1.帐号权限加固对网络设备的管理权限进行划分和限制，将登录口令密文保存在配置文件中，确保系统帐号口令长度和复杂度满足安全要求,避免使用弱口令1、加强用户认证，对网络设备的管理权限进行划分和限制 2、修改帐号存在的弱口令（包括SNMP社区串），设置网络系统的口令长度>8位3、禁用不需要的用户4、对口令进行加密存储1、Central(config)#usernamebrianprivilege5passwordg00d+pa55w0rd Central(config)#linecon0 Central(config-line)#loginlocal Central(config-line)#end enablesecretlevel5 privilegeexeclevel15showlogging 2、password<passwd> Enablesec<passwd> Snmp-servercommunity<passwd> 3、nousername 4.servicepassword-encryption;例外：SNMPcommunitystrings、RADIUSkeys、TACACS+keys2.网络服务加固关闭网络设备中不安全的服务，确保网络设备只开启承载业务所必需的网络服务禁用httpserver，或者对httpserver进行访问控制 关闭不必要的SNMP服务，若必须使用，应采用SNMPv3以上版本并启用身份验证、更改默认社区串 3、禁用与承载业务无关的服务（例如dhcp-relay、IGMP、CDPRUN、bootp服务等）Central(config)#noiphttpserver Setupusernamesandpasswords CreateandapplyanIPaccesslisttolimitaccesstothewebserver. Configureandenablesysloglogging Sample: Central(config)#!Addwebadminusers,thenturnonhttpauth Central(config)#usernamenzWebpriv15password0C5-A1rCarg0 Central(config)#iphttpauthlocal Central(config)#!CreateanIPaccesslistforwebaccess Central(config)#noaccess-list29 Central(config)#access-list29permithost14.2.6.18log Central(config)#access-list29permit14.2.9.00.0.0.255log Central(config)#access-list29denyanylog Central(config)#!Applytheaccesslistthenstarttheserver Central(config)#iphttpaccess-class29 Central(config)#iphttpserver Central(config)#exit •Explicitlyunset(erase)allexistingcommunitystrings. •DisableSNMPsystemshutdownandtrapfeatures. •DisableSNMPsystemprocessing. Central(config)#!eraseoldcommunitystrings Central(config)#nosnmp-servercommunitypublicRO Central(config)#nosnmp-servercommunityadminRW Central(config)# Central(config)#!disableSNMPtrapandsystem-shutdownfeatures Central(config)#nosnmp-serverenabletraps Central(config)#nosnmp-serversystem-shutdown Central(config)#nosnmp-servertrap-auth Central(config)# Central(config)#!disabletheSNMPservice Central(config)#nosnmp-server Central(config)#end East(config)#access-list20permit14.2.6.