;根据木桶理论,一个桶能装多少水,取决于这个桶最短的那块木板 。具体到信息系统的安全也是一样,整个信息系统的安全程度也取决于信息系统中最薄弱的环节,网络做为信息系统的体,其安全需求的重要性是显而易见的 。
网络层面的安全主要有两个方面,一是数据层面的安全,使用ACL等技术手段,辅助应用系统增强系统的整体安全;二是控制层面的安全,通过限制对网络设备自身的访问,增强网络设备自身的安全性 。本文主要集中讨论控制层面即设备自身的安全这部分,仍以最大市场占有率的思科设备为例进行讨论 。一、 控制层面主要安全威协与应对原则
网络设备的控制层面的实质还是运行的一个操作系统,既然是一个操作系统,那么,其它操作系统可能碰到的安全威胁网络设备都有可能碰到;总结起来有如下几个方面:
1、 系统自身的缺陷:操作系统作为一个复杂系统,不论在发布之前多么仔细的进行测试,总会有缺陷产生的 。出现缺陷后的唯一办法就是尽快给系统要上补丁 。Cisco IOS/Catos与其它通用操作系统的区别在于,IOS/Catos需要将整个系统更换为打过补丁的系统,可以查询http://www.cisco.com/en/US/customer/prodUCts/prod_security_advisories_list.Html 取得cisco最新的安全公告信息与补丁信息 。
2、 系统缺省服务:与大多数能用操作系统一样,IOS与CatOS缺省情况下也开了一大堆服务,这些服务可能会引起潜在的安全风险,解决的办法是按最小特权原则,关闭这些不需要的服务 。
3、 弱密码与明文密码:在IOS中,特权密码的加密方式强加密有弱加密两种,而普通存取密码在缺省情况下则是明文;
4、 非授权用户可以治理设备:既可以通过telnetsnmp通过网络对设备进行带内治理,还可以通过console与aux口对设备进行带外治理 。缺省情况下带外治理是没有密码限制的 。隐含较大的安全风险;
5、 CDP协议造成设备信息的泄漏;
6、 DDOS攻击导致设备不能正常运行,解决方案,使用控制面策略,限制到控制层面的流量;
7、 发生安全风险之后,缺省审计功能 。
QQread.com推出各大专业服务器评测 Linux服务器的安全性能SUN服务器HP服务器DELL服务器IBM服务器联想服务器浪潮服务器曙光服务器同方服务器华硕服务器宝德服务器二、 Cisco IOS加固
对于12.3(4)T之后的IOS版本,可以通过autosecure命令完成下述大多数功能,考虑到大部分用户还没有条件升级到该IOS版本,这里仍然列出需要使用到的命令行:
1、禁用不需要的服务:
no ip http server //禁用http server,这玩意儿的安全漏洞很多的
no ip source-route //禁用IP源路由,防止路由欺骗
no service finger //禁用finger服务
no ip bootp server //禁用bootp服务
no service udp-small-s //小的udp服务
no service tcp-small-s //禁用小的tcp服务
;2、关闭CDP
no cdp run //禁用cdp
3、配置强加密与启用密码加密:
service passWord-encryption //启用加密服务,将对password密码进行加密
enable secret asdfajkls //配置强加密的特权密码
no enable password//禁用弱加密的特权密码
4、配置log server、时间服务及与用于带内治理的ACL等,便于进行安全审计
service timestamp log datetime localtime //配置时间戳为datetime方式,使用本地时间
logging 192.168.0.1 //向192.168.0.1发送log
logging 192.168.0.2 //向192.168.0.2发送log
Access-list 98的主机进行通讯
no access-list 99 //在配置一个新的acl前先清空该ACL
access-list 99 permit 192.168.0.0 0.0.0.255
推荐阅读
- 柴胡汤的功效与作用 柴胡汤的功效与作用及禁忌
- 一 路由器安全配置速查表
- DDoS Cisco路由器上防止分布式拒绝服务攻击的一些建议
- CISCO路由器10M接口做Trunk
- 二 路由器安全配置速查表
- 三 路由器安全配置速查表
- CISCO学习问题之Cisco 路由器中有关ip helper-address的问题
- 发现路由器转发故障的BFD
- 三 路由器网络接口解析大全
- 一 路由器网络接口解析大全