大家好,我是网工老张!

上级单位异地远程运维,本地只有“半吊子”IT支持,SSH和HTTP管理全靠“裸奔”——这是不少分支机构的真实写照。安全不是靠运气,而是靠配置。今天老张以华为设备为例,手把手教你用低成本实现“尽可能安全”的网络运维。

一、现状:为什么你的网络像“筛子”?

· 本地运维电脑:多人共用,密码简单,常装各种“破解工具”,可能已成僵尸网络跳板

· SSH访问:虽比Telnet安全,但若未限制源IP、使用弱密码或V1版本,等同于门户大开

· HTTP管理防火墙:明文传输,密码一抓包就泄露,且默认账户(admin/Admin@123)极易被扫描器命中

· 上级远程运维:VPN或专线缺乏细粒度权限控制,一旦被攻陷,下级单位全暴露

二、核心原则(帮领导省钱,但别省安全)

1. 最小暴露面:关闭所有非必要服务,管理端口只对特定IP开放

2. 强制加密:用HTTPS替代HTTP,用SSHv2替代Telnet/SSHv1

3. 动态授权:不设固定“万能密码”,每次运维需临时审批

4. 留下痕迹:所有操作日志发送到上级单位的日志服务器

三、华为设备安全加固实操(分设备类型)

1. 路由器/交换机:SSH安全配置模板

# 生成RSA密钥(2048位以上)

rsa local-key-pair create 2048

# 关闭不安全的协议

undo telnet server enable

undo http server enable

# 配置SSH版本为2

ssh server compatibility version 2

# 创建本地管理员账户(不直接使用root/admin)

aaa

local-user netadmin password irreversible-cipher Your@ComplexPwd123

local-user netadmin privilege level 15

local-user netadmin service-type ssh terminal

# 限制只有特定IP可SSH(例如上级运维网段和本地堡垒机)

acl 2000

rule 5 permit source 172.16.0.0 0.0.255.255 # 上级运维IP段

rule 10 permit source 192.168.100.50 0.0.0.0 # 本地专用运维机

rule 100 deny

# VTY接口调用ACL和SSH

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

acl 2000 inbound

# 额外:配置超时断开

idle-timeout 10 0 # 10分钟无操作自动断开

关键提醒:禁止在本地运维电脑上保存私钥!建议使用硬件Key或每次从上级堡垒机动态下发密钥。

2. 防火墙(以USG系列为例):HTTP换HTTPS + 策略微隔离

第一步:关闭HTTP,启用HTTPS

undo web-manager security enable port 80 # 关HTTP

web-manager security enable port 443 ssl # 开HTTPS

# 上传官方SSL证书(不要自签名,可用Let's Encrypt)

第二步:配置管理访问控制

# 只允许特定源IP访问防火墙管理界面

acl 2001

rule 5 permit source 172.16.0.100 0.0.0.0 # 上级网管平台

rule 10 permit source 192.168.100.50 0.0.0.0 # 本地专用运维机

interface GigabitEthernet0/0/0 # 管理口

service-manage https acl 2001

第三步:设置“三权分立”账号(避免一人全拿)

· 系统管理员:只能修改配置,不能看日志

· 安全审计员:只读日志,无权改配置

· 运维操作员:仅执行备份、重启等日常操作

3. 服务器(Linux/Windows)的补充

虽非华为设备,但经常混用。同样遵循SSH v2 + 密钥登录 + 禁止root远程。

# Linux示例

vi /etc/ssh/sshd_config

PermitRootLogin no

PasswordAuthentication no # 禁用密码,只用密钥

AllowUsers netadmin@192.168.100.50 # 白名单

四、必须增加的“低成本高收益”安全措施

✅ 1. 物理隔离“运维电脑”

· 单独一台老旧笔记本,永不联网,仅用于网线直连交换机Console口或管理口

· 系统装精简版Linux,每次使用前查毒,用后关机

✅ 2. 所有管理操作走“跳板机”

建议用一台废旧PC安装JumpServer(开源堡垒机),架构如下:

本地运维 → 跳板机(双因素认证)→ 华为设备(SSH/HTTPS)

上级运维 → VPN → 跳板机 → 设备

跳板机记录所有操作命令并实时发送到上级日志系统,出了问题可以追责。

✅ 3. 开启华为设备的安全增强特性

· CPU防攻击:cpu-defend policy 限制SSH连接频率,防暴力破解

· 日志留存:info-center loghost 172.16.0.200 把所有log发送到上级

· 登录失败锁定:aaa local-user netadmin failed-times 3 lock-time 5

✅ 4. 如果上级单位有NGFW,请做“反向防护”

在上级防火墙配置:只允许下级设备向外发起SSH/HTTPS连接,不允许外部直接访问下级IP。即从上级堡垒机主动连下级会失败,但下级主动连上级的443端口(堡垒机)则允许。这样可以避免下级设备IP暴露在公网。

五、应急清单:当怀疑被攻击时,30秒内做的事

1. 拔掉本地运维电脑的网线(物理断网)

2. 通过Console口登录交换机,执行 display users 查看异常会话

3. 禁用所有VTY接口:user-interface vty 0 4 → undo protocol inbound

4. 恢复配置:reboot fast 回滚到上一个备份(前提是你有定期备份配置到U盘)

写在最后

没有专职网管并不可怕,可怕的是用“怕麻烦”代替“安全习惯”。按本文步骤操作一遍,即便只有半个人力,也能将网络被黑的风险降低80%。记住:安全不是采购一堆盒子,而是正确的配置 + 严格的流程。

最后老张送大家一句:远程运维时,多敲一条ACL,少喝一杯奶茶。

如果觉得本文有用,请转发给那些“一人扛起整个分公司IT”的兄弟。

(华为设备命令因版本略有差异,配置前请使用 display version 核对)

本站所有文章资讯、展示的图片素材等内容均为注册用户上传(部分报媒/平媒内容转载自网络合作媒体),仅供学习参考。 用户通过本站上传、发布的任何内容的知识产权归属用户或原始著作权人所有。如有侵犯您的版权,请联系我们反馈本站将在三个工作日内改正。