01 设备标识与用户管理

# 设备命名（全局模式）
system-viewsysname SW-HW-CORE-01  # 命名规范：厂商-角色-区域-编号
# 密码策略（强密码：≥12位，混合字符）
aaa
  local-user admin password irreversible-cipher <StrongPassword>  # 特权用户
  local-user admin service-type  https terminal  # 允许管理方式
  local-user admin privilege level 15  # 最高权限
  password-recovery disable  # 禁用密码恢复（物理端口安全）quit
# 控制台/远程登录密码
line console 0
  authentication-mode password
  set authentication password cipher <ConsolePassword>
  idle-timeout 5 0  # 5分钟无操作断开
quit
line vty 0 4
  authentication-mode aaa  # 强制AAA认证
  protocol inbound ssh  # 仅允许SSHquit

说明：对交换机进行设备名称标识管理，启用AAA认证，采取强密码策略，加强设备登录验证。

02 禁用默认账号

aaa
  local-user huawei delete  # 删除默认账号
  local-user guest delete
quit

说明：删除类似huawei\guest等账号，防止不常用账号被攻击者利用。

03 远程管理安全加固

# 限制SSH访问源IP（ACL示例）
acl number 3000
  rule 5 permit ip source 192.168.1.0 0.0.0.255  # 允许管理网段
quit
# 启用SSH（禁用Telnet）
stelnet server enable
ssh user admin authentication-type password
ssh client first-time enable  # 首次认证提示
user-interface vty 0 4
  acl 3000 inbound  # 应用ACL
quit
# 禁用HTTP/HTTPS（仅保留SSH）
undo http server enable
undo https server enable

说明：通过ACL限制只允许管理网段进行远程管理，并禁用http等非必要管理方式

04 数据平面安全加固

# 端口安全（绑定MAC+IP+端口）
interface GigabitEthernet0/0/1
  port-security enable
  port-security max-mac-num 2  # 单端口最大MAC数
  port-security mac-address sticky  # 动态学习MAC并固化
  ip source check user-bind enable  # IP Source Guard
quit
# DHCP Snooping（防御中间人攻击）
dhcp enable
dhcp snooping enable
interface GigabitEthernet0/0/24  # 上联口（信任端口）
  dhcp snooping trust
quit
vlan 10
  dhcp snooping enable
quit

说明：通过端口安全防止非法接入，启动dhcp snooping,防止私接小路由器带来不必要攻击。

05 禁用不必要服务

# 禁用LLDP（类似CDP）
undo lldp enable
# 禁用SNMPv1/v2（仅保留SNMPv3）
snmp-agent sys-info version v3
snmp-agent community read <StrongSNMPv3Community> v3
# 禁用NTP广播（仅信任指定服务器）
ntp-service unicast-server 192.168.1.10 prefer

说明：禁用非必要的服务端口，防止攻击者利用。

06 固件更新与漏洞修复

# 检查固件版本
display version
# 离线升级（维护窗口操作）
update patch package flash:/VRP8.180.pat  # 示例补丁包

说明：查阅华为官网系统更新说明文档，及时更新升级更安全版本，并修复系统漏洞。

----------


<h2 style="text-align:center; color:blue;">07 日志审计开启</h2>

配置日志服务器

info-center enable
info-center loghost 192.168.1.10 facility local0 level informational

配置审计日志（命令操作记录）

user-interface vty 0 4
  history-command max-size 200  # 记录最近200条命令
quit
system-view

*说明：开启日志审计功能，对攻击等事件做日志留存，方便溯源分析。*


----------


<h2 style="text-align:center; color:blue;">08 启用802.1X 认证（端口准入）</h2>

dot1x enable
interface GigabitEthernet0/0/1
  dot1x authentication-method eap  # EAP认证
  dot1x max-reauth-req 3  # 重试次数
  dot1x port-method force-authorized  # 强制认证
quit

*说明：通过启用端口准入形式，加强对终端用户认证管理，防止非法终端接入。*


----------


<h2 style="text-align:center; color:blue;">09 华为交换机安全加固脚本（示例）</h2>

一键加固脚本（需确认设备型号）

system-view
sysname SW-HW-SECURE
service-manage all disable  # 禁用所有非必要服务
aaa
  local-user admin password irreversible-cipher Huawei@2025!
  local-user admin privilege level 15
  undo local-user default_admin
quit
interface MEth0/0/1  # 管理口
  ip address 192.168.1.254 24
  service-manage ssh permit
quit
stelnet server enable
dhcp snooping enable
port-security global enable
info-center loghost 192.168.1.10
quit
save

----------


</br>
</br>
> ***注：本文／图片来源于网络，侵删。***