple|cipher}password,创建本地用户账
号。
local-useradminservice-typeterminal
#执行命令local-useruser-nameservice-type{ftp|ppp|ssh|telnet|terminal}*,配置本地用户的服务类型。
local-useradminlevel15
#执行命令local-useruser-namelevellevel,配置本地用户的优先级。
local-useradminstateactive
#执行命令local-useruser-namestate{active|block},配置本地用户的状态。
配置登录验证模式
user-interfacecon0
user-interfacevty04
authentication-modeaaa
#设置验证模式为aaa模式
user-interfacecon0
user-interfacevty04
userprivilegelevel3
setauthenticationpasswordsimple
5.3.2使能FTP服务
操作步骤
步骤1执行system-view命令,进入系统视图。
步骤2执行ftpserverenable命令,使能FTP服务。
步骤4执行命令idle-timeoutminutes[seconds],配置登录用户的超时断连时间。
缺省情况下,登录用户的超时断连时间为10分钟,即如果登录用户10分钟内没有任何
操作,则此终端线路自动断开。
使用idle-timeout00命令可以设置为永不超时断连。
idle-timeout00
tfpt配置备份
tftp10.24.29.30putvrpcfg.zipvrpcfg.cfg.zip
Transferfileinbinarymode.
Nowbegintocopyfiletoremotetftpserver,pleasewaitforawhile...|
TFTP:
856bytessentin1second.
Fileuploadedsuccessfully.
tftp10.24.29.30putS5300EI-V100R003C00SPC301.ccS5300EI-V100R003C00S
PC301.cc
Transferfileinbinarymode.
Nowbegintocopyfiletoremotetftpserver,pleasewaitforawhile...|
TFTP:
9348204bytessentin84seconds.
Fileuploadedsuccessfully.
配置基本SNMPAgent功能
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令snmp-agent,启动SNMPAgent服务。
步骤3执行命令snmp-agentsys-infoversion{{v1|v2c|v3}*|all},配置SNMP协议的相应
版本。
步骤4执行命令snmp-agentlocal-engineidengineid,配置本地SNMP实体的引擎ID。
步骤5(可选)执行命令snmp-agentsys-infocontactcontact,配置管理员联络方法。
步骤6(可选)执行命令snmp-agentsys-infolocationlocation,配置S-switch位置。
snmp-agent
snmp-agentcommunityreadsgdupc110
snmp-agentsys-infoversionv1v3
snmp-agentusm-userv3adminsgdu
#
1.2.5配置MIB视图信息
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令snmp-agentmib-view{excluded|included}view-nameoid-tree,配置MIB视
图信息。
检查配置结果
背景信息
完成上述配置后,请执行下面的命令检查配置结果。
操作命令
显示SNMP报文统计信息displaysnmp-agentstatistics
显示当前设备的引擎IDdisplaysnmp-agent{local-engineid|remoteengineid
snmp-agent
snmp-agentlocal-engineid000007DB7F0000010000037C
snmp-agentcommunityreadsgdupc110
snmp-agentsys-infoversionv1v3
snmp-agentusm-userv3adminsgdupc110
}
3.2.2配置IP欺骗攻击防范功能
背景信息
在需要配置IP欺骗攻击防范的S-switch上进行如下配置。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令vlanvlan-id,创建VLAN并进入VLAN视图。
步骤3执行命令quit,退回系统视图。
步骤4执行命令firewallenable,打开攻击防范使能开关。
步骤5执行命令interfacevlanifvlan-id,进入VLANIF接口视图。
步骤6执行命令firewalldefendenable,打开攻击防范使能开关。
步骤7执行命令quit,退回系统视图。
步骤8执行命令firewalldefendip-spoofingenable,使能IP欺骗攻击防范功能。
缺省情况下,IP欺骗攻击防范功能处于关闭状态。
QuidwayS5300系列以太网交换机
配
升级会员 