文/沈博文

上一期介绍了H3C防火墙的两个安全加固手段，这一期将继续这个话题，为大家介绍其它的加固手段和技巧。

作为网络维护人员，在运维过程中，经常会在设备上启用SNMP协议读取设备信息，但是在安全性要求比较高的网络中，SNMP协议的安全性也需要引起重视。推荐在H3C防火墙上启用SNMPv3协议，并配合高复杂度的用户名和密码。如下配置：

//开启SNMP协议，使用户可以读写节点snmp下的对象，并且创建MIB视图firewall。

<H3C> system-view

[H3C] snmp-snmp

[H3C] snmp-agent mib-view included firewall snmp

[H3C] snmp-agent group v3 firewallmanager read-view firewall write-view firewall

//配置用户名为firewalluser，认证哈希算法为MD5，认证密码为h3cfirewall，加密算法为AES，加密密码为h3cmanagement。

[H3C] snmp-agent usm-user v3 firewalluser firewallmanager authentication-mode md5 h3cfirewall privacy-mode aes h3cmanagement

//配置设备的联系人和位置信息，以便维护。

[H3C] snmp-agent sys-info contact Mr.H3C-Tel:4008100504

[H3C] snmp-agent sys-info location Hangzhou, China

如果使用的是SNMPv2c协议，请尽量配置较复杂的读写团体字：

//配置SNMP版本为v2c，只读团体字为h3cfirewall，写团体字为h3cmanagement。

<H3C> system-view

[H3C] snmp-agent sys-info version v2c

[H3C] snmp-agent community read h3cfirewall

[H3C] snmp-agent community write h3cmanagement

最后，普及一个知识点，H3C防火墙的运维中，常常会配置哈希和加密算法，推荐在网络中使用安全性较高的算法，常用的算法安全性比较如下：

哈希算法:   SHA1>MD5

加密算法：  AES>3DES>DES