當(dāng)前位置:
首頁>
技術(shù)交流>內(nèi)網(wǎng)安全設(shè)計(jì)方案(三)
內(nèi)網(wǎng)安全設(shè)計(jì)方案(三)
網(wǎng)絡(luò)設(shè)備本身的安全性管理
Cisco的設(shè)備具有良好的內(nèi)置安全性���。Cisco網(wǎng)絡(luò)設(shè)備配置Cisco IOS安全特性��。通過Cisco IOS 安全特性的配置��,使我們的網(wǎng)絡(luò)能夠避免有意和無意的攻擊,避免由于合法用戶的誤操作造成的數(shù)據(jù)丟失或泄露�,從而保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全�����?诹畋Wo(hù)���,口令的級(jí)別����,口令加密��,移除不安全的SNMP字符串������?梢员WC設(shè)備本身的高安全性�。
使用enable secret命令,而不是使用enable password命令
控制端口連接到網(wǎng)絡(luò)應(yīng)該考慮一下訪問控制的問題��。
所有虛擬終端的端口應(yīng)用上訪問列表和口令保護(hù)�����,使用訪問列表來限制通過Telnet進(jìn)入路由器的用戶���。
如果沒有必要的話,不要使用任何本地服務(wù)(例如SNMP����、CDP和NTP)�����。
特殊需求人員安全要求:
對(duì)一些特殊需求人員�����,我們把他們歸入一個(gè)特別的網(wǎng)段,通過ACCESS-LIST等多種技術(shù)�����,我們可以實(shí)現(xiàn)單向發(fā)起通訊�����,可以實(shí)現(xiàn)其他用戶不可訪問這個(gè)特殊網(wǎng)段���,但是這個(gè)網(wǎng)段的特殊需求人員可以訪問外面的多個(gè)網(wǎng)段��,包括系統(tǒng)服務(wù)器網(wǎng)段以及公共服務(wù)器網(wǎng)段���。為了不允許其它的用戶非法連接到其物理交換端口����,我們?cè)谄湮锢矶丝谏显O(shè)置端口安全(Port Secure)技術(shù)�����,這樣可有效保護(hù)設(shè)備的物理端口安全����。
統(tǒng)一辦公網(wǎng)絡(luò)安全要求:
有多個(gè)機(jī)關(guān)單位在同一個(gè)地方辦公(中區(qū)一樓大廳),每個(gè)機(jī)關(guān)單位都有一個(gè)或多個(gè)員工在一起辦公���,他們通過其物理布線連接到各自的單位網(wǎng)絡(luò)。為了確保每個(gè)單位不會(huì)錯(cuò)用�、混用或者故意連接到另單位的網(wǎng)絡(luò)�,除了常規(guī)的密碼驗(yàn)證措施外�����,要求在每單位的物理接線盒上醒目清楚地表明單位所屬����,并在交換機(jī)上作好端口安全(PORT SECURE)技術(shù)����,以確保各單位的網(wǎng)絡(luò)安全��。使非本單位的成員無法連接到該單位的網(wǎng)絡(luò)��。
機(jī)要網(wǎng)安全要求:
各機(jī)關(guān)單位的機(jī)要人員各自在各單位的獨(dú)立的網(wǎng)段里,這些網(wǎng)段可以方便實(shí)現(xiàn)互連互通�����。對(duì)一些保密的資料,我們采取AAA等特殊認(rèn)證方式�����,以及通過加密傳輸?shù)燃夹g(shù)予于實(shí)現(xiàn)���。確保其它無關(guān)人員從網(wǎng)絡(luò)網(wǎng)段級(jí)別、用戶認(rèn)證級(jí)別以及網(wǎng)絡(luò)傳輸級(jí)別均無法予于攻擊����,確保機(jī)要人員的網(wǎng)絡(luò)安全�����。
