关于城域网安全控制的一些心得.pdf

关于城域网安全控制的一些心得关于城域网安全控制的一些心得 关于城域网安全控制的一些心得关于城域网安全控制的一些心得 ―― By Heaven 于杭州于杭州 于杭州于杭州 城域网的安全风险主要在于设备遭受攻击或病毒引发的网络流量突然增大对设备性能的 冲击，与业务相关的数据库服务器受到病毒的攻击，影响业务的正常运行，因此其安全设计 考虑的重点与企业网络不同，用户的管理难度很大，安全管理制度实施困难，安全建设应更 多地采用技术来保证网络和设备安全，并以用户管理作为辅助手段。 为了保护城域网设备不被未授权的非法用户访问和操作，一般可以考虑采取下述的安全设计： 1. 用 ACCESS CONTROL LIST 限制TELNET 和 SNMP 访问城域网网络设备。 2. 采用 USERNAME 和 PRIVILEGE 进行访问控制。 3. 进行全网设备的 NTP 时间同步，对所有的重要事件进行LOGGING 。 4. 对不必要的端口进行 PASSIVE ，以防止路由泄露。 5. 在与上级省骨干网互连时，对边界路由器设置FILTER-LIST ，不学习任何不需要的外部 路由。 6. 实现路由认证，保证路由协议安全； 7. 部署网络入侵监测系统 （IDS ）,对核心服务实施监控，对网络攻击和病毒及时报警， 对 重要的端口进行镜像，实时检测分析数据包。 8. 流量监控 下面具体的说明一下上述完全设计的实现方法： 限制访问范围典型的手段是访问控制列表。把城域网网络设备中 co unity 字配成众所 周知道的 public/private 是肯定不行的，由于 SNMP 是一个相当不安全的协议(尤其是低版本) ， 还应该通过访问控制列表限定能访问设备 SNMP 的主机: 在 snmp-server co unity xxxx RO/RW 后，可以加上一个标准或扩展的访问控制列表。console 口可以配上密码，不要设置 no exec-timeout 。telnet 访问的限制通过在 line vty 指定 access-class 实现;CatOS 的交换机用ip permit-list; 高端设备可以用 SSH 取代 telnet 。不必要的服务，如tcp/udp-small-servers 、ip finger、 ip http server 等应予以关闭。ip http server(Web 管理界面)去年就曾爆出了一个严重的安全漏洞， 可以用 ip http access-class 作限制。tftp-server 服务用完就应关闭，也可以指定ACL ，或用较为 安全的 FTP 代替。在端口上应用ACL ，过滤不必要的通讯，还可以利用 IOS 的安全功能，防 止 IP 欺骗和一些常见的攻击。 在密码设置时可以采用较少的密码字，但要够复杂，如采用大写字母和%#^*等符号，telnet 密码由于容易被看到，应该与 enable secret 全不相同，可以使用 service password-encryption 。 网络时间协议 （ N T P ）是用来在整个网络内发布精确时间的T C P / I P 协议，其本身的传 输基于 U D P 。N T P 主要解决网络内所有路由器的时钟同步问题，除此之外，它也能用于在 给定网络内所有系统时钟的同步， 包括工作站或其它具有时钟的系统。对于各种各样的工作 站和服务器来讲，都有相应的 N T P 客户端软件。对于一个网络内所有的路由器，使其时钟 同步是非常重要的，在NTP 服务器端使用 ntp master [n] 将路由器本身设为时钟源，n 为精度 级别，默认为 8，1 是最高精度 clock timezone Peking +8 //定义时区 ntp authenticate