学海无涯 走一路学一路

Web网管方式登录交换机
攻击行为
1、拒绝服务式攻击
Web Server支持的用户数有限，在用户登录达到上限后，其他用户将无法登录。这个可能是正常使用造成，也可能是攻击者造成。
2、慢连接攻击
在HTTP的报文头中声明较大的content-length，也就是报文内容的长度。在提交了头以后，将后面的报文体部分卡住不发送，这时服务器在接受了长度以后，就会等待客户端发送剩余的内容，攻击者保持连接并且以10秒～100秒/字节的速度去发送大量报文，就达到了消耗资源的效果。
受到攻击后，会出现Web用户登录慢、用户掉线、频繁断连、无法登录等现象。

安全策略
针对以上攻击行为，可以在交换机上配置如下安全策略。
1、AAA认证
Web Server支持AAA认证，只有通过认证的用户才能登录交换机，进入控制页面。用户在进行登录时，要求输入用户名、密码和随机生成的验证码，减小了帐号被破解的概率。
2、关闭服务
当开启Web Server服务器时，交换机将开启Socket服务，易被攻击者扫描。当不使用Web Server时，可以关闭Web Server
3、变更端口号
缺省情况下，Web Server的端口号是80，端口号80属于知名端口号，易被扫描和攻击。可以修改Web Server的端口为私有端口，减小被扫描攻击的概率。
4、ACL
在系统视图可以配置Web Server的ACL过滤规则，通过ACL控制允许登录的客户端源IP和源端口号，其他用户不允许登录。
5、HTTP over SSL
提供安全的传输服务，防止传输的数据被窃听获取。HTTP存在安全风险，从V200R005版本开始，交换机仅支持通过安全HTTP（即HTTPS）登录Web网管，不支持通过HTTP登录Web网管。
V200R020C00之前版本，HTTPS服务器端缺省接收来自所有接口登录连接请求，存在安全风险，建议使用http server-source -i命令指定HTTPS服务器端的源接口。V200R020C00及之后版本，HTTPS服务器端缺省仅接收来自管理网口MEth0/0/1或VLANIF1登录连接的请求，当需要授权客户可以从其他接口登录服务器时，可以使用http server-source -i命令指定HTTPS服务器端的源接口，不建议配置http server-source all-interface命令配置HTTPS服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定HTTPS服务器端的源接口后，只允许用户通过指定的源接口下的地址登录设备，其它地址的访问将会被拒绝。已经登录到服务器的HTTPS IPv4用户会被强制下线，需要重新登录。

配置方法
配置AAA认证
配置认证方式配置为AAA认证，并在AAA视图下配置用户名client001和密码Helloworld@6789。
system-view
[HUAWEI] aaa
[HUAWEI-aaa] local-user client001 password irreversible-cipher Helloworld@6789
[HUAWEI-aaa] local-user client001 privilege level 15
[HUAWEI-aaa] local-user client001 service-type http

配置关闭HTTP服务功能
system-view
[HUAWEI] undo http server enable

变更服务器端口号为55535
system-view
[HUAWEI] http server port 55535

配置ACL 3000，HTTP引用ACL 3000，表示只允许源IP地址为10.10.10.1、源端口号为80的设备通过HTTP方式登录交换机
system-view
[HUAWEI] acl 3000
[HUAWEI-acl-adv-3000] rule 5 permit tcp source 10.10.10.1 0 source-port eq 80
[HUAWEI-acl-adv-3000] quit
[HUAWEI] http acl 3000

配置HTTP over SSL
system-view
[HUAWEI] ssl policy https_der
[HUAWEI-ssl-policy-https_der] certificate load pem-cert 1_servercert_pem_dsa.pem key-pair dsa key-file 1_serverkey_pem_dsa.pem auth-code cipher 123456
[HUAWEI-ssl-policy-https_der] quit
[HUAWEI] http secure-server ssl-policy https_der
[HUAWEI] http secure-server enable

SSH方式登录交换机
攻击行为
1、暴力破解密码
攻击者在侦听到SSH端口后，尝试进行连接，交换机提示认证，则会进行暴力破解尝试通过认证，获取访问权限。
2、拒绝服务式攻击
SSH Server支持的用户数有限，在用户登录达到上限后，其他用户将无法登录。这个可能是正常使用造成，也可能是攻击者造成。

安全策略
针对以上攻击行为，可以在交换机上配置如下安全策略。
1、密码认证和Public-Key认证
SSH Server支持密码认证和Public-Key认证，只有通过认证的用户才能登录交换机，进入命令行界面。
2、关闭服务
当开启SSH Server服务器时，交换机将开启Socket服务，易被攻击者扫描。当不使用SSH Server时，可以关闭SSH Server。
3、变更端口号
缺省情况下，SSH服务器的端口号为22。端口号22属于知名端口号，易被扫描和攻击。可以修改SSH Server的端口为私有端口，减小被扫描攻击的概率。
4、ACL
在用户界面视图（user-interface）可以配置各个VTY通道的ACL过滤规则，通过ACL控制允许登录的客户端IP。
5、配置SSH服务器源接口
V200R020C00之前版本，SSH服务器端缺省接收来自所有接口登录连接请求，存在安全风险，建议使用ssh server-source -i命令指定SSH服务器端的源接口。V200R020C00及之后版本，SSH服务器端缺省不接收来自任何接口登录连接的请求，需要通过ssh server-source -i命令指定SSH服务器端的源接口，不建议配置ssh server-source all-interface命令配置SSH服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定SSH服务器端的源接口后，系统只允许SSH用户通过指定的源接口登录服务器，通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响，只限制后续登录的SSH用户。

配置方法
配置密码认证或者RSA认证
密码认证：配置用户testuser的认证方式为密码认证
system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type password

RSA认证：配置用户testuser的认证方式为RSA认证（RSA要采用2048位及以上算法）system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type rsa

关闭SSH服务
system-view
[HUAWEI] undo stelnet server enable

变更SSH服务器端口号为55535
system-view
[HUAWEI] ssh server port 55535

配置ACL 2000，允许源IP地址为10.1.1.1的用户登录到交换机
system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] user-interface vty 14
[HUAWEI-ui-vty14] acl 2000 inbound //当需要限制某个地址或地址段的用户登录到交换机时，使用inbound；当需要限制已经登录的用户登录到其它交换机时，使用outbound。
[HUAWEI-ui-vty14] quit

配置SSH服务器端的源接口为Loopback0
system-view
[HUAWEI] ssh server-source -i loopback 0 //执行本命令前，必须已经成功创建LoopBack接口，且接口下已配置IP地址。

Console口方式登录交换机

攻击行为
Console口（也称串口）属于物理接口，攻击者接触到Console口后，交换机将暴露给攻击者，交换机的安全无法保障。即使该攻击者没有破解用户名和密码，也能够对交换机造成损害。
在使用Console口登录的情况下，可能有潜在的攻击者通过网络连接尝试破解用户名和密码，获取交换机管理权限。

安全策略
针对以上攻击行为，可以在交换机上配置如下安全策略。当交换机第一次启用时，需要通过Console口进行第一次配置：
将Console通信电缆的DB9（孔）插头插入PC机的串口，在交换机启动过程中，按下“CTRL+B”或者“CTRL+E”快捷键。
V200R019及之前版本：利用缺省密码进入BootROM或BootLoad菜单，修改BootROM或BootLoad的密码。
V200R020及之后版本：BootROM或BootLoad菜单缺省无密码。首次登录时系统提示必须设置新密码。
交换机生成配置，此时必须修改Console口的登录密码，并记录所配置的登录密码。
V200R009及之前版本Console口默认无认证方式，无默认的用户名和密码，交换机允许用户登录并提示是否配置密码。为保证Console口安全，建议用户此时将Console用户界面的认证方式修改为AAA认证，并在AAA视图下配置用户名和密码。
V200R010至V200R019版本Console口默认为AAA认证，需要在AAA视图下配置用户名和密码。建议用户使用默认的认证方式。
V200R020及之后版本Console口默认为Password认证。首次登录时系统提示必须设置密码。

配置方法
修改BootROM或BootLoad密码
有的设备支持BootROM菜单，有的设备支持BootLoad菜单，不同版本、不同形态可能有差异，请您以设备为准。
修改BootROM密码
交换机启动过程中，出现以下提示信息时，表示交换机启动了BootROM程序。当出现“Press Ctrl+Bor Ctrl+E to enter BootROM menu :”时，及时（3秒内）按下快捷键Ctrl+B，进入BootROM主菜单。输入正确的BootROM密码，显示的BootROM主菜单如下：
框式交换机：

盒式交换机：

修改BootLoad密码
交换机启动过程中，出现以下提示信息时，表示设备启动了BootLoad程序。当出现“Press CTRL+B to enter BootLoad menu :”时，及时（3秒内）按下快捷键Ctrl+B，进入BootLoad菜单。
框式交换机：

盒式交换机：

配置AAA认证
将Console用户界面的认证方式配置为AAA认证，并在AAA视图下配置用户名admin1234和密码Helloworld@6789。

一 、总线报警主机（DS-19A08-01BN）只能接LCD键盘，其他类型报警主机可接LCD或LED键盘
二、总线报警主机只接一个LCD键盘，可以不拨码，即是全局键盘。接多个键盘需要拨码。
三、接线D+ D- 12V GND 一一对应。
四、4200远程配置设置防区关联子系统，键盘关联子系统。
如果通过上述排查已经解决离线或空闲的问题，但仍然无法布撤防，则需要先按*3N#进入子系统，再通过键盘布撤防以及旁路还有消警测试。

检查对应的键盘拨码（多个键盘的话，地址需要区分开）
键盘拨码（需要拆开键盘进行拨码设置，二进制拨码对应表如下所示）

检查接线，将键盘的 D+、D-、+12V、GND 分别接到报警主机端口上

一、确认键盘端口位置，以DS-19A08-01BNG为例，如图所示

二、将键盘的D+、D-、+12V、GND分别接到主机端口上。如图所示

说明：
1、 键盘与主机采用485通讯，所以要用RVV4*X（X表示导线截面积）的铜芯线材（两根信号线，两根电源线），截面积一般不低于0.5mm²，最长距离不得大于1200m。
2、键盘D+、D-之间电压在5V左右。
3、一个主机接多个键盘时，最好采用手拉手的接线方式，所有键盘接线总和不得大于1200m。

三、键盘拨码
系统配用的每一个报警键盘都必须有一个地址，这些地址不能重复。当更换报警键盘的时候，须确保更换的报警键盘与前一个报警键盘地址相同。在系统上电前，通过键盘的拨码开关给键盘设置地址，拨码为0的键盘为全局键盘，非0的为子系统键盘（LCD键盘地址为1-31；LED键盘地址为1-7）。
四、说明：
1、总线报警主机最多支持32个键盘。
2、其它类型报警主机V2.1版本最多支持32个键盘，V2.1之前版本最多支持16个。
五、LCD键盘上电后32秒内没有收到主机注册，则连续发音提示键盘注册失败。
系统启动中，显示“HIKVISION”LOGO
LED键盘上电后20秒内没有收到主机注册，则连续发音提示键盘注册失败。键盘注册成功后，运行指示灯绿色常亮。
说明：总线报警主机只能配备LCD键盘，其它报警主机既可以配LCD键盘，也可以配LED键盘。

注：此方法适用于集成有CrashFree BIOS 3程序的华硕电脑主板
造成此种故障，多是在更新BIOS时被中断 ，或移除电源时发生的BIOS遗失或损毁，而无法正常的开机与进入BIOS画面，可以使用主板中的救援功能CrashFree BIOS 3程序恢复BIOS。
解决方法：用用U盘恢复BIOS
一、准备一个U盘，格式化为FAT16/32位格式。
二、根据主板型号到华硕官网下载对应的BIOS程序 压缩包。
三、下载完成后，解压缩到U盘根目录下
四、双击执行解压后的文件”BIOSRenamer”，即可自动重新命名BIOS檔(.CAP),并确认在U盘根目录下。
五、将U盘插入主板的USB接口，并重新启动，主板会自动检查设备中是否存有BIOS檔，并自动进入EZ Flash 3应用程序画面。
六、待进度条完成更新，会显示更新成功的提示，请点击OK，计算机会重新启动。
七、系统会重新启动后会要求您按下<F1>按键进入BIOS设定。
八、建议您可以依照以下步骤还原BIOS默认值，避免因为BIOS设定错误造成系统不稳定的状态。

为了保护用户的系统免受恶意攻击，华硕电脑实现微软的安全启动功能并默认开启。此功能执行一个合法的装载程序检查并引导操作系统。
由于Windows 7不支持安全启动(https://technet.microsoft.com/en-us/library/hh824987.aspx), 在升级 KB3133977之后,该系统可能检测到不一致的作业系统加载密钥，导致启动失败。
若是Windows 8/10的计算机，也有可能因为自行安装的操作系统或更改系统设定等等原因导致检测到不一致的加载密钥，导致启动失败。
请按照下面列出的步骤更改BIOS设定中的安全启动设置，这将允许系统成功启动并进入操作系统。
1、请先进入BIOS设置画面。在未开机情况，按住[F2]键 (或[Del]键)不放，然后按下[电源键]开机，直到BIOS设置画面出现后即可放开[F2]键(或[Del]键)。
2、进入BIOS设置画面后，您可以透过键盘上的箭头键和Enter键或鼠标进行选择及确认。

3、进入[Boot]页面①，然后选择[Secure Boot]项目②。

4、选择[OS Type]项目③，然后设定为[Other OS]④即可关闭安全启动功能。
※ 注: 设定为Windows UEFI mode即为开启安全启动功能。

5、储存设置并离开。单击键盘上的[F10]键，然后点选[Ok]⑤，计算机将会重新启动并进入操作系统

由于我们的手经常与电脑表面打交道，因此电脑带的静电一般还不少，而这些静电可以对电脑的数万条电路造成严重伤害；
一、台式机操作方法：
1、将主机关机断电后，拔除机箱所有连接线和连接设备。
2、长按电源键 10 秒，反复按 3 次，操作完成后只连接电源线和显示器开机测试，若正常，则正常连接键盘鼠标开机测试。
二、笔记本操作方法：
1、如果笔记本只有外置电池，操作方法为：将笔记本关机断电后，拔除机身上所有连接线和连接设备，取下外置电池，长按电源键 10 秒，反复按 3 次，操作完成后装回电池，连接电源适配器后开机重试。
2、如果笔记本使用“内置电池”或“内置电池+外置电池”的供电方式，可以查找笔记本背面是否有圆形小孔，小孔附近写有“RESET”字样，可以在关机断电状态下，拔除机身全部连接线和连接设备，（有外置电池需要将外置电池取出）用曲别针或卡针戳住“RESET”（复位）孔中的按钮，持续 15 秒，过 15 秒后检查主机是否已经启动，如未启动，则需要连接电源适配器（有外置电池则优先接入外置电池后再接入电源适配器），接好后开机测试。3、如果笔记本使用“内置电池”的供电方式，且未在背面找到释放静电的“RESET”孔，只能找售后了
三、一体机操作方法：
1、将机器关机断电后，拔除一体机身全部连接线与连接设备。
2、长按电源键 10 秒，反复按 3 次后开机测试。