IP城域网网络设备安全防护优化

【摘 要】本文主要对IP城域网设备管理中的安全防护情况，结合目前较成熟的安全防护技术，分别从设备的防护手段，设备配置方法，综合防护措施，使网络设备的安全防护能力得以提高。

【关键词】设备管理；安全防护；服务；协议；访问列表

0.引言

随着互联网的发展，网络设备在网络中的安全防护问题日趋严峻，网络设备被攻击而导致无法为用户提供服务的情况时有发生，原有的一些传统设备管理方式和方法存在安全隐患，管理人员往往重视对用户攻击的防护而忽视了对设备本身安全的防护。为保证网络设备的稳定运行，提高对外来攻击的防护能力，加强网络设备对远程管理的可靠性，在网络设备管理中要采用更加安全、便捷的技术手段管理网络设备。

1.网络设备管理存在的安全风险

1.1对设备的远端管理采取传统管理方式，无接入限制，存在隐患

在对设备的远程管理上，基本都是通过传统的TELNET 方式管理，由于TELNET协议特点决定其不安全性，没有口令保护，远程用户的登陆传送的帐号和密码都是明文，没有加密，使用普通的抓包工具就可以被截获。没有强力认证过程，只是验证连接者的帐户和密码。 没有完整性检查，传送的数据没有办法确定是否完整的，而不是被篡改过的数据。

1.2 SNMP访问无限制

简单网络管理协议SNMP是目前TCP/IP网络中应用最广的管理协议，主要有三个版本，SNMP1，SNMP2，SNMP3其中版本1最常用，但是他有很多安全问题，原因是他的认证方案是基于一个字符串的，字符串在网络上没有任何加密，采用明文传输，所以是非常脆弱的。

1.3开启不必要服务，增加了设备的被攻击几率

许多设备在出厂时为了保证多种应用需要，在缺省情况下的许多服务是开启，例如：DHCP，WEB，FINGER，FTP等等，这些服务在我们的实际工作中往往应用不到，，我们往往忽视对这些服务端口的管理与防护，但这些开启的服务端口却可能成为设备被攻击的最好载体。

1.4设备管理安全防护未做到全网联动

我们在对设备安全防护时对一些关键的设备关注较多，而对一些底端的接入设备关注较少，但是这些设备往往由于处理能力较弱，防护功能较弱，漏洞较多而成为被攻击的目标，这些设备一旦被攻破，则会危及到关键设备的安全，近而危及整个网络的安全。

2.设备管理安全防护优化策略与方法

针对网络设备安全防护中的问题，通过加强设备的访问配置、服务端口限制进行优化，加强核心出口对网内设备访问限制优化，提高全网设备对安全攻击的综合防控能力。

2.1加强设备的远程管理控制，提高远程管理安全性

TELNET 是TCP/IP环境下的终端仿真协议，通过TCP建立服务器与客户机之间的连接。连接后，TELNET服务器与客户机进入协商阶段，选定双方都支持连接操作，每个连接系统可以协商新可选项或重协商旧可选项。传统telnet连线会话所传输的资料并未加密，因此需要将telnet服务关闭，改用更为安全的SSH。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以多种方式进行保密。在使用SSH的时候，一个数字证书将认证客户端和服务器之间的连接，并加密受保护的口令。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

在城域网内所有支持SSH管理的设备上启用SSH管理方式。登录城域网路由器或交换机，并确定是否加载了一个支持SSH的IPSec IOS镜像。确定支持后进行启用SSH配置，以下为常用的华为设备配置方法；

local-user abcde password cipher DDN/[AN^C@；，YWX*NZ65OA！！

local-user abcde service-type telnet ssh

ssh user abcde authentication-type password

ssh user abcde service-type stelnet

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

在配置好SSH登录后关闭TELNET登录方式，增强设备健壮性。

同时为设备设置会话超时断开及警示登录标语消息

2.2加强SNMP安全防护，针对SNMP访问设置访问列表

由于SNMP强大的网络管理功能，在网络管理中得到广泛应用，但在应用中也暴露出明显安全不足，如，缺少身份验证（Authentication）和加密（Privacy）机制。虽然在SNMPv2版本后有了很大改进，但许多厂商使用的还是标准的通信字符串。为了提高SNMP通信时不被黑客截获数据而被入侵。有必要对所管理的网络设备进行SNMP协议限制。

在使用SNMP时，尽量将SNMP服务升级到2.0或更高的版本。修改所有默认的通信字符串。另外在设备上，应该编写一个ACL，只允许特定的可信任的SNMP管理系统进行SNMP操作。下面的命令可以设定SNMP版本，并且为SNMP管理启用ACL控制，只允许来自SNMP管理系统的SNMP通信，限制网络上的所有其他SNMP通信：

snmp-agent sys-info version

snmp-agent community read abcdef acl 2000

acl number 2000

rule 5 per source xx.xx.xx.xx xx.xx.xx.xx

这个ACL的第一行定义了可信任管理系统（xx.xx.xx.xx）。利用snmp-agent community read abcdef acl 2000的命令可以将上述ACL应用到SNMP中.在网络出口上过滤SNMP通信和请求，阻塞SNMP请求使用的端口，外部网络访问内部网络的能力就受到了限制。

2.3关闭不必要的服务，对必需开启的服务通过访问列表进行控制

对于我们所维护的网络设备，必需了解每台设备所需要开启的服务，对应用不到的服务予以关闭，在网络设备中通常需要关闭的服务包括：CDP、HTTP、WINS、DNS等无关的服务项目。对于应用较少的服务，可以在应用时开启，不应用时关闭。例如：TFTP与FTP是进行数据备份常用的两种服务，但在平时维护管理时，则应用不到，我们可以在应用时将该服务开启，平时则将其服务关闭，提高设备安全性。

2.4用城域网出口设备建立对全网设备的访问控制，限制城域网外网对城域网设备的访问

对网络内设备的管理地址统一分配，将管理地址分配为同一网段内，以便于通过ACL控制。对于城域网内设备可遵循公网设备，内网式管理的方法，即对于用户来说，对网络设备不应该有任何针对设备的应用服务请求，可以在关口设备针对网内设备将所有针对设备的应用服务请求屏蔽掉，在城域网内的三层接入设备上同时对接入端口设置ACL，控制对城域网设备的访问，可以将除管理需要的SNMP、SSH或TELNET、FTP或TFTP开启外，其他服务均予以关闭。如果必需通过城域网外网访问，则设置访问跳板，即设置一台机器作为登录设备的跳板，避免对设备的直接操作，减少设备密码被窃听几率。在ACL的设置点上，选在城市核心设备的入接口和三层汇聚接入设备的接入口上，这样可以避免在所有设备启用ACL而加重网络负担，同时又能有效对设备进行防控。

华为设备ACL配置：

建立ACL

acl number 3001

rule 5 permit tcp source xx.xx.xx.xx xx.xx.xx.xx（准许IP段） source-port eq 20 des xx.xx.xx.xx xx.xx.xx.xx（设备管理IP） eq 20

rule 10 permit tcp source xx.xx.xx.xx xx.xx.xx.xx（受（下转第275页）（上接第120页）限IP段） source-port eq 21 des xx.xx.xx.xx xx.xx.xx.xx（设备管理IP） eq 21

rule 25 permit udp source xx.xx.xx.xx xx.xx.xx.xx（准许IP段） source-port eq 161 des xx.xx.xx.xx xx.xx.xx.xx（设备管理IP） eq 161

rule 30 permit udp source xx.xx.xx.xx xx.xx.xx.xx（受限IP段） source-port eq 162 des xx.xx.xx.xx xx.xx.xx.xx（设备管理IP） eq 161

rule 35 deny tcp source any des xx.xx.xx.xx xx.xx.xx.xx（设备管理IP）

rule 100 permit ip

建立policy

traffic behavior guanli

traffic policy guanli

share-mode

classifier anti behavior guanli

将防护列表应用于上行口.

traffic-policy guanli inbound

3.结论

通过上述优化措施，提高了整个城域网设备的整体防护能力，使设备安全得到了较好保证，提高了网络的整体健壮性。

【参考文献】

[1]华为技术公司.《华为NE5000E高端路由器操作手册》.

[2]苏英如.《网络管理与维护技术》，中国水利水电出版社.

[3]李学军，李洪，朱英军.《宽带IP城域网的优化策略与实践》，人民邮电出版社.

[4]George C.Sacket.《CISCO路由器手册》，机械工业出版社.