三层交换机、路由器、防火墙等网络设备如何安全认证

路由器教程 2024-04-18

计算机网络中网络设备安装、调试完成后，对于网络使用者的工作才算刚刚开始，对于网络的安全更应在重视。

对于三层交换机、路由器、防火墙等网络设备管理层上的安全策略尤为重要，IP设备的安全认证框架表现为如下：

串口（Console口）属于物理接口，在设备部署、组网上通过物理隔离，可防止恶意用户通过串口登录设备。网络设备在第一次启用时，无需认证就可以登录设备，我们配置完设备后，需要开启串口登录认证，串口登录支持密码认证、AAA认证和不认证三种方式。

配置Console口密码认证：

[Huawei]user-interface console 0//进入console接口配置模式；

[Huawei-ui-console0]authentication-mode password //配置Console口认证方式为密码认证；

[Huawei-ui-console0]set authentication password cipher 123456//设置console密码，说明：cipher为密文，simple为明文；

[Huawei-ui-console0]idle-timeout 20//设置超时时间，默认超时时间为10min，连接设备后，一段时间内无操作，系统自动退出；

[Huawei-ui-console0]display this //验证配置

配置完成后，再进入就需要输入登录密码了。

在项目中，也需要远程登录和管理交换机，就可以在交换机上配置Telnet服务功能并使用AAA验证方式验证登录。

如果不是路由器第一次上电，而且用户已经正确配置路由器各接口的IP地址，这时可以通过Telnet通过局域网或广域网登录到路由器，然后对路由器进行配置。

[HW-Server]interface Vlanif 1

[HW-Server-Vlanif1]ip address 192.168.1.254 24

[HW-Server]telnet server enable//开启设备的telnet服务功能；

[HW-Server]user-interface vty 0 4//进入认证配置模式；

[HW-Server-ui-vty0-4]user privilege level 15

[HW-Server-ui-vty0-4]protocol inbound telnet

Telnet Server支持密码认证、AAA认证和不认证三种方式。当配置了认证后，只有通过认证的用户才能登录设备，进入命令行界面。

[HW-Server-ui-vty0-4]authentication-mode password//密码验证，也可以AAA认证；

[HW-Server-ui-vty0-4]set authentication password cipher 123456

Telnet Server 23号端口属于知名端口号，易被扫描和攻击。可以修改Telent Server的端口为私有端口，减小被扫描攻击的概率。

执行命令telnet server port 53555，调整端口号为53555。

由于Telnet是明文传输，要求高的场景不适合使用，为了保证更好的设备安全性，建议不要使用不认证方式，同时建议使用SSH替换Telnet，提供安全的管理通道。

执行命令ssh server port 53555，调整端口号为53555。

无论是通过Telnet还是SSH方式管理交换机、路由器设备，安全策略配置至关重要，通过配置AAA认证和ACL来限制登录来源，从而保护了设备安全。

在用户界面视图（user-interface）可以配置各个VTY通道的ACL过滤规则，通过ACL控制允许登录的客户端IP。

如果不需要远程登录，通过命令来关闭远程管理。

关闭Telnet Server服务：

undo telnet server enable

关闭SSH Server：

undo stelnet server enable

网络安全在任何时候都必须要重视起来，没有网络安全，就没有企业安全，就没有国家安全。