网络信息安全管理员2.pptVIP

4、可用性 网络需要高可用性，网络越大，所需的可用性越高。有许多方法可以配置和查找路由器和交换机，以满足这些可用性需求。包括重复组件（如网络设备中的电源和引擎）和重复设备本身。后者会大大增加成本，但是可以提供完全的复原解决方案。 4-2 安全网络快照 下面提供了一种安全网络特征快照。在评估自己的解决方案时，可以使用该快照作为参考。 1、路由器 （1）修补程序和更新： 使用最新软件来修补路由器操作系统。 （2）协议： ? 阻止未使用的协议和端口。 ? 实施出入过滤。 ? 将 ICMP 数据流从内部网络中屏蔽。 ? 禁用跟踪路由。 ? 不转发直接广播数据流。 ? 屏蔽庞大的 Ping 数据包。 ? 在最外路由器中阻止路由信息协议 (RIP) 数据包（如果有）。 ? 使用静态路由。 （3）管理访问： ? 强制执行强管理密码策略。 ? 使用管理访问控制系统。 ? 禁用路由器中未使用的管理接口。 ? 禁用基于 Web 的管理。 （4）服务：禁用未使用的服务（例如 bootps 和 Finger）。 （5）审核和日志： ? 为所有拒绝的数据流启用日志。 ? 对日志进行集中保存和保护。 ? 审核日志，检查是否存在非正常模式。 （6）入侵检测：设置 IDS 以确认和通知活动攻击。 （7）物理访问：限制物理访问。 3、交换机 （1）修补程序