大家好,我是网工老张!
上级单位异地远程运维,本地只有“半吊子”IT支持,SSH和HTTP管理全靠“裸奔”——这是不少分支机构的真实写照。安全不是靠运气,而是靠配置。今天老张以华为设备为例,手把手教你用低成本实现“尽可能安全”的网络运维。
一、现状:为什么你的网络像“筛子”?
· 本地运维电脑:多人共用,密码简单,常装各种“破解工具”,可能已成僵尸网络跳板
· SSH访问:虽比Telnet安全,但若未限制源IP、使用弱密码或V1版本,等同于门户大开
· HTTP管理防火墙:明文传输,密码一抓包就泄露,且默认账户(admin/Admin@123)极易被扫描器命中
· 上级远程运维:VPN或专线缺乏细粒度权限控制,一旦被攻陷,下级单位全暴露
二、核心原则(帮领导省钱,但别省安全)
1. 最小暴露面:关闭所有非必要服务,管理端口只对特定IP开放
2. 强制加密:用HTTPS替代HTTP,用SSHv2替代Telnet/SSHv1
3. 动态授权:不设固定“万能密码”,每次运维需临时审批
4. 留下痕迹:所有操作日志发送到上级单位的日志服务器
三、华为设备安全加固实操(分设备类型)
1. 路由器/交换机:SSH安全配置模板
# 生成RSA密钥(2048位以上)
rsa local-key-pair create 2048
# 关闭不安全的协议
undo telnet server enable
undo http server enable
# 配置SSH版本为2
ssh server compatibility version 2
# 创建本地管理员账户(不直接使用root/admin)
aaa
local-user netadmin password irreversible-cipher Your@ComplexPwd123
local-user netadmin privilege level 15
local-user netadmin service-type ssh terminal
# 限制只有特定IP可SSH(例如上级运维网段和本地堡垒机)
acl 2000
rule 5 permit source 172.16.0.0 0.0.255.255 # 上级运维IP段
rule 10 permit source 192.168.100.50 0.0.0.0 # 本地专用运维机
rule 100 deny
# VTY接口调用ACL和SSH
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
acl 2000 inbound
# 额外:配置超时断开
idle-timeout 10 0 # 10分钟无操作自动断开
关键提醒:禁止在本地运维电脑上保存私钥!建议使用硬件Key或每次从上级堡垒机动态下发密钥。
2. 防火墙(以USG系列为例):HTTP换HTTPS + 策略微隔离
第一步:关闭HTTP,启用HTTPS
undo web-manager security enable port 80 # 关HTTP
web-manager security enable port 443 ssl # 开HTTPS
# 上传官方SSL证书(不要自签名,可用Let's Encrypt)
第二步:配置管理访问控制
# 只允许特定源IP访问防火墙管理界面
acl 2001
rule 5 permit source 172.16.0.100 0.0.0.0 # 上级网管平台
rule 10 permit source 192.168.100.50 0.0.0.0 # 本地专用运维机
interface GigabitEthernet0/0/0 # 管理口
service-manage https acl 2001
第三步:设置“三权分立”账号(避免一人全拿)
· 系统管理员:只能修改配置,不能看日志
· 安全审计员:只读日志,无权改配置
· 运维操作员:仅执行备份、重启等日常操作
3. 服务器(Linux/Windows)的补充
虽非华为设备,但经常混用。同样遵循SSH v2 + 密钥登录 + 禁止root远程。
# Linux示例
vi /etc/ssh/sshd_config
PermitRootLogin no
PasswordAuthentication no # 禁用密码,只用密钥
AllowUsers netadmin@192.168.100.50 # 白名单
四、必须增加的“低成本高收益”安全措施
✅ 1. 物理隔离“运维电脑”
· 单独一台老旧笔记本,永不联网,仅用于网线直连交换机Console口或管理口
· 系统装精简版Linux,每次使用前查毒,用后关机
✅ 2. 所有管理操作走“跳板机”
建议用一台废旧PC安装JumpServer(开源堡垒机),架构如下:
本地运维 → 跳板机(双因素认证)→ 华为设备(SSH/HTTPS)
上级运维 → VPN → 跳板机 → 设备
跳板机记录所有操作命令并实时发送到上级日志系统,出了问题可以追责。
✅ 3. 开启华为设备的安全增强特性
· CPU防攻击:cpu-defend policy 限制SSH连接频率,防暴力破解
· 日志留存:info-center loghost 172.16.0.200 把所有log发送到上级
· 登录失败锁定:aaa local-user netadmin failed-times 3 lock-time 5
✅ 4. 如果上级单位有NGFW,请做“反向防护”
在上级防火墙配置:只允许下级设备向外发起SSH/HTTPS连接,不允许外部直接访问下级IP。即从上级堡垒机主动连下级会失败,但下级主动连上级的443端口(堡垒机)则允许。这样可以避免下级设备IP暴露在公网。
五、应急清单:当怀疑被攻击时,30秒内做的事
1. 拔掉本地运维电脑的网线(物理断网)
2. 通过Console口登录交换机,执行 display users 查看异常会话
3. 禁用所有VTY接口:user-interface vty 0 4 → undo protocol inbound
4. 恢复配置:reboot fast 回滚到上一个备份(前提是你有定期备份配置到U盘)
写在最后
没有专职网管并不可怕,可怕的是用“怕麻烦”代替“安全习惯”。按本文步骤操作一遍,即便只有半个人力,也能将网络被黑的风险降低80%。记住:安全不是采购一堆盒子,而是正确的配置 + 严格的流程。
最后老张送大家一句:远程运维时,多敲一条ACL,少喝一杯奶茶。
如果觉得本文有用,请转发给那些“一人扛起整个分公司IT”的兄弟。
(华为设备命令因版本略有差异,配置前请使用 display version 核对)
全部评论