守護企業(yè)網(wǎng)絡(luò )安全 掌握交換機設定秘籍
最后,建立好的規則必須附加到相應的接收或傳送端口上,當交換機在此端口接收或轉發(fā)數據時(shí),根據過(guò)濾規則來(lái)過(guò)濾封包,決定是轉發(fā)還是丟棄。另外,交換機通過(guò)硬件“邏輯與非門(mén)”對過(guò)濾規則進(jìn)行邏輯運算,實(shí)現過(guò)濾規則確定,完全不影響數據轉發(fā)速率。
秘籍三:強化安全SNMPv3及SSH協(xié)議
更為完善的SNMPv3協(xié)議
SNMPv1和v2版本對用戶(hù)權力的惟一限制是訪(fǎng)問(wèn)口令,而沒(méi)有用戶(hù)和權限分級的概念,只要提供相應的口令,就可以對設備進(jìn)行read或read/write操作,安全性相對來(lái)的薄弱。而SNMPv3則采用了新的SNMP擴展框架,它將各版本的SNMP標準集中到一起,在此架構下,安全性和管理上有很大的提高。

SNMPv3工作原理
SNMPv3是在SNMPv2基礎之上增加、完善了安全和管理機制。RFC 2271定義的SNMPv3體系結構體現了模塊化的設計思想,使管理者可以簡(jiǎn)單地實(shí)現功能的增加和修改。其主要特點(diǎn)在于適應性強,可適用于多種操作環(huán)境,不僅可以管理最簡(jiǎn)單的網(wǎng)絡(luò ),實(shí)現基本的管理功能,還能夠提供強大的網(wǎng)絡(luò )管理功能,滿(mǎn)足復雜網(wǎng)絡(luò )的管理需求。

SNMPv3安全參數界面
SNMPv3建議的安全模型是基于用戶(hù)的安全模型,即USM。USM對網(wǎng)管消息進(jìn)行加密和認證是基于用戶(hù)進(jìn)行的,具體地說(shuō)就是用什么協(xié)議和密鑰進(jìn)行加密和認證均由用戶(hù)名稱(chēng)userName)權威引擎標識符(EngineID)來(lái)決定(推薦加密協(xié)議CBCDES,認證協(xié)議HMAC-MD5-96和HMAC-SHA-96),通過(guò)認證、加密和時(shí)限提供數據完整性、數據源認證、數據保密和消息時(shí)限服務(wù),從而有效防止非授權用戶(hù)對管理信息的修改、偽裝和竊聽(tīng)。
但SNMP也存在著(zhù)一定的問(wèn)題,它使用嵌入到網(wǎng)絡(luò )設施中的代理軟件來(lái)收集網(wǎng)絡(luò )通信信息和有關(guān)網(wǎng)絡(luò )設備的統計數據,代理不斷地收集統計數據并記錄到MIB中,網(wǎng)絡(luò )管理人員通過(guò)向代理的MIB發(fā)出查詢(xún)信號(輪詢(xún))可以得到這些信息。雖然MIB計數器將統計數據的總和記錄下來(lái)了,但它無(wú)法對日常通信量進(jìn)行歷史分析。而為了能全面地查看通信流量和變化率,管理人員必須不斷地輪詢(xún)SNMP代理,這就帶來(lái)了巨大的工作量。
這時(shí)SNMP建立在輪詢(xún)管理上的兩個(gè)明顯弱點(diǎn)便顯現出來(lái),如在大型的網(wǎng)絡(luò )中,輪詢(xún)會(huì )產(chǎn)生巨大的網(wǎng)絡(luò )管理通信量,因而導致通信擁擠情況的發(fā)生;它將收集數據的負擔加在網(wǎng)絡(luò )管理控制臺上,管理站也許能輕松地收集8個(gè)網(wǎng)段的信息,但當它們監控48個(gè)網(wǎng)段時(shí)恐怕就難以應付了。
更為可靠的SSH安全協(xié)議
至于通過(guò)FTP、POP和Telnet等網(wǎng)絡(luò )服務(wù)應用的,由于它們都有一個(gè)致命的弱點(diǎn)——在網(wǎng)絡(luò )上以明文的方式傳送數據、用戶(hù)帳號及用戶(hù)口令,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊,遭遇口令竊取。但采用SSH進(jìn)行通訊時(shí),用戶(hù)名及口令均進(jìn)行了加密,可有效防止非法用戶(hù)對口令的竊聽(tīng),便于網(wǎng)管人員進(jìn)行遠程的安全網(wǎng)絡(luò )管理。
SSH是目前較可靠,專(zhuān)為遠程登錄會(huì )話(huà)和其他網(wǎng)絡(luò )服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過(guò)程中的信息泄露問(wèn)題。透過(guò)SSH可以對所有傳輸的數據進(jìn)行加密,也能夠防止DNS欺騙和IP欺騙。
SSH之另一項優(yōu)點(diǎn)為其傳輸的數據是經(jīng)過(guò)壓縮的,所以可以加快傳輸的速度。SSH有很多功能,它既可以代替Telnet,又可以為FTP、POP、甚至為PPP提供一個(gè)安全的“通道”。
系統日志syslog
對于交換機的安全設置,不可缺少的是關(guān)于syslog日志功能的利用。該功能可以將系統錯誤、系統配置、狀態(tài)變化、狀態(tài)定期報告、系統退出等用戶(hù)設定的期望信息傳送給日志服務(wù)器,網(wǎng)管人員依據這些信息掌握設備的運行狀況,及早發(fā)現問(wèn)題,及時(shí)進(jìn)行配置設定和排障,保障網(wǎng)絡(luò )安全穩定地運行。

系統日志syslog界面
syslog常被稱(chēng)為系統日志或系統記錄,是一種用來(lái)在網(wǎng)際網(wǎng)路協(xié)議(TCP/IP)的網(wǎng)路中傳遞記錄檔訊息的標準。syslog協(xié)議屬于一種主從式協(xié)議,syslog發(fā)送端會(huì )傳送出一個(gè)小的文字訊息(小于1024位元組)到syslog接收端。接收端通常名為“syslogd”、“syslog daemon”或syslog服務(wù)器。
系統日志訊息可以被以UDP協(xié)議或TCP協(xié)議來(lái)傳送,并且是以明碼型態(tài)被傳送的。不過(guò)由于SSL加密外套(例如Stunnel、sslio或sslwrap等)并非syslog協(xié)議本身的一部分,因此可以被用來(lái)透過(guò)SSL/TLS方式提供一層加密。
syslog通常被用于資訊系統管理及資料審核,雖然它有不少缺陷,但仍獲得相當多裝置及各種平臺終端的支持。因此syslog能被用來(lái)將來(lái)自許多不同類(lèi)型系統的日志記錄整合到集中的儲存庫中。
設定watchdog
watchdog通過(guò)設定一個(gè)計時(shí)器,如果設定的時(shí)間間隔內計時(shí)器沒(méi)有重啟,則生成一個(gè)內在CPU重啟指令,使設備重新啟動(dòng),這一功能可使交換機在緊急故障或意外情況下時(shí)可智能自動(dòng)重啟,保障網(wǎng)絡(luò )的安全運行。
硬件watchdog比軟件watchdog有更好的可靠性。軟件watchdog基于內核的定時(shí)器實(shí)現,當內核或中斷出現異常時(shí),軟件watchdog將會(huì )失效。而硬件watchdog由自身的硬件電路控制, 獨立于內核。無(wú)論當前系統狀態(tài)如何,硬件watchdog在設定的時(shí)間間隔內沒(méi)有被執行寫(xiě)操作,仍會(huì )重新啟動(dòng)系統。
秘籍五:查看是否可通過(guò)雙鏡像文件恢復
現在一些新型的交換機已經(jīng)具備了雙映像文件,這一功能可保護設備在異常情況下(固件升級失敗等)仍然可正常啟動(dòng)運行。
交換機相關(guān)文章:交換機工作原理
評論