;根據(jù)木桶理論，一個(gè)桶能裝多少水，取決于這個(gè)桶最短的那塊木板 。具體到信息系統(tǒng)的安全也是一樣，整個(gè)信息系統(tǒng)的安全程度也取決于信息系統(tǒng)中最薄弱的環(huán)節(jié)，網(wǎng)絡(luò)做為信息系統(tǒng)的體，其安全需求的重要性是顯而易見的 。
網(wǎng)絡(luò)層面的安全主要有兩個(gè)方面，一是數(shù)據(jù)層面的安全，使用ACL等技術(shù)手段，輔助應(yīng)用系統(tǒng)增強(qiáng)系統(tǒng)的整體安全；二是控制層面的安全，通過限制對(duì)網(wǎng)絡(luò)設(shè)備自身的訪問，增強(qiáng)網(wǎng)絡(luò)設(shè)備自身的安全性 。本文主要集中討論控制層面即設(shè)備自身的安全這部分，仍以最大市場(chǎng)占有率的思科設(shè)備為例進(jìn)行討論 。一、 控制層面主要安全威協(xié)與應(yīng)對(duì)原則
網(wǎng)絡(luò)設(shè)備的控制層面的實(shí)質(zhì)還是運(yùn)行的一個(gè)操作系統(tǒng)，既然是一個(gè)操作系統(tǒng)，那么，其它操作系統(tǒng)可能碰到的安全威脅網(wǎng)絡(luò)設(shè)備都有可能碰到；總結(jié)起來有如下幾個(gè)方面：
1、 系統(tǒng)自身的缺陷：操作系統(tǒng)作為一個(gè)復(fù)雜系統(tǒng)，不論在發(fā)布之前多么仔細(xì)的進(jìn)行測(cè)試，總會(huì)有缺陷產(chǎn)生的 。出現(xiàn)缺陷后的唯一辦法就是盡快給系統(tǒng)要上補(bǔ)丁 。Cisco IOS/Catos與其它通用操作系統(tǒng)的區(qū)別在于，IOS/Catos需要將整個(gè)系統(tǒng)更換為打過補(bǔ)丁的系統(tǒng)，可以查詢http://www.cisco.com/en/US/customer/prodUCts/prod_security_advisories_list.Html 取得cisco最新的安全公告信息與補(bǔ)丁信息 。

2、 系統(tǒng)缺省服務(wù)：與大多數(shù)能用操作系統(tǒng)一樣，IOS與CatOS缺省情況下也開了一大堆服務(wù)，這些服務(wù)可能會(huì)引起潛在的安全風(fēng)險(xiǎn)，解決的辦法是按最小特權(quán)原則，關(guān)閉這些不需要的服務(wù) 。
3、 弱密碼與明文密碼：在IOS中，特權(quán)密碼的加密方式強(qiáng)加密有弱加密兩種，而普通存取密碼在缺省情況下則是明文；
4、 非授權(quán)用戶可以治理設(shè)備：既可以通過telnetsnmp通過網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行帶內(nèi)治理，還可以通過console與aux口對(duì)設(shè)備進(jìn)行帶外治理 。缺省情況下帶外治理是沒有密碼限制的 。隱含較大的安全風(fēng)險(xiǎn)；
5、 CDP協(xié)議造成設(shè)備信息的泄漏；
6、 DDOS攻擊導(dǎo)致設(shè)備不能正常運(yùn)行，解決方案，使用控制面策略，限制到控制層面的流量；
7、 發(fā)生安全風(fēng)險(xiǎn)之后，缺省審計(jì)功能 。
QQread.com推出各大專業(yè)服務(wù)器評(píng)測(cè) Linux服務(wù)器的安全性能SUN服務(wù)器HP服務(wù)器DELL服務(wù)器IBM服務(wù)器聯(lián)想服務(wù)器浪潮服務(wù)器曙光服務(wù)器同方服務(wù)器華碩服務(wù)器寶德服務(wù)器二、 Cisco IOS加固
對(duì)于12.3(4)T之后的IOS版本，可以通過autosecure命令完成下述大多數(shù)功能，考慮到大部分用戶還沒有條件升級(jí)到該IOS版本，這里仍然列出需要使用到的命令行：

1、禁用不需要的服務(wù)：
no ip http server //禁用http server，這玩意兒的安全漏洞很多的
no ip source-route //禁用IP源路由，防止路由欺騙
no service finger //禁用finger服務(wù)
no ip bootp server　//禁用bootp服務(wù)
no service udp-small-s //小的udp服務(wù)
no service tcp-small-s //禁用小的tcp服務(wù)

;2、關(guān)閉CDP
no cdp run //禁用cdp
3、配置強(qiáng)加密與啟用密碼加密：
service passWord-encryption　//啟用加密服務(wù)，將對(duì)password密碼進(jìn)行加密
enable secret asdfajkls　//配置強(qiáng)加密的特權(quán)密碼
no enable password//禁用弱加密的特權(quán)密碼
4、配置log server、時(shí)間服務(wù)及與用于帶內(nèi)治理的ACL等，便于進(jìn)行安全審計(jì)

service timestamp log datetime localtime //配置時(shí)間戳為datetime方式，使用本地時(shí)間
logging 192.168.0.1 //向192.168.0.1發(fā)送log
logging 192.168.0.2 //向192.168.0.2發(fā)送log
Access-list 98的主機(jī)進(jìn)行通訊
no access-list 99 //在配置一個(gè)新的acl前先清空該ACL
access-list 99 permit 192.168.0.0 0.0.0.255

推薦閱讀

• 

  康熙乾隆雍正順序 康熙乾隆雍正的先后順序
• 

  寶雞二建建筑公司是國企嗎
• 

  一個(gè)老頭一個(gè)月亮的成語
• 

  養(yǎng)老保險(xiǎn)要交多少年才能退休
• 

  身體疲勞如何緩解？
• 

  地暖水管鋪設(shè)技巧 地暖管如何鋪設(shè)
• 

  山茶花是什么樣子的 如何養(yǎng)山茶花
• 

  念云的寓意
• 

  論壇、活動(dòng)策劃的十大誤區(qū)
• 

  車?yán)遄記]拆封怎么儲(chǔ)存
• 

  賽爾號(hào)6什么時(shí)候出,《賽爾號(hào)6》呈現(xiàn)黑馬之勢(shì)
• 

  手機(jī)怎么設(shè)置屏幕一直開著
• 

  從零開始學(xué)電工基礎(chǔ),7a07860.js"]
• 

  團(tuán)日活動(dòng)的活動(dòng)內(nèi)容
• 

  你會(huì)選購哪家的智能潔具產(chǎn)品呢？以下10大品牌任由您挑選
• 

  洗車店的地面怎么裝修

• 柴胡湯的功效與作用 柴胡湯的功效與作用及禁忌
• 一 路由器安全配置速查表
• DDoS Cisco路由器上防止分布式拒絕服務(wù)攻擊的一些建議
• CISCO路由器10M接口做Trunk
• 二 路由器安全配置速查表
• 三 路由器安全配置速查表
• CISCO學(xué)習(xí)問題之Cisco 路由器中有關(guān)ip helper-address的問題
• 發(fā)現(xiàn)路由器轉(zhuǎn)發(fā)故障的BFD
• 三 路由器網(wǎng)絡(luò)接口解析大全
• 一 路由器網(wǎng)絡(luò)接口解析大全