网络管理知识之交换机
[时间:2011-6-9]  [文章来源:上海百络]  [责任编辑:master]

          无论什么时候发现网络管理中的安全漏洞,你都应该更新补丁。每月最少应该检查并且更新交换机的安全策略一次。

      何因

      如果没有采取充分的安全措施,连接到因特网上的企业网络是很容易受到攻击的。如果你已经读过前几期的关于防火墙和路由器的安全策略,那么这条信息看起来应该相当熟悉。而且,和以前一样,这些规则适用于所有的交换机,而不管你偏爱那种交换机。

      策略

      国家安全局系统和网络攻击中心(SNAC)编写了一篇关于思科IOS交换机的安全配置向导,该向导在三个层次上讨论安全和交换机配置:接入层、分布层和核心层。

      这里列举了一些通用安全清单以供参考:

      运用安全策略保护系统中的所有交换机,包括操作系统、密码、管理端口、网络服务、端口安全、系统漏洞、虚拟局域网、生成树协议、访问 控制列表、日志和调试以及认证、授权和计费。

      控制交换机的物理访问端口。

      在每一台交换机上安装最新版本的互连网络操作系统IOS

      设置"enable secret"密码。

      带外管理交换机。如果不能实现的话,可以利用单独的VLAN号进行带内管理。

      设置会话时限并且设置优先级。

      明确禁止未经授权的访问。

      能安全地配置必要的网路服务;关闭不必要的网络服务。

      为SSH设置更安全的密码,然后利用SSH代替telnet进行远程管理。

      如果需要使用SNMP协议的话,为SNMP设置更难以破解的community字符串。

      限制基于MAC地址的访问来保护端口安全,关闭端口的自动中继功能。

      利用交换机的端口镜像功能实现网络入侵检测系统对数据的访问。

      关闭没有使用的交换机端口并且为它们分配一个无用的VLAN号。

      为中继端口分配一个没有被其他端口占用的本地VLAN号。

      限制中继端口能传输的VLAN数。

      利用静态VLAN配置功能。

      可能的话,关闭VTP功能。否则,设置VTP的管理域、密码和Pruning功能,然后将VTP设置为透明传输模式。

      适当的使用访问控制列表。

      使能日志功能,并且将日志文件专门放到一台安全的日志主机上。

      使用NTP和时间戳来标记日志文件的时间信息。

      定期查看日志文件以预防可能发生的事故,依照安全策略将日志文件存档。

      使用AAA认证来保护对交换机的本地和远程访问。

      对交换机配置文件进行脱机安全备份,并且限制对配置文件的访问。同时应该对不同的     配置添加描述性注释以方便查看。只有这些看似不需要却又繁琐的功能才能管理好你的网络!也只有这种方法管理网络才不至于你的网络无故的瘫痪!

     

     

    相关链接:

     

    学校局域网流量管理的方案

    http://16920223.blog.hexun.com/63931945_h.htm

    为什么需要流量管理软件

    http://blog.chinaunix.net/space.php?uid=25718823&do=blog&id=289572

    网络监控软件在部署前后的工作

    http://netbai.com/articles/2011-6-83334.htm



    [关闭本页]
  关键词:  网络管理 管理网络
首页 |  局域网监控软件使用说明 |  局域网管理软件用户问答 |  网络管理软件典型案例 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证