您好,歡迎訪問(wèn)飛暢科技官網(wǎng)!
服務(wù)熱線:+086 0571-87007055/56/57 EN

我們只專注于傳輸與接入

WE ONLY FOCUS ON TRANSMISSION AND ACCESS

聯(lián)系我們CONTACT US

全國(guó)咨詢熱線

0571-87007055/56/57/75

傳真:0571-87007140

手機(jī):15306818230(微信)

QQ :2355416925

定制設(shè)計(jì):18072828031(微信)

或給我們留言

在線留言

六種讓路由器與交換機(jī)更加安全的方法

瀏覽次數(shù):發(fā)布時(shí)間:2019-12-30

        傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于系統(tǒng)入侵檢測(cè),反病毒軟件或防火墻。內(nèi)部安全如何?在網(wǎng)絡(luò)安全構(gòu)造中,交換機(jī)和路由器是非常重要的,在七層網(wǎng)絡(luò)中每一層都必須是安全的。很多交換機(jī)和路由器都有豐富的安全功能,要了解有些什么,如何工作,如何部署,一層有問(wèn)題時(shí)不會(huì)影響整個(gè)網(wǎng)絡(luò)。交換機(jī)和路由器被設(shè)計(jì)成缺省安全的,出廠時(shí)就處于安全設(shè)置的狀態(tài),特別操作的設(shè)置在用戶要求時(shí)才會(huì)被激活,所有其他選項(xiàng)都是關(guān)閉的,以減少危險(xiǎn),網(wǎng)管員也無(wú)需了解哪些選項(xiàng)應(yīng)該關(guān)閉。 
 
         在初始登錄時(shí)會(huì)被強(qiáng)制要求更改密碼,也有密碼的期限選項(xiàng)及登錄嘗試的次數(shù)限制,而且以加密方式存儲(chǔ)。限期的帳號(hào)(維護(hù)帳號(hào)或后門)是不會(huì)存在的。交換機(jī)及路由器在掉電,熱啟動(dòng)、冷啟動(dòng),升級(jí)IOS、硬件或一個(gè)模塊失敗的情況下都必須是安全的,而且在這些事件發(fā)生后應(yīng)該不會(huì)危及安全并恢復(fù)運(yùn)作,因?yàn)槿罩镜脑?,網(wǎng)絡(luò)設(shè)備應(yīng)該通過(guò)網(wǎng)絡(luò)時(shí)間協(xié)議保持安全精確的時(shí)間。通過(guò)SNMP協(xié)議連接管理的名稱也應(yīng)該被改變。 
 
        抵擋DoS攻擊
        從可用性出發(fā),交換機(jī)和路由器需要能抵擋拒絕服務(wù)式Dos攻擊,并在攻擊期間保持可用性。理想狀態(tài)是他們?cè)谑艿焦魰r(shí)應(yīng)該能夠做出反應(yīng),屏蔽攻擊IP及端口。每件事件都會(huì)立即反應(yīng)并記錄在日志中,同時(shí)他們也能識(shí)別并對(duì)蠕蟲攻擊做出反應(yīng)。
 
        交換機(jī)及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代碼漏洞,在漏洞被發(fā)現(xiàn)報(bào)告后,廠商可以開發(fā)、創(chuàng)建、測(cè)試、發(fā)布升級(jí)包或補(bǔ)丁。        基于角色的管理給予管理員最低程序的許可來(lái)完成任務(wù),允許分派任務(wù),提供檢查及平衡,只有受信任的連接才能管理倔們。管理權(quán)限可賦予設(shè)備或其他主機(jī),例如管理權(quán)限可授予一定IP地址及特定的TCP/UDP端口。 
 
        控制管理權(quán)限的最好辦法是在授權(quán)進(jìn)入前分權(quán)限,可以通過(guò)認(rèn)證和帳戶服務(wù)器,例如遠(yuǎn)程接入服務(wù),終端服務(wù),或LDAP服務(wù)。 
 
        遠(yuǎn)程連接的加密
        很多情況下,管理員需要遠(yuǎn)程管理交換機(jī)及路由器,通常只能從公共網(wǎng)絡(luò)上訪問(wèn)。為了保證管理傳輸?shù)陌踩?,需要加密協(xié)議,SSH是所有遠(yuǎn)程命令行設(shè)置和文件傳輸?shù)臉?biāo)準(zhǔn)協(xié),基于WEB的則用SSL或TLS協(xié)議,LDAP通常是通訊的協(xié)議,而SSL/TLS則加密此通訊。 
 
       SNMP用來(lái)發(fā)現(xiàn)、監(jiān)控、配置網(wǎng)絡(luò)設(shè)備,SNMP3是足夠安全的版本,可以保證授權(quán)的通信。        
六種讓路由器與交換機(jī)更加安全的方法
       建立登錄控制可以減輕受攻擊的可能性,設(shè)定嘗試登錄的次數(shù),在遇到這種掃描時(shí)能做出反應(yīng)。詳細(xì)的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時(shí)是非常有效的。  
 
       交換機(jī)及路由器的配置文件的安全也是不容忽視的,通常配置文件保存在安全的位置,在混亂的情況下,可以取出備份文件,安裝并激活系統(tǒng),恢復(fù)到已知狀態(tài)。有些交換機(jī)結(jié)合了入侵檢測(cè)的功能,一些通過(guò)端口映射支持,允許管理員選擇監(jiān)控端口。 
 
        虛擬網(wǎng)絡(luò)的角色
        虛擬的本地網(wǎng)絡(luò)VLAN是第二層上的有限廣播域,由一組計(jì)算機(jī)設(shè)備組成,通常位一多個(gè)LAN上,可能跨越一個(gè)或多個(gè)LAN交換機(jī),而與它們的物理位置無(wú)關(guān),設(shè)備之間好像在同一個(gè)網(wǎng)絡(luò)間通信一樣,允許管理員將網(wǎng)絡(luò)分為多個(gè)可管理運(yùn)行良好的小塊,將嗇、移動(dòng)、更改設(shè)備、用戶及權(quán)限的任務(wù)簡(jiǎn)化。
 
        VLAN可在各種形式上形成,如交換口,MAC地址,IP地址,協(xié)議類型,DHCP,802.1Q標(biāo)志或用戶自定義。這些可以單獨(dú)或組合部署。        
 
        VLAN認(rèn)證技術(shù)在用戶通過(guò)認(rèn)證過(guò)程后授權(quán)給用戶進(jìn)入一個(gè)或多個(gè)VLAN,該授權(quán)不是給予設(shè)備。 
 
        防火墻可以控制網(wǎng)絡(luò)之間的訪問(wèn),最廣泛應(yīng)用的是嵌在傳統(tǒng)路由器和多層交換機(jī)上的,也稱作ACLs,防火墻的不同主要在于他們掃描包的深度,是端到端的直接通訊還是通過(guò)代理,是否有session。 
  
        在網(wǎng)絡(luò)之間的訪問(wèn)控制中,路由過(guò)濾措施可以基于源/目標(biāo)交換槽或端口,源/目標(biāo)VLAN,源/目標(biāo)IP,或TCP/UDP端口,ICMP類型,或MAC地址。對(duì)于某些交換機(jī)和路由器,動(dòng)態(tài)ACL標(biāo)準(zhǔn)可以用戶通過(guò)認(rèn)證過(guò)程后被創(chuàng)建,就像是認(rèn)證的VLAN,不過(guò)是在第三層上。當(dāng)未知的源地址要求連入已知的內(nèi)部目標(biāo)時(shí)是有用的。 
 
        現(xiàn)在的網(wǎng)絡(luò)要求設(shè)計(jì)成各層次都是安全的,通過(guò)部署交換機(jī)和路由器的安全設(shè)置,企業(yè)可以傳統(tǒng)的安全技術(shù)創(chuàng)建強(qiáng)壯、各層都安全的系統(tǒng)。
 
        好了,以上內(nèi)容就是飛暢科技關(guān)于六種讓路由器與交換機(jī)更加安全的方法的相關(guān)詳細(xì)介紹,希望能對(duì)你有所幫助!杭州飛暢,20年專注光纖通信研發(fā)、生產(chǎn)和銷售,主營(yíng)光端機(jī)光纖收發(fā)器、工業(yè)交換機(jī)、協(xié)議轉(zhuǎn)換器等,我們?yōu)榭蛻籼峁┒ㄖ苹漠a(chǎn)品服務(wù)。歡迎前來(lái)了解、交流,咨詢熱線:0571-8700-7140,400-0505-571。
EN