- Internet接入·网络安全
- 袁浩 张金荣 刘晓辉等编著
- 928字
- 2020-08-27 03:37:27
1.3.2 网络设备安全
局域网中的主要网络设备包括路由器、交换机和防火墙,分别用于提供不同的网络功能和应用。网络设备的部署方式、工作环境、配置管理等,都可能影响其安全性。
1. 网络设备的脆弱性
通常情况下,当用户按照组网规划方案购入并部署好网络设备之后,设备中的主要组成系统即可在一段时间内保持相对稳定的运行。但是,网络设备本身就有一定的脆弱性,这也往往会成为入侵者攻击的目标。网络设备的安全脆弱性主要表现在如下方面:
● 提供不必要的网络服务,提高了攻击者的攻击机会。
● 存在不安全的配置,带来不必要的安全隐患。
● 不适当的访问控制。
● 存在系统软件上的安全漏洞。
● 物理上没有得到安全存放,容易遭受临近攻击。
针对这些与生俱来的安全弱点,用户可以通过如下措施加固设备安全:
● 禁用不必要的网络服务。
● 修改不安全的配置。
● 利用最小特权原则严格对设备的访问控制。
● 及时对系统进行软件升级。
● 提供符合IPP(Information Protection Policy,信息保护策略)要求的物理保护环境。
2. 部署网络安全设备
局域网中常见的网络安全设备包括网络防火墙、入侵检测设备、入侵防御设备等。网络防火墙是必不可少的,用于拦截处理来自Internet的各种攻击行为,并且可以隔离内部网络有效避免内部攻击。入侵检测设备只能用于记录入侵行为,局域网中已经很少使用。通常情况下,可以在网络中部署入侵防御系统,保护内部服务器或局域网的安全。
3. IOS安全
IOS就是智能网络设备的网络操作系统,主要用于提供软件管理平台。IOS与计算机操作系统类似,难免存在系统漏洞,入侵者同样可以通过这些漏洞进入网络设备的IOS,进行各种破坏活动,从而影响网络的安全运行。
通常情况下,用户可以从如下方面实现网络设备的IOS安全:
● 配置登录密码,主要包括Enable密码和Telnet密码,必要时可以以加密方式存储密码,以确保其安全性。
● 配置用户访问安全级别,为不同的管理账户赋予不同的访问和管理权限。
● 控制终端访问安全,严格控制允许终端连接的数量,以及终端会话超时限制。
● 配置SNMP安全。SNMP字符串用于验证用户与交换机的连接,确保其身份的有效性,类似于用户账户和密码。
● 及时备份IOS映像,以便出现误操作或遭遇攻击时可以迅速恢复。
● 升级IOS版本。IOS的系统漏洞是不可避免的,用户可以通过安装补丁或升级IOS版本的方法避免由于系统漏洞导致的网络攻击。