傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)側(cè)重于系統(tǒng)入侵檢測(cè)，反病毒軟件或防火墻 。內(nèi)部安全如何？在網(wǎng)絡(luò)安全構(gòu)造中，交換機(jī)和路由器是非常重要的，在七層網(wǎng)絡(luò)中每一層都必須是安全的 。很多交換機(jī)和路由器都有豐富的安全功能，要了解有些什么，如何工作，如何部署，一層有問(wèn)題時(shí)不會(huì)影響整個(gè)網(wǎng)絡(luò) 。交換機(jī)和路由器被設(shè)計(jì)成缺省安全的，出廠時(shí)就處于安全設(shè)置的狀態(tài)，非凡操作的設(shè)置在用戶要求時(shí)才會(huì)被激活，所有其他選項(xiàng)都是關(guān)閉的，以減少危險(xiǎn)，網(wǎng)管員也無(wú)需了解哪些選項(xiàng)應(yīng)該關(guān)閉 。
在初始登錄時(shí)會(huì)被強(qiáng)制要求更改密碼，也有密碼的期限選項(xiàng)及登錄嘗試的次數(shù)限制，而且以加密方式存儲(chǔ) 。限期的帳號(hào)（維護(hù)帳號(hào)或后門）是不會(huì)存在的 。交換機(jī)及路由器在掉電，熱啟動(dòng)、冷啟動(dòng)，升級(jí)IOS、硬件或一個(gè)模塊失敗的情況下都必須是安全的，而且在這些事件發(fā)生后應(yīng)該不會(huì)危及安全并恢復(fù)運(yùn)作，因?yàn)槿罩镜脑?，網(wǎng)絡(luò)設(shè)備應(yīng)該通過(guò)網(wǎng)絡(luò)時(shí)間協(xié)議保持安全精確的時(shí)間 。通過(guò)SNMP協(xié)議連接治理的名稱也應(yīng)該被改變 。
反抗DoS攻擊
從可用性出發(fā)，交換機(jī)和路由器需要能反抗拒絕服務(wù)式Dos攻擊，并在攻擊期間保持可用性 。理想狀態(tài)是他們?cè)谑艿焦魰r(shí)應(yīng)該能夠做出反應(yīng)，屏蔽攻擊IP及端口 。每件事件都會(huì)立即反應(yīng)并記錄在日志中，同時(shí)他們也能識(shí)別并對(duì)蠕蟲(chóng)攻擊做出反應(yīng) 。
交換機(jī)及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代碼漏洞，在漏洞被發(fā)現(xiàn)報(bào)告后，廠商可以開(kāi)發(fā)、創(chuàng)建、測(cè)試、發(fā)布升級(jí)包或補(bǔ)丁 。
【六大法則：交換機(jī)及路由器如何更加安全】 基于角色的治理給予治理員最低程序的許可來(lái)完成任務(wù)，答應(yīng)分派任務(wù)，提供檢查及平衡，只有受信任的連接才能治理倔們 。治理權(quán)限可賦予設(shè)備或其他主機(jī)，例如治理權(quán)限可授予一定IP地址及特定的TCP/UDP端口 。
控制治理權(quán)限的最好辦法是在授權(quán)進(jìn)入前分權(quán)限，可以通過(guò)認(rèn)證和帳戶服務(wù)器，例如遠(yuǎn)程接入服務(wù)，終端服務(wù)，或LDAP服務(wù) 。
遠(yuǎn)程連接的加密
很多情況下，治理員需要遠(yuǎn)程治理交換機(jī)及路由器，通常只能從公共網(wǎng)絡(luò)上訪問(wèn) 。為了保證治理傳輸?shù)陌踩?，需要加密協(xié)議，SSH是所有遠(yuǎn)程命令行設(shè)置和文件傳輸?shù)臉?biāo)準(zhǔn)協(xié)，基于WEB的則用SSL或TLS協(xié)議，LDAP通常是通訊的協(xié)議，而SSL/TLS則加密此通訊 。
SNMP用來(lái)發(fā)現(xiàn)、監(jiān)控、配置網(wǎng)絡(luò)設(shè)備，SNmp3是足夠安全的版本，可以保證授權(quán)的通信 。
建立登錄控制可以減輕受攻擊的可能性，設(shè)定嘗試登錄的次數(shù)，在碰到這種掃描時(shí)能做出反應(yīng) 。具體的日志在發(fā)現(xiàn)嘗試破解密碼及端口掃描時(shí)是非常有效的 。
交換機(jī)及路由器的配置文件的安全也是不容忽視的，通常配置文件保存在安全的位置，在混亂的情況下，可以取出備份文件，安裝并激活系統(tǒng)，恢復(fù)到已知狀態(tài) 。有些交換機(jī)結(jié)合了入侵檢測(cè)的功能，一些通過(guò)端口映射支持，答應(yīng)治理員選擇監(jiān)控端口 。
虛擬網(wǎng)絡(luò)的角色
虛擬的本地網(wǎng)絡(luò)VLAN是第二層上的有限廣播域，由一組計(jì)算機(jī)設(shè)備組成，通常位一多個(gè)LAN上，可能跨越一個(gè)或多個(gè)LAN交換機(jī)，而與它們的物理位置無(wú)關(guān)，設(shè)備之間似乎在同一個(gè)網(wǎng)絡(luò)間通信一樣，答應(yīng)治理員將網(wǎng)絡(luò)分為多個(gè)可治理運(yùn)行良好的小塊，將嗇、移動(dòng)、更改設(shè)備、用戶及權(quán)限的任務(wù)簡(jiǎn)化 。
VLAN可在各種形式上形成，如交換口，MAC地址，IP地址，協(xié)議類型，DHCP，802.1Q標(biāo)志或用戶自定義 。這些可以單獨(dú)或組合部署 。
VLAN認(rèn)證技術(shù)在用戶通過(guò)認(rèn)證過(guò)程后授權(quán)給用戶進(jìn)入一個(gè)或多個(gè)VLAN，該授權(quán)不是給予設(shè)備 。
防火墻可以控制網(wǎng)絡(luò)之間的訪問(wèn)，最廣泛應(yīng)用的是嵌在傳統(tǒng)路由器和多層交換機(jī)上的，也稱作ACLs,防火墻的不同主要在于他們掃描包的深度，是端到端的直接通訊還是通過(guò)代理，是否有session 。

推薦閱讀

• 

  怎么把PDF轉(zhuǎn)換為Word
• 

  bmi計(jì)算公式是什么 bmi的計(jì)算公式
• 

  win7怎么清理c盤(pán)只留下系統(tǒng)文件
• 

  衡陽(yáng)請(qǐng)律師打官司要多少錢 衡陽(yáng)請(qǐng)律師起訴怎么收費(fèi)
• 

  秦始皇統(tǒng)一的文字是什么字體 秦始皇統(tǒng)一的文字稱為什么
• 

  玻尿酸和煙酰胺的區(qū)別 煙酰胺的作用
• 

  夢(mèng)見(jiàn)額頭有紅花 夢(mèng)見(jiàn)額頭有紅花什么意思
• 

  海馬m3換什么機(jī)油？
• 

  華為手機(jī)如何強(qiáng)制分屏
• 

  傳感器壞了有什么癥狀
• 

  全新福特房車來(lái)襲,福特房車圖片
• 

  甲殼蟲(chóng)？甲殼蟲(chóng)的畫(huà)法圖文教程簡(jiǎn)筆畫(huà)
• 

  紀(jì)梵希小羊皮怎么打開(kāi)
• 

  山東省菏澤4區(qū)7縣都是叫啥名
• 

  專升本省控線是什么意思？和投檔線有什么區(qū)別？
• 

  壽桃蛋糕適合多大年齡

• 下 交換技術(shù)攻略：網(wǎng)絡(luò)交換機(jī)配置技巧
• 用三層交換機(jī)組建校園網(wǎng)
• 2005年24口全千兆交換機(jī)比較測(cè)試
• 常見(jiàn)Cisco交換機(jī)端口監(jiān)聽(tīng)配置
• 串口連接設(shè)置超級(jí)終端管理交換機(jī)
• Native IOS 65xx系列交換機(jī)配置(下)
• 交換機(jī)系列培訓(xùn):交換機(jī)的基礎(chǔ)知識(shí)
• 交換機(jī)Troubleshooting
• 關(guān)于交換機(jī)的工作原理以及種類的區(qū)分
• 思科將把6500交換機(jī)帶寬提高一倍