1、確認Console接口配置了登錄密碼

  Console接口不設置登錄密碼，任何人都可以通過Console接口登錄設備，存在隱患

  配置說明：

  -進入Console視圖（每次進入提示輸入用戶名和密碼）

  -Console密碼與Telnet或SSH密碼相同

  -修改密碼可通過Web頁面或后臺修改

  Web修改方式：“高級>安全管理>Telnet/SSH服務密碼”

  后臺修改方式：輸入passwd，依次輸入新密碼和確認密碼即可生效

  -拔掉Console線之前必須先輸入exit命令進行注銷，防止后續Console的使用不經過密碼認證

  2、確認遠程登錄密碼已更改

  Web和后臺訪問的用戶名和密碼都盡量設置復雜一些，否則容易被竊取

  配置說明：

  -Web管理員和操作員密碼設置方式：“系統工具>修改密碼”--配置新的管理員密碼及操作員密碼

  -Telnet/SSH管理密碼設置方式：“高級>安全管理>Telnet/SSH服務密碼”

  3、確認Web訪問端口

  默認Web訪問端口為80，是已知的公開端口，存在隱患

  配置說明：

  Web端口修改方式：“高級>安全管理>Web服務”

  4、添加有限個白名單IP允許遠程管理

  當不得不需要Web或Telnet管理時，需要開啟白名單，允許白名單的終端可以訪問設備

  配置說明：

  -開啟Web管理白名單：“高級>安全管理>白名單”--勾選Web管理“開啟白名單”--點擊“添加”--輸入IP地址

  -Telnet開啟白名單方式相同

  5、攔截或允許指定IP或IP段對設備的訪問

  設備部署在公網容易受到網絡攻擊，啟用訪問控制規則，可攔截非法數據包，增加安全性

  配置說明：

  “高級>安全管理>訪問控制”--在文本框添加訪問規則，舉例如下：

  允許10.128.23.23這個終端SSH訪問

  /var/run/iptables-A INPUT-s 10.128.23.23-p tcp--dport 22-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 22-j DROP

  允許10.128.0.0這個網段可以訪問Web

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 80-j ACCEPT

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 443-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 80-j DROP

  /var/run/iptables-A INPUT-p tcp--dport 443-j DROP

  允許10.128.0.0這個網段可以Telnet訪問

  /var/run/iptables-A INPUT-s 10.128.0.0/16-p tcp--dport 23-j ACCEPT

  /var/run/iptables-A INPUT-p tcp--dport 23-j DROP

  拒絕220.248.118.88這個IP對5060SIP服務端口進行訪問

  /var/run/iptables-A INPUT-s 220.248.118.88-p udp--dport 5060-j DROP

  /var/run/iptables-A INPUT-p udp--dport 5060-j ACCEPT

  6、SIP服務端口配置為非5060端口

  5060端口為已知公開的SIP端口，作為服務端口很容易被攻擊

  配置說明：

  “服務端口”--配置對應網口的服務端口

  7、確認啟用TLS對信令及媒體流加密

  開啟TLS加密方式能有效保護信令和媒體流在網絡上的傳輸

  配置說明：

  終端設備都支持TLS加密方式的情況下建議SX3000啟用TLS，提高安全性

  “服務端口”--選擇需要加密的網口--選擇需要加密的端口，在加密方式下選擇TLS

  “高級>SSL證書管理”--進行證書相關配置，并上傳“SIP TLS加密證書”

  8、確認Web訪問基于https方式

  https方式可增加管理員在對Web頁面進行配置時，數據在網絡上傳輸的安全性

  配置說明：

  設備出廠已默認為https方式

  9、確認設備后臺只支持sftp上傳或下載

  sftp方式可增加管理員在后臺進行數據傳輸時的可靠性

  配置說明：

  設備出廠已默認為sftp方式

  10、確認TR069管理基于https方式

  https方式可增加數據在網絡傳輸的安全性

  配置說明：

  “高級>系統>TR069>服務器URL”--配置支持https交互的TR069服務器地址

  11、確認設備已關閉ping功能

  設備開啟ping功能，容易被網絡攻擊

  配置說明：

  設備出廠已關閉ping功能，設備能ping外部，但不能被外部ping

  12、關閉不使用的服務

  開放不需要的服務，容易被攻擊

  配置說明：

  當不需要進行后臺操作時，建議關閉Telnet或SSH服務。“高級>安全管理>Telnet服務/SSH服務”--關閉