文档介绍:IP网络安全防护方案研究
摘 要
本文研究如何为运营商提供网络安全保护方案,并通过网络设备、网络协议、网络设备访问等多方面进行阐述,为提高运营商网络安全提供参考。
【关键词】网络安全 路由协议 NTP SNMP
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
Internet的不安全因素,来自两个方面。一方面,Internet网络做为一种开放的通信基础设施,是面向所有用户提供服务的;另一方面,Internet技术是开放和标准的,任何人都可以取得和进行研究。随着国内互联网的发展,来自国内的黑客攻击也日益频繁,黑客攻击的案例不断增加,而且来自于国内的网络攻击呈指数增长的趋势。
但是,在实际操作中,保障网络安全与提供高效灵活的网络服务是一对矛盾。从网络服务的可用性、灵活性和网络性能考虑,网络结构和技术实现应该尽可能简捷,不引入额外的控制因素和资源开销。但从网络安全保障考虑,则要求网络对所提供的服务的种类、时间、对象、地点甚至内容有尽可能多的了解和控制能力,实现这些附加的安全功能不可避免地要耗费有限的网络资源或限制网络资源的使用,从而对网络系统的性能、服务的使用方式和范围产生影响。
1 网络安全建议
建议互联网运营商在运营过程中采用如下安全措施:
关闭不必要的服务
关闭网络设备上的不必要的服务,如Finger等。
设置加密特权密码
使用加密的特权密码,注意密码的选择:
(1)不要使用登录名,不管以何种形式;
(2)不要用名字的第一个、中间一个或最后一个字;
(3)不要用最亲近的家人的名字;
(4)不要用其他任何容易得到的关于你的信息;
(5)不要使用纯数字或完全同一个字母组成的口令;
(6)不要使用在英文字典中的单词;
(7)不要使用短于6位的口令;
(8)不要将口令告诉任何人或通过电子邮件给任何人;
打开密码标记
加密密码,原先使用明文显示的密码将会以密文方式出现。
配置Console、AUX和VTY登录控制
登录一台路由器可以通过Console端口、AUX端口和VTY
远程方式。在三种登录方式下需要设置认证和超时选项。建议认证使用本地用户名加密码的方式增加安全性。
设置NTP server,配置日志服务
为了保证全网网络设备时钟的同步,必须在网络设备上配置NTP。在所有的路由器或交换机上配置相应的日志选项,将日志的DEBUG的信息做上时间标志。
限制SNMP访问
限制可以通过SNMP访问该网络设备的地址。
3 路由器安全建议
路由器的安全可以分为三部分:
(1)路由器的物理安全
(2)操作系统安全
(3)网络安全配置
过安全配置策略减少路由器受攻击的手段,主要包含以下几部分:
(1)路由器访问安全
(2)路由协议安全
(3)保护路由引擎
(4)安全审计建议对某网络安全做如下安全策略部署,