降低网络摄像机的未授权访问风险的有用提示-佳能.pdfVIP

降低网络摄像机的未授权访问风险的有用提示 重要 建议系统管理员阅读。 本指南的概述和使用 目的 本指南提供与佳能网络摄像机相关的附加信息，并特别提供了可用于增强此设备安全操作的步骤。本文档将帮助您 更好地了解设备的工作原理，并将帮助您确信设备以安全准确的方式(包括对安全性和网络基础结构的潜在影响)操 作、存储或传输设备数据。 我们建议您完整阅读本文档并采取与信息技术安全策略和实践一致的适当措施，以增强您的组织现有的安全策略。 由于不同的客户有不同的安全要求，因此您最终负责确保所有安全配置、修补程序和修改的实施、重新安装以及测 试对您的环境是适当且必需的。 目标读者 本指南供网络管理员、经销商和其他企业客户使用。为了充分使用本指南，您应了解： • 您的网络环境， • 对部署在该网络上的应用程序施加的任何限制，以及 • 适用的操作系统。 本指南的限制 本指南旨在帮助您评估设备和网络环境的安全性，但无法涵盖所有潜在使用环境的相关信息。本指南假定了一个客 户打印机环境；如果您的网络环境与假定环境不同，则您的网络管理员团队和经销商或授权的佳能服务提供商必须 了解这些差异并确定是否需要任何修改或其他操作。此外： • 本指南仅介绍应用程序内对一般网络环境(无论是整个网络、安全性还是其他客户资源)产生某些明显影响的功能。 • 指南信息与上述指定的佳能设备相关。虽然在整个设备生命周期中大部分信息将保持不变，但某些特定修订的数 据将定期进行修改。IT 组织应咨询其授权的佳能服务提供商以确定适用于您的环境的部署。 感谢您购买佳能产品。本文档概述了如何保护网络摄像机免受来自外部网络的未授权访问。建议系统管理员在使用前仔 细阅读本文档。 序言 本文档介绍防止对佳能网络摄像机的未授权访问的方法。 防止来自外部网络的未授权访问的四大要点 1. 使用专用IP 地址 2. 通过使用防火墙限制通信 3. 使用密码保护网络摄像机 4. 设置SSL 加密通信 注释 本文档中包含的方法和插图仅作为参考提供，可能与用户的网络摄像机有所不同。有 关更多详细信息，请参考摄像机随附的“操作指南”。 使用专用IP 地址 IP 地址是网络上分配到设备的数字代码。IP 地址有两种类型：全局IP 地址(用于互联网连接)和专用IP 地址(用于本地网络， 如公司内部网)。全局IP 地址可被互联网上的匿名用户可访问。如果网络摄像机分配了全局IP 地址，则会容易受到未授权访 问和查看的威胁。 我们建议网络摄像机使用专用IP 地址。专用IP 地址必须属于以下范围之一： 专用IP 地址范围 x –55 x –55 x –55 路由 全局IP 地址：可从互联网访问 专用IP 地址：无法从互联网访问 注释 即使网络摄像机分配了全局IP 地址，用户也可以通过建立防火墙等方法防止 外部网络的访问来限制未授权访问的风险。为您的网络摄像机设置全局IP 地 址时，请咨询企业网络管理员。 通过使用防火墙限制通信 防火墙系统不仅可以防止从外部网络访问，还可以防止对本地网络的攻击和入侵。我们建议在采用了防火墙的网络上使用网络 摄像机。 还可以使用网络摄像机的访问控制功能对IP 地址进行过滤。 网络摄像机IP 地址过滤 可以使用以下方法设置IP 地址过滤： 1. 从[安全] [主机访问限制]设置页面中，将位于[IPv4 主机访问限制]或[IPv6 主机访问限制]部分中的[应用主机访问限制] 设置为[启用]。 2. 将[默认策略]设置为[授权访问]或[禁止访问]。 3. 如果[默认策略] 已设置为[授权访问]，则必须将要阻止的主机或网络输入到[网络地址/子网]，然后选择[否]。如果[默认策略] 已设置为[禁止访问]，则必须将授权访问的主机或网络输入到[网络地址/子网]，然后选择[是]。 –可通过设置子网对各个网络或主机进行过滤。 注释 某些网络摄像机不支持IP 地址过滤。 使用密码保护网络摄像机 佳能网络摄像机提供了三种用户设置：管理员、授权用户和来宾用户。管理员和授权用户帐号受密码保护。可通过向每个用户 分配适当的授权级别来降低未授权访问的风险。 管理员是已获得完全授权的用户。只有管理员可以访问[设置页面]。 可以在设置页面上注册授权用户：[基本] [用户管理] [授权用户帐号]。 在设置页面上，可以在[基本] [用户管理] [用户权限]中设置授权用户和来宾用户的