H3C网络安全系统规划方案投标建议书(17)

通过配置，用户可以指定能够通过地址转换的主机，以有效地控制内部网络对外部网络的访问。

结合地址池，还可以支持多对多的地址转换，更有效地利用用户的合法IP地址资源。H3C系列路由器可以提供灵活的内部服务器的支持，对外提供WEB、FTP、SMTP等必要的服务。而这些服务器放置在内部网络中，既保证了安全，又可方便地进行服务器的维护。

3.1.1.5. 关闭危险的服务

如果在H3C系列路由器上不使用以下服务的时候，建议将这些服务关闭，防止那些通过这些服务的攻击对设备的影响。

禁止HDP(Huawei Discovery Protocol)；

禁止其他的TCP、UDP Small服务。路由器提供一些基于TCP和UDP协议的小服务如：

echo、chargen和discard。这些小服务很少被使用，而且容易被攻击者利用来越过包过滤

机制；

禁止Finger、NTP服务。Finger服务可能被攻击者利用查找用户和口令攻击。NTP不是

十分危险的，但是如果没有一个很好的认证，则会影响路由器正确时间，导致日志和其

他任务出错；

建议禁止HTTP服务。路由器操作系统支持Http协议进行远端配置和监视，而针对Http

的认证就相当于在网络上发送明文且对于Http没有有效的基于挑战或一次性的口令保

护，这使得用Http进行管理相当危险；

禁止BOOTp服务；

禁止IP Source Routing；

明确的禁止IP Directed Broadcast；

禁止IP Classless；

禁止ICMP协议的IP Unreachables,Redirects,Mask－Replies；

如果没必要则禁止WINS和DNS服务；

禁止从网络启动和自动从网络下载初始配置文件；

禁止FTP服务，网络上存在大量的FTP服务，使用不同的用户名和密码进行尝试登录设

备，一旦成功登录，就可以对设备的文件系统操作，十分危险。

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说教育文库H3C网络安全系统规划方案投标建议书(17)在线全文阅读。