防火墙f1000-c-g2
- 0关注
- 1收藏,343浏览
问题描述:
华三防火墙在遭到大量暴力破解攻击后会关闭所有账号的管理吗?现在防火墙在没动任何配置的情况下,web和ssh都登录不上去了,所有账号都是这样,ssh连接时但是会被防火墙主动断开链接
- 2025-08-13提问
- 举报
-
(0)
最佳答案
有可能配置了password-control 、账号长时间不登录、过期了
账号闲置过期将无法登录
H3C防火墙提供password-control login idle-time功能(默认闲置时间90天)。若用户最后一次成功登录后超过配置的闲置时间(如30天)未再次登录,账号将自动失效,系统会拒绝该账号的登录请求(包括Web/Telnet/SSH等所有方式)。-
密码过期与账号过期的区别
- 密码过期:通过
password-control aging设置密码老化时间(如90天),超期后用户可能仍有有限次数的登录权限(需提前配置宽限期),成功登录后需强制修改密码。 - 账号闲置过期:属于账号级失效(非密码问题),直接禁止登录,需管理员介入恢复。
- 密码过期:通过
解决方案:
若因账号过期无法登录:
-
管理员操作
- 通过其他有效管理员账号登录,执行以下命令重置过期账号:
- 通过其他有效管理员账号登录,执行以下命令重置过期账号:
system-view password-control login idle-time 0 # 禁用闲置时间限制(或调整为更长时间)- 重新激活账号或重置其登录状态。
-
无可用管理员账号时
需通过带外管理(如Console口) 或联系技术支持恢复访问权限(参考信息中IMC通过SNMP修改设备时间等特殊方式)。
- 2025-08-13回答
- 评论(1)
- 举报
-
(0)
没有配置过期策略,中午还好好的,到下午五点左右就突然全都不行了
一、故障原因分析
1. 安全防御机制被触发
攻击检测功能生效:
# 查看攻击防护日志(关键命令) display attack-defense log若输出显示
Login failed exceeded或Brute force detected,表明暴力破解触发保护机制
账户锁定策略(默认启用):
display local-user lock-status # 显示被锁定的本地账户
2. IP 封锁导致连接中断
display blacklist # 检查攻击源IP是否被加入黑名单(含临时封锁)3. 服务资源耗尽
SSH/WEB 服务线程被攻击连接占满:
display ssh server status # 查看SSH连接数 display ip http status # 查看HTTP连接数
二、紧急恢复操作(Console 线必选)
通过物理 Console 口登录执行以下命令:
▶ 解除账户锁定
# 解锁所有被锁定的账户
system-view
undo local-user lock-status all # 强制解除账户锁定▶ 清除攻击 IP 黑名单
# 清空动态黑名单
reset attack-defense blacklist all▶ 重启管理服务
# 重启管理进程(不影响数据转发)
reset ssh server # 重启SSH服务
reset ip http server # 重启WEB服务▶ 临时放通管理接口
# 允许所有IP访问管理服务(故障恢复后关闭!)
ip http permit any
ssh server permit any三、永久性加固方案
1. 配置精细化管理策略
# 限制管理接口访问源
manager-ip 10.1.1.0 24 # 只允许网管IP段
# 启用账户锁定策略(建议值)
local-authentication lock enable
local-authentication lock duration 300 # 锁5分钟
local-authentication failed-retry 5 interval 60 # 5次/分钟2. 开启攻击防护优化
# 启用IPS防护(关键)
attack-defense enable
attack-defense policy global
detect login-service brute-force # 防暴力破解
action deny duration 1800 # 封禁30分钟
quit
# 限制连接速率(防资源耗尽)
acl advanced 3999
rule 0 permit tcp destination-port eq ssh
rule 5 permit tcp destination-port eq www
qos apply policy DEFEND inbound
car cir 500 # 限制管理流量≤500Kbps3. 启用双因素认证(终极防护)
# 配置RADIUS/TACACS+认证
domain system
authentication login radius-scheme AUTH
authentication super radius-scheme AUTH
radius scheme AUTH
primary auth 172.16.1.100
key cipher $YourSecretKey四、深度诊断建议
检查项 | 命令 | 健康指标 |
|---|---|---|
账户锁定状态 |
| 锁定账户数 = 0 |
黑名单活动 |
| 无永久封锁条目 |
SSH服务状态 |
| 显示 |
连接资源 | `display tcp statistics | include "LISTEN"` |
📌 重要提醒:若以上操作仍无效,需检查设备健康状态:
display cpu-usage # 持续>95%需重启 display memory-usage | include "Usage%" # >90%时清理会话 reset session table # 强制清空会话表(业务中断!)
- 2025-08-13回答
- 评论(0)
- 举报
-
(0)
感觉就是忘记密码了吧,或者被破解修改密码了,赶紧重置一下密码。
- 2025-08-13回答
- 评论(1)
- 举报
-
(0)
不是的,所有的账号都是突然都不行的,密码校验还是在的,ssh输入正确密码才会提醒远程主机主动关闭连接,错的密码会提示密码错误
不是的,所有的账号都是突然都不行的,密码校验还是在的,ssh输入正确密码才会提醒远程主机主动关闭连接,错的密码会提示密码错误
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
没有配置过期策略,中午还好好的,到下午五点左右就突然全都不行了