公司新换了一批华为S5735交换机,运维小张刚配完IP就接到通报:某台设备被扫出Telnet明文登录漏洞。其实不是他手生,而是忘了把默认开启的Telnet服务关掉——这恰恰踩中了《网络设备安全基线标准》里最基础的一条:禁用不安全远程管理协议。
什么是安全基线?
安全基线不是高深理论,它就像给路由器、防火墙、核心交换机列的一份“出厂必改清单”。比如:改掉admin/admin这种默认账号密码、关闭不用的管理端口(HTTP/FTP/Telnet)、开启SSHv2代替Telnet、配置登录失败锁定策略……每一条都对应真实攻击入口。
常见设备怎么落地?
以一台华三S5120接入交换机为例,进入系统视图后执行:
undo telnet server enable
ip http enable
undo ip http enable # 关掉HTTP管理,改用HTTPS
ssh server enable
local-user admin class manage
password simple NewPass@2024
service-type ssh再比如家用TP-Link路由器,很多人连后台密码都没改过。基线要求至少做三件事:改掉admin密码、关闭WPS(容易被暴力破解)、把远程管理功能设为“仅本机”。
为什么企业越来越重视这个?
去年某银行分行网点的视频监控NVR设备,因沿用出厂默认密码被批量入侵,导致监控画面外泄。事后审计发现,问题不在设备本身,而在部署时没人对照《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》里的设备基线条款逐项检查。基线不是应付检查的纸面功夫,它是第一道拦网——挡不住APT,但能拦住80%的自动化扫描和弱口令爆破。
家里用的光猫也一样。联通定制版HG6543C默认开启TR-069远程管理通道,若未关闭且未修改ACS服务器地址,黑客可通过伪造指令下发配置,悄悄打开Telnet后门。基线标准里明确写了:“非必要不启用远程管理,启用则需双向认证与访问白名单。”