- 相关推荐
路由器和交换机的安全策略
对于大多数局域网来说,交换机和路由器已经成为正在使用最多的网络设备之一。下面是小编为大家收集的路由器和交换机的安全策略,欢迎大家借鉴与参考,希望对大家有所帮助。
路由器安全策略示例:
1. 路由器上不得配置用户账户。
2. 路由器上的enable password命令必须以一种安全的加密形式保存。
3. 禁止IP的直接广播。
4. 路由器应当阻止源地址为非法地址的数据包。
5. 在本单位的业务需要增长时,添加相应的访问规则。
6. 路由器应当放置在安全的位置,对其物理访问仅限于所授权的个人。
7. 每一台路由器都必须清楚地标识下面的声明:
“注意:禁止对该网络设备的非授权访问。您必须在获得明确许可的情况下才能访问或配置该设备。在此设备上执行的所有活动必须加以记录,对该策略的违反将受到纪律处分,并有可能被诉诸于法律。
每一台网络交换机必须满足以下的配置标准:
1. 交换机上不得配置用户账户。
2. 交换机上的enable password命令必须以一种安全的加密形式保存。
3. 如果交换机的MAC水平的地址能够锁定,就应当启用此功能。
4. 如果在一个端口上出现新的或未注册的MAC地址,就应当禁用此端口。
5. 如果断开链接后又重新建立链接,就应当生成一个SNMP trap.
6. 交换机应当放置在安全的位置,对其物理访问仅限于所授权的个人。
7. 交换机应当禁用任何Web 服务器软件,如果需要这种软件来维护交换机的话,应当启动服务器来配置交换机,然后再禁用它。对管理员功能的所有访问控制都应当启用。
路由器和交换机的安全策略
(1)设置安全的口令。一般来说,路由器的登录口令都是直接采用admin、888888、666666等比较容易猜出的字串,有些路由器会在登录界面以口令明文形式进行提示,甚至还有些路由器必须要手工设置密码,否则直接单击“登录”按钮就可以对路由器进行设置,因此将交换机或者路由器投入使用之前一定要设置安全的口令。
在设置密码的时候需要注意,密码的长度尽可能确保在8位以上,而且尽量不要采用自己的姓名、生日、电话号码之类容易被别人猜测得到的字串作为密码,最好能够采用大小写字母、数字、特殊符号组成的字串作为密码,这样不仅可以避免别人随意猜测密码,即使借助专门的软件进行暴力破解也需要很长的时间,因此把由于交换机和路由器弱口令而导致的局域网隐患下降到最低点。
(2)关闭Ping命令测试。设置好路由器之后,让它做什么它就会做什么,即便对于一些来自于外部网络的攻击命令也不例外。通常黑客进行攻击之前,首先要借助Ping命令识别目前正在使用的计算机,因此Ping通常用于大规模的协同性攻击之前的侦察活动。通过取消远程用户接收Ping请求的应答能力,就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标。在通过Ping获取目标计算机之后,黑客就能够通过各种手段进行攻击。例如Smurf攻击就是一种拒绝服务攻击,在这种攻击中,攻击者使用假冒的源地址向路由器发送一个“ICMP echo”请求,这要求所有的主机对这个广播请求做出回应。虽然这种攻击并不会直接破坏网络的正常运行,但是会降低网络性能。
(3)关闭虚拟服务器。几乎所有的交换机和路由器都提供了虚拟服务器的功能,虚拟服务器使得外部Internet用户可访问架设在内部局域网其他计算机中的WWW、FTP和其他服务。这种虚拟服务器功能虽然给内部局域网架设服务器带来了诸多便利,但是却给局域网的安全带来了隐患。 例如Web网站所使用的HTTP身份识别协议相当于向整个网络发送一个未加密的口令,但是HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。虽然这种未加密的口令对于从远程位置设置路由器也许是非常方便的,可是别人也有可能利用这个漏洞入侵服务器,进而威胁到整个局域网的安全。
(4)关闭IP源路由。某些程序需要多条连接,例如Internet游戏、视频会议、网络电话等,但是这些程序需要通过NAT路由才可以正常工作。通常说来,IP协议允许一台主机指定数据包通过路由器,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障,但是这种用途很少应用,反倒便于黑客对内部局域网进行侦察,或者用于攻击者在网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
(5)MAC地址控制。通常交换机和路由器都提供固定IP映射和有线连接控制两种MAC地址控制方法,通过MAC地址设置可以让管理员来设置允许或拒绝用户连接到路由器或者Internet,因此可以增加内部网络计算机的安全性。如果某个用户被拒绝连接到路由器,表示该用户无法存取Internet以及某些网路资源;当某个客户端计算机可以接入路由器,表明它能够接入Internet和使用其他网络资源。 在路由器管理窗口中依次单击“安全设置→MAC地址控制”链接,此时控制列表中有2个客户端,其中客户端1的网卡MAC地址为“00-12-34-56-78-90”、IP地址为手动设置的192.168.1.100;客户端2的网卡MAC地址为“00-12-34-56-78-92”,它将从DHCP服务器中自动获得IP地址。
如果客户端1尝试使用192.168.123.100之外的IP地址,它将被拒绝接入路由器。同样,如果网卡MAC地址不在MAC地址列表中的时候,这些客户端计算机都会被拒绝接入路由器。
(6)确定数据包过滤的需求。确定数据包过滤实际上就是封锁端口,而合适的封闭端口对于提升局域网的安全有着极大的作用。对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必须要封锁。例如,用于Web通信的端口80和用于SMTP的110/25端口之外,所有其他的端口和地址都可以关闭。
大多数路由器都通过使用“按拒绝请求实施过滤”的方案来增强整个局域网的安全性,当使用这种过滤方法时,可以封锁局域网没有使用的端口、特洛伊木马或者侦查活动常用的端口来增强网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对网络实施穷举攻击;封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击网络。
(7)保证路由器的物理安全。从网络嗅探的角度看,路由器比集线器更安全,这是因为路由器根据IP地址智能化地路由数据包,而集线器向所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。但是一定要确保物理访问交换机和路由器的客户端计算机是安全的,以防止未经允许的用户将嗅探设备放在内部网络中。
(8)更新固件版本。就像Windows操作系统一样,交换机和路由器的操作系统也需要更新,以便修正编程错误、软件bug和缓存溢出等问题。因此,管理员需要经常登录厂商网站来寻找更新版本的升级文件,并且对交换机和路由器进行升级操作。
(9)审阅安全记录。审阅路由器记录是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序,从而在这些恶性软件发作之前有效地进行阻截。
【路由器和交换机的安全策略】相关文章:
路由器与交换机的区别01-07
光猫和交换机的区别03-18
路由器和猫的区别02-27
中继器和交换机的区别03-18
交换机和收发器的区别09-01
分流器和交换机的区别09-07
ac和路由器怎么设置03-10
Windows系统的安全策略03-09
路由器限速设置和安全设置08-05