摘要:目前,我国的经济在快速发展,社会在不断进步,对于企业网络来说要保障其具有可靠的安全性,则要对路由器和交换机等重要设备进行安全维护和操作,以此来防止外部入侵。因此本文针对路由器和交换机的安全技术展开分析,通过对IOS版本漏洞进行及时修补、采用安全的密码策略、严格控制远程访问、禁用CDP协议等技术实现网络安全。以期为相关企业网络防护提供借鉴和参考。
关键词:路由器;交换机;安全技术
引言
目前训算机网络已经深入到了各个领域,由此也衍生出了很多安全问题。而网络整体安全涉及的非常宽泛,如黑客攻击、ARP欺骗、窃听、拒绝攻击等。网络之1J的互联设备即网络设备是所有信息的中转站,自身的安全性非常重要,如果网络设备安全受到危胁,会影响网络的正常使用,如速度降低、网络中断,严重时会导致整个网络瘫痪,后果不堪设想。计算机网络安全工作艰巨又复杂,它涉及到计算机网络中所有的网络设备,每一种网络设备都根据自己所在层次、特性及网络拓扑等对计算机网络安全起着一定作用。osl参考模型有一个最主要的功能就是使不同类型的主机实现相互之1J的数据信息传送,它分为七层,最低层物理层的主要功能是发送和接收mT;第一层数据链路层的主要功能是保证信息物理传送、流量控制并进行差错校验;第三层网络层的主要功能是负责设备寻tiL.并为信息选抒最佳路径;第四层传输层主要功能是将数据分段并重组;第五层会话层主要功能是负责建立、管理、终}h实体1J的会话连接;第六层表示层主要功能是为应用层提供数据及代码的转换;第七层应用层最主要的功能负责计算机与用户进行实际通信。每一层次都有相应的网络设备,而最重要的网络设备就是路由器和交换机。
1网络设备中交换机、路由器的简单介绍
网络设备及部件是连接到网络中的物理实体.网络设备又包括中继器、网桥、路由器、网关、防火墙、交换机等设备1)交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备交换机可以“学习”MAC地址,并把其存放在内部地址表中,通过在数据帧的始发者和目标接收者之间建立临时的交换路径,使数据帧直接由源地址到达目的地址2)路由器工作在(SI体系结构中的网络层,是在网络层实现互连的设备路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。
2路由器和交换机的安全技术
2.1严格控制远程访问
路由器和交换机安全技术还包括防止非法用户管理设备,即是严格控制远程访问。首先要控制对AUX端口和console端口的访问,可以通过设置高强度的密码。同时由于AUX端口在默认设置中一般处于开启状态,因此在不需要开启时应及时关闭;其次是要严格控制对路由器的远程访问,在不需要禁止的情况下应当对路由器设置相对高强度的密码。并且还要控制连接的并发数量,可以通过ACL访问控制列表等保障路由器设备安全;其三是要禁止基于Web的管理方式,这是因为采用Web的管理方式对路由器进行管理,虽然具有很大的便利性,但存在非常严重的安全隐患。在Web管理方式下,非法用户可以绕开用户认证程序而攻击网络。因此要禁用Web管理方式,确保设备和网络安全;其四是要及时关闭不需要方服务,在路由器中每一个启用的端口实际上都与侦听服务具有密切的关联。所以为了避免路由器设备被攻击,即是要关闭不需要的网络服务,比如很少使用的BOOTP以及DNS服务等,将路由器不必要的端口关闭可以减少安全隐患,保障设备网络安全;最后是要对路由器和交换机日志进行审查,通常路由器都具有日志功能,主要是记录所有被拒绝访问和企业入侵的操作。
所以要定期对日志进行查看和审查,主要包括AAA日志、SNMPTrap日志以及系统日志等。其中系统日志是最主要的内容,其是根据设备配置可以记录大量的系统时间,同时将日志发送到控制台端口以及系统服务器中,管理员可以查看更为便利。
2.2采用密码策略
路由器和交换机都使用密码来验证登录用户的权限和合法性,密码在路由器和交换机上有两种保存方式。在IOS网际操作系统中的特权模式下,有明文加密和密文加密两种加密方法,明文密码可以通过查看配置文件直接看到,密文密码不能通过查看配置文件而直接识别出来。为了保障企业网络的安全,在设置密码时尽可能使用高强度的密码策略,即设置密码时要混合用大小写、数字和符号。如果入侵者通过了网络设备的密码验证,入侵者就控制了网络设备,网络设备及其企业网络就遭受威胁。为了使所有的密码更为安全可靠,可以使用Service pass-word-encryption命令对全部密码进行加密。配置方法如下:Router(config)#service password-encryptionRouter(config)#enable secret password.
2.3虚拟局域网(VLAN)功能
VLAN技术是交换网络中最重要的技术之一,VLAN工作在一层或者三层交换机上,它解决了网络拓扑结构的可测量性以及通过网络重新配置的简单化使得网络管理变得更加容易。它的功能类似工作组,VLAN可以跨越一个或多个交换机,虽然划分后的VLAN在物理上不直接相连,设备1J好像在同一个网络1J通信一样,可以在不同位置或很远的距离来发挥作用。通过设置VLAN,可以连接许多网段而不出现瓶.隔离网络冲突域,限制不同VLANhJ的非授权访问,从而阻IF病毒的网络)、播。VLAN另外一个重要好处就是使添加、移动和更改操作简单化。一个VLAN中包含的所有网段只需要一个子网地t11:,这种方法的优点是通过映射一个子网号给每个主要的工作组、部门或者项目来实现对子网的加强,增加了网络的安全性,提高了网络性能和网络的可扩展性。利用VLAN技术来复用多个VLAN连接并采用工SL或802.1(}协议,可竹约交换机和路由器的端日。VLANhJ可以规划详细的访问控制列表(ACL),用来实现包过滤防火墙的安全功能,实现对异常流量的控制,避免网络堵塞,以此来增强网络的安全防范能力。访问控制列表可以针对不同用户或数据来制定网络策略,对数据流进行允许或者拒绝的控制,有效地保证了每个VLAN的数据信息安全,加强了网络的安全屏蔽,是防范网络蠕虫病毒传播的有效手段。通过在核心交换机上加载大量的访问控制列表,使黑客找不到网络中的“肉鸡”(黑客可以利用操纵的特定主机)进行探测,使其无法对网络发起攻击,加大了网络管理力度。
结语
网络互联设备的安全技术还有包过滤技术、入侵检测技术、用户认证技术、访问控制技术、保护内部网络IP地址、使用路由器构建VPN虚拟专用网等重要技术。路由器和交换机作为计算机网络的核心设备,它的安全直接影响企业网络的安全,因此必须对路由器和交换机进行合理有效地配置,使企业网络更加安全。
参考文献
[1] 麦奎里,李祥瑞,张明,等.Cisco网络设备互连:第2版[M].北京:人民邮电出版社出版社,2010.
[2] 王群.计算机网络安全管理[M].北京:人民邮电出版社出版社,2010.
[3] 宗明耀.企业网络组建维护运营技术与网络安全控制措施及故障诊断排除实用全书[M].北京:中国企业管理出版社,2007.
[4] 顾巧论,高铁杠,贾春福.计算机网络安全[M].北京:清华大学出版社,2008.