网络安全-设备安全加固

网络设备也是网络边界很重要的设备，是整个数据中心的主干道，不能有任何闪失，这两天对Nexus网络设备进行了简单的安全加固，对主要的操作进行了下总结，如下：

10年积累的成都网站建设、网站设计经验，可以快速应对客户对网站的新想法和需求。提供各种问题对应的解决方案。让选择我们的客户得到更好、更有力的网络服务。我虽然不认识你，你也不认识我。但先建设网站后付款的网站建设流程，更有桥西免费网站建设让你可以放心的选择与我们合作。

1、 在Nexus建立了一个只读帐号，如要用来查看配置和查看一下其他的信息。由于Nexus有较好且易于操作的RBAC控制机制，这个较好实现。

A、首先建立一个名为maintain的role，并确定可执行的命令

N7K(config)#rolename maintain

N7K(config)#rule1 permit command show running-config

N7K(config)#rule2 permit command show mac address-table

N7K(config)#rule3 permit command show access-lists

B、建立一个帐号属于maintain的帐号，maintainonly

N7K(config)#usernamemaintainonly secret 0 xxxxxx role maintain

C、使用maintainonly登录，确认一下

N7K# ?  ……这里用问号试了下，并没有show命令

  end   Go to exec mode

  exit  Exit from command interpreter

N7K# show run   ……这里直接执行是这可以的

!Command: show running-config

!Time: Thu Sep  4 13:35:522014

version 6.1(2)

switchname N7K

.

.

.N7K# show int   ……没有允许查看interface，现实permissiondenied。

% Permission deniedfor the role

2、 给交换机增加bannermotd警告提示，未授权的人不允许登录设备。

3、 设备改为ssh登录

Feather ssh

No feather telnet

4、 给vty增加access-class访问控制，并设置登录空闲超时时间为10min.

建立一个acl:

Ip access-listlogin_auth

1 permit ip 172.10.10.0/24 any

然后调用在vty下面

Line vty

Access-class login_auth in

Exec-timeout 10

5、 在一些必要的接口上启用根防护

  spanning-tree guard root

6、 启用一些其他的安全防护特性

  no ip redirects

  no ip unreachables

  no ip proxy-arp

先总结这么多，下次继续进行。