交換機和路由器是組網(wǎng)中很重要的設備�����,同時其應用也非常廣泛�����,這里我們主要講解了三種方法讓我們的交換機和路由器更加的安全�����。傳統(tǒng)的網(wǎng)絡安全技術側重于系統(tǒng)入侵檢測�����,反病毒軟件或防火墻�����。內(nèi)部安全如何?在網(wǎng)絡安全構造中�����,交換機和路由器是非常重要的�����,在七層網(wǎng)絡中每一層都必須是安全的�����。
很多交換機和路由器都有豐富的安全功能�����,要了解有些什么�����,如何工作,如何部署�����,一層有問題時不會影響整個網(wǎng)絡�����。交換機和路由器被設計成缺省安全的�����,出廠時就處于安全設置的狀態(tài)�����,特別操作的 設置在用戶要求時才會被激活�����,所有其他選項都是關閉的,以減少危險�����,網(wǎng)管員也無需了解哪些選項應該關閉�����。在初始登錄時會被強制要求更改密碼�����,也有密碼的期限選項及登錄嘗試的次數(shù)限制�����,而且以加密方式存儲�����。限期的帳號(維護帳號或后門)是不會存在的�����。
交換機和路由器在掉電�����,熱啟動�����、冷啟動,升級IOS�����、硬件或一個模塊失敗的情況下都必須是安全的�����,而且在這些事件發(fā)生后應該不會危及安全并恢復運作�����,因為日志的原因�����,網(wǎng)絡設備應該通過網(wǎng)絡時間協(xié)議保持安全精確的時間�����。通過SNMP協(xié)議連接管理的名稱也應該被改變�����。
抵擋DoS攻擊
從可用性出發(fā)�����,交換機和路由器需要能抵擋拒絕服務式Dos攻擊�����,并在攻擊期間保持可用性�����。理想狀態(tài)是他們在受到攻擊時應該能夠做出反應�����,屏蔽攻擊IP及端口�����。每件事件都會立即反應并記錄在日志中�����,同時他們也能識別并對蠕蟲攻擊做出反應�����。交換機和路由器中使用FTP�����,HTTP,TELNET或SSH都有可以有代碼漏洞�����,在漏洞被發(fā)現(xiàn)報告后�����,廠商可以開發(fā)�����、創(chuàng)建�����、測試�����、發(fā)布升級包或補丁�����。
基于角色的管理給予管理員最低程序的許可來完成任務�����,允許分派任務�����,提供檢查及平衡�����,只有受信任的連接才能管理倔們�����。管理權限可賦予設備或其他主機�����,例如管理權限可授予一定IP地址及特定的TCP/UDP端口�����?����?刂乒芾頇嘞薜淖詈棉k法是在授權進入前分權限,可以通過認證和帳戶服務器�����,例如遠程接入服務�����,終端服務�����,或LDAP服務�����。
遠程連接的加密
很多情況下�����,管理員需要遠程管理交換機和路由器�����,通常只能從公共網(wǎng)絡上訪問�����。為了保證管理傳輸?shù)陌踩?����,需要加密協(xié)議�����,SSH是所有遠程命令行設置和文件傳輸?shù)臉藴蕝f(xié)�����,基于WEB的則用SSL或TLS協(xié)議�����,LDAP通常是通訊的協(xié)議�����,而SSL/TLS則加密此通訊�����。SNMP用來發(fā)現(xiàn)�����、監(jiān)控、配置網(wǎng)絡設備�����,SNMP3是足夠安全的版本�����,可以保證授權的通信�����。建立登錄控制可以減輕受攻擊的可能性�����,設定嘗試登錄的次數(shù)�����,在遇到這種掃描時能做出反應�����。詳細的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時是非常有效的�����。
交換機和路由器的配置文件的安全也是不容忽視的�����,通常配置文件保存在安全的位置�����,在混亂的情況下�����,可以取出備份文件�����,安裝并激活系統(tǒng)�����,恢復到已知狀態(tài)�����。有些交換機結合了入侵檢測的功能,一些通過端口映射支持,允許管理員選擇監(jiān)控端口�����。
虛擬網(wǎng)絡的角色
虛擬的本地網(wǎng)絡VLAN是第二層上的有限廣播域�����,由一組計算機設備組成�����,通常位一多個LAN上�����,可能跨越一個或多個LAN交換機�����,而與它們的物理位置無關,設備之間好像在同一個網(wǎng)絡間通信一樣�����,允許管理員將網(wǎng)絡分為多個可管理運行良好的小塊,將嗇�����、移動�����、更改設備�����、用戶及權限的任務簡化�����。VLAN可在各種形式上形成�����,如交換口�����,MAC地址�����,IP地址�����,協(xié)議類型,DHCP�����,802.1Q標志或用戶自定義�����。這些可以單獨或組合部署�����。VLAN認證技術在用戶通過認證過程后授權給用戶進入一個或多個VLAN�����,該授權不是給予設備�����。防火墻可以控制網(wǎng)絡之間的訪問�����,最廣泛應用的是嵌在傳統(tǒng)路由器和多層交換機上的�����,也稱作ACLs�����,防火墻的不同主要在于他們掃描包的深度�����,是端到端的直接通訊還是通過代理�����,是否有
在網(wǎng)絡之間的訪問控制中�����,路由過濾措施可以基于源/目標交換槽或端口�����,源/目標VLAN�����,源/目標IP,或TCP/UDP端口�����,ICMP類型�����,或 MAC地址�����。對于某些交換機和路由器�����,動態(tài)ACL標準可以用戶通過認證過程后被創(chuàng)建�����,就像是認證的VLAN�����,不過是在第三層上�����。當未知的源地址要求連入已知的內(nèi)部目標時是有用的?����,F(xiàn)在的網(wǎng)絡要求設計成各層次都是安全的�����,通過部署交換機和路由器的安全設置�����,企業(yè)可以傳統(tǒng)的安全技術創(chuàng)建強壯�����、各層都安全的系統(tǒng)�����。
關鍵詞標簽:交換機,路由器,安全
火絨安全軟件開啟懸浮窗的方法-怎么限制和設置軟件網(wǎng)速
火絨安全軟件怎么攔截廣告-火絨設置廣告攔截的方法
網(wǎng)絡安全管理軟件-PCHunter使用教程