安讯士 AXIS OS 加固指南
AXIS OS 门户 | AXIS OS 发行说明 | AXIS OS 知识库 | AXIS OS 安全公告 | AXIS OS YouTube 播放列表 介绍 Axis Communications 致力于在设备的设计、开发和测试中应用网络安全最佳实践,以最大限度地降低黑客可能利用漏洞进行攻击的风险。但是,整个供应商供应链和最终用户组织必须参与保护网络、其设备及其支持的服务。安全的环境取决于其用户、流程和技术。本指南旨在帮助您确保网络、设备和服务的安全。 对 Axis 设备最明显的威胁是物理破坏、故意破坏和篡改。为了保护产品免受这些威胁,选择防破坏型号或外壳、以推荐的方式安装并保护电缆非常重要。 Axis 设备就像计算机和手机一样是网络端点。其中许多设备都具有 Web 界面,可能会暴露所连接系统的漏洞。在本指南中,我们将解释如何降低这些风险。 该指南为参与部署 Axis 解决方案的任何人提供技术建议。它包括推荐的基准配置以及考虑到不断变化的威胁形势的强化指南。您可能需要查阅产品的用户手册以了解如何配置特定设置。请注意,Axis 设备在 AXIS OS 7.10 和 10.9 中获得了 Web 界面更新,从而改变了配置路径。 Web 界面配置 本指南指的是在 Axis 设备的 Web 界面内配置设备设置。配置路径根据设备上安装的 AXIS OS 版本而不同: AXIS 操作系统版本 Web 界面配置路径 < 7.10 设置 > 系统选项 > 安全 > IEEE 802.1X ≥7.10 设置 > 系统 > 安全 ≥10.9 系统 > 安全 范围 本指南适用于所有运行 AXIS OS(LTS 或主动轨道)的基于 AXIS OS 的产品以及运行 4.xx 和 5.xx 的旧产品。 AXIS OS 安全架构 AXIS OS 安全架构图概述了 AXIS OS 跨各个层的网络安全功能
介绍
Axis Communications 致力于在设备的设计、开发和测试中应用网络安全最佳实践,以最大限度地降低黑客可能利用漏洞进行攻击的风险。但是,整个供应商供应链和最终用户组织必须参与保护网络、其设备及其支持的服务。安全的环境取决于其用户、流程和技术。本指南旨在帮助您确保网络、设备和服务的安全。
对 Axis 设备最明显的威胁是物理破坏、故意破坏和篡改。为了保护产品免受这些威胁,选择防破坏型号或外壳、以推荐的方式安装并保护电缆非常重要。
Axis 设备就像计算机和手机一样是网络端点。其中许多设备都具有 Web 界面,可能会暴露所连接系统的漏洞。在本指南中,我们将解释如何降低这些风险。
该指南为参与部署 Axis 解决方案的任何人提供技术建议。它包括推荐的基准配置以及考虑到不断变化的威胁形势的强化指南。您可能需要查阅产品的用户手册以了解如何配置特定设置。请注意,Axis 设备在 AXIS OS 7.10 和 10.9 中获得了 Web 界面更新,从而改变了配置路径。
Web 界面配置
本指南指的是在 Axis 设备的 Web 界面内配置设备设置。配置路径根据设备上安装的 AXIS OS 版本而不同:
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 安全 > IEEE 802.1X |
| ≥7.10 | 设置 > 系统 > 安全 |
| ≥10.9 | 系统 > 安全 |
范围
本指南适用于所有运行 AXIS OS(LTS 或主动轨道)的基于 AXIS OS 的产品以及运行 4.xx 和 5.xx 的旧产品。
AXIS OS 安全架构
AXIS OS 安全架构图概述了 AXIS OS 跨各个层的网络安全功能,提供了安全基础、硅辅助安全、AXIS OS 操作系统以及应用程序和访问控制层的全面视图。
右键单击并在新选项卡中打开图像以获得更好的视觉体验。
安全通知
我们建议您订阅Axis 安全通知服务,以接收有关 Axis 产品、解决方案和服务中新发现的漏洞以及如何保护您的 Axis 设备安全的信息。
CIS 保护级别
我们遵循互联网安全中心 (CIS) 控制措施第 8 版中概述的方法来构建我们的网络安全框架建议。CIS 控制措施(以前称为 SANS 前 20 个关键安全控制措施)提供了 18 类关键安全控制措施 (CSC),对焦是解决组织中最常见的网络安全风险类别。
本指南通过为每个强化主题添加 CSC 编号 ( CSC # )来引用关键安全控制。有关 CSC 类别的更多信息,请参阅cisecurity.org 上的18 个 CIS 关键安全控制。
默认保护
Axis 设备带有默认保护设置。有几种安全控制措施无需配置。这些控制措施提供了基本级别的设备保护,并可作为更广泛强化的基础。
默认禁用
凭证访问
设置管理员密码后,只有通过验证有效的用户名和密码凭据才能访问管理员功能和/或视频流。我们不建议您使用允许未经身份验证访问的功能,例如匿名查看和始终多播模式。
网络协议
CSC #4:企业资产和软件的安全配置
Axis 设备默认仅启用少量网络协议和服务。您可以在此表中查看这些协议和服务。
| 协议 | 港口 | 运输 | 评论 |
|---|---|---|---|
| HTTP | 80 | TCP | 一般 HTTP 流量,例如 Web 界面访问、VAPIX 和 ONVIF API 接口或边到边通信* |
| HTTPS | 443 | TCP | 一般 HTTPS 流量,例如 Web 界面访问、VAPIX 和 ONVIF API 接口或边到边通信* |
| 实时流媒体传输协议 | 554 | UDP | 由 Axis 设备用于视频/音频流 |
| 实时协议 | 临时端口范围* | UDP | 由 Axis 设备用于视频/音频流 |
| 即插即用 | 49152 | TCP | 由第三方应用程序使用,通过 UPnP 发现协议发现 Axis 设备 |
| 你好 | 5353 | UDP | 第三方应用程序使用它通过 mDNS 发现协议 (Bonjour) 发现 Axis 设备 |
| 国家国防计划 | 1900 | UDP | 第三方应用程序使用它通过 SSDP(UPnP)发现 Axis 设备 |
| 服务发现 | 3702 | UDP | 第三方应用程序使用它通过 WS-Discovery 协议 (ONVIF) 发现 Axis 设备 |
* 有关边到边的更多信息,请参阅白皮书《边到边技术》。
* *根据 RFC 6056 在预定义的端口号范围内自动分配。有关更多信息,请参阅维基百科文章临时端口。
我们建议您尽可能禁用未使用的网络协议和服务。有关默认使用或可根据配置启用的服务的完整列表,请参阅 AXIS OS 知识库中的常用网络端口。
例如,您需要在 Axis 视频监控产品(如网络摄像机)中手动启用音频输入/输出和麦克风功能,而在 Axis 对讲机和网络扬声器中,音频输入/输出和麦克风功能是关键功能,因此默认启用。
UART/调试接口
CSC #4:企业资产和软件的安全配置
每台 Axis 设备都配有一个所谓的物理 UART(通用异步接收器发送器)接口,有时也称为“调试端口”或“串行控制台”。只有通过彻底拆解 Axis 设备才能物理访问该接口本身。UART/调试接口仅用于 Axis 内部研发工程项目期间的产品开发和调试目的。
UART/调试接口在搭载 AXIS OS 10.10 及更早版本的 Axis 设备中默认启用,但它需要经过身份验证的访问,并且在未经身份验证时不会泄露任何敏感信息。从 AXIS OS 10.11 开始,UART/调试接口默认处于禁用状态。启用该接口的唯一方法是通过 Axis 提供的设备唯一的自定义证书解锁它。
AXIS边缘保险库
Axis Edge Vault 提供基于硬件的网络安全平台,可保护 Axis 设备。它依靠强大的加密计算模块(安全元件和 TPM)和 SoC 安全性(TEE 和安全启动)基础,并结合边缘设备安全性方面的专业知识。Axis Edge Vault 基于由安全启动和签名固件建立的强大信任根。这些功能为所有安全操作所依赖的信任链提供了一条完整的加密验证软件链。
配备 Axis Edge Vault 的 Axis 设备可防止窃听和恶意提取敏感信息,从而最大限度地降低客户面临的网络安全风险。Axis Edge Vault 还可确保 Axis 设备是客户网络中值得信赖的可靠设备。
签名固件
CSC #2:软件资产的盘点与控制
AXIS OS 从 9.20.1 版开始签名。每当您在设备上升级 AXIS OS 版本时,设备都会通过加密签名验证检查更新文件的完整性并拒绝任何被篡改的文件。这可以防止攻击者诱骗用户安装受感染的文件。
有关更多信息,请参阅白皮书《Axis Edge Vault》。
安全启动
CSC #2:软件资产的盘点与控制
大多数 Axis 设备都具有安全启动序列,以保护设备的完整性。安全启动可防止您部署已被篡改的 Axis 设备。
有关更多信息,请参阅白皮书《Axis Edge Vault》。
安全密钥库
CSC #6:访问控制管理
安全密钥库提供基于硬件的、防篡改的加密信息存储。它保护 Axis 设备 ID 以及客户上传的加密信息,同时还可以在发生安全漏洞时防止未经授权的访问和恶意提取。根据安全要求,Axis 设备可以具有一个或多个此类模块,例如 TPM 2.0(可信平台模块)、安全元件和/或 TEE(可信执行环境)。
有关更多信息,请参阅白皮书《Axis Edge Vault》。
加密文件系统
CSC #3:数据保护
恶意攻击者可能会尝试通过卸载闪存并通过闪存读取器设备访问文件系统来提取信息。但是,如果有人获得物理访问权限或窃取文件系统,Axis 设备可以保护文件系统免遭恶意数据泄露和配置篡改。当 Axis 设备关闭时,文件系统上的信息是 AES-XTS-Plain64 256 位加密的。在安全启动过程中,读写文件系统会被解密,并可由 Axis 设备安装和使用。
有关更多信息,请参阅白皮书《Axis Edge Vault》。
已启用 HTTPS
CSC #3:数据保护
从 AXIS OS 7.20 开始,HTTPS 已默认启用,并使用自签名证书,可以以安全的方式设置设备密码。从 AXIS OS 10.10 开始,自签名证书被 IEEE 802.1AR 安全设备 ID 证书取代。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 安全 > HTTPS |
| ≥7.10 | 设置 > 系统 > 安全 > HTTP 和 HTTPS |
| ≥10.9 | 系统 > 网络 > HTTP 和 HTTPS |
默认 HTTP(S) 标头
AXIS OS 默认启用最常见的安全相关 HTTP(S) 标头,以提高出厂默认状态下的基本网络安全水平。从 AXIS OS 9.80 开始,您可以使用自定义 HTTP 标头 VAPIX API 来配置其他 HTTP(S) 标头。
有关 HTTP 标头 VAPIX API 的更多信息,请参阅VAPIX 库。
要了解有关默认 HTTP(S) 标头的更多信息,请参阅AXIS OS 知识库中的默认 HTTP(S) 标头。
摘要式身份验证
CSC #3:数据保护
访问设备的客户端将使用密码进行身份验证,该密码在通过网络发送时应进行加密。因此,我们建议您仅使用摘要式身份验证,而不是基本身份验证或基本身份验证和摘要身份验证。这降低了网络嗅探器获取密码的风险。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 普通配置 > 网络 > 网络 HTTP 身份验证策略 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 网络 > 网络 HTTP 身份验证策略 |
| ≥10.9 | 系统 > 普通配置 > 网络 > 网络 HTTP 身份验证策略 |
ONVIF 重放攻击保护
CSC #3:数据保护
重放攻击保护是 Axis 设备默认启用的标准安全功能。其目的是通过添加额外的安全标头来充分保护基于 ONVIF 的用户身份验证,其中包括 UsernameToken、有效时间戳、随机数和密码摘要。密码摘要是根据密码(已存储在系统中)、随机数和时间戳计算得出的。密码摘要的目的是验证用户并防止重放攻击,这就是缓存摘要的原因。我们建议您保持此设置处于启用状态。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 简单配置 > 系统 > 启用重放攻击保护 |
| ≥7.10 | 设置 > 系统 > 普通配置 > WebService > 启用重放攻击保护 |
| ≥10.9 | 系统 > 普通配置 > WebService > 启用重放攻击保护 |
防止暴力攻击
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控和防御
Axis 设备具有预防机制,可识别和阻止来自网络的暴力攻击(例如密码猜测)。该功能称为暴力延迟保护,在 AXIS OS 7.30 及更高版本中可用。
从 AXIS OS 11.5 开始,默认启用暴力破解延迟保护。有关详细配置示例和建议,请参阅AXIS OS 知识库中的暴力破解延迟保护。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 系统 > PreventDosAttack |
| ≥10.9 | 系统 > 安全 > 防止暴力攻击 |
退役
CSC #3:数据保护
Axis 设备同时使用易失性和非易失性内存,虽然易失性内存会在您从设备电源上拔下时被清除,但存储在非易失性内存中的信息会保留下来,并在启动时再次可用。我们避免了简单地删除数据指针以使存储的数据对文件系统不可见的常见做法,这就是需要恢复出厂设置的原因。对于 NAND 闪存,使用 UBI 功能 Remove Volume,对于 eMMC 闪存,使用等效功能来表示存储块不再使用。然后,存储控制器将相应地擦除这些存储块。
当退役 Axis 设备时,我们建议您将设备重置为出厂默认设置,这将清除设备非易失性存储器中存储的所有数据。
请注意,发出出厂默认命令不会立即擦除数据,相反,设备将重新启动,并且数据擦除将在系统启动期间发生。因此,仅仅发出出厂默认命令是不够的,还必须允许设备在关机前重新启动并完成启动,以保证数据擦除已完成。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 维护 > 默认 |
| ≥7.10 | 设置 > 系统 > 维护 > 默认 |
| ≥10.9 | 维护 > 默认 |
该表包含有关存储在非易失性存储器中的数据的更多信息。
| 信息和数据 | 恢复出厂设置后删除 |
| VAPIX 和 ONVIF 用户名和密码 | 是的 |
| 证书和私钥 | 是的 |
| 自签名证书 | 是的 |
| TPM 和 Axis Edge Vault 存储的信息 | 是的 |
| WLAN 设置和用户/密码 | 是的 |
| 定制证书* | 不 |
| SD 卡加密密钥 | 是的 |
| SD 卡数据** | 不 |
| 网络共享设置和用户/密码 | 是的 |
| 网络共享数据** | 不 |
| 用户配置*** | 是的 |
| 已上传的申请 (ACAP)**** | 是的 |
| 生产数据和寿命统计***** | 不 |
| 已上传的图形和叠加层 | 是的 |
| RTC 时钟数据 | 是的 |
* 签名固件过程使用自定义证书,允许用户上传(除其他外)AXIS OS。
** 存储在边缘存储(SD 卡、网络共享)上的记录和图像必须由用户单独删除。有关更多信息,请参阅AXIS OS 知识库中的格式化 Axis SD 卡。
*** 所有用户自定义配置,从创建帐户到网络、O3C、事件、图像、PTZ 和系统配置。
**** 设备保留任何预安装的应用程序,但会删除所有用户自定义配置
***** 生产数据(校准、802.1AR 生产证书)和生命周期统计数据包括非敏感和非用户相关信息。
基本硬化
基本强化是 Axis 设备推荐的最低保护级别。基本强化主题是“可在边缘配置”的。这意味着它们可以直接在 Axis 设备中配置,而无需进一步依赖第三方网络基础设施、视频或证据管理系统 (VMS、EMS)、设备或应用程序。
出厂默认设置
CSC #4:企业资产和软件的安全配置
在配置设备之前,请确保设备处于出厂默认状态。当您需要清除设备中的用户数据或停用设备时,将设备重置为出厂默认设置也很重要。有关更多信息,请参阅停用。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 维护 > 默认 |
| ≥7.10 | 设置 > 系统 > 维护 > 默认 |
| ≥10.9 | 维护 > 默认 |
升级至最新的 AXIS OS
CSC #2:软件资产的盘点与控制
修补软件是网络安全的一个重要方面。攻击者通常会尝试利用众所周知的漏洞,如果他们获得未修补服务的网络访问权限,可能会成功。请确保始终使用最新的 AXIS OS,因为它可能包含已知漏洞的安全补丁。特定版本的发行说明可能会明确提到关键的安全修复,但不会提到所有常规修复。
Axis 维护两种类型的 AXIS OS 轨道:活动轨道和长期支持 (LTS) 轨道。虽然这两种类型都包含最新的关键漏洞补丁,但 LTS 轨道不包含新功能,因为其目的是最大限度地降低兼容性问题的风险。有关更多信息,请参阅AXIS OS 信息中的AXIS OS 生命周期。
Axis 提供即将发布的版本预测,其中包含有关重要新功能、错误修复和安全补丁的信息。要了解更多信息,请参阅AXIS OS 信息中的即将发布版本。访问 上的固件,为您的设备下载 AXIS OS。
该图表说明了保持 Axis 设备更新的重要性。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 维护 > 升级服务器 |
| ≥7.10 | 设置 > 系统 > 维护 > 固件升级 |
| ≥10.9 | 维护 > 固件升级 |
设置设备 root 密码
CSC #4:企业资产和软件的安全配置
CSC #5:帐户管理
设备 root 帐户是主要的设备管理帐户。在使用 root 帐户之前,您需要设置设备密码。请确保使用强密码,并将 root 帐户的使用限制在管理任务上。我们不建议您在日常生产中使用 root 帐户。
操作 Axis 设备时,使用相同的密码可以简化管理,但会增加数据泄露的风险。对每台 Axis 设备使用不同的密码可以提供较高的安全性,但会使设备管理更加复杂。我们建议您定期更改设备的密码。
我们建议您实施要求新密码足够长且复杂的指南,例如NIST 密码建议。Axis 设备支持最多 64 个字符的密码。少于 8 个字符的密码 被视为弱密码。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 基本设置 > 用户 |
| ≥7.10 | 设置 > 系统 > 用户 |
| ≥10.9 | 系统 > 用户 |
| ≥11.6 | 系统 > 账户 |
创建专用帐户
CSC #4:企业资产和软件的安全配置
CSC #5:帐户管理
默认的 root 帐户具有全部权限,应保留用于管理任务。我们建议您创建一个具有有限权限的客户端用户帐户,用于日常操作。这可降低设备管理员密码泄露的风险。
有关详细信息,请参阅白皮书《视频监控系统中的身份和访问管理》。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 基本设置 > 用户 |
| ≥7.10 | 设置 > 系统 > 用户 |
| ≥10.9 | 系统 > 用户 |
| ≥11.6 | 系统 > 账户 |
限制 Web 界面访问
CSC #5:帐户管理
Axis 设备有一个 Web 服务器,允许用户通过标准 Web 浏览器访问设备。Web 界面用于配置、维护和故障排除。它不适用于日常操作,例如作为客户端查看视频。
在日常操作中,唯一应被允许与 Axis 设备交互的客户端是视频管理系统 (VMS) 或设备管理工具(例如 AXIS Device Manager)。系统用户永远不应被允许直接访问 Axis 设备。有关更多信息,请参阅禁用 Web 界面访问。
禁用 Web 界面访问
CSC #4:企业资产和软件的安全配置
从 AXIS OS 9.50 开始,可以禁用 Axis 设备的 Web 界面。将 Axis 设备部署到系统中(或将其添加到 AXIS 设备管理器)后,我们建议您删除组织内人员通过 Web 浏览器访问设备的选项。如果设备帐户密码在组织内共享,这将创建额外的安全层。更安全的选择是通过专用应用程序专门设置对 Axis 设备的访问权限,这些应用程序提供高级身份访问管理 (IAM) 架构、更高的可追溯性和避免帐户泄露的安全措施。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 系统 > Web 界面已禁用 |
| ≥10.9 | 系统 > 简单配置 > 系统 > Web 界面已禁用 |
配置网络设置
CSC #12:网络基础设施管理
设备 IP 配置取决于网络配置,例如 IPv4/IPv6、静态或动态 (DHCP) 网络地址、子网掩码和默认路由器。我们建议您在添加新类型的组件时检查网络拓扑。
我们还建议您在 Axis 设备上使用静态 IP 地址配置,以确保网络可达性并解除对网络中可能成为攻击目标的服务器(例如 DHCP 服务器)的依赖。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 基本设置 > TCP/IP |
| ≥7.10 | 设置 > 系统 > TCP/IP |
| ≥10.9 | 系统 > 网络 |
配置日期和时间设置
CSC #8:审计日志管理
从安全角度来看,设置正确的日期和时间非常重要。例如,这可确保系统日志正确加盖时间戳,并且可在运行时验证和使用数字证书。如果没有正确的时间同步,依赖数字证书(如 HTTPS、IEEE 和 802.1x)的服务可能无法正常工作。
我们建议您将 Axis 设备时钟与网络时间协议 (NTP,未加密) 服务器或(最好)网络时间安全 (NTS,加密) 服务器保持同步。网络时间安全 (NTS) 是网络时间协议 (NTP) 的加密安全变体,已添加到 AXIS OS 11.1 中。我们建议您配置多个时间服务器,以提高时间同步精度,同时也要考虑故障转移情况,即其中一个配置的时间服务器可能不可用。
对于无法自行提供本地时间服务器实例的个人和小型组织来说,使用公共 NTP 或 NTS 服务器是一种替代方案。有关 Axis 设备中 NTP/NTS 的更多信息,请参阅AXIS OS 知识库中的NTP 和 NTS 。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 基本设置 > 日期和时间 |
| ≥7.10 | 设置 > 系统 > 日期和时间 |
| ≥10.9 | 系统 > 日期和时间 |
| ≥11.6 | 系统 > 时间和地点 |
边缘存储加密
CSC #3:数据保护
SD 卡
如果 Axis 设备支持并使用安全数字 (SD) 卡来存储视频记录,我们建议您应用加密。这将防止未经授权的个人能够播放已移除的 SD 卡中存储的视频。
要了解有关 Axis 设备中 SD 卡加密的更多信息,请参阅AXIS OS 知识库中的SD 卡支持。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 存储 |
| ≥7.10 | 设置 > 系统 > 存储 |
| ≥10.9 | 系统 > 存储 |
网络共享 (NAS)
如果您使用网络附加存储 (NAS) 作为录制设备,我们建议您将其放在锁定且访问权限受限的区域,并在其上启用硬盘加密。Axis 设备使用 SMB 作为网络协议,用于连接到 NAS 以存储视频录制。虽然早期版本的 SMB(1.0 和 2.0)不提供任何安全性或加密,但更高版本(2.1 及更高版本)提供,这就是我们建议您在制作过程中使用更高版本的原因。
要了解将 Axis 设备连接到网络共享时正确的 SMB 配置的更多信息,请参阅AXIS OS 知识库中的网络共享。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 存储 |
| ≥7.10 | 设置 > 系统 > 存储 |
| ≥10.9 | 系统 > 存储 |
导出录制加密
CSC #3:数据保护
从 AXIS OS 10.10 开始,Axis 设备支持边缘录制的加密导出。我们建议您使用此功能,因为它可以防止未经授权的个人播放导出的视频资料。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 不适用 |
| ≥10.9 | 录制 |
应用程序(ACAP)
CSC #4:企业资产和软件的安全配置
您可以将应用程序上传到 Axis 设备以扩展其功能。其中许多应用程序都带有自己的用户界面,用于与特定功能进行交互。应用程序可能会使用 AXIS OS 提供的安全功能。
Axis 设备预装了 Axis 根据Axis 安全开发模型 (ASDM)开发的多个应用程序。有关 Axis 应用程序的更多信息,请参阅 上的Analytics 。
对于第三方应用程序,我们建议您联系供应商,获取有关应用程序在操作和测试方面的安全性的证明点,以及应用程序是否根据常见的最佳实践安全开发模型进行开发。在第三方应用程序中发现的漏洞必须直接报告给第三方供应商。
我们建议您仅运行受信任的应用程序,并从 Axis 设备中删除未使用的应用程序。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 应用程序 |
| ≥7.10 | 设置 > 应用 |
| ≥10.9 | 应用 |
禁用未使用的服务/功能
CSC #4:企业资产和软件的安全配置
尽管未使用的服务和功能不会造成直接的安全威胁,但禁用未使用的服务和功能以减少不必要的风险是一种很好的做法。继续阅读以了解有关未使用时可以禁用的服务和功能的更多信息。
未使用的物理网络端口
从 AXIS OS 11.2 开始,具有多个网络端口的设备(例如 AXIS S3008)都提供了禁用其网络端口的 PoE 和网络流量的选项。让未使用的网络端口处于无人值守和活动状态会带来严重的安全风险。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 不适用 |
| ≥11.2 | 系统 > 以太网供电 |
网络发现协议
发现协议(例如 Bonjour、UPnP、ZeroConf、WS-Discovery 和 LLDP/CDP)是支持服务,可让您更轻松地在网络上找到 Axis 设备及其服务。部署设备并将其添加到 VMS 后,我们建议您禁用发现协议以阻止 Axis 设备在网络上宣布其存在。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 简单配置 > 网络 > 网络 Bonjour 已启用、网络 UPnP 已启用、网络 ZeroConf 已启用、网络 UPnP NATTraversal 已启用* |
| 不适用 | |
| ≥7.10 | 设置 > 系统 > 普通配置 > 网络 > 网络 Bonjour 已启用、网络 UPnP 已启用、网络 ZeroConf 已启用、网络 UPnP NATTraversal 已启用* |
| 设置 > 系统 > 普通配置 > WebService > 发现模式 | |
| ≥10.9 | 设置 > 普通配置 > 网络 > Bonjour 已启用、UPnP 已启用、ZeroConf 已启用 |
| 系统 > 普通配置 > WebService > DiscoveryMode > 启用 WS-Discovery 可发现模式 | |
| ≥11.11 | 系统 > 网络 > 网络发现协议 > LLDP 和 CDP** |
* 该功能已从 AXIS 10.12 中删除,在后续版本中不再可用。
** 禁用 LLDP 和 CDP 可能会影响 PoE 电源协商。
TLS 版本过时
我们建议您在将 Axis 设备投入生产之前禁用旧的、过时的和不安全的 TLS 版本。过时的 TLS 版本通常默认处于禁用状态,但可以在 Axis 设备中启用它们,以便向尚未实现 TLS 1.2 和 TLS 1.3 的第三方应用程序提供向后兼容性。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 普通配置 > HTTPS > 允许 TLSv1.0和/或允许 TLSv1.1 |
| ≥7.10 | 设置 > 系统 > 普通配置 > HTTPS > 允许 TLSv1.0和/或允许 TLSv1.1 |
| ≥10.9 | 系统 > 普通配置 > HTTPS > 允许 TLSv1.0和/或允许 TLSv1.1 |
脚本编辑器环境
我们建议您禁用对脚本编辑器环境的访问。脚本编辑器仅用于故障排除和调试目的。
脚本编辑器已从 AXIS OS 10.11 中删除,并且在后续版本中不再可用。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 系统 > 启用脚本编辑器 (editcgi) |
| ≥10.9 | 系统 > 普通配置 > 系统 > 启用脚本编辑器 (editcgi) |
HTTP(S) 服务器标头
默认情况下,Axis 设备在与网络上的客户端进行 HTTP(S) 连接时会宣布其当前的 Apache 和 OpenSSL 版本。当您定期使用网络安全扫描器时,此信息非常有用,因为它提供了特定 AXIS OS 版本中未解决漏洞的更详细报告。
可以禁用 HTTP(S) 服务器标头以减少 HTTP(S) 连接期间的信息泄露。但是,我们仅建议您在按照我们的建议操作设备并始终保持设备最新的情况下禁用标头。
从 AXIS OS 10.6 开始,可以使用禁用 HTTP(S) 服务器标头的选项。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 系统 > HTTP 服务器标头注释 |
| ≥10.9 | 系统 > 普通配置 > 系统 > HTTP 服务器标头注释 |
音频
在面向视频监控的 Axis 产品中(例如网络摄像机),音频输入/输出和麦克风功能默认处于禁用状态。如果您需要音频功能,则必须在使用前启用它们。在音频输入/输出和麦克风功能是主要功能的 Axis 产品中(例如 Axis 对讲机和网络扬声器),音频功能默认处于启用状态。
如果您不使用音频功能,我们建议您禁用它。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 简单配置 > 音频 > 音频 A* > 已启用 |
| ≥7.10 | 设置 > 音频 > 允许音频 |
| ≥10.9 | 音频 > 设备设置 |
SD 卡插槽
Axis 设备通常支持至少一张 SD 卡,以提供视频录制的本地边缘存储。如果您不使用 SD 卡,我们建议您完全禁用 SD 卡插槽。从 AXIS OS 9.80 开始,可以使用禁用 SD 卡插槽的选项
有关更多信息,请参阅AXIS OS 知识库中的禁用 SD 卡。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 存储 > SD 磁盘已启用 |
| ≥10.9 | 系统 > 普通配置 > 存储 > SD 磁盘已启用 |
FTP 访问
FTP 是一种不安全的通信协议,仅用于故障排除和调试目的。FTP 访问已从 AXIS OS 11.1 中删除,在更高版本中不可用。我们建议您禁用 FTP 访问并使用安全 SSH 访问进行故障排除。
有关 SSH 的更多信息,请参阅AXIS OS Portal 中的SSH 访问。有关使用 FTP 调试选项的信息,请参阅AXIS OS Portal 中的FTP 访问。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 简单配置 > 网络 > FTP 已启用 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 网络 > FTP 已启用 |
| ≥10.9 | 系统 > 简单配置 > 网络 > FTP 已启用 |
SSH 访问
SSH 是一种安全通信协议,仅用于故障排除和调试目的。从 AXIS OS 5.50 开始,Axis 设备支持该协议。我们建议您禁用 SSH 访问。
有关使用 SSH 调试选项的更多信息,请参阅AXIS OS 知识库中的SSH 访问。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 简单配置 > 网络 > SSH 已启用 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 网络 > SSH 已启用 |
| ≥10.9 | 系统 > 简单配置 > 网络 > SSH 已启用 |
Telnet 访问
Telnet 是一种不安全的通信协议,仅用于故障排除和调试目的。AXIS OS 5.50 之前的版本支持该协议。我们建议您禁用 Telnet 访问。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 5.50 | 有关说明,请参阅AXIS OS 知识库中的设备访问。 |
| < 7.10 | 不适用 |
| ≥7.10 | 不适用 |
| ≥10.9 | 不适用 |
ARP/Ping
ARP/Ping 是一种使用 AXIS IP Utility 等工具设置 Axis 设备 IP 地址的方法。此功能已从 AXIS OS 7.10 中删除,在更高版本中不可用。我们建议您在装有 AXIS OS 7.10 及更早版本的 Axis 设备中禁用此功能。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 简单配置 > 网络 > ARP/Ping |
| ≥7.10 | 不适用 |
| ≥10.9 | 不适用 |
IP 地址过滤器
CSC #1:企业资产清单与控制
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控与防御
IP 地址过滤可防止未经授权的客户端访问 Axis 设备。我们建议您将设备配置为允许授权网络主机的 IP 地址或拒绝未经授权网络主机的 IP 地址。
如果您选择允许 IP 地址,请确保将所有授权客户端(VMS 服务器和管理客户端)添加到您的列表中。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 安全 > IP 地址过滤器 |
| ≥7.10 | 设置 > 系统 > TCP/IP > IP 地址过滤器 |
| ≥ 10.9* | 设置 > 安全 > IP 地址过滤器 |
* 在 AXIS OS 11.9 及更高版本中,IP 地址过滤器已被新的基于主机的防火墙取代。
基于主机的防火墙
CSC #1:企业资产清单与控制
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控与防御
用户可以使用防火墙创建规则,通过 IP 地址和/或 TCP/UDP 端口号来控制进入设备的流量。这样,它就可以防止未经授权的客户端访问 Axis 设备或设备上的特定服务。
如果将默认策略设置为“拒绝”,请确保将所有授权客户端(VMS 和管理客户端)和/或端口添加到列表中。
| AXIS 操作系统版本 | Web 界面配置路径 |
| ≥11.9 | 设置 > 安全 > 防火墙 |
HTTPS
仅 HTTPS
我们建议您将 Axis 设备配置为仅使用 HTTPS(无法进行 HTTP 访问)。这将自动启用 HSTS(HTTP 严格传输安全),从而进一步提高设备的安全性。
从 AXIS OS 7.20 开始,Axis 设备附带自签名证书。虽然自签名证书在设计上不受信任,但它足以在初始配置期间以及在没有公钥基础设施 (PKI) 可用的情况下安全地访问 Axis 设备。如果可用,应删除自签名证书并替换为由所选 PKI 机构颁发的正确签名的客户端证书。从 AXIS OS 10.10 开始,自签名证书被 IEEE 802.1AR 安全设备 ID 证书取代。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 安全 > HTTPS |
| ≥7.10 | 设置 > 系统 > 安全 > HTTP 和 HTTPS |
| ≥10.9 | 系统 > 网络 > HTTP 和 HTTPS |
HTTPS 密码
Axis 设备支持并使用 TLS 1.2 和 TLS 1.3 密码套件来安全地加密 HTTPS 连接。所使用的特定 TLS 版本和密码套件取决于连接到 Axis 设备的客户端,并将进行相应协商。将 Axis 设备重置为出厂默认设置后,密码列表可能会根据 Axis 提供的最新可用最佳实践配置自动更新。
为了参考和透明度,请使用TLS 1.2 及更低版本和TLS 1.3中列出的安全且强的密码套件。
TLS 1.2 及更低版本
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 简单配置 > HTTPS > 密码 |
| ≥7.10 | 设置 > 系统 > 普通配置 > HTTPS > 密码 |
| ≥10.9 | 系统 > 普通配置 > HTTPS > 密码 |
TLS 1.3
默认情况下,仅提供符合 TLS 1.3 规范的强密码套件:
TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384
用户无法配置这些套件。
访问日志
CSC #1:企业资产盘点与控制
CSC #8:审计日志管理
访问日志提供了用户访问 Axis 设备的详细日志,这使得审计和访问控制管理更加容易。我们建议您启用此功能并将其与远程系统日志服务器结合使用,以便 Axis 设备可以将其日志发送到中央日志环境。这简化了日志消息的存储及其保留时间。
有关更多信息,请参阅AXIS OS 知识库中的设备访问日志。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 简单配置 > 系统 > 访问日志 |
| ≥7.10 | 设置 > 系统 > 普通配置 > 系统 > 访问日志 |
| ≥10.9 | 系统 > 普通配置 > 系统 > 访问日志 |
物理防篡改配件
CSC #1:企业资产盘点与控制
CSC #12:网络基础设施管理
Axis 提供物理入侵和/或篡改开关作为可选配件,以增强 Axis 设备的物理保护。这些开关可以触发警报,使 Axis 设备能够向选定的客户端发送通知或警报。
有关可用防篡改配件的更多信息,请参阅:
延长硬化
限制互联网接触
CSC #12:网络基础设施管理
我们不建议您将 Axis 设备公开为公共 Web 服务器,也不建议您以任何其他方式向未知客户端提供对该设备的网络访问权限。对于不运行 VMS 或需要从远程位置访问视频的小型组织和个人,我们建议使用 AXIS Companion。
AXIS Companion 采用 Windows/iOS/Android 客户端软件,免费使用,可轻松安全地访问视频,而无需将 Axis 设备暴露在互联网上。有关 AXIS Companion 的更多信息,请参阅/companion。
所有使用 VMS 的组织都应咨询 VMS 供应商以获取有关远程视频访问的最佳实践。
限制网络曝光
CSC #12:网络基础设施管理
降低网络暴露风险的常用方法是物理和虚拟隔离网络设备以及相关基础设施和应用程序。此类基础设施和应用程序的示例包括视频管理软件 (VMS)、网络视频录像机 (NVR) 和其他类型的监控设备。
我们建议您将 Axis 设备及相关基础设施和应用程序隔离在未连接到生产和业务网络的本地网络上。
要应用基本强化措施,请通过添加多层网络安全机制来保护本地网络及其基础设施(路由器、交换机)免受未经授权的访问。此类机制的示例包括 VLAN 分段、有限的路由功能、用于站点到站点或 WAN 访问的虚拟专用网络 (VPN)、网络第 2/3 层防火墙和访问控制列表 (ACL)。
为了扩展基本强化,我们建议您应用更高级的网络检查技术,例如深度数据包检查和入侵检测。这将在网络中添加一致且全面的威胁防护。扩展网络强化需要专用的软件和/或硬件设备。
网络漏洞扫描
CSC #1:企业资产盘点与控制
CSC #12:网络基础设施管理
您可以使用网络安全扫描器对网络设备进行漏洞评估。漏洞评估的目的是系统地审查潜在的安全漏洞和错误配置。
我们建议您定期对 Axis 设备及其相关基础设施进行漏洞评估。在开始扫描之前,请确保您的 Axis 设备已更新至最新可用的 AXIS OS 版本(无论是 LTS 还是活动轨道)。
我们还建议您查看扫描报告并过滤掉 Axis 设备的已知误报,您可以在AXIS OS 漏洞扫描程序指南中找到该报告。将报告和任何其他备注以帮助台票证的形式提交给 上的Axis 支持。
可信公钥基础设施 (PKI)
CSC #3:数据保护
CSC #12:网络基础设施管理
我们建议您将受公共或私人证书颁发机构 (CA) 信任和签名的 Web 服务器和客户端证书部署到您的 Axis 设备。具有经过验证的信任链的 CA 签名证书有助于在您通过 HTTPS 连接时删除浏览器证书警告。当您部署网络访问控制 (NAC) 解决方案时,CA 签名证书还可确保 Axis 设备的真实性。这降低了计算机冒充 Axis 设备进行攻击的风险。
您可以使用带有内置 CA 服务的 AXIS 设备管理器向 Axis 设备颁发签名的证书。
IEEE 802.1X 网络访问控制
CSC #6:访问控制管理
CSC #13:网络监控和防御
Axis 设备通过 EAP-TLS 方法支持基于 IEEE 802.1X 端口的网络访问控制。为了获得最佳保护,我们建议您在验证 Axis 设备时使用由受信任的证书颁发机构 (CA) 签名的客户端证书。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 安全 > IEEE 802.1X |
| ≥7.10 | 设置 > 系统 > 安全 > IEEE 802.1X |
| ≥10.9 | 系统 > 安全 > IEEE 802.1X |
IEEE 802.1AE MACsec
CSC #3:数据保护
CSC #6:访问控制管理
Axis 设备支持 802.1AE MACsec,这是一种定义明确的网络协议,它以加密方式保护网络第 2 层上的点对点以太网链路,从而确保两个主机之间数据传输的机密性和完整性。由于 MACsec 在网络堆栈的低第 2 层运行,因此它为不提供本机加密功能的网络协议(ARP、NTP、DHCP、LLDP、CDP……)以及提供本机加密功能的网络协议(HTTPS、TLS)增加了额外的安全层。
IEEE 802.1AE MACsec 标准描述了两种操作模式:手动配置的预共享密钥 (PSK)/静态 CAK 模式和使用 IEEE 802.1X EAP-TLS 会话的自动主会话/动态 CAK 模式。Axis 设备支持这两种模式。
有关 802.1AE MACsec 的更多信息以及如何在 AXIS OS 设备中配置它,请参阅AXIS OS 知识库中的IEEE 802.1AE 。
IEEE 802.1AR 安全设备身份
CSC #1:企业资产盘点与控制
CSC #13:网络监控与防御
配备 Axis Edge Vault 的 Axis 设备支持网络标准 IEEE 802.1AR。这允许通过 Axis 设备 ID(在生产过程中安装在设备中的唯一证书)自动安全地将 Axis 设备接入网络。有关安全设备接入的示例,请阅读将Axis 设备安全集成到 Aruba 网络 中了解更多信息。
有关更多信息,请参阅白皮书Axis Edge Vault。要下载用于验证 Axis 设备身份的 Axis 设备 ID 证书链,请参阅 上的公钥基础设施存储库。
SNMP 监控
CSC #8:审计日志管理
Axis 设备支持以下 SNMP 协议:
SNMP v1:仅因遗留原因而支持,请勿使用。
SNMP v2c:可在受保护的网络段上使用。
SNMP v3:推荐用于监控目的。
Axis 设备还支持监控 MIB-II 和 Axis Video MIB。要下载 Axis Video MIB,请参阅AXIS OS 知识库中的Axis Video MIB 。
要了解有关如何在 AXIS OS 中配置 SNMP 的更多信息,请参阅AXIS OS 知识库中的SNMP(简单网络管理协议) 。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 网络 > SNMP |
| ≥7.10 | 设置 > 系统 > SNMP |
| ≥10.9 | 系统 > 网络 > SNMP |
远程系统日志
安全视频流 (SRTP/RTSPS)
CSC #3:数据保护
从 AXIS OS 7.40 开始,Axis 设备支持通过 RTP 进行安全视频流传输,也称为 SRTP/RTSPS。SRTP/RTSPS 使用安全的端到端加密传输方法,以确保只有授权客户端才能从 Axis 设备接收视频流。如果您的视频管理系统 (VMS) 支持 SRTP/RTSPS,我们建议您启用它。如果可用,请使用 SRTP 而不是未加密的 RTP 视频流。
SRTP/RTSPS 仅加密视频流数据。对于管理配置任务,我们建议您仅启用 HTTPS 来加密此类通信。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 设置 > 系统选项 > 高级 > 简单配置 > 网络 > RTSPS |
| ≥7.10 | 设置 > 系统 > 普通配置 > 网络 > RTSPS |
| ≥10.9 | 系统 > 简单配置 > 网络 > RTSPS |
签名视频
CSC #3:数据保护
从 AXIS OS 10.11 开始,配备 Axis Edge Vault 的 Axis 设备支持签名视频。借助签名视频,Axis 设备可以在其视频流中添加签名,以确保视频完整无缺,并通过追溯到制作视频的设备来验证其来源。视频管理系统 (VMS) 或证据管理系统 (EMS) 也可以验证 Axis 设备提供的视频的真实性。
有关更多信息,请参阅白皮书Axis Edge Vault。要查找用于验证签名视频真实性的 Axis 根证书,请参阅AXIS OS 知识库中的设备访问。
| AXIS 操作系统版本 | Web 界面配置路径 |
|---|---|
| < 7.10 | 不适用 |
| ≥7.10 | 不适用 |
| ≥10.9 | 系统 > 普通配置 > 图像 > SignedVideo |
快速入门指南
常见配置错误
互联网暴露设备
CSC #12:网络基础设施管理
我们不建议您将 Axis 设备公开为公共 Web 服务器,或以任何其他方式向未知客户端提供对该设备的网络访问权限。有关更多信息,请参阅限制互联网暴露。
通用密码
CSC #4: 企业资产和软件的安全配置
CSC #5: 账户管理
我们强烈建议您为每台设备使用唯一的密码,而不是为所有设备使用通用密码。有关说明,请参阅设置设备 root 密码和创建专用帐户。
匿名访问
CSC #4:企业资产和软件的安全配置
CSC #5:帐户管理。
我们不建议您允许匿名用户在未提供登录凭据的情况下访问设备中的视频和配置设置。有关更多信息,请参阅凭据访问。
安全通信已禁用
CSC #3:数据保护
我们不建议您使用不安全的通信和访问方法操作设备,例如 HTTP 或基本身份验证(其中密码传输未加密)。有关更多信息,请参阅HTTPS 已启用。有关配置建议,请参阅摘要式身份验证。
过时的 AXIS OS 版本
CSC #2:软件资产的清单和控制
我们强烈建议您使用最新可用的 AXIS OS 版本(无论是在 LTS 还是活动轨道上)操作 Axis 设备。两种轨道均提供最新的安全补丁和错误修复。有关更多信息,请参阅升级到最新的 AXIS OS。
通过 VAPIX API 进行基本强化
您可以使用 VAPIX API 根据基本强化中涵盖的主题来强化您的 Axis 设备。在此表中,您可以找到所有基本强化配置设置,而不管您的 Axis 设备的 AXIS OS 版本是什么。
由于某些功能已随着时间的推移被删除以提高安全性,因此某些配置设置在您设备的 AXIS OS 版本中可能不再可用。如果您在发出 VAPIX 调用时收到错误,则可能表明该功能在 AXIS OS 版本中不再可用。
| 目的 | VAPIX API 调用 |
|---|---|
| 禁用未使用的网络端口中的 POE * | http://ip-address/axis-cgi/nvr/poe/setportmode.cgi?port=X&enabld=no |
| 禁用未使用的网络端口中的网络流量** | http://ip-address/axis-cgi/network_settings.cgi |
| 禁用 Bonjour 发现协议 | https://ip-address/axis-cgi/param.cgi?action=update&Network.Bonjour.Enabled=no |
| 禁用 UPnP 发现协议 | https://ip-address/axis-cgi/param.cgi?action=update&Network.UPnP.Enabled=no |
| 禁用 WebService 发现协议 | https://ip-address/axis-cgi/param.cgi?action=update&WebService.DiscoveryMode.Discoverable=no |
| 禁用一键云连接 (O3C) | https://ip-address/axis-cgi/param.cgi?action=update&RemoteService.Enabled=no |
| 禁用设备 SSH 维护访问 | https://ip-address/axis-cgi/param.cgi?action=update&Network.SSH.Enabled=no |
| 禁用设备 FTP 维护访问 | https://ip-address/axis-cgi/param.cgi?action=update&Network.FTP.Enabled=no |
| 禁用 ARP-Ping IP 地址配置 | https://ip-address/axis-cgi/param.cgi?action=update&Network.ARPPingIPAddress.Enabled=no |
| 禁用零配置 IP 地址配置 | http://ip-address/axis-cgi/param.cgi?action=update&Network.ZeroConf.Enabled=no |
| 仅启用 HTTPS | https://ip-address/axis-cgi/param.cgi?action=update&System.BoaGroupPolicy.admin=https |
| 仅启用 TLS 1.2 和 TLS 1.3 | https://ip-address/axis-cgi/param.cgi?action=update&HTTPS.AllowTLS1=no |
| TLS 1.2 安全密码配置 | https://ip-address/axis-cgi/param.cgi?action=update&HTTPS.Ciphers=ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 |
| 启用暴力攻击保护*** | https://ip-address/axis-cgi/param.cgi?action=update&System.PreventDoSAttack.ActivatePasswordThrottling=on |
| 禁用脚本编辑器环境 | https://ip-address/axis-cgi/param.cgi?action=update&System.EditCgi=no |
| 启用改进的用户访问日志记录 | https://ip-address/axis-cgi/param.cgi?action=update&System.AccessLog=On |
| 启用 ONVIF 重放攻击保护 | https://ip-address/axis-cgi/param.cgi?action=update&WebService.UsernameToken.ReplayAttackProtection=yes |
| 禁用设备 Web 界面访问 | https://ip-address/axis-cgi/param.cgi?action=update&System.WebInterfaceDisabled=yes |
| 禁用 HTTP/OpenSSL 服务器标头 | https://ip-address/axis-cgi/param.cgi?action=update&System.HTTPServerTokens=no |
| 禁用匿名查看者和 PTZ 访问 | https://ip-address/axis-cgi/param.cgi?action=update&root.Network.RTSP.ProtViewer=password |
| 防止安装需要 root 权限的 ACAP 应用程序 | http://ip-address/axis-cgi/applications/config.cgi?action=set&name=AllowRoot&value=false |
| 防止安装未签名的 ACAP 应用程序 | http://ip-address/axis-cgi/applications/config.cgi?action=set&name=AllowUnsigned&value=false |
* 将“port=X”中的“X”替换为实际端口号。例如:“port=1”将禁用端口 1,“port=2”将禁用端口 2。
** 将“eth1.1”中的“1”替换为实际端口号。例如:“eth1.1”将禁用端口 1,“eth1.2”将禁用端口 2。
*** 一秒钟内 20 次登录尝试失败后,客户端 IP 地址将被阻止 10 秒。30 秒页面间隔内的每个后续失败请求都将导致 DoS 阻止期再延长 10 秒。
通过 AXIS 设备管理器(扩展)进行基本强化
您可以使用AXIS 设备管理器和AXIS 设备管理器扩展来根据基本强化中涵盖的主题强化您的 Axis 设备。使用此配置文件,该文件包含通过 VAPIX API 进行基本强化中列出的相同配置设置。
由于某些功能已随着时间的推移而被删除以提高安全性,因此您设备的 AXIS OS 版本中的某些配置设置可能不再可用。AXIS Device Manager 和AXIS Device Manager Extend 将自动从强化配置中删除这些设置。
上传配置文件后,Axis 设备将配置为仅 HTTPS,并且 Web 界面将被禁用。您可以根据需要修改配置文件,例如删除或添加参数。
