三种办法让交换机路由器更加安全计算机网络与通信_计算机-网络与通信.pdf

三种办法让交换机路由器更加安全 在网络之间的访问控制中，路山过滤措施可以基于源/LI 标交换槽或端口，源/U标 VLAX,源/U标 IP,或 TCP/UDP端口，ICMP类型，或 MAC 地址。现在的网络要求 设讣成各层次都是安全的，通过部署交换机和路山器的安全设置，企业可以传统的安 全技术创建强壮、各层都安全的系统。传统的网络安全技术侧重于系统入侵检测，反病毒软件或防火墙。内部安全如 何?在网络安全构造中，交换机和路山器是非常重要的,在七层网络中每一层都必须 是安全的。很多交换机和路曲器都有丰富的安全功能，要了解有些什么，如何工作，如何部署,一层有问题时不会影响整个网络。交换机和路山器被设计成缺省安全的,岀厂时就处于安全设置的状态,特别操作的设置在用户要求时才会被激活，所有其他 选项都是关闭的，以减少危险，网管员也无需了解哪些选项应该关闭。在初始登录时会被强制要求更改密码，也有密码的期限选项及登录尝试的次数 限制，而且以加密方式存储。限期的帐号（维护帐号或后门）是不会存在的。交换机 及路山器在掉电，热启动、冷启动，升级 IOS、硬件或一个模块失败的惜况下都必须 是安全的，而且在这些事件发生后应该不会危及安全并恢复运作，因为日志的原因，网络设备应该通过网络时间协议保持安全精确的时间。通过 SNMP 协议连接管理的 名称也应该被改变。抵挡 DoS攻击 从可用性出发，交换机和路山器需要能抵挡拒绝服务式 Dos 攻击，并在攻击期 间保持可用性。理想状态是他们在受到攻击时应该能够做出反应，屏蔽攻击 IP 及端 口。每件事件都会立即反应并记录在日志中，同时他们也能识别并对蠕虫攻击做出 反应。交换机及路山器中使用 FTP,HTTP,TELNET 或 SSH都有可以有代码漏洞，在漏洞 被发现报告后，厂商可以开发、创建、测试、发布升级包或补丁。基于角色的管理给予管理员最低程序的许可来完成任务，允许分派任务，提供 检查及平衡，只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机，例 如管理权限可授予一定 IP 地址及特定的 TCP/UDP端口。控制管理权限的最好办法是在授权进入前分权限，可以通过认证和帐户服务器,例如远程接入服务，终端服务，或 LDAP服务。远程连接的加密 很多情况下，管理员需要远程管理交换机及路山器，通常只能从公共网络上访 问。为了保证管理传输的安全，需要加密协议,SSH 是所有远程命令行设置和文件传 输的标准协，基于 WEB 的则用 SSL或 TLS协议,LDAP通常是通讯的协议，而 SSL/TLS 则加密此通讯。SNMP 用来发现、监控、配置网络设备,SNMP3是足够安全的版本，可以保证授 权的通信。建立登录控制可以减轻受攻击的可能性，设定尝试登录的次数,在遇到这种扫 描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。交换机及路山器的配置文件的安全也是不容忽视的，通常配置文件保存在安全 的位置，在混乱的情况下，可以取出备份文件，安装并激活系统，恢复到已知状态。有 些交换机结合了入侵检测的功能，一些通过端口映射支持，允许管理员选择监控端 口。虚拟网络的角色 虚拟的本地网络 VLAN 是第二层上的有限广播域，山一组汁算机设备组成，通常 位一多个 LAN上,可能跨越一个或多个 LAN交换机，而与它们的物理位置无关，设备端口类型或地址现在的网络要求设讣成各层次都是安全的通过部署交换机和路山器的安全设置企业可以传统的安全技术创建强壮各层都安全的系统传统的网络安全技术侧重于系统入侵检测反病毒软件或防火墙内部安全如何在网络安功能要了解有些什么如何工作如何部署一层有问题时不会影响整个网络交换机和路山器被设计成缺安全的岀厂时就处于安全设置的状态特别操作的设置在用户要求时才会被激活所有其他选项都是关闭的以减少危险网管员也无需了解式存储限期的帐号维护帐号或后门是不会存在的交换机及路山器在掉电热启动冷启动升级硬件或一个模块失败的惜况下都必须是安全的而且在这些事件发生后应该不会危及安全并恢复运作因为日志的原因网络设备应该通过网络时间之间好像在同一个网络间通信一样，允许管理员将网络分为多个可管理运行良好的 小块,将啬、移动、更改设备、用户及权限的任务简化。VLAN 可在各种形式上形成，如交换口,MAC 地址,IP 地址,协议类 型,DHCP,802.1Q标志或用户自定义。这些可以单独或组合部署。VLAN 认证技术在用户通过认证过程后授权给用户进入一个或多个 VLAN,该授 权不是给予设备。防火墙可以控制网络之间的访问，最广泛应用的是嵌在传统路山器和多层交换 机上的，也称作 ACLs,防火墙的不同主要在于他们扫描包的深度，是端到端的直接通 讯还是通过代理，是否有 sessiono 在网络之间的访问控制中，路山过滤措施可以基于源/U 标交换槽或端口，源/U标VLAN,源/U 标 IP,或 TCP/UDP端口，ICMP类型，或 MAC 地址。对于某些交换机 和路山器，动态 ACL标准可以用户通过认证过程后被创建,就像是认证的 VLAN,不过 是在第三层上。当未知的源地址要求连入已知的内部目标时是有用的。现在的网络要求设计成各层次都是安全的,通过部署交换机和路由器的安全设 置，企业可以传统的安全技术创建强壮、各层都安全的系统。作为管理员需要为单位所有的网络设备机制定一套基本的安全配置策略是极 为重要的。为此，笔者将某单位内部路山器和交换机的安全策略拿来与大家共享：路山器安全策略示例：1.路由器上不得配置用户账户。2.路山器上的 enable password命令必须以一种安全的加密形式保存。3.禁止 IP 的直接广播。端口类型或地址现在的网络要求设讣成各层次都是安全的通过部署交换机和路山器的安全设置企业可以传统的安全技术创建强壮各层都安全的系统传统的网络安全技术侧重于系统入侵检测反病毒软件或防火墙内部安全如何在网络安功能要了解有些什么如何工作如何部署一层有问题时不会影响整个网络交换机和路山器被设计成缺安全的岀厂时就处于安全设置的状态特别操作的设置在用户要求时才会被激活所有其他选项都是关闭的以减少危险网管员也无需了解式存储限期的帐号维护帐号或后门是不会存在的交换机及路山器在掉电热启动冷启动升级硬件或一个模块失败的惜况下都必须是安全的而且在这些事件发生后应该不会危及安全并恢复运作因为日志的原因网络设备应该通过网络时间4.路山器应当阻止源地址为非法地址的数据包。5.在本单位的业务需要增长时，添加相应的访问规则。6.路山器应当放置在安全的位置，对其物理访问仅限于所授权的个人。7.每一台路山器都必须清楚地标识下面的声明：“注意:禁止对该网络设备的非授权访问。您必须在获得明确许可的悄况下才 能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反 将受到纪律处分，并有可能被诉诸于法律。”每一台网络交换机必须满足以下的配置标准：1.交换机上不得配置用户账户。2.交换机上的 enable password命令必须以一种安全的加密形式保存。3.如果交换机的 MAC 水平的地址能够锁定，就应当启用此功能。4.如果在一个端口上出现新的或未注册的 MAC 地址,就应当禁用此端口。5.如果断开链接后乂重新建立链接，就应当生成一个 SNMP trap.6.交换机应当放置在安全的位置，对其物理访问仅限于所授权的个人。7.交换机应当禁用任何 Web服务器软件,如果需要这种软件来维护交换机的 话，应当启动服务器来配置交换机，然后再禁用它。对管理员功能的所有访问控制都 应当启用。8.每一台交换机都必须清楚地标识下面的声明:端口类型或地址现在的网络要求设讣成各层次都是安全的通过部署交换机和路山器的安全设置企业可以传统的安全技术创建强壮各层都安全的系统传统的网络安全技术侧重于系统入侵检测反病毒软件或防火墙内部安全如何在网络安功能要了解有些什么如何工作如何部署一层有问题时不会影响整个网络交换机和路山器被设计成缺安全的岀厂时就处于安全设置的状态特别操作的设置在用户要求时才会被激活所有其他选项都是关闭的以减少危险网管员也无需了解式存储限期的帐号维护帐号或后门是不会存在的交换机及路山器在掉电热启动冷启动升级硬件或一个模块失败的惜况下都必须是安全的而且在这些事件发生后应该不会危及安全并恢复运作因为日志的原因网络设备应该通过网络时间“注意:禁止对该网络设备的非授权访问。您必须在获得明确许可的悄况下才 能访问或配置该设备。在此设备上执行的所有活动必须加以记录，对该策略的违反 将受到纪律处分，并有可能被诉诸于法律。”这些安全要求未必适合你单位的情况,仅供参考。端口类型或地址现在的网络要求设讣成各层次都是安全的通过部署交换机和路山器的安全设置企业可以传统的安全技术创建强壮各层都安全的系统传统的网络安全技术侧重于系统入侵检测反病毒软件或防火墙内部安全如何在网络安功能要了解有些什么如何工作如何部署一层有问题时不会影响整个网络交换机和路山器被设计成缺安全的岀厂时就处于安全设置的状态特别操作的设置在用户要求时才会被激活所有其他选项都是关闭的以减少危险网管员也无需了解式存储限期的帐号维护帐号或后门是不会存在的交换机及路山器在掉电热启动冷启动升级硬件或一个模块失败的惜况下都必须是安全的而且在这些事件发生后应该不会危及安全并恢复运作因为日志的原因网络设备应该通过网络时间