成人午夜免费视频,中文字幕国产精品,波多野たの结衣a片1126

您當(dāng)前所在位置：首頁 → 網(wǎng)絡(luò)安全 → 安全防護(hù) → 給網(wǎng)絡(luò)設(shè)備一個(gè)安全管理環(huán)境

給網(wǎng)絡(luò)設(shè)備一個(gè)安全管理環(huán)境 時(shí)間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(0)

　　如何保障網(wǎng)絡(luò)安全設(shè)備的安全，是網(wǎng)絡(luò)管理員必須考慮的一個(gè)問題。換句話說，除了網(wǎng)絡(luò)性能因素之外，網(wǎng)絡(luò)設(shè)備的安全是網(wǎng)絡(luò)管理員最關(guān)心的一個(gè)話題。思科網(wǎng)絡(luò)設(shè)備在這方面比其他公司的產(chǎn)品更加具有遠(yuǎn)見。如果大家有異議，或許聽過我的講述之后，會(huì)有所轉(zhuǎn)變。

　　一、HTTP安全性

　　為了使得網(wǎng)絡(luò)設(shè)備的管理與維護(hù)更加的便利，許多網(wǎng)絡(luò)設(shè)備廠商都在自己的產(chǎn)品中實(shí)現(xiàn)了HTTP服務(wù)器，以建立一個(gè)交叉平臺(tái)的、易于管理的圖形化解決方案。用戶可以通過WEB圖形化界面對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理。思科在這方面當(dāng)然也有類似的處理機(jī)制。

　　不過思科在這方面比其他廠商走先了一步。多數(shù)的思科網(wǎng)絡(luò)設(shè)備，擁有一整套機(jī)制來進(jìn)行認(rèn)證和限制HTTP遠(yuǎn)程訪問。網(wǎng)絡(luò)管理員必須牢記，嵌入到網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的HTTP客戶機(jī)和服務(wù)器之間的通信應(yīng)當(dāng)是安全的。思科為此提供了一整套解決方案。如果網(wǎng)絡(luò)管理員能夠通過合理的配置，那么思科設(shè)備的安全性是毋庸置疑的。

　　1、在必要的時(shí)候開啟HTTP服務(wù)器。其實(shí)對(duì)于大部分有經(jīng)驗(yàn)的網(wǎng)絡(luò)管理員來說，都不習(xí)慣利用WEB界面來管理網(wǎng)絡(luò)設(shè)備。如筆者，現(xiàn)在都是通過命令行來進(jìn)行配置。因?yàn)檫@不僅安全，而且，還可以提高管理的效率。所以通常情況下，思科大部分產(chǎn)品默認(rèn)情況下，都關(guān)閉了HTTP服務(wù)器?？梢?，思科專家們也不是很鼓勵(lì)我們網(wǎng)絡(luò)管理員通過WEB形式來管理他們的網(wǎng)絡(luò)設(shè)備。一般情況下，只有剛接觸思科網(wǎng)絡(luò)設(shè)備的"菜鳥"才會(huì)通過圖形化的管理界面來熟悉思科的網(wǎng)絡(luò)設(shè)備。

　　2、若實(shí)在需要開啟HTTP服務(wù)器的話，則需要進(jìn)行相關(guān)的安全配置，來保障HTTP連接的準(zhǔn)確性。

　　雖然思科不建議我們通過HTTP協(xié)議來管理思科網(wǎng)絡(luò)設(shè)備，但是，我們網(wǎng)絡(luò)管理員仍然可以使用WEB瀏覽器來發(fā)布絕大部分的IOS命令。通過使用WEB瀏覽器界面可以訪問思科的大多數(shù)管理功能。思科網(wǎng)絡(luò)設(shè)備的大部分管理功能都可以通過HTTP協(xié)議來配置。

　　思科HTTP服務(wù)器程序它是思科IOS管理軟件的一個(gè)嵌入式組件，他允許特權(quán)級(jí)別(或其他任何配置的優(yōu)先級(jí)別)為15用戶通過瀏覽器來訪問思科設(shè)備。若要啟用HTTP服務(wù)器來管理思科網(wǎng)絡(luò)設(shè)備，需要通過如下步驟。

　　(1)啟用HTTP服務(wù)。上面筆者已經(jīng)說過，思科不少的網(wǎng)絡(luò)設(shè)備，默認(rèn)情況下都沒有開啟HTTP服務(wù)。所以，網(wǎng)絡(luò)管理員若需要采用這個(gè)服務(wù)的話，則必須手工的啟動(dòng)它。如我們網(wǎng)絡(luò)管理員需要通過利用"http server"命令來啟用它。

　　(2)相關(guān)的權(quán)限控制。若思科設(shè)備啟用了HTTP服務(wù)器之后，網(wǎng)絡(luò)管理員就可以通過WEB瀏覽器訪問路由器并進(jìn)行相關(guān)的管理。默認(rèn)情況下，思科的IOS管理軟件通常只允許特權(quán)級(jí)別為15的用戶訪問路由器預(yù)先定義的主頁或者訪問服務(wù)器。如果用戶的訪問級(jí)別不是15，則用戶沒有完全管理路由器的權(quán)限。在網(wǎng)頁上只顯示出與這個(gè)用戶所對(duì)應(yīng)的功能。另外需要注意一個(gè)版本之間的差異。在IOS11.3之前的版本，只有特權(quán)為15的用戶才能夠使用HTTP功能，并且唯一的認(rèn)證機(jī)制就是啟用Enable口令。不過在現(xiàn)在的IOS版本中，除了特權(quán)級(jí)別為15的用戶可以通過HTTP來管理路由器。而且，還可以給其他用戶進(jìn)行授權(quán)，讓其葉具有類似的管理功能。

　　(3)若要給某個(gè)用戶授予某些HTTP管理的功能，只需要通過簡單的兩步就可以授予。一是在WEB瀏覽器中輸入網(wǎng)絡(luò)設(shè)備的地址，并以特權(quán)用戶的口令登陸管理系統(tǒng)。二是通過HTTP authentication enable命令來給某個(gè)特定級(jí)別的用戶啟用HTTP功能。HTTP訪問只對(duì)特定的用戶級(jí)別開放，啟用密碼是認(rèn)證HTTP服務(wù)器用戶的方法。所以，網(wǎng)絡(luò)管理員需要注意，授權(quán)不是針對(duì)具體的用戶，而是通過對(duì)用戶級(jí)別進(jìn)行授權(quán)實(shí)現(xiàn)的。

　　二、對(duì)于密碼管理的一些建議

　　為了給Cisco網(wǎng)絡(luò)設(shè)備一個(gè)安全的管理環(huán)境，往往還需要注意一些密碼設(shè)置的技巧。對(duì)于不同的設(shè)備往往需要配置不同的密碼，所以，密碼管理是一件非常令人頭疼的工作。在實(shí)際工作中，我們可以通過AAA機(jī)制可以極大的減輕管理的工作量。因?yàn)楫?dāng)前思科許多軟件版本都支持AAA認(rèn)證和授權(quán)。所以，通過AAA機(jī)制是密碼管理的一個(gè)很不錯(cuò)的選擇。

　　與此同時(shí)，在條件允許的情況下，還可以遵循如下的建議。

　　一是特權(quán)密碼最好與其它密碼不同。在思科設(shè)備中，任何用戶都有普通用戶與特權(quán)用戶兩個(gè)基本的級(jí)別。普通用戶只能夠?qū)β酚善鞯呐渲眠M(jìn)行查看，而無法對(duì)其進(jìn)行任何的配置，包括命名等等。當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，我們往往會(huì)先利用普通用戶級(jí)別的角色去查看網(wǎng)絡(luò)設(shè)備的基本情況。等到發(fā)現(xiàn)問題的原因，再利用特權(quán)模式進(jìn)行維護(hù)。為此，若把特權(quán)密碼與其它用戶密碼設(shè)置為不同，則可以在很大程度上提高網(wǎng)絡(luò)設(shè)備的安全性。

　　二是定期的更改特權(quán)密碼，并保障密碼的復(fù)雜性。有時(shí)候，不怕一萬，就怕萬一。特群用戶密碼有時(shí)候會(huì)在網(wǎng)絡(luò)管理員不經(jīng)意之間泄露。如在輸入密碼的時(shí)候別人偷窺或者被竊取等等。所以，筆者建議，網(wǎng)絡(luò)管理員應(yīng)該養(yǎng)成定期更改特權(quán)密碼的習(xí)慣。同時(shí)，在更改時(shí)，盡量要保障密碼的復(fù)雜性。

　　三是要更改設(shè)備的默認(rèn)密碼。當(dāng)設(shè)備一連入企業(yè)網(wǎng)絡(luò)后，管理員就要更改設(shè)備的網(wǎng)絡(luò)密碼。思科的網(wǎng)絡(luò)設(shè)備往往都會(huì)有默認(rèn)的管理員密碼，而且，可惜的是，任何網(wǎng)絡(luò)設(shè)備的管理員密碼都是相同的。

　　三、利用SNMPv2 協(xié)議來代替SNMPv1 協(xié)議。

　　簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是一個(gè)搜集統(tǒng)計(jì)信息并遠(yuǎn)程監(jiān)視網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的協(xié)議。他是一個(gè)非常簡單地協(xié)議。在V1版本中，其實(shí)根本沒有提供任何的安全措施。那時(shí)，SNMP協(xié)議都是通過明文傳輸?shù)?。包括密碼在內(nèi)，在網(wǎng)絡(luò)內(nèi)的傳輸都是明文的。所以，是非常不安全的。

　　為此，筆者建議，應(yīng)該采用V2版本，而不要采用V1版本。因?yàn)閂2解決了V1版本中的一些漏洞。特別值得強(qiáng)調(diào)的是，在V2種，采用了MD5算法來驗(yàn)證SNMP管理器和代理器之間傳遞信息。在思科網(wǎng)絡(luò)設(shè)備中，有SNMP兩個(gè)選項(xiàng)，分別為只讀與讀寫兩個(gè)模式。

　　只讀模式下往往只能夠讀取SNMP MIB對(duì)象;而讀寫模式則指定SNMP管理員可以讀取并更改MIB對(duì)象。另外在實(shí)際工作中，要結(jié)合IP地址來管理網(wǎng)絡(luò)設(shè)備的訪問權(quán)限。通常情況下，用戶都應(yīng)該配置過濾器并且只允許某些特定的IP地址擁有設(shè)備的SNMP訪問權(quán)。另外，在平時(shí)的管理中，如果只是收集一些統(tǒng)計(jì)信息，則最好只采用只讀模式。對(duì)于讀寫模式的管理選項(xiàng)，要慎用。并且啟用讀寫模式時(shí)，一定要做好相關(guān)的安全配置。如筆者在日常配置中，最好只允許自己的IP地址來啟用讀寫模式，以保障管理的安全性。

　　另外，在最新的思科管理軟件中，還采用了SNMPv3版本。這個(gè)版本在V2 的基礎(chǔ)上，安全性更高。如增加了更多的認(rèn)證方式，同時(shí)，機(jī)密性也得到了進(jìn)一步提高。在對(duì)于網(wǎng)絡(luò)穩(wěn)定性與安全性有特殊要求的企業(yè)，可以考慮采用V3版本的SNMP協(xié)議來管理思科網(wǎng)絡(luò)設(shè)備。

　　四、SSH與Telnet遠(yuǎn)程管理協(xié)議

　　筆者在實(shí)際工作中，還是喜歡通過一些遠(yuǎn)程管理協(xié)議來遠(yuǎn)程管理網(wǎng)絡(luò)設(shè)備。如果用戶需要遠(yuǎn)程管理的話，則有SSH與Telnet兩種協(xié)議可以選擇。不過在選擇的時(shí)候，需要注意一個(gè)問題。Telnet與SSH在安全上是相差很大的。

　　Telnet屬于一種遠(yuǎn)程管理協(xié)議，但是，其跟SNMPv1版本一樣，基本上沒有提供可以使用的安全機(jī)制。其無論是代碼，還是用戶名與口令，在網(wǎng)絡(luò)上都是明文傳輸?shù)摹Ｋ?，其是非常危險(xiǎn)的。所以，思科網(wǎng)絡(luò)設(shè)備在通常情況下，都是沒有啟用這個(gè)功能的。若網(wǎng)絡(luò)管理員需要的話，要先開啟這個(gè)功能。不過向HTTP協(xié)議一樣，思科網(wǎng)絡(luò)管理專家一般不建議大家通過這種方式對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理。若用戶真的需要采用這個(gè)協(xié)議的話，則筆者建議網(wǎng)絡(luò)管理員，結(jié)合Ipsec等安全工具來加強(qiáng)其安全性。

　　筆者更傾向于SSH來管理思科網(wǎng)絡(luò)設(shè)備。因?yàn)镾SH比起Telnet協(xié)議來說，提供了更高的安全性。如其口令與代碼在網(wǎng)絡(luò)中都是通過密文來傳輸?shù)?。所以，相?duì)來說，其安全性要比Telent安全的多。若用戶采用的是Linux操作系統(tǒng)，則其自身就帶有SSH功能。若用戶采用的是微軟操作系統(tǒng)的話，則其只有Telent工具，而沒有SSH遠(yuǎn)程連接工具。若此時(shí)用戶需要SSH來管理的話，則可以從網(wǎng)絡(luò)免費(fèi)下載SSh協(xié)議客戶端。這是一個(gè)大小只有幾十K的軟件包，使用起來非常的方便。而且其還是免費(fèi)的。

　　筆者認(rèn)為，在維護(hù)思科網(wǎng)絡(luò)設(shè)備時(shí)，其性能、安全性、靈活性是我們?nèi)粘９芾砉ぷ髦械娜齻€(gè)主要目標(biāo)。故對(duì)于安全性來說，大家可以借鑒我以上的三個(gè)建議，為思科網(wǎng)絡(luò)設(shè)備提供一個(gè)安全的管理環(huán)境。

關(guān)鍵詞標(biāo)簽：網(wǎng)絡(luò)設(shè)備,安全管理

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>