设置交换机及路由器 使网络更加安全可靠
来源:用户上传
作者: 皮艳杰
【摘 要】要建立安全的企业网络,必须对网络进行安全的操作和维护。路由器和交换机是企业网络中的重要设备,在企业网络中占有核心的地位,为了防止外来入侵,使用安全技术来保证网络互联设备的安全显得十分重要。文中介绍了交换机及路由器安全设置。
【关键词】交换机;路由器;网络;安全
企业网络面临的安全威胁不但来自病毒和木马,而且还有内部网络数据被盗、操作系统和软件自身存在一些漏洞所造成的危害等,这就需要采取一定的技术措施来防范。
网络互联设备一般可分为网内互联设备和网间互联设备,为了构建安全的企业互联网络,设备的管理和配置非常重要。从网络管理和安全方面来说,交换机和路由器起着非常重要的地位,它们是企业网络中的核心设备,一些攻击例如:利用路由器软件版本的漏洞进行攻击,非法用户伪装企业用户修改路由信息等,以使机密泄露或导致路由器瘫痪而不能正常运行。为了保障企业网络的安全,防止攻击者入侵,导致网络瘫痪,必须对网络设备进行安全管理。
1.概述
传统的网络安全技术侧重于系统入侵检测,反病毒软件或防火墙。在网络安全构造中,交换机和路由器是非常重要的,在七层网络中每一层都必须是安全的。很多交换机和路由器都有丰富的安全功能,要了解有些什么,如何工作,如何部署,一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的,出厂时就处于安全设置的状态,特别操作的设置在用户要求时才会被激活,所有其他选项都是关闭的,以减少危险。
1.1密码设置
在初始登录路由器及交换机时会被强制要求更改密码,也有密码的期限选项及登录尝试的次数限制,而且以加密方式存储。交换机及路由器在掉电,热启动、冷启动,升级IOS、硬件或一个模块失败的情况下都必须是安全的,而且在这些事件发生后应该不会危及安全并恢复运作,因为日志的原因,网络设备应该通过网络时间协议保持安全精确的时间。
1.2抵挡DoS攻击
从可用性出发,交换机和路由器需要能抵挡拒绝服务式Dos攻击,并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应,屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中,同时他们也能识别并对蠕虫攻击做出反应。
1.3漏洞管理
交换机及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代码漏洞,在漏洞被发现报告后,应该及时安装升级包或补丁。
1.4权限管理
基于角色的管理给予管理员最低程度的许可来完成任务,允许分派任务,提供检查及平衡,只有受信任的连接才能管理它们。管理权限可赋予设备或其他主机,例如管理权限可授予一定IP地址及特定的TCP/UDP端口。
控制管理权限的最好办法是在授权进入前分权限,可以通过认证和帐户服务器,例如远程接入服务,终端服务,或LDAP服务。
1.5远程连接的加密
在有些情况下,管理员需要远程管理交换机及路由器。为了保证管理传输的安全,需要加密协议,SSH是所有远程命令行设置和文件传输的标准协,基于WEB的则使用SSL或TLS协议,LDAP通常是通讯的协议,而SSL/TLS则用于加密此通讯。
1.6网络管理协议
SNMP用来发现、监控、配置网络设备,SNMP3是足够安全的版本,可以保证授权的通信。
2.常用网络安全方法
(1)网络服务器及交换机和路由器口令设置应该采用没有意义的数字、字母和特殊符号的组合,长度应该大于9位,以减少使用暴力破解或密码字典破解密码口令的可行行。
(2)建立登录控制可以减轻受攻击的可能性,设定尝试登录的次数,在遇到这种扫描时能做出反应。详细的日志在发现尝试破解密码及端口扫描时是非常有效的。
(3)交换机及路由器的配置文件的安全也是不容忽视的,通常配置文件应该保存在安全的位置,有些交换机结合了入侵检测的功能,一些通过端口映射支持,允许管理员选择监控端口。
(4)虚拟网络的角色:通常,只有通过划分子网才可以隔离广播,但是VLAN的出现打破了这个定律。VLAN叫做虚拟局域网,它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络,这些网络之间是无法通讯的,就好像互相之间没有连接一样,因此广播也就隔离开了。
VLAN的实现原理非常简单,通过交换机的控制,某一VLAN成员发出的数据包交换机只发个同一VLAN的其它成员,而不会发给该VLAN成员以外的计算机。
使用VLAN的目的不仅仅是隔离广播,还有安全和管理等方面的应用,例如将重要部门与其它部门通过VLAN隔离,即使同在一个网络也可以保证他们不能互相通讯,确保重要部门的数据安全;也可以按照不同的部门、人员,位置划分VLAN,分别赋给不同的权限来进行管理。
VLAN的划分有很多种,可以按照IP地址来划分,按照端口来划分、按照MAC地址划分或者按照协议来划分,常用的划分方法是将端口和IP地址结合来划分VLAN,某几个端口为一个VLAN,并为该VLAN配置IP地址,那么该VLAN中的计算机就以这个地址为网关,其它VLAN则不能与该VLAN处于同一子网。
不同VLAN中的计算机之间进行通讯,可以通过VLAN Trunk来解决。VLAN Trunk目前有两种标准,ISL和802.1q,前者是Cisco专有技术,后者则是IEEE的国际标准。
(5)安装防火墙。防火墙可以控制网络之间的访问,最广泛应用的是嵌在传统路由器和多层交换机上的。防火墙的不同主要在于他们扫描包的深度,是端到端的直接通讯还是通过代理,是否有session。
3.结束语
现在的网络要求设计成各层次都是安全的,通过部署交换机和路由器的安全设置,可以使用安全技术创建起强壮、各层都安全的系统。网络安全是一项巨大的系统工程,其涉及的领域很广泛。基于路由器和交换机的安全只是其中一项,但只要合理有效地配置好设备,就可以有效、安全、方便地保护我们的内部网络,加强网络安全。网络安全控制与病毒防范是一项长期而艰巨的任务,需要不断的探索。随着网络的发展计算机病毒形式日趋多样化,网络安全问题日益复杂化,网络安全建设不再像单台计算机安全防护那样简单。计算机网络安全需要建立多层次的,立体的防护体系,要具备完善的管理系统来设置和维护对安全的防护策略。■
【参考文献】
[1]麦奎里,李祥瑞,张明,等.Cisco网络设备互连(第2版)[M].北京:人民邮电出版社出版社,2010.
[2]王群.计算机网络安全管理[M].北京:人民邮电出版社出版社,2010.
[3]宗明耀.企业网络组建维护运营技术与网络安全控制措施及故障诊断排除实用全书[M].北京:中国企业管理出版社,2007.
[4]顾巧论,高铁杠,贾春福.计算机网络安全[M].北京:清华大学出版社,2008.
[5]孙建华,刘总路,李春强,等.网络互连技术教程[M].北京:人民邮电出版社出版社,2008.
[6]田庚林,田华,张少芳.计算机网络安全与管理[M].北京:清华大学出版社,2010.
转载注明来源:https://www.xzbu.com/8/view-50447.htm
