有一台交换机H3C S5130-30F-H1 我们做漏扫 扫出这个设备有ssh/telnet的高危端口 我们把telnet关了,ssh的22口做了ACL限制 结果漏扫出现了一些其他端口。请问该怎么解决。
(0)
最佳答案
2070
(SSH)和 2071
(Telnet)为一组4118
(SSH)和 4119
(Telnet)为另一组通过以下命令全局禁用高位端口的服务:
system-view
# 禁用所有 Telnet 服务(包括高位端口)
undo telnet server enable
# 禁用 SSH 高位端口(保留默认 22 端口)
ssh server port 22 # 强制 SSH 仅监听 22 端口
undo ssh server port # 取消其他所有 SSH 端口
# 提交配置
save
确保 ACL 不仅限制 22 端口,还覆盖所有高位端口:
# 创建 ACL 规则(示例:仅允许管理 IP 访问 SSH)
acl number 3000
rule 5 permit tcp source <管理IP> 0 destination-port eq 22
rule 10 deny tcp destination-port eq 22 # 禁止其他 IP 访问 22
rule 15 deny tcp destination-port gt 1024 # 禁止所有高位端口(SSH/Telnet)
# 应用 ACL 到交换机接口/VLAN
interface Vlan-interface1
packet-filter 3000 inbound
检查并关闭其他可能响应扫描的服务:
# 关闭 HTTP/HTTPS 服务(如无需 Web 管理)
undo ip http enable
undo ip https enable
# 关闭 SNMP(如无需监控)
undo snmp-agent
nmap -p 22,2070-35000 10.39.142.1
display tcp verbose # 检查所有 TCP 监听端口
display telnet server status
display ssh server status
display version # 查看当前版本
info-center enable
info-center loghost <日志服务器IP>
display current-configuration > flash:backup.cfg
通过以上步骤,可彻底解决高位端口暴露问题。如果仍有异常端口开放,可能是设备固件特性或隐藏服务,建议联系 H3C 技术支持进一步分析。
(0)
交换机屏蔽高危端口的操作主要通过 配置ACL(访问控制列表)并应用在端口入/出方向 实现。以下是具体步骤和配置示例:
创建ACL规则
创建ACL(如ACL 3210),明确拒绝访问高危端口(如135、137、139、445、3389等)的流量,最后允许其他IP流量通过:
interface Ten-GigabitEthernet 1/0/1 # 进入指定端口视图
packet-filter 3210 inbound # 入方向应用ACL
packet-filter 3210 outbound # 出方向应用ACL
quit
或批量应用到一组端口:
interface range gi 1/0/1 to gi 1/0/24 # 批量配置端口范围
packet-filter 3210 inbound
packet-filter 3210 outbound
quit
acl number 3210
rule 0 deny tcp destination-port eq 135 # 禁止目标端口135的TCP流量
rule 1 deny udp destination-port eq 135 # 禁止目标端口135的UDP流量
rule 2 deny tcp destination-port eq 137
rule 3 deny udp destination-port eq netbios-ns # 137端口(NetBIOS名称服务)
rule 4 deny tcp destination-port eq 138
rule 5 deny udp destination-port eq netbios-dgm # 138端口(NetBIOS数据报)
rule 6 deny udp destination-port eq netbios-ssn # 139端口(NetBIOS会话)
rule 7 deny tcp destination-port eq 139
rule 8 deny tcp destination-port eq 445 # SMB文件共享端口
rule 9 deny udp destination-port eq 445
rule 10 deny tcp destination-port eq 3389 # RDP远程桌面端口
rule 11 deny udp destination-port eq 3389
rule 20 deny tcp source-port eq 135 # 同时禁止源端口的高危流量(防反向攻击)
...
rule 1500 permit ip # 允许其他IP流量
将ACL应用到端口
在需要防护的物理端口或端口范围内应用ACL,双向过滤入站(inbound)和出站(outbound)流量:
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论