• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR36-10路由器限制外部访问,比如如何设置输入密码次数错误多限制对方远程登录

  • 0关注
  • 0收藏,346浏览
知乐 零段
粉丝:0人 关注:0人

问题描述:

MSR36-10路由器如何预防外部访问,我看别人一直远程连接我的路由器,我想设置如果对方一直访问密码错误过多,能限制对方ip登录,还有对面一直建立连接,能有什么好的限制办法吗?我看日志还有admin was added to the blacklist for failed login attempts ,所以想请教一下有什么好的安全设置方法?

3 个回答
已采纳
粉丝:102人 关注:8人

密码控制功能


1.11.1  Password Control基础配置举例

1. 组网需求

有以下密码管理需求:

·     全局密码管理策略:用户2次登录失败后就永久禁止该用户通过现有的IP地址登录;最小密码长度为16个字符,密码老化时间为30天;允许用户进行密码更新的最小时间间隔为36小时;密码过期后60天内允许登录5次;用户账号的闲置时间为30天;不允许密码中包含用户名或倒序的用户名,不允许密码或倒序的密码为用户名的一部分;不允许密码中包含连续三个或以上相同字符;密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。

·     切换到用户角色network-operator时使用的super密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。

·     本地Telnet用户test的密码管理策略:最小密码长度为24个字符,密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个,密码老化时间为20天。

2. 配置步骤

 

# 开启全局密码管理功能。

<Sysname> system-view

[Sysname] password-control enable

# 配置用户2次登录失败后就永久禁止该用户通过现有的IP地址登录。

[Sysname] password-control login-attempt 2 exceed lock

# 配置全局的密码老化时间为30天。

[Sysname] password-control aging 30

# 配置全局的密码的最小长度为16。

[Sysname] password-control length 16

# 配置密码更新的最小时间间隔为36小时。

[Sysname] password-control update-interval 36

# 配置用户密码过期后的60天内允许登录5次。

[Sysname] password-control expired-user-login delay 60 times 5

# 配置用户账号的闲置时间为30天。

[Sysname] password-control login idle-time 30

# 开启密码复杂度检查中的用户名检查功能。

[Sysname] password-control complexity user-name check

# 开启密码复杂度检查中的连续字符检查功能。

[Sysname] password-control complexity same-character check

#配置全局的密码元素的最少组合类型为4种,至少要包含每种元素的个数为4个。

[Sysname] password-control composition type-number 4 type-length 4

# 配置super密码的最小长度为24。

[Sysname] password-control super length 24

# 配置super密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。

[Sysname] password-control super composition type-number 4 type-length 5

# 配置切换到用户角色network-operator时使用的super密码为明文123456789ABGFTweuix@#$%!。

[Sysname] super password role network-operator simple 123456789ABGFTweuix@#$%!

# 添加设备管理类本地用户test。

[Sysname] local-user test class manage

# 配置本地用户的服务类型为Telnet。

[Sysname-luser-manage-test] service-type telnet

# 配置本地用户的最小密码长度为24个字符。

[Sysname-luser-manage-test] password-control length 24

# 配置本地用户的密码元素的最少组合类型为4种,至少要包含每种元素的个数为5个。

[Sysname-luser-manage-test] password-control composition type-number 4 type-length 5

# 配置本地用户的密码老化时间为20天。

[Sysname-luser-manage-test] password-control aging 20

# 以交互式方式配置本地用户密码。

[Sysname-luser-manage-test] password

Password:

Confirm :

Updating user information. Please wait ... ...

[Sysname-luser-manage-test] quit

暂无评论

用acl限制掉不让外部登录相关服务,仅允许指定ip登录

https://www.h3c.com/cn/d_202106/1413070_30005_0.htm#_Toc73551674

对登录用户的控制

7.1  登录用户控制简介

通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:

·     当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时,允许所有登录用户访问设备;

·     当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其他用户不允许访问设备,以免非法用户访问设备。

关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。

用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费。

7.2  FIPS相关说明

·     设备运行于FIPS模式时,本特性部分配置相对于非FIPS模式有所变化,具体差异请见本文相关描述。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

·     设备运行于FIPS模式时,不支持用户通过Telnet登录和HTTP方式的Web登录。

7.3  配置对Telnet/SSH用户的控制

7.3.1  配置对Telnet用户的控制

(1)     进入系统视图。

system-view

(2)     配置对Telnet用户的访问控制。

(IPv4网络)

telnet server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

(IPv6网络)

telnet server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

缺省情况下,未对Telnet用户进行ACL限制。

(3)     (可选)开启匹配ACL deny规则后打印日志信息功能。

telnet server acl-deny-log enable

缺省情况下,匹配ACL deny规则后打印日志信息功能处于关闭状态。

7.3.2  配置对SSH用户的控制

(1)     进入系统视图。

system-view

(2)     配置对SSH用户的访问控制。

(IPv4网络)

ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

(IPv6网络)

ssh server ipv6 acl { ipv6 { advanced-acl-number | basic-acl-number } | mac mac-acl-number }

缺省情况下,未SSH用户进行ACL限制。

(3)     (可选)开启匹配ACL deny规则后打印日志信息功能。

ssh server acl-deny-log enable

关于ssh server acl、ssh server ipv6 acl和ssh server acl-deny-log enable命令的详细介绍请参见“安全命令参考”中的“SSH”。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明