现代教育技术中心
设为首页  |  加入收藏
 网站首页  部门概况  规章制度  政策文件  服务指南  信息化校园  网络安全在线  学校首页 
内容页
当前位置: 网站首页>>信息化校园>>常见问题>>常见问题>>正文
网络交换机安全加固
2020-06-12 08:53 吴  审核人:

网络交换机安全加固

.设备介绍

交换机作用:物理编址,差错校验,划分冲突域,配置VLAN隔离广播,链路汇聚,链路捆绑,STP,有些支持三层的路由功能,ACL功能等等。简单的说,1扩口,2一个物理交换当多个虚拟交换机使用(vlan)。

.加固策略

1.1.设备登录安全

登录设备的三种方式:

1console/aux

能够接触到设备的人员进行console管理的安全风险。

加固方式:配置console密码,cisco方式:

配置成功如下图:

https://ask.qcloudimg.com/http-save/developer-news/suq1wkab8d.jpeg?imageView2/2/w/1620

华为方式:

2ssh/Telnet

1.密码认证和RSA认证

2.变更端口号:变更更改知名端口

3.ACL:限制登录源

4.配置ssh服务器源接口:原因是默认情况下,接受所有接口发来的ssh登录请求 ,更改后,只允许登录设定的接口IP

3Web

1.禁用web管理,如需开启,则需要加强以下方面:

http AAA 认证:

2.限制登录主机地址:

3.变更服务端口号:

4.更改HTTPHTTPS

1.2AAA用户管理安全

本地帐号锁定功能,配置用户的重试时间间隔为6分钟、连续输入错误密码的限制 次数为4次及帐号锁定时间为6分钟

有部分设备直接支持password-control,选项,以实际为主。

1.3SNMP管理设备安全

1.配置SNMP限制网段,

2.配置视图

3.建立SNMP用户,关联ACL,并设置认证方式为sha,加密方式选择sha512,基于用户和组进行过滤

1.4端口安全

端口安全中,主要有:

端口隔离,

加入同一个组的端口互相,不同组隔离

端口防环:

MAC地址绑定,MAC地址学习数量限定:

此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃

配置其他非安全mac地址数据帧的处理动作

在配置STPMSTP时,直接定死根端口,免得因新接入交换机产生根转移。

1.5禁用或关闭多余无用服务

1.禁用多余或无用服务,需要根据实际业务情况进行配置

2、关闭CDP

1.6开启密码加密服务

cisco密码加密存放示例

1.7配置log server、时间服务及与用于带内管理的ACL等,便于进行安全审计

通过以上加固策略,基本上做到了设备登录安全,管理安全,流量控制安全,安全审计等,这对企业的网络安全一定的提升。

关闭窗口

版权所有漯河医学高等专科学校 现代教育技术中心  |  电话:0395-2935372  地址:漯河市大学路148号  邮编:462000