设置交换机及路由器 使网络更加安全可靠.docVIP

设置交换机及路由器 使网络更加安全可靠【摘 要】要建立安全的企业网络，必须对网络进行安全的操作和维护。路由器和交换机是企业网络中的重要设备，在企业网络中占有核心的地位，为了防止外来入侵，使用安全技术来保证网络互联设备的安全显得十分重要。文中介绍了交换机及路由器安全设置 【关键词】交换机；路由器；网络；安全 企业网络面临的安全威胁不但来自病毒和木马，而且还有内部网络数据被盗、操作系统和软件自身存在一些漏洞所造成的危害等，这就需要采取一定的技术措施来防范 网络互联设备一般可分为网内互联设备和网间互联设备，为了构建安全的企业互联网络，设备的管理和配置非常重要。从网络管理和安全方面来说，交换机和路由器起着非常重要的地位，它们是企业网络中的核心设备，一些攻击例如：利用路由器软件版本的漏洞进行攻击，非法用户伪装企业用户修改路由信息等，以使机密泄露或导致路由器瘫痪而不能正常运行。为了保障企业网络的安全，防止攻击者入侵，导致网络瘫痪，必须对网络设备进行安全管理 1．概述 传统的网络安全技术侧重于系统入侵检测，反病毒软件或防火墙。在网络安全构造中，交换机和路由器是非常重要的，在七层网络中每一层都必须是安全的。很多交换机和路由器都有丰富的安全功能，要了解有些什么，如何工作，如何部署，一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的，出厂时就处于安全设置的状态，特别操作的设置在用户要求时才会被激活，所有其他选项都是关闭的，以减少危险 1.1密码设置 在初始登录路由器及交换机时会被强制要求更改密码，也有密码的期限选项及登录尝试的次数限制，而且以加密方式存储。交换机及路由器在掉电，热启动、冷启动，升级IOS、硬件或一个模块失败的情况下都必须是安全的，而且在这些事件发生后应该不会危及安全并恢复运作，因为日志的原因，网络设备应该通过网络时间协议保持安全精确的时间 1.2抵挡DoS攻击 从可用性出发，交换机和路由器需要能抵挡拒绝服务式Dos攻击，并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应，屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中，同时他们也能识别并对蠕虫攻击做出反应 1.3漏洞管理 交换机及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代码漏洞，在漏洞被发现报告后，应该及时安装升级包或补丁 1.4权限管理 基于角色的管理给予管理员最低程度的许可来完成任务，允许分派任务，提供检查及平衡，只有受信任的连接才能管理它们。管理权限可赋予设备或其他主机，例如管理权限可授予一定IP地址及特定的TCP/UDP端口 控制管理权限的最好办法是在授权进入前分权限，可以通过认证和帐户服务器，例如远程接入服务，终端服务，或LDAP服务 1.5远程连接的加密 在有些情况下，管理员需要远程管理交换机及路由器。为了保证管理传输的安全，需要加密协议，SSH是所有远程命令行设置和文件传输的标准协，基于WEB的则使用SSL或TLS协议，LDAP通常是通讯的协议，而SSL/TLS则用于加密此通讯 1.6网络管理协议 SNMP用来发现、监控、配置网络设备，SNMP3是足够安全的版本，可以保证授权的通信 2.常用网络安全方法 (1)网络服务器及交换机和路由器口令设置应该采用没有意义的数字、字母和特殊符号的组合，长度应该大于9位，以减少使用暴力破解或密码字典破解密码口令的可行行 (2)建立登录控制可以减轻受攻击的可能性，设定尝试登录的次数，在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的 (3)交换机及路由器的配置文件的安全也是不容忽视的，通常配置文件应该保存在安全的位置，有些交换机结合了入侵检测的功能，一些通过端口映射支持，允许管理员选择监控端口 (4)虚拟网络的角色：通常，只有通过划分子网才可以隔离广播，但是VLAN的出现打破了这个定律。VLAN叫做虚拟局域网，它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了 VLAN的实现原理非常简单，通过交换机的控制，某一VLAN成员发出的数据包交换机只发个同一VLAN的其它成员，而不会发给该VLAN成员以外的计算机 使用VLAN的目的不仅仅是隔离广播，还有安全和管理等方面的应用，例如将重要部门与其它部门通过VLAN隔离，即使同在一个网络也可以保证他们不能互相通讯，确保重要部门的数据安全；也可以按照不同的部门、人员，位置划分VLAN，分别赋给不同的权限来进行管理 VLAN的划分有很多种，可以按照IP地址来划分，按照端口来划分、按照MAC地址划分或者按照协议