常见网络设备安全特性详解

常见设备安全加固策略：

1.关闭不使用的业务端口

2.废弃不安全的访问通道:在存在多种访问通道服务下，废弃不安全的访问通道，优选安全的访问通道

常用到的SSH协议（安全外壳协议)：

在非安全网络上提供了安全的远程登录、安全文件传输以及TCP/IP安全隧道。不仅在登陆过程中对密码进行加密传送，而且对登陆后执行的命令的数据也进行加密。

合法用户通过客户端登录，完成用户名以及对应的密码验证后，客户端会尝试和服务端建立会话，每个会话是一个独立的逻辑通道，可以提供给不同的上层应用使用。

STelnet和SFTP各自利用了其中的一个逻辑通道，通过SSH对数据进行加密，从而实现数据的安全传输。

SSH协议框架中最主要的部分是三个协议：传输层协议、用户认证协议和连接协议。

传输层协议：提供版本协商，加密算法协商，密钥交换，服务端认证以及信息完整性支持。

用户认证协议：为服务器提供客户端的身份鉴别。

连接协议：将加密的信息隧道复用为多个逻辑通道，提供给高层的应用协议（STelnet、SFTP）使用；各种高层应用协议可以相对地独立于SSH基本体系之外，并依靠这个基本框架，通过连接协议使用SSH的安全机制。

基于可信路径的访问控制：

可以在设备上部署基于可信路径的访问控制策略，以提升网络的安全性。

部署URPF，可以判定某个报文的源地址是否合法，如果该报文的路径与URPF学习的路径不符，丢弃该报文，用URPF可以有效防范IP地址欺骗。

URPF（Unicast Reverse Path Forwarding，单播逆向路径转发）分为严格模式和松散模式以及允许匹配缺省路由的方式。其原理是当设备转发IP报文时，检查数据报文的源IP地址是否合法，检查的原理是根据数据包的源IP地址查路由