石油企业Cisco路由器及交换机安全加固若干思考.docVIP

石油企业Cisco路由器及交换机安全加固若干思考 　　摘 要 　　路由器是局域网之中非常重要的一种网络设备，其主要在网络层实现子网之间以及内外数据的转发，是不同网络之间进行数据交换及通信的一个重要通道。当前，很多路由器可集成防火墙等安全模块，对网络起到安全加固的作用。所以，路由器往往是病毒入侵的第一道屏障。目前，各大小石油企业均使用Cisco（思科）路由器及交换机对该企业局域网进行安全加固，从而在很大程度上提高了石油企业的网络安全以及提高了企业的生产效益。 　　【关键词】Cisco路由器 交换机 安全加固 　　由“木桶”原理可以得知，一个木桶可以装多少水，受到该木桶最短的那块木板所决定。具体到信息系统的安全也是同样的道理，整个信息系统的安全程度也受到信息系统之中最薄弱的环节所决定，网络作为信息系统的主体，其安全需求的重要性是显而易见的。本文主要对石油企业Cisco路由器及交换机安全加固措施进行分析，旨在为石油企业的网络安全运行提供一定的参考依据。 　　1 概述 　　目前，很多石油企业局域网的建设全部或者部分采用Cisco（“思科”）的路由器与交换机，究其原因，笔者认为，这主要是由于该设备的功能非常强大，工作性能稳定性好，其互联网操作系统（IOS）在网络安全策略等方面均具有独特的考虑，使用IOS的安全策略功能，不需要单独地购置安全管理软件，就能够很好地实现绝大部分的安全功能，使得石油企业局域网运行于较安全的环境之中。 　　运用Cisco的路由器与交换机，构筑成为一个典型的基于第三层交换技术的高性能千兆石油企业局域网，其具体拓扑结构示意图如图1所示，以Catalyst-4006作为核心交换机，5台Catalyst-2950G构成汇聚层，20台Catalyst-2924与Catalyst-1924构成接入层，1台4500型路由器做边缘路由器，通过2MDDN线路与CERNET地区网络中心相连接，1台2511型做远程访问服务器，作用是提供拨号用户使用。 　　应用Cisco路由器与交换机，石油企业可实现如下几个方面的网络安全策略：路由器安全策略、用户主机安全策略、交换机安全策略、服务器安全策略以及网络访问安全策略等。 　　2 Cisco路由器安全加固策略 　　众所周知，对于一个网络而言，路由器是网络的核心部分，其实际配置情况对整个网络的正常工作与运行均具有十分重要的意义与价值，在实际过程中，应只允许授权的主机对路由器进行远程登录，而禁止未授权的主机进行登录。在路由器的全局配置条件下，设置标准访问控制表，且在全部的虚接口上进行应用，应用的方向为in，如此，就能够很好地保证只有授权的主机远程登录路由器且修改其配置，实际过程中，路由器的主要配置为： 　　access-list 1 permit 202.115.145.66 line vty 04 　　access-class 1 in 　　表示仅允许主机202.115.145.66远程登录至路由器。 　　3 Cisco交换机安全加固策略 　　3.1 Cisco交换机地址的配置 　　为了能够便于管理，可将交换机配置IP地址。例如可将IP地址进行配置，192.168.0.0，就能够禁止非本企业的主机对交换机进行访问。将企业内全部的交换机均应置于一个虚拟网络之中（常见的为VLAN-2）之中，在交换机之中可进行如下配置： 　　Interface vlan 2 　　in address 192.168.0.3 255.255.255.0 　　3.2 配置允许访问交换机的主机 　　经过上述的安全加固策略的实施，Cisco交换机的访问被限制于石油企业内部，而且还能够在石油企业内部网络的三层交换机4006上面，将访问控制表进行配置，将其用于Cisco交换机的虚拟网络之中，应用的方向属于in，仅仅允许石油企业内所指定的主机能够访问该交换机所在的虚拟网络，而其他主机（如其他石油企业的主机）不能对该虚拟网络进行访问，那么这就阻止了其对本石油企业Cisco交换机的访问，因此也就无法获取本企业Cisco交换机中的任何数据。在三层交换机4006型上进行如下的配置： 　　access-list 10 permit 202.115.145.66 　　interface vlan 2 　　in access-group 10 in 　　经过上述安全加固策略的实施，只有IP地址为202.115.145.66的配置能够访问本石油企业局域网网络交换机。 　　3.3 允许远程登录交换机主机的配置 　　允许访问交换机的主机，应该注意对远程登录该交换机的过程进行限制。只允许被授权的主机进行登录，从而对相关的配置参数加以修改。在交换机的全局配置条件下，设置标准的访问控制表，用于虚拟接口的0～15上面，应用的方向为in。交换机上面的具体配置