當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

讓交換機(jī)和路由器更安全的方法

http://m.yibo1263.com　2008/9/4 8:43:32 　來源:東北IT網(wǎng) 　編輯:葉子

　　傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于系統(tǒng)入侵檢測，反病毒軟件或防火墻。內(nèi)部安全如何？在網(wǎng)絡(luò)安全構(gòu)造中，交換機(jī)和路由器是非常重要的，在七層網(wǎng)絡(luò)中每一層都必須是安全的。

　　很多交換機(jī)和路由器都有豐富的安全功能，要了解有些什么，如何工作，如何部署，一層有問題時不會影響整個網(wǎng)絡(luò)。交換機(jī)和路由器被設(shè)計成缺省安全的，出廠時就處于安全設(shè)置的狀態(tài)，特別操作的設(shè)置在用戶要求時才會被激活，所有其他選項都是關(guān)閉的，以減少危險，網(wǎng)管員也無需了解哪些選項應(yīng)該關(guān)閉。

　　在初始登錄時會被強(qiáng)制要求更改密碼，也有密碼的期限選項及登錄嘗試的次數(shù)限制，而且以加密方式存儲。限期的帳號（維護(hù)帳號或后門）是不會存在的。

　　交換機(jī)及路由器在掉電，熱啟動、冷啟動，升級IOS、硬件或一個模塊失敗的情況下都必須是安全的，而且在這些事件發(fā)生后應(yīng)該不會危及安全并恢復(fù)運(yùn)作，因為日志的原因，網(wǎng)絡(luò)設(shè)備應(yīng)該通過網(wǎng)絡(luò)時間協(xié)議保持安全精確的時間。通過SNMP協(xié)議連接管理的名稱也應(yīng)該被改變。

抵擋DoS攻擊

　　從可用性出發(fā)，交換機(jī)和路由器需要能抵擋拒絕服務(wù)式Dos攻擊，并在攻擊期間保持可用性。理想狀態(tài)是他們在受到攻擊時應(yīng)該能夠做出反應(yīng)，屏蔽攻擊IP及端口。每件事件都會立即反應(yīng)并記錄在日志中，同時他們也能識別并對蠕蟲攻擊做出反應(yīng)。

　　交換機(jī)及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代碼漏洞，在漏洞被發(fā)現(xiàn)報告后，廠商可以開發(fā)、創(chuàng)建、測試、發(fā)布升級包或補(bǔ)丁。

　　基于角色的管理給予管理員最低程序的許可來完成任務(wù)，允許分派任務(wù)，提供檢查及平衡，只有受信任的連接才能管理倔們。管理權(quán)限可賦予設(shè)備或其他主機(jī)，例如管理權(quán)限可授予一定IP地址及特定的TCP/UDP端口。

　　控制管理權(quán)限的最好辦法是在授權(quán)進(jìn)入前分權(quán)限，可以通過認(rèn)證和帳戶服務(wù)器，例如遠(yuǎn)程接入服務(wù)，終端服務(wù)，或LDAP服務(wù)。

遠(yuǎn)程連接的加密

　　很多情況下，管理員需要遠(yuǎn)程管理交換機(jī)及路由器，通常只能從公共網(wǎng)絡(luò)上訪問。為了保證管理傳輸?shù)陌踩�，需要加密協(xié)議，SSH是所有遠(yuǎn)程命令行設(shè)置和文件傳輸?shù)臉?biāo)準(zhǔn)協(xié)，基于WEB的則用SSL或TLS協(xié)議，LDAP通常是通訊的協(xié)議，而SSL/TLS則加密此通訊。

　　SNMP用來發(fā)現(xiàn)、監(jiān)控、配置網(wǎng)絡(luò)設(shè)備，可以保證授權(quán)的通信。

　　建立登錄控制可以減輕受攻擊的可能性，設(shè)定嘗試登錄的次數(shù)，在遇到這種掃描時能做出反應(yīng)。詳細(xì)的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時是非常有效的。

　　交換機(jī)及路由器的配置文件的安全也是不容忽視的，通常配置文件保存在安全的位置，在混亂的情況下，可以取出備份文件，安裝并激活系統(tǒng)，恢復(fù)到已知狀態(tài)。有些交換機(jī)結(jié)合了入侵檢測的功能，一些通過端口映射支持，允許管理員選擇監(jiān)控端口。

虛擬網(wǎng)絡(luò)的角色

　　虛擬的本地網(wǎng)絡(luò)VLAN是第二層上的有限廣播域，由一組計算機(jī)設(shè)備組成，通常位一多個LAN上，可能跨越一個或多個LAN交換機(jī)，而與它們的物理位置無關(guān)，設(shè)備之間好像在同一個網(wǎng)絡(luò)間通信一樣，允許管理員將網(wǎng)絡(luò)分為多個可管理運(yùn)行良好的小塊，移動、更改設(shè)備、用戶及權(quán)限的任務(wù)簡化。

　　VLAN可在各種形式上形成，如交換口，MAC地址，IP地址，協(xié)議類型，DHCP，802.1Q標(biāo)志或用戶自定義。這些可以單獨或組合部署。

　　VLAN認(rèn)證技術(shù)在用戶通過認(rèn)證過程后授權(quán)給用戶進(jìn)入一個或多個VLAN，該授權(quán)不是給予設(shè)備。

　　防火墻可以控制網(wǎng)絡(luò)之間的訪問，最廣泛應(yīng)用的是嵌在傳統(tǒng)路由器和多層交換機(jī)上的，也稱作ACLs，防火墻的不同主要在于他們掃描包的深度，是端到端的直接通訊還是通過代理，是否有session。

　　在網(wǎng)絡(luò)之間的訪問控制中，路由過濾措施可以基于源/目標(biāo)交換槽或端口，源/目標(biāo)VLAN，源/目標(biāo)IP，或TCP/UDP端口，ICMP類型，或 MAC地址。對于某些交換機(jī)和路由器，動態(tài)ACL標(biāo)準(zhǔn)可以用戶通過認(rèn)證過程后被創(chuàng)建，就像是認(rèn)證的VLAN，不過是在第三層上。當(dāng)未知的源地址要求連入已知的內(nèi)部目標(biāo)時是有用的。

　　現(xiàn)在的網(wǎng)絡(luò)要求設(shè)計成各層次都是安全的，通過部署交換機(jī)和路由器的安全設(shè)置，企業(yè)可以傳統(tǒng)的安全技術(shù)創(chuàng)建強(qiáng)壯、各層都安全的系統(tǒng)。

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·長春市政府采購中心采購交換機(jī)

·搭建穩(wěn)定安全的網(wǎng)絡(luò) 小型網(wǎng)吧路由器推薦

·光纖交換機(jī)供應(yīng)商

·路由器查找過程你真的清楚了嗎

·細(xì)說寬帶無線路由器的配置

·路由器ATM接口ping自己測試環(huán)路

·兩臺路由器之間建立鄰接關(guān)系的過程

·路由器密碼忘記五步暴力破解

·Cisco三層交換機(jī)堆棧連接問題

·思科路由器常用配置命令大全

·廉價交換機(jī)走俏的原因以及使用風(fēng)險

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费