掌握交換機設(shè)定秘籍守護網(wǎng)絡(luò)安全

SNMPv3安全參數(shù)界面

SNMPv3建議的安全模型是基于用戶的安全模型，即USM。USM對網(wǎng)管消息進行加密和認證是基于用戶進行的，具體地說就是用什么協(xié)議和密鑰進行加密和認證均由用戶名稱userName)權(quán)威引擎標識符(EngineID)來決定(推薦加密協(xié)議CBCDES，認證協(xié)議HMAC-MD5-96和HMAC-SHA-96)，通過認證、加密和時限提供數(shù)據(jù)完整性、數(shù)據(jù)源認證、數(shù)據(jù)保密和消息時限服務(wù)，從而有效防止非授權(quán)用戶對管理信息的修改、偽裝和竊聽。

但SNMP也存在著一定的問題，它使用嵌入到網(wǎng)絡(luò)設(shè)施中的代理軟件來收集網(wǎng)絡(luò)通信信息和有關(guān)網(wǎng)絡(luò)設(shè)備的統(tǒng)計數(shù)據(jù)，代理不斷地收集統(tǒng)計數(shù)據(jù)并記錄到MIB中，網(wǎng)絡(luò)管理人員通過向代理的MIB發(fā)出查詢信號(輪詢)可以得到這些信息。雖然MIB計數(shù)器將統(tǒng)計數(shù)據(jù)的總和記錄下來了，但它無法對日常通信量進行歷史分析。而為了能全面地查看通信流量和變化率，管理人員必須不斷地輪詢SNMP代理，這就帶來了巨大的工作量。

這時SNMP建立在輪詢管理上的兩個明顯弱點便顯現(xiàn)出來，如在大型的網(wǎng)絡(luò)中，輪詢會產(chǎn)生巨大的網(wǎng)絡(luò)管理通信量，因而導(dǎo)致通信擁擠情況的發(fā)生;它將收集數(shù)據(jù)的負擔加在網(wǎng)絡(luò)管理控制臺上，管理站也許能輕松地收集8個網(wǎng)段的信息，但當它們監(jiān)控48個網(wǎng)段時恐怕就難以應(yīng)付了。

更為可靠的SSH安全協(xié)議

至于通過FTP、POP和Telnet等網(wǎng)絡(luò)服務(wù)應(yīng)用的，由于它們都有一個致命的弱點——在網(wǎng)絡(luò)上以明文的方式傳送數(shù)據(jù)、用戶帳號及用戶口令，很容易受到中間人(man-in-the-middle)攻擊方式的攻擊，遭遇口令竊取。但采用SSH進行通訊時，用戶名及口令均進行了加密，可有效防止非法用戶對口令的竊聽，便于網(wǎng)管人員進行遠程的安全網(wǎng)絡(luò)管理。

SSH是目前較可靠，專為遠程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進行加密，也能夠防止DNS欺騙和IP欺騙。

SSH之另一項優(yōu)點為其傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取SH有很多功能，它既可以代替Telnet，又可以為FTP、POP、甚至為PPP提供一個安全的“通道”。

秘籍四：掌握syslog和watchdog

系統(tǒng)日志syslog

對于交換機的安全設(shè)置，不可缺少的是關(guān)于syslog日志功能的利用。該功能可以將系統(tǒng)錯誤、系統(tǒng)配置、狀態(tài)變化、狀態(tài)定期報告、系統(tǒng)退出等用戶設(shè)定的期望信息傳送給日志服務(wù)器，網(wǎng)管人員依據(jù)這些信息掌握設(shè)備的運行狀況，及早發(fā)現(xiàn)問題，及時進行配置設(shè)定和排障，保障網(wǎng)絡(luò)安全穩(wěn)定地運行。

系統(tǒng)日志syslog界面

syslog常被稱為系統(tǒng)日志或系統(tǒng)記錄，是一種用來在網(wǎng)際網(wǎng)路協(xié)議(TCP/IP)的網(wǎng)路中傳遞記錄檔訊息的標準。syslog協(xié)議屬于一種主從式協(xié)議，syslog發(fā)送端會傳送出一個小的文字訊息(小于1024位元組)到syslog接收端。接收端通常名為“syslogd”、“syslog daemon”或syslog服務(wù)器。

系統(tǒng)日志訊息可以被以UDP協(xié)議或TCP協(xié)議來傳送，并且是以明碼型態(tài)被傳送的。不過由于SSL加密外套(例如Stunnel、sslio或sslwrap等)并非syslog協(xié)議本身的一部分，因此可以被用來透過SSL/TLS方式提供一層加密。

syslog通常被用于資訊系統(tǒng)管理及資料審核，雖然它有不少缺陷，但仍獲得相當多裝置及各種平臺終端的支持。因此syslog能被用來將來自許多不同類型系統(tǒng)的日志記錄整合到集中的儲存庫中。

設(shè)定watchdog

watchdog通過設(shè)定一個計時器，如果設(shè)定的時間間隔內(nèi)計時器沒有重啟，則生成一個內(nèi)在CPU重啟指令，使設(shè)備重新啟動，這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟，保障網(wǎng)絡(luò)的安全運行。

硬件watchdog比軟件watchdog有更好的可靠性。軟件watchdog基于內(nèi)核的定時器實現(xiàn)，當內(nèi)核或中斷出現(xiàn)異常時，軟件watchdog將會失效。而硬件watchdog由自身的硬件電路控制， 獨立于內(nèi)核。無論當前系統(tǒng)狀態(tài)如何，硬件watchdog在設(shè)定的時間間隔內(nèi)沒有被執(zhí)行寫操作，仍會重新啟動系統(tǒng)。

秘籍五：查看是否可通過雙鏡像文件恢復(fù)

現(xiàn)在一些新型的交換機已經(jīng)具備了雙映像文件，這一功能可保護設(shè)備在異常情況下(固件升級失敗等)仍然可正常啟動運行。

交換機文件系統(tǒng)分majoy和mirror兩部分進行保存，如果一個文件系統(tǒng)損害或中斷，另外一個文件系統(tǒng)會將其重寫，如果兩個文件系統(tǒng)都損害，則設(shè)備會清除兩個文件系統(tǒng)并重寫為出廠時默認設(shè)置，確保系統(tǒng)安全啟動運行。

秘籍六：限制流量控制

通過交換機的流量控制功能，可以把流經(jīng)端口的異常流量限制在一定的范圍內(nèi)。

例如，思科交換機具有基于端口的流量控制功能，能夠?qū)崿F(xiàn)風暴控制、端口保護和端口安全。

風暴控制能夠緩解單播、廣播或組播包導(dǎo)致的網(wǎng)絡(luò)變慢，通過對不同種類流量設(shè)定一個閾值，交換機在端口流量達到設(shè)定值時啟動流量控制功能甚至將端口宕掉。

端口保護類似于端口隔離，設(shè)置了端口保護功能的端口之間不交換任何流量。

端口安全是對未經(jīng)許可的地址進行端口級的訪問限制?，F(xiàn)在華為交換機也提供流量控制和廣播風暴抑制比等端口控制功能。

流量控制功能用于交換機與交換機之間在發(fā)生擁塞時通知對方暫時停止發(fā)送數(shù)據(jù)包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設(shè)定值的廣播流量進行丟棄處理。

不過，交換機的流量控制功能只能對經(jīng)過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內(nèi)，而無法區(qū)分哪些是正常流量，哪些是異常流量。同時，如何設(shè)定一個合適的閾值也比較困難。如果需要對報文做更進一步的控制用戶可以采用ACL(訪問控制列表 )。

ACL利用IP地址、TCP/UDP端口等對進出交換機的報文進行過濾，根據(jù)預(yù)設(shè)條件，對報文做出允許轉(zhuǎn)發(fā)或阻塞的決定。思科和華為的交換機均支持IP ACL和MAC ACL，每種ACL分別支持標準格式和擴展格式。標準格式的ACL根據(jù)源地址和上層協(xié)議類型進行過濾，擴展格式的ACL根據(jù)源地址、目的地址以及上層協(xié)議類型進行過濾。