1、確認(rèn)Console接口配置了登錄密碼

  Console接口不設(shè)置登錄密碼，任何人都可以通過Console接口登錄設(shè)備，存在隱患

  配置說明：

  -進(jìn)入Console視圖（每次進(jìn)入提示輸入用戶名和密碼）

  -Console密碼與Telnet或SSH密碼相同

  -修改密碼可通過Web頁面或后臺修改

  Web修改方式：“高級>安全管理>Telnet/SSH服務(wù)密碼”

  后臺修改方式：輸入passwd，依次輸入新密碼和確認(rèn)密碼即可生效

  -拔掉Console線之前必須先輸入exit命令進(jìn)行注銷，防止后續(xù)Console的使用不經(jīng)過密碼認(rèn)證

  2、確認(rèn)遠(yuǎn)程登錄密碼已更改

  Web和后臺訪問的用戶名和密碼都盡量設(shè)置復(fù)雜一些，否則容易被竊取

  配置說明：

  -Web管理員和操作員密碼設(shè)置方式：“系統(tǒng)工具>修改密碼”--配置新的管理員密碼及操作員密碼

  -Telnet/SSH管理密碼設(shè)置方式：“高級>安全管理>Telnet/SSH服務(wù)密碼”

  3、確認(rèn)Web訪問端口

  默認(rèn)Web訪問端口為80，是已知的公開端口，存在隱患

  配置說明：

  Web端口修改方式：“高級>安全管理>Web服務(wù)”

  4、添加有限個白名單IP允許遠(yuǎn)程管理

  當(dāng)不得不需要Web或Telnet管理時，需要開啟白名單，允許白名單的終端可以訪問設(shè)備

  配置說明：

  -開啟Web管理白名單：“高級>安全管理>白名單”--勾選Web管理“開啟白名單”--點擊“添加”--輸入IP地址

  -Telnet開啟白名單方式相同

  5、攔截或允許指定IP或IP段對設(shè)備的訪問

  設(shè)備部署在公網(wǎng)容易受到網(wǎng)絡(luò)攻擊，啟用訪問控制規(guī)則，可攔截非法數(shù)據(jù)包，增加安全性

  配置說明：

  “高級>安全管理>訪問控制”--在文本框添加訪問規(guī)則，舉例如下：

  允許10.128.23.23這個終端SSH訪問

  /var/run/iptables-A INPUT-s 10.128.23.23-p tcp--dport 22-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 22-j DROP

  允許10.128.0.0這個網(wǎng)段可以訪問Web

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 80-j ACCEPT

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 443-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 80-j DROP

  /var/run/iptables-A INPUT-p tcp--dport 443-j DROP

  允許10.128.0.0這個網(wǎng)段可以Telnet訪問

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 23-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 23-j DROP

  拒絕220.248.118.88這個IP對5060SIP服務(wù)端口進(jìn)行訪問

  /var/run/iptables-A INPUT-s 220.248.118.88-p udp--dport 5060-j DROP

  /var/run/iptables-A INPUT-p udp--dport 5060-j ACCEPT

  6、SIP服務(wù)端口配置為非5060端口

  5060端口為已知公開的SIP端口，作為服務(wù)端口很容易被攻擊

  配置說明：

  “服務(wù)端口”--配置對應(yīng)網(wǎng)口的服務(wù)端口

  7、確認(rèn)啟用TLS對信令及媒體流加密

  開啟TLS加密方式能有效保護(hù)信令和媒體流在網(wǎng)絡(luò)上的傳輸

  配置說明：

  終端設(shè)備都支持TLS加密方式的情況下建議SX3000啟用TLS，提高安全性

  “服務(wù)端口”--選擇需要加密的網(wǎng)口--選擇需要加密的端口，在加密方式下選擇TLS

  “高級>SSL證書管理”--進(jìn)行證書相關(guān)配置，并上傳“SIP TLS加密證書”

  8、確認(rèn)Web訪問基于https方式

  https方式可增加管理員在對Web頁面進(jìn)行配置時，數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩?br />
  配置說明：

  設(shè)備出廠已默認(rèn)為https方式

  9、確認(rèn)設(shè)備后臺只支持sftp上傳或下載

  sftp方式可增加管理員在后臺進(jìn)行數(shù)據(jù)傳輸時的可靠性

  配置說明：

  設(shè)備出廠已默認(rèn)為sftp方式

  10、確認(rèn)TR069管理基于https方式

  https方式可增加數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)陌踩?br />
  配置說明：

  “高級>系統(tǒng)>TR069>服務(wù)器URL”--配置支持https交互的TR069服務(wù)器地址

  11、確認(rèn)設(shè)備已關(guān)閉ping功能

  設(shè)備開啟ping功能，容易被網(wǎng)絡(luò)攻擊

  配置說明：

  設(shè)備出廠已關(guān)閉ping功能，設(shè)備能ping外部，但不能被外部ping

  12、關(guān)閉不使用的服務(wù)

  開放不需要的服務(wù)，容易被攻擊

  配置說明：

  當(dāng)不需要進(jìn)行后臺操作時，建議關(guān)閉Telnet或SSH服務(wù)。“高級>安全管理>Telnet服務(wù)/SSH服務(wù)”--關(guān)閉