请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 1359|回复: 4

WLC 最佳实践-安全【原创翻译】

[复制链接]
发表于 2020-9-11 09:33:39 | 显示全部楼层 |阅读模式


安全AP上的802.1x
  • 说明-通过在高安全性网络的AP上启用802.1X,提供更高的网络安全性。
  • 状态:

    • 兼容-已启用AP的802.1x身份验证
    • 不合规-已禁用AP的802.1x身份验证

  • CLI选项-通过输入以下命令在AP上启用802.1x:
  • (Cisco Controller) >config ap 802.1Xuser addusername ap-user password password all

CPU ACL
  • 说明-控制对WLC的整体访问
  • 状态:

    • 兼容-已配置
    • 不合规-未配置



客户排除
  • 说明?使Cisco WLC在特定条件下排除客户端加入。单击立即修复,将排除所有事件的客户端。
  • 状态:

    • 合规-为所有事件启用客户端排除
    • 不合规-所有事件均禁用客户端排除

  • CLI选项-通过输入以下命令为所有事件启用客户端排除:

    (Cisco Controller)>config wpsclient-exclusion all enable


旧版IDS
  • 说明-启用无线IDS功能和17个内置签名,以避免入侵攻击。单击立即修复,以启用签名检查。
    为使此最佳做法起作用,请确保至少启用了一个WLAN,并且已为WLAN启用了客户端排除列表。要启用WLAN的客户端排除列表,请使用conf wlan exclusionlist wlan-id enabled命令。
  • 状态:

    • 兼容-启用所有标准签名检查
    • 不合规-禁用所有标准签名检查

  • CLI选项-通过输入以下命令来启用签名检查:
  • (Cisco Controller) >config wps signature enable


本地管理密码策略
  • 说明?应该实施强密码策略。单击立即修复,将启用以下强密码策略:

    • 大小写检查-连续三次检查同一字符的出现
    • 连续检查—检查是否使用了默认值或其变体
    • 默认检查-检查用户名或反向使用
    • all-checks-启用/禁用所有强密码检查
    • 位置检查-从旧密码检查四个字符的范围
    • case-digit-check-检查所有四个组合是否存在:小写,大写,数字和特殊字符

  • 状态:

    • 兼容-启用了所有强密码策略
    • 不合规-启用某些密码策略或不启用密码策略

  • CLI选项-通过输入以下命令来启用所有强密码策略:
  • (Cisco Controller) >config switchconfig strong-pwd all-checks enable














最低Rogue RSSI阈值
  • 说明?指定流氓应该有的最小RSSI值,以便AP能够检测到它们以及在Cisco WLC中创建的流氓条目。推荐值为–80 dBm。单击立即修复,将流氓应具有的最小RSSI值更改为–80 dBm。
  • 状态:

    • 兼容–设置为–80 dBm
    • 不合规—设置为小于–80 dBm

  • CLI选项-通过输入以下命令来设置流氓应具有的最小RSSI值:
  • (Cisco Controller) >config rogue detection min-rssi rssi-in-dBm
点对点
  • 说明-对等阻止功能禁用客户端之间同一子网上的流量桥接。仅在不希望客户端到客户端通信的高安全性网络上才建议这样做。不建议在企业和语音部署中使用。
  • 状态:

    • 兼容-在一个或多个WLAN上启用了对等阻止
    • 不合规-对等阻塞在所有WLAN上均被禁用

  • CLI选项-通过输入以下命令启用对等阻塞:
  • (Cisco Controller) >config wlan peer-blockingdrop wlan-id




Rogue 策略
  • 说明-政策至少应为高。单击立即修复,将恶意检测安全级别设置为高。
  • 状态:

    • 合规-政策设置为高或更高
    • 不合规-策略设置为“自定义”。

  • 通过输入以下命令,将恶意检测安全级别设置为“高”:
  • (Cisco Controller) >config rogue detection security-level high





SSH / Telnet访问
  • 说明?默认情况下,应启用到WLC的SSH。单击立即修复,将启用S​​SH并禁用Telnet到WLC。
  • 状态:

    • 兼容-启用SSH;Telnet已禁用
    • 不合规-已启用SSH和Telnet,或者已禁用SSH和Telnet

  • CLI选项:

    • 通过输入以下命令来启用SSH:

      (CiscoController) >config network ssh enable
    • 通过输入以下命令来禁用Telnet:
      (Cisco Controller) >config network telnet disable





用户登录策略
  • 说明-提供用户登录策略以限制控制器本地网络用户的并发登录数。您可以限制并发登录的数量,并且建议大于默认值0(无限制)。
  • 状态:

    • 兼容-已配置
    • 不合规-不存在用户登录策略

  • CLI选项:

    • 通过输入以下命令来验证netuser的限制:
      (CiscoController) >show netuser summary
    • 通过输入以下命令来配置用户登录策略:
      (思科控制器)>
      (Cisco Controller) >config netuser maxUserLogin count





具有WPA2或802.1X的WLAN
  • 说明-WLAN应该使用802.1X或WPA安全性。没有修复按钮。提供到WLAN页面的链接。默认情况下,第0天不强制使用802.1X。
  • 状态:

    • 兼容-如果至少一个WLAN使用802.1X或WPA,则启用
    • 不合规-已禁用





具有WPA2和AES策略的WLAN
  • 说明-我们建议您使用WPA2 + AES代替WPA + AES和TKIP,因为WPA2 + AES提供了更高的安全性。不建议使用WPA + AES,因此不建议使用。
  • 状态:

    • 兼容-所有配置了WPA + WPA2的WLAN都具有WPA2 + AES安全策略
    • 不合规-使用WPA + WPA2配置的所有WLAN都具有以下安全策略:

      • WPA + AES,WPA2 + AES
      • WPA + AES


  • CLI选项-使用以下CLI在WLAN上启用WPA2 + AES:

  • (Cisco Controller) >config wlan security wpaenable wlan-id

























本帖子中包含更多资源

您需要 思科 CCO 登录 才可以下载或查看,没有帐号?思科 CCO 注册   

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2020-9-12 21:25:29 | 显示全部楼层
谢谢版主分享,学些了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-10-10 08:34:25 | 显示全部楼层
学一点,谢谢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-10-10 14:32:18 | 显示全部楼层
请问版主企业里WLC如何如AD域账号联动进行802.1X认证呢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-10-26 13:34:30 | 显示全部楼层
翻译的还可以。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-11-27 05:51 , Processed in 0.099730 second(s), 40 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表