1. 网络设备安全概况
- 交换机安全威胁:MAC地址泛洪、ARP欺骗、口令威胁、漏洞利用
- 路由器安全威胁:漏洞利用、口令安全威胁、路由协议安全威胁、DOS/DDOS威胁、依赖威胁
2. 网络设备的安全机制于实现技术
2.1. 认证机制
- 网络设备对用户身份进行认证。用户需要提供正确的口令才能使用网络,目前市场上网络设备提供的方式有:Console口令、AUX口令、VTY口令、USER口令、PRIVILEGE-LEVEL口令等
- 为了便于网络安全管理、交换机和路由器设备支持TACACS+认证、RADIUS认证
2.2. 访问控制
- 网络设备的访问可分为:
-
- 外带(out-of-band)访问:访问不依赖其他网络
- 带内(in-band)访问:主要有控制端口(Console Port)、辅助端口(AUX port)、VTY、HTTP、TFTP、SNMP、Console、AUX和vtv称为line
- 常见访问控制方式:
-
- CON端口访问:限定特定的主机才能访问路由器
- VTT访问控制:网络设备配置可以指定固定的IP地址才能访问,并且增加时间约束
- HTTP访问控制:限制指定ip地址可以访问网络设备
- SNMP访问控制:设置只读SNMP访问模式的社区字符串,设置读写snmp访问模式的字符串
- 设置管理专网:建立专用网络管理,配置SSH支持访问,并指定IP才能访问
- 特权分级:根据等级分权
2.3. 安全通讯
- 网络设备和管理工作站之间的安全通讯有2种:一个是SSH,一个是VPN
2.4. 日志审计
- 网络设备提供的审计:控制台日志审计、缓冲区日志审计、SNMP traps、AAA审计、syslog审计等
3. 网络设备的安全增强技术
3.1. 交换机安全增强
- 配置交换机访问口令和ACL,限制安全登录,交换机安全访问控制分两级:
-
- 第一级通过控制用户的连接实现
- 第二级通过用户口令认证实现
- 利用镜像技术检测网络流量:交换机提供端口镜像功能,可以指定多个接口进行监控流量用于分析
- MAC地址控制技术:设置端口的MAC最大学习数量、老化时间、抑制MAC攻击
- 安全增强:关闭不需要的网络服务、限制安全远程访问、限制控制台的访问、启动安全检查、安全审计等
3.2. 路由器的安全增强
- 技术升级操作系统和打补丁
- 关闭不需要的网络服务
- 明确禁止不使用的端口
- 禁止IP 直接广播和源路由
- 增强路由器VTY安全
- 阻断恶意数据包
- 路由器口令安全
- 传输加密
- 增强路由器SNMP的安全