守護(hù)企業(yè)網(wǎng)絡(luò)安全 掌握交換機(jī)設(shè)定秘籍

最后，建立好的規(guī)則必須附加到相應(yīng)的接收或傳送端口上，當(dāng)交換機(jī)在此端口接收或轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)，根據(jù)過(guò)濾規(guī)則來(lái)過(guò)濾封包，決定是轉(zhuǎn)發(fā)還是丟棄。另外，交換機(jī)通過(guò)硬件“邏輯與非門(mén)”對(duì)過(guò)濾規(guī)則進(jìn)行邏輯運(yùn)算，實(shí)現(xiàn)過(guò)濾規(guī)則確定，完全不影響數(shù)據(jù)轉(zhuǎn)發(fā)速率。

秘籍三：強(qiáng)化安全SNMPv3及SSH協(xié)議

更為完善的SNMPv3協(xié)議

SNMPv1和v2版本對(duì)用戶權(quán)力的惟一限制是訪問(wèn)口令，而沒(méi)有用戶和權(quán)限分級(jí)的概念，只要提供相應(yīng)的口令，就可以對(duì)設(shè)備進(jìn)行read或read/write操作，安全性相對(duì)來(lái)的薄弱。而SNMPv3則采用了新的SNMP擴(kuò)展框架，它將各版本的SNMP標(biāo)準(zhǔn)集中到一起，在此架構(gòu)下，安全性和管理上有很大的提高。

SNMPv3工作原理

SNMPv3是在SNMPv2基礎(chǔ)之上增加、完善了安全和管理機(jī)制。RFC 2271定義的SNMPv3體系結(jié)構(gòu)體現(xiàn)了模塊化的設(shè)計(jì)思想，使管理者可以簡(jiǎn)單地實(shí)現(xiàn)功能的增加和修改。其主要特點(diǎn)在于適應(yīng)性強(qiáng)，可適用于多種操作環(huán)境，不僅可以管理最簡(jiǎn)單的網(wǎng)絡(luò)，實(shí)現(xiàn)基本的管理功能，還能夠提供強(qiáng)大的網(wǎng)絡(luò)管理功能，滿足復(fù)雜網(wǎng)絡(luò)的管理需求。

SNMPv3安全參數(shù)界面

SNMPv3建議的安全模型是基于用戶的安全模型，即USM。USM對(duì)網(wǎng)管消息進(jìn)行加密和認(rèn)證是基于用戶進(jìn)行的，具體地說(shuō)就是用什么協(xié)議和密鑰進(jìn)行加密和認(rèn)證均由用戶名稱userName)權(quán)威引擎標(biāo)識(shí)符(EngineID)來(lái)決定(推薦加密協(xié)議CBCDES，認(rèn)證協(xié)議HMAC-MD5-96和HMAC-SHA-96)，通過(guò)認(rèn)證、加密和時(shí)限提供數(shù)據(jù)完整性、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)保密和消息時(shí)限服務(wù)，從而有效防止非授權(quán)用戶對(duì)管理信息的修改、偽裝和竊聽(tīng)。

但SNMP也存在著一定的問(wèn)題，它使用嵌入到網(wǎng)絡(luò)設(shè)施中的代理軟件來(lái)收集網(wǎng)絡(luò)通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計(jì)數(shù)據(jù)，代理不斷地收集統(tǒng)計(jì)數(shù)據(jù)并記錄到MIB中，網(wǎng)絡(luò)管理人員通過(guò)向代理的MIB發(fā)出查詢信號(hào)(輪詢)可以得到這些信息。雖然MIB計(jì)數(shù)器將統(tǒng)計(jì)數(shù)據(jù)的總和記錄下來(lái)了，但它無(wú)法對(duì)日常通信量進(jìn)行歷史分析。而為了能全面地查看通信流量和變化率，管理人員必須不斷地輪詢SNMP代理，這就帶來(lái)了巨大的工作量。

這時(shí)SNMP建立在輪詢管理上的兩個(gè)明顯弱點(diǎn)便顯現(xiàn)出來(lái)，如在大型的網(wǎng)絡(luò)中，輪詢會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)管理通信量，因而導(dǎo)致通信擁擠情況的發(fā)生;它將收集數(shù)據(jù)的負(fù)擔(dān)加在網(wǎng)絡(luò)管理控制臺(tái)上，管理站也許能輕松地收集8個(gè)網(wǎng)段的信息，但當(dāng)它們監(jiān)控48個(gè)網(wǎng)段時(shí)恐怕就難以應(yīng)付了。

更為可靠的SSH安全協(xié)議

至于通過(guò)FTP、POP和Telnet等網(wǎng)絡(luò)服務(wù)應(yīng)用的，由于它們都有一個(gè)致命的弱點(diǎn)——在網(wǎng)絡(luò)上以明文的方式傳送數(shù)據(jù)、用戶帳號(hào)及用戶口令，很容易受到中間人(man-in-the-middle)攻擊方式的攻擊，遭遇口令竊取。但采用SSH進(jìn)行通訊時(shí)，用戶名及口令均進(jìn)行了加密，可有效防止非法用戶對(duì)口令的竊聽(tīng)，便于網(wǎng)管人員進(jìn)行遠(yuǎn)程的安全網(wǎng)絡(luò)管理。

SSH是目前較可靠，專為遠(yuǎn)程登錄會(huì)話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過(guò)程中的信息泄露問(wèn)題。透過(guò)SSH可以對(duì)所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，也能夠防止DNS欺騙和IP欺騙。

SSH之另一項(xiàng)優(yōu)點(diǎn)為其傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取SH有很多功能，它既可以代替Telnet，又可以為FTP、POP、甚至為PPP提供一個(gè)安全的“通道”。

秘籍四：掌握syslog和watchdog

系統(tǒng)日志syslog

對(duì)于交換機(jī)的安全設(shè)置，不可缺少的是關(guān)于syslog日志功能的利用。該功能可以將系統(tǒng)錯(cuò)誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報(bào)告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器，網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運(yùn)行狀況，及早發(fā)現(xiàn)問(wèn)題，及時(shí)進(jìn)行配置設(shè)定和排障，保障網(wǎng)絡(luò)安全穩(wěn)定地運(yùn)行。

系統(tǒng)日志syslog界面

syslog常被稱為系統(tǒng)日志或系統(tǒng)記錄，是一種用來(lái)在網(wǎng)際網(wǎng)路協(xié)議(TCP/IP)的網(wǎng)路中傳遞記錄檔訊息的標(biāo)準(zhǔn)。syslog協(xié)議屬于一種主從式協(xié)議，syslog發(fā)送端會(huì)傳送出一個(gè)小的文字訊息(小于1024位元組)到syslog接收端。接收端通常名為“syslogd”、“syslog daemon”或syslog服務(wù)器。

系統(tǒng)日志訊息可以被以UDP協(xié)議或TCP協(xié)議來(lái)傳送，并且是以明碼型態(tài)被傳送的。不過(guò)由于SSL加密外套(例如Stunnel、sslio或sslwrap等)并非syslog協(xié)議本身的一部分，因此可以被用來(lái)透過(guò)SSL/TLS方式提供一層加密。

syslog通常被用于資訊系統(tǒng)管理及資料審核，雖然它有不少缺陷，但仍獲得相當(dāng)多裝置及各種平臺(tái)終端的支持。因此syslog能被用來(lái)將來(lái)自許多不同類(lèi)型系統(tǒng)的日志記錄整合到集中的儲(chǔ)存庫(kù)中。

設(shè)定watchdog

watchdog通過(guò)設(shè)定一個(gè)計(jì)時(shí)器，如果設(shè)定的時(shí)間間隔內(nèi)計(jì)時(shí)器沒(méi)有重啟，則生成一個(gè)內(nèi)在CPU重啟指令，使設(shè)備重新啟動(dòng)，這一功能可使交換機(jī)在緊急故障或意外情況下時(shí)可智能自動(dòng)重啟，保障網(wǎng)絡(luò)的安全運(yùn)行。

硬件watchdog比軟件watchdog有更好的可靠性。軟件watchdog基于內(nèi)核的定時(shí)器實(shí)現(xiàn)，當(dāng)內(nèi)核或中斷出現(xiàn)異常時(shí)，軟件watchdog將會(huì)失效。而硬件watchdog由自身的硬件電路控制， 獨(dú)立于內(nèi)核。無(wú)論當(dāng)前系統(tǒng)狀態(tài)如何，硬件watchdog在設(shè)定的時(shí)間間隔內(nèi)沒(méi)有被執(zhí)行寫(xiě)操作，仍會(huì)重新啟動(dòng)系統(tǒng)。

秘籍五：查看是否可通過(guò)雙鏡像文件恢復(fù)

現(xiàn)在一些新型的交換機(jī)已經(jīng)具備了雙映像文件，這一功能可保護(hù)設(shè)備在異常情況下(固件升級(jí)失敗等)仍然可正常啟動(dòng)運(yùn)行。