您好、欢迎来到现金彩票网!
当前位置:打鱼棋牌游戏平台 > 物理访问控制 >

网络设备的安全管理

发布时间:2019-05-31 13:14 来源:未知 编辑:admin

  从广义上讲,网络安全可以分为网络设备的安全和网络信息的安全。网络管理员通常都能够对网络信息的安全给予足够的重视,但却往往忽略了网络设备的安全。然而,几乎所有的网络设备都有一些技巧或漏洞,掌握了这些内容的人可以完全控制它,产生的后果很可能是毁灭性的。因此,没有网络设备的安全,网络的安全策略就没有任何意义。

  下面,笔者将从网络设备的物理安全和对网络设备的访问控制两个方面谈谈网络设备的安全策略。

  网络设备的物理安全是指网络设备周围环境的安全及网络设备硬件的安全,是网络安全体系中最为重要的部分。通常可以从以下几个方面加以提高。

  正确的物理环境应该对场地的封闭、防火、防盗、防静电、适当的通风、温度的控制以及电源的安全等提供符合网络设备要求的安全保证。

  小提示:如果不使用的话,建议关闭这类辅助端口,因为从理论上讲,只要能从物理上接近设备,就能通过改变设备上的一些硬件开关重置管理员口令或恢复出厂设置。

  网络设备的访问控制主要目的是防止非法用户进入网络设备并对其配置进行非法修改,避免网络瘫痪。

  网络设备提供的最基本的安全是在设备访问和配置过程中设置登录口令。如果对设备的访问和配置不加以审查,往往会引发安全问题。

  例如,有些设备出厂时往往没有设置登录口令或设置一些缺省口令字,而一些管理员就利用这些缺省的口令进行管理,攻击者很容易就找到了一个入口,从而引发安全问题。

  这样,当下一次使用超级终端进入控制台端口时,就必须输入正确的密码,以避免非授权用户进入控制台。

  /*表示为特权级别15设置使能密码abcd123,由于默认的特权级别为15,所以在此level 15可以省略。*/

  虚拟端口相对于实端口而言,一般根据需要在交换机(或路由器)上虚拟出一些端口,这些端口被称为虚拟终端或虚拟端口。每台Cisco设备一般有5个缺省虚拟终端,在虚拟终端线路上实施访问控制列表,可以控制谁可以远程登录(Telnet)到该设备。

  /*access-list命令说明哪些源地址被允许或者拒绝访问的标准访问控制列表*/

  /*此命令格式为access-class inout,其功能是将访问列表应用到虚拟终端线路上,其中in表示谁可以远程登录到这台设备,out表示当用户已登录到网络设备内部时还可以远程登录到哪里*/

  说明:上例表示只有IP地址为192.168.1.1的计算机可以Telnet到这台交换机。

  Web console是配置网络设备的另一种常用方法,具有友好的操作界面,使配置网络设备变得更加容易,但同时也引出了一些安全问题。

  (1)利用Ip http port命令修改网络设备的Web服务的端口号。

  此命令在全局配置模式下执行。修改端口号在一定程度上增加了Web控制的安全,但其安全性能不是很高。

  Web服务为管理人员带来方便的同时也带来了安全上的问题。必要时通过命令no ip http server关闭Web服务,以减少安全隐患。

  说明:级别15为缺省的特权EXEC级别,拥有最高级别的访问权限。级别1为缺省的用户EXEC级别,仅能执行有限的命令,不能对交换机进行配置。

  一般可以通过privilege命令设置不同级别并赋予这些级别一定的权限。

  例如,创建一个级别2,在全局配置模式下能执行copy run start、ping和show run命令,并设定级别2的使能密码为abcd123,其配置如下:

  如果控制台在特权模式下没有人看管,那么任何用户都可以乘机修改网络设备的配置。而对空闲会话的超时设置可以获得额外的安全保障,默认空闲会话超时时间为十分钟,可以通过exec-timeout命令改变会话超时时间。

  登录标语消息是当用户登录网络设备时,在界面上显示的内容。这里可以显示一些对非授权访问者的警告,如“非授权访问将被依法起诉”等,从心理上吓退攻击者。

http://lotusyogacenter.com/wulifangwenkongzhi/36.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有