数学执本与率用
网络设备安全技术与实施
苏东梅
(长春职业技术学院信息技术分院吉林长春130033)
安全技术
摘要：网络设备的正确互连,使得互联网络更加的师通、便键，同时达变网络设备的安全性更是需要得到更好的管理。为了防止外来入,使用安全技术来保证网络互联设备的安全显得十分重要。作为网络管理人员必须十分清楚自己所管理的网络设备的安全程度并及时做出调整,确保设备安全，以避免受到攻击而造成不必要的损失
关键词：交换机路由器安全技术实施
中图分类号：TP393.08
文献标识码:A
目前大多数的企事业单位接人Internet网，通常都是在企业出口部署一台路由器与ISP连接实现，这台路由器就是沟通外部 Internet和内部网络的桥梁，如果这台路由器能够合理进行安全设置，那么就可以对内部的网络提供一定安全性或对已有的安全多了一层屏障。考虑到路由器的作用和位置，路由器配置的好坏不仅影响本身的安全也影响整个网络的安全，交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或容机现象。交换机的安全性能已经成为同络建设必须考的重中之重。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同
的设备型号，有效地启用和配置这些技术，净化局域网环境。 1设置强壮的管理口令
口令是交换机用来防止非授权访问的主要手段，是交换机本身安全的一部分。必须修改默认的口令，并避免使用普通的口令，并且使用大小写字母十数字十特别符号混合的方式作为更强大的口令规则。尽可能使用EnableSecret特权加密密码，而不使用EnablePass word创建的密码。
利用enablesecret命令设置密码，并选择一个长的口令字(至少 8位)，该加密机制是IOS采用了MD5散列算法进行加密，这条命令用于对存储在配置文件中的所有口令和类似数据进行加密。避免当配
置文件被不怀好意者看见，从而获得这些数据的明文。 2控制VTY
(1)配置VTY的Telnet访间控制安全，利用ipaccess-class限制访间VTY的ip地址范围。
(2)建议用SSH代替Telnet
Telnet是管理员们连接至交换机的主要通道，但是在Telnet会话中输人的每个字节都将会被明文发送，这可以被类似Sniffer这样的软件膜探获取用户名、密码等缴感信息。因此，使用安全性能更高
的SSH强加密无疑比使用Telnet更加安全。 3防止盗用内部IP地址
攻击者可以盗用内部IP地址进行非法访问。利用ARP命令在局
域网内将MAC地址与IP地址进行绑定来解决这个问题， 4确保SNMP协议的安全
如果没有用到SNMP功能，建议禁止SNMP协议服务。尽量采用 SnmpV3，如果必需采用SnmpV1,必须修改默认的community，
如public.private等 5禁用不必要的服务
由于早期版本的交换机操作系统存在多个严重的安全漏洞，使
文章编号：1007-9416(2013)11-0185-0)
得攻击者可以远程越权获取到交换机的完整配置文件，因此建议在路由器上使用命令：noiphttpserver禁止HTTP服务。
Cisco公司的设备通过网络操作系统默认地提供一些小的服务，如echo(回波)，chargen(字符发生器协议)和discard(抛弃协议)。这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。如禁止CDP、F证-ger服务、BOOTP服务、IP Source Routing、ARPProxy服务，IP
Directed Broadcast,IP Classless,DNS查找等。 6及时升级和修补IOS软件
IOS(Internetwork OperatingSystem)是Cisco交换机和路由器中的操作系统，以映象文件(.bin格式)的形式保存在交换机的闪存中。同其它的操作系统一样，Cisco公司每年都会定期发布新的 IOS操作系统，升级IOS的主要目的是：
6.1修补漏润,消除BUG
同其它的操作系统和应用软件一样，Cisco交换机和路由器的 IOS操作系统，每年都会被发现大约几十个漏润，通常情况下这些漏洞会带来严重的安全风险。因此，需要定期更新Ciso公司发布的新版IOS，来修补这些漏洞。
6.2增加新功能
由于交换机和路由器的特殊性，新版IOS的发布，除了针对漏洞的修补以外，还会增加新的功能。如果交换机的功能无法满足工作需要，也可以升级IOS来解决。比如，早期的交换机不支持SSH、 HTTPS，SNMPV3等安全功能，可以通过升级为支持加密功能的 K9版IOS，来实现这些功能，
6.3解决交换机兼容性问题
一个规模较大网络的交换机或路由器通常都是逐年分批采购
的，不同批次交换机的IOS版本肯定不一样，通过将IOS全部升级为最新修订版，可以减少因IOS服本不同而引发交换机之间不兼容的隐患，避免配置管理上的不一致性。
在升级过程中，需要注意以下儿点
D尽力保障电力供应，避免升级过程中断电或重启交换机和路
由器，否则会导致升级失败。②要从正规渠道获取IOS文件，如CisCO 的官方网站和授权的经销商，以保证IOS的权威、干净和完整。③要注意版权问题，不要侵犯版权。④升级完成之后，一定要进行安全性，可靠性测试，密切注视升级后的网络运行情况，如有异常及时处理。
参考文献
[11解抢，浅析网络设务安全[J.科技信息2011,(25)
[2]罩款.王欢.网络设备与网络安全[J].计算机安全,2010,(06)[3]郑彦平.网络设备安全措施与实现[J].煤炭技术,2011,(12)
[4]罗朗.网络设备安全分新与解决措施[J].电力信息化,2012.(02)
185