阻止DOS远程连接使网络更安全
传统的网络安全技术主要集中在系统入侵检测、防病毒软件或防火墙等方面,内部安全性如何在网络安全中,交换机和路由器是非常重要的,七层网络中的每一层都必须是安全的,许多交换机和路由器都有丰富的安全功能。他们需要知道一些事情,如何工作以及如何部署它。如果有问题,也不会影响到整个网络的交换机和路由器的设计是安全的默认情况下,该厂在安全设置,特殊的操作设置可以在用户要求激活,所有其他选项都是关闭的,为了降低风险,网络管理员也不需要知道哪些选项应该被关闭。在初始登录密码必须被改变,为密码和次登录时间限制的数量是有限的,并存储在一个加密的方式。有限的帐户(维持一个帐户或后门)将不复存在。交换机和路由器的电源关闭,热启动,冷启动,未能升级iOS,硬件或一个模块的情况下必须是安全的,而不应危及安全事件中恢复,因为日志、网络设备安全应该通过网络时间协议保持准确的时间。通过SNMP协议的连接管理的名称也应该改变。
抗DOS攻击
从可用性,交换机和路由器需要能够抵御拒绝服务DoS攻击和保持在攻击性。最理想的状态是,他们应该能够反应受到攻击时,攻击屏蔽的IP和端口,每个事件立即作出反应,并记录在日志中,他们也能识别并对蠕虫攻击。
交换机、路由器、FTP、HTTP、telnet或SSH都有代码漏洞。在报告漏洞之后,供应商可以开发、创建、测试、发布升级包或补丁程序。
基于管理的作用最小程序管理员权限来完成任务,使任务提供制衡,只有受信任的连接他们顽固的管理。管理权限可以给设备或其他主机,如管理权限可以授予某个IP地址和一个特定的TCP或UDP港口。
控制管理权限的最好方法是通过授权和帐户服务器访问授权前的权限,例如远程访问服务、终端服务或LDAP服务。
远程连接的加密
在很多情况下,管理员需要远程管理交换机和路由器,通常只能从公网上进行,为了保证传输管理的安全性,需要采用加密协议。SSH是所有远程命令行设置和文件传输的标准关联。基于Web,使用SSL或TLS协议,LDAP通常是通信协议,而SSL/TLS对通信进行加密。
SNMP用于发现、监视、配置网络设备,而SNMP 3是保证授权通信的足够安全的版本。
设置登录控件可以减少被攻击的可能性,设置尝试登录的次数,并对这样的扫描作出响应。当发现试图破解口令和端口扫描时,详细日志非常有效。
交换机和路由器的配置文件的安全性也不容忽视。通常,配置文件保存在一个安全的位置。在混乱的情况下,备份文件,可以删除,安装和激活,并恢复到一个已知状态。一些开关结合入侵检测的功能,其中一些是由端口映射支持,允许管理员选择监控端口。虚拟网络虚拟局域网VLAN的作用是在第二层有限的广播域,由一组计算机设备,通常是多个局域网,可以跨一个或多个局域网交换机,无论物理位置和设备,如在同一网络通信,使网络管理员可以分成多个良好的管理和运转将会很小,移动,改变设备,和增加用户权限和任务K的简化。
VLAN可以以多种形式形成的,如开关、MAC地址、IP地址、协议类型、DHCP、802.1q旗,或用户定义的。这些可以部署单独或组合。
VLAN认证技术授权用户在用户通过身份验证过程后输入一个或多个VLAN,而该认证过程不授予设备。
防火墙可以控制访问网络,是目前应用最广泛的嵌入式在传统的路由器和交换机,也称为ACL、防火墙主要因为他们扫描深度不同的包,是端到端通信直接或通过代理,或会话。
在网络之间的访问控制、路由和过滤措施可以基于源/目标交换槽或端口,源/目标VLAN,源/目的IP,或TCP / UDP端口,ICMP类型,或MAC地址。一些交换机和路由器,动态标准ACL可以认证过程后由用户创建的,像一个认证的VLAN,但第三层。它是有用的,未知的源地址必须被连接到一个已知的内部目标。
现在,网络被设计成在所有级别都是安全的。通过部署交换机和路由器的安全设置,企业可以通过传统的安全技术创建强大的、所有级别的安全系统。