如何cisco路由器更加安全
如何cisco路由器更加安全
思科cisco是全世界領(lǐng)先且頂尖的通訊廠商,他出產(chǎn)的路由器功能也是很出色的,那么你知道如何讓cisco路由器更加安全嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于如何讓cisco路由器更加安全的相關(guān)資料,供你參考。
讓cisco路由器更加安全的方法一、抵擋DoS攻擊
從可用性出發(fā),交換機和路由器需要能抵擋拒絕服務(wù)式Dos攻擊,并在攻擊期間保持可用性。理想狀態(tài)是他們在受到攻擊時應(yīng)該能夠做出反應(yīng),屏蔽攻擊IP及端口。每件事件都會立即反應(yīng)并記錄在日志中,同時他們也能識別并對蠕蟲攻擊做出反應(yīng)。
交換機及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代碼漏洞,在漏洞被發(fā)現(xiàn)報告后,廠商可以開發(fā)、創(chuàng)建、測試、發(fā)布升級包或補丁。
基于角色的管理給予管理員最低程序的許可來完成任務(wù),允許分派任務(wù),提供檢查及平衡,只有受信任的連接才能管理倔們。管理權(quán)限可賦予設(shè)備或其他主機,例如管理權(quán)限可授予一定IP地址及特定的TCP/UDP端口。
控制管理權(quán)限的最好辦法是在授權(quán)進入前分權(quán)限,可以通過認(rèn)證和帳戶服務(wù)器,例如遠程接入服務(wù),終端服務(wù),或LDAP服務(wù)。
讓cisco路由器更加安全的方法二、遠程連接的加密
很多情況下,管理員需要遠程管理交換機及路由器,通常只能從公共網(wǎng)絡(luò)上訪問。為了保證管理傳輸?shù)陌踩?,需要加密協(xié)議,SSH是所有遠程命令行設(shè)置和文件傳輸?shù)臉?biāo)準(zhǔn)協(xié),基于WEB的則用SSL或TLS協(xié)議,LDAP通常是通訊的協(xié)議,而SSL/TLS則加密此通訊。
SNMP用來發(fā)現(xiàn)、監(jiān)控、配置網(wǎng)絡(luò)設(shè)備,SNMP3是足夠安全的版本,可以保證授權(quán)的通信。
建立登錄控制可以減輕受攻擊的可能性,設(shè)定嘗試登錄的次數(shù),在遇到這種掃描時能做出反應(yīng)。詳細的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時是非常有效的。
交換機及路由器的配置文件的安全也是不容忽視的,通常配置文件保存在安全的位置,在混亂的情況下,可以取出備份文件,安裝并激活系統(tǒng),恢復(fù)到已知狀態(tài)。有些交換機結(jié)合了入侵檢測的功能,一些通過端口映射支持,允許管理員選擇監(jiān)控端口。
讓cisco路由器更加安全的方法三、遠程連接的加密
很多情況下,管理員需要遠程管理交換機及路由器,通常只能從公共網(wǎng)絡(luò)上訪問。為了保證管理傳輸?shù)陌踩枰用軈f(xié)議,SSH是所有遠程命令行設(shè)置和文件傳輸?shù)臉?biāo)準(zhǔn)協(xié),基于WEB的則用SSL或TLS協(xié)議,LDAP通常是通訊的協(xié)議,而SSL/TLS則加密此通訊。
SNMP用來發(fā)現(xiàn)、監(jiān)控、配置網(wǎng)絡(luò)設(shè)備,SNMP3是足夠安全的版本,可以保證授權(quán)的通信。
建立登錄控制可以減輕受攻擊的可能性,設(shè)定嘗試登錄的次數(shù),在遇到這種掃描時能做出反應(yīng)。詳細的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時是非常有效的。
交換機及路由器的配置文件的安全也是不容忽視的,通常配置文件保存在安全的位置,在混亂的情況下,可以取出備份文件,安裝并激活系統(tǒng),恢復(fù)到已知狀態(tài)。有些交換機結(jié)合了入侵檢測的功能,一些通過端口映射支持,允許管理員選擇監(jiān)控端口。
讓cisco路由器更加安全的方法四、虛擬網(wǎng)絡(luò)的角色
虛擬的本地網(wǎng)絡(luò)VLAN是第二層上的有限廣播域,由一組計算機設(shè)備組成,通常位一多個LAN上,可能跨越一個或多個LAN交換機,而與它們的物理位置無關(guān),設(shè)備之間好像在同一個網(wǎng)絡(luò)間通信一樣,允許管理員將網(wǎng)絡(luò)分為多個可管理運行良好的小塊,將嗇、移動、更改設(shè)備、用戶及權(quán)限的任務(wù)簡化。
VLAN可在各種形式上形成,如交換口,MAC地址,IP地址,協(xié)議類型,DHCP,802.1Q標(biāo)志或用戶自定義。這些可以單獨或組合部署。
VLAN認(rèn)證技術(shù)在用戶通過認(rèn)證過程后授權(quán)給用戶進入一個或多個VLAN,該授權(quán)不是給予設(shè)備。
防火墻可以控制網(wǎng)絡(luò)之間的訪問,最廣泛應(yīng)用的是嵌在傳統(tǒng)路由器和多層交換機上的,也稱作ACLs,防火墻的不同主要在于他們掃描包的深度,是端到端的直接通訊還是通過代理,是否有session。
在網(wǎng)絡(luò)之間的訪問控制中,路由過濾措施可以基于源/目標(biāo)交換槽或端口,源/目標(biāo)VLAN,源/目標(biāo)IP,或TCP/UDP端口,ICMP類型,或MAC地址。對于某些交換機和路由器,動態(tài)ACL標(biāo)準(zhǔn)可以用戶通過認(rèn)證過程后被創(chuàng)建,就像是認(rèn)證的VLAN,不過是在第三層上。當(dāng)未知的源地址要求連入已知的內(nèi)部目標(biāo)時是有用的。
現(xiàn)在的網(wǎng)絡(luò)要求設(shè)計成各層次都是安全的,通過部署交換機和路由器的安全設(shè)置,企業(yè)可以傳統(tǒng)的安全技術(shù)創(chuàng)建強壯、各層都安全的系統(tǒng)。
讓cisco路由器更加安全的方法五、虛擬網(wǎng)絡(luò)的角色
虛擬的本地網(wǎng)絡(luò)VLAN是第二層上的有限廣播域,由一組計算機設(shè)備組成,通常位一多個LAN上,可能跨越一個或多個LAN交換機,而與它們的物理位置無關(guān),設(shè)備之間好像在同一個網(wǎng)絡(luò)間通信一樣,允許管理員將網(wǎng)絡(luò)分為多個可管理運行良好的小塊,將嗇、移動、更改設(shè)備、用戶及權(quán)限的任務(wù)簡化。
VLAN可在各種形式上形成,如交換口,MAC地址,IP地址,協(xié)議類型,DHCP,802.1Q標(biāo)志或用戶自定義。這些可以單獨或組合部署。
VLAN認(rèn)證技術(shù)在用戶通過認(rèn)證過程后授權(quán)給用戶進入一個或多個VLAN,該授權(quán)不是給予設(shè)備。
防火墻可以控制網(wǎng)絡(luò)之間的訪問,最廣泛應(yīng)用的是嵌在傳統(tǒng)路由器和多層交換機上的,也稱作ACLs,防火墻的不同主要在于他們掃描包的深度,是端到端的直接通訊還是通過代理,是否有session。
在網(wǎng)絡(luò)之間的訪問控制中,路由過濾措施可以基于源/目標(biāo)交換槽或端口,源/目標(biāo)VLAN,源/目標(biāo)IP,或TCP/UDP端口,ICMP類型,或MAC地址。對于某些交換機和路由器,動態(tài)ACL標(biāo)準(zhǔn)可以用戶通過認(rèn)證過程后被創(chuàng)建,就像是認(rèn)證的VLAN,不過是在第三層上。當(dāng)未知的源地址要求連入已知的內(nèi)部目標(biāo)時是有用的。
現(xiàn)在的網(wǎng)絡(luò)要求設(shè)計成各層次都是安全的,通過部署交換機和路由器的安全設(shè)置,企業(yè)可以傳統(tǒng)的安全技術(shù)創(chuàng)建強壯、各層都安全的系統(tǒng)。
看過文章“如何cisco路由器更加安全"的人還看了:
6.解決路由器安全只需簡單六步