1、確認(rèn)Console接口配置了登錄密碼

  Console接口不設(shè)置登錄密碼，任何人都可以通過(guò)Console接口登錄設(shè)備，存在隱患

  配置說(shuō)明：

  -進(jìn)入Console視圖（每次進(jìn)入提示輸入用戶名和密碼）

  -Console密碼與Telnet或SSH密碼相同

  -修改密碼可通過(guò)Web頁(yè)面或后臺(tái)修改

  Web修改方式：“高級(jí)>安全管理>Telnet/SSH服務(wù)密碼”

  后臺(tái)修改方式：輸入passwd，依次輸入新密碼和確認(rèn)密碼即可生效

  -拔掉Console線之前必須先輸入exit命令進(jìn)行注銷，防止后續(xù)Console的使用不經(jīng)過(guò)密碼認(rèn)證

  2、確認(rèn)遠(yuǎn)程登錄密碼已更改

  Web和后臺(tái)訪問(wèn)的用戶名和密碼都盡量設(shè)置復(fù)雜一些，否則容易被竊取

  配置說(shuō)明：

  -Web管理員和操作員密碼設(shè)置方式：“系統(tǒng)工具>修改密碼”--配置新的管理員密碼及操作員密碼

  -Telnet/SSH管理密碼設(shè)置方式：“高級(jí)>安全管理>Telnet/SSH服務(wù)密碼”

  3、確認(rèn)Web訪問(wèn)端口

  默認(rèn)Web訪問(wèn)端口為80，是已知的公開(kāi)端口，存在隱患

  配置說(shuō)明：

  Web端口修改方式：“高級(jí)>安全管理>Web服務(wù)”

  4、添加有限個(gè)白名單IP允許遠(yuǎn)程管理

  當(dāng)不得不需要Web或Telnet管理時(shí)，需要開(kāi)啟白名單，允許白名單的終端可以訪問(wèn)設(shè)備

  配置說(shuō)明：

  -開(kāi)啟Web管理白名單：“高級(jí)>安全管理>白名單”--勾選Web管理“開(kāi)啟白名單”--點(diǎn)擊“添加”--輸入IP地址

  -Telnet開(kāi)啟白名單方式相同

  5、攔截或允許指定IP或IP段對(duì)設(shè)備的訪問(wèn)

  設(shè)備部署在公網(wǎng)容易受到網(wǎng)絡(luò)攻擊，啟用訪問(wèn)控制規(guī)則，可攔截非法數(shù)據(jù)包，增加安全性

  配置說(shuō)明：

  “高級(jí)>安全管理>訪問(wèn)控制”--在文本框添加訪問(wèn)規(guī)則，舉例如下：

  允許10.128.23.23這個(gè)終端SSH訪問(wèn)

  /var/run/iptables-A INPUT-s 10.128.23.23-p tcp--dport 22-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 22-j DROP

  允許10.128.0.0這個(gè)網(wǎng)段可以訪問(wèn)Web

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 80-j ACCEPT

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 443-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 80-j DROP

  /var/run/iptables-A INPUT-p tcp--dport 443-j DROP

  允許10.128.0.0這個(gè)網(wǎng)段可以Telnet訪問(wèn)

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 23-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 23-j DROP

  拒絕220.248.118.88這個(gè)IP對(duì)5060SIP服務(wù)端口進(jìn)行訪問(wèn)

  /var/run/iptables-A INPUT-s 220.248.118.88-p udp--dport 5060-j DROP

  /var/run/iptables-A INPUT-p udp--dport 5060-j ACCEPT

  6、SIP服務(wù)端口配置為非5060端口

  5060端口為已知公開(kāi)的SIP端口，作為服務(wù)端口很容易被攻擊

  配置說(shuō)明：

  “服務(wù)端口”--配置對(duì)應(yīng)網(wǎng)口的服務(wù)端口

  7、確認(rèn)啟用TLS對(duì)信令及媒體流加密

  開(kāi)啟TLS加密方式能有效保護(hù)信令和媒體流在網(wǎng)絡(luò)上的傳輸

  配置說(shuō)明：

  終端設(shè)備都支持TLS加密方式的情況下建議SX3000啟用TLS，提高安全性

  “服務(wù)端口”--選擇需要加密的網(wǎng)口--選擇需要加密的端口，在加密方式下選擇TLS

  “高級(jí)>SSL證書(shū)管理”--進(jìn)行證書(shū)相關(guān)配置，并上傳“SIP TLS加密證書(shū)”

  8、確認(rèn)Web訪問(wèn)基于https方式

  https方式可增加管理員在對(duì)Web頁(yè)面進(jìn)行配置時(shí)，數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩?br />
  配置說(shuō)明：

  設(shè)備出廠已默認(rèn)為https方式

  9、確認(rèn)設(shè)備后臺(tái)只支持sftp上傳或下載

  sftp方式可增加管理員在后臺(tái)進(jìn)行數(shù)據(jù)傳輸時(shí)的可靠性

  配置說(shuō)明：

  設(shè)備出廠已默認(rèn)為sftp方式

  10、確認(rèn)TR069管理基于https方式

  https方式可增加數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)陌踩?br />
  配置說(shuō)明：

  “高級(jí)>系統(tǒng)>TR069>服務(wù)器URL”--配置支持https交互的TR069服務(wù)器地址

  11、確認(rèn)設(shè)備已關(guān)閉ping功能

  設(shè)備開(kāi)啟ping功能，容易被網(wǎng)絡(luò)攻擊

  配置說(shuō)明：

  設(shè)備出廠已關(guān)閉ping功能，設(shè)備能ping外部，但不能被外部ping

  12、關(guān)閉不使用的服務(wù)

  開(kāi)放不需要的服務(wù)，容易被攻擊

  配置說(shuō)明：

  當(dāng)不需要進(jìn)行后臺(tái)操作時(shí)，建議關(guān)閉Telnet或SSH服務(wù)。“高級(jí)>安全管理>Telnet服務(wù)/SSH服務(wù)”--關(guān)閉