信息安全管理第9章.pdf

2013-9-24 信息安全管理 第九章网络设备安全 配置交换机安全性 1 2013-9-24 配置口令选项 • 保护控制台 – - 要防止控制台端口console受到未经授权的访 问； 配置口令选项 • 保护vty端口 – - Cisco 交换机的vty 端口用于远程访问设备。 2 2013-9-24 配置口令选项 • 配置执行模式口令 – - enable password 命令存在的一个问题是， 它将口令以可阅读文本的形式存储在 startup-config 和running-config 中。 – - 在全局配置模式提示符下输入enable secret 命令以及所要的口令，这样即可指定 加密形式的enable 口令。如果配置了enable secret 口令，则交换机将使用enable secret 口 令，而不使用enable password 口令。 配置口令选项 • 配置加密口令 – - 人们普遍认同口令应该加密，并且不能以明文 格式存储。 – - 当从全局配置模式下输入service password- encryption 命令后，所有系统口令都将以加密形 式存储。 3 2013-9-24 登录标语 • 配置登录标语 - Cisco IOS 命令集中包含一项功能，用于配置登录到交 换机的任何人看到的消息。这些消息称为登录标语和 当日消息(MOTD) 标语。 - 所有连接的终端在登录时都会显示MOTD 标语。在需 要向所有网络用户发送消息时（例如系统即将停机）， MOTD 标语尤其有用。 配置Telnet和SSH • 远程访问Cisco 交换机上的vty 有两种选择。 4 2013-9-24 配置端口安全性 • 在所有交换机端口上实施安全措施： – -在端口上指定一组允许的有效MAC地址 – -只允许一个MAC地址访问端口 – -指定端口在检测到未经授权的MAC地址时 自动关闭 配置端口安全性 • 安全MAC地址有以下类型： – -静态安全MAC地址 – -动态安全MAC地址 – -粘滞安全MAC地址 5