网络设备安全技术与实施

摘要：网络设备的正确互连，使得互联网络更加的畅通、便捷，同时这些网络设备的安全性更是需要得到更好的管理。为了防止外来入侵，使用安全技术来保证网络互联设备的安全显得十分重要。作为网络管理人员必须十分清楚自己所管理的网络设备的安全程度并及时做出调整，确保设备安全，以避免受到攻击而造成不必要的损失。

关键词：交换机 路由器 安全技术 实施

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）11-0185-01

目前大多数的企事业单位接入Internet网，通常都是在企业出口部署一台路由器与ISP连接实现。这台路由器就是沟通外部Internet和内部网络的桥梁，如果这台路由器能够合理进行安全设置，那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。考虑到路由器的作用和位置，路由器配置的好坏不仅影响本身的安全也影响整个网络的安全。交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。交换机的安全性能已经成为网络建设必须考虑的重中之重。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。

1 设置强壮的管理口令

口令是交换机用来防止非授权访问的主要手段，是交换机本身安全的一部分。必须修改默认的口令，并避免使用普通的口令，并且使用大小写字母+数字+特别符号混合的方式作为更强大的口令规则。尽可能使用Enable Secret特权加密密码，而不使用Enable Password创建的密码。

利用enable secret命令设置密码，并选择一个长的口令字（至少8位），该加密机制是IOS采用了MD5散列算法进行加密，这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配置文件被不怀好意者看见，从而获得这些数据的明文。

2 控制VTY

（1）配置VTY的Telnet访问控制安全，利用ip access-class限制访问VTY的ip地址范围。

（2）建议用SSH代替Telnet

Telnet是管理员们连接至交换机的主要通道，但是在Telnet会话中输入的每个字节都将会被明文发送，这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此，使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。

3 防止盗用内部IP地址

攻击者可以盗用内部IP地址进行非法访问。利用ARP命令在局域网内将MAC地址与IP地址进行绑定来解决这个问题。

4 确保SNMP协议的安全

如果没有用到SNMP功能，建议禁止SNMP协议服务。尽量采用Snmp V3。如果必需采用Snmp V1，必须修改默认的community，如public，private等。

5 禁用不必要的服务

由于早期版本的交换机操作系统存在多个严重的安全漏洞，使得攻击者可以远程越权获取到交换机的完整配置文件，因此建议在路由器上使用命令：no ip http server禁止HTTP服务。

Cisco公司的设备通过网络操作系统默认地提供一些小的服务，如echo（回波）， chargen（字符发生器协议）和discard（抛弃协议）。这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。如禁止CDP、Finger服务、BOOTP服务、IP Source Routing、ARP-Proxy服务、IP Directed Broadcast、IP Classless、DNS查找等。

6 及时升级和修补IOS软件

IOS（Internetwork Operating System）是Cisco交换机和路由器中的操作系统，以映象文件（.bin格式）的形式保存在交换机的闪存中。同其它的操作系统一样，Cisco公司每年都会定期新的IOS操作系统，升级IOS的主要目的是：

6.1 修补漏洞，消除BUG

同其它的操作系统和应用软件一样，Cisco交换机和路由器的IOS操作系统，每年都会被发现大约几十个漏洞，通常情况下这些漏洞会带来严重的安全风险。因此，需要定期更新Cisco公司的新版IOS，来修补这些漏洞。

6.2 增加新功能

由于交换机和路由器的特殊性，新版IOS的，除了针对漏洞的修补以外，还会增加新的功能。如果交换机的功能无法满足工作需要，也可以升级IOS来解决。比如，早期的交换机不支持SSH、HTTPS、SNMP V3等安全功能，可以通过升级为支持加密功能的K9版IOS，来实现这些功能。

6.3 解决交换机兼容性问题

一个规模较大网络的交换机或路由器通常都是逐年分批采购的，不同批次交换机的IOS版本肯定不一样。通过将IOS全部升级为最新修订版，可以减少因IOS版本不同而引发交换机之间不兼容的隐患，避免配置管理上的不一致性。

在升级过程中，需要注意以下几点：

①尽力保障电力供应，避免升级过程中断电或重启交换机和路由器，否则会导致升级失败。②要从正规渠道获取IOS文件，如Cisco的官方网站和授权的经销商，以保证IOS的权威、干净和完整。③要注意版权问题，不要侵犯版权。④升级完成之后，一定要进行安全性、可靠性测试，密切注视升级后的网络运行情况，如有异常及时处理。

参考文献

[1]解艳.浅析网络设备安全[J].科技信息，2011，（25）.

[2]覃毅，王欢.网络设备与网络安全[J].计算机安全，2010，（06）.

[3]郑彦平.网络设备安全措施与实现[J].煤炭技术，2011，（12）.

[4]罗凯.网络设备安全分析与解决措施 [J].电力信息化，2012，（02）.