网络设备的加固

一、概述

网络设备是我们每个项目都会接触到的，虽然我们可以通过配置做到满足网络环境的需求，但是从安全层面来说，如何保障网络设备的安全性呢，今天就和大家聊一聊如何对网络设备进行安全加固。并且详细讲解一下各个加固项。

二、核心加固项

1、设备更名

设备上线时均为出厂时名字，需要对设备进行更名，例如此交换机为三层机房五机柜的数据库交换机，可更名为SW-DB-3/5，这样可以方便运维人员的管理与故障的快速定位。

2、ssh登录

设备默认可能允许多种登录方式如telnet，众所周知，telnet登录是不安全的，所以对网络设备进行管理时大多数会采用ssh登录方式，关闭其他不安全的登录方式。

3、口令复杂度

设置网络设备的密码复杂度也是十分必要的，避免管理账户出现弱口令。

4、三员

对网络设备进行三权分立。对管理员，操作员，审计员应分别授予不同权限，增加设备安全性，进行分级管理。

5、登录超时和登录失败锁定

这个就不需要解释了吧。

6、开启日志审计

对日志进行记录，记录设备连接日志和系统操作日志。

7、系统时钟校正

这个加固项看起来虽然不起眼，但其实也很重要。一旦出现安全事件，日志记录的时间却不准确，对于故障分析以及追责都会有很大影响。

8、限制管理主机

这个不需要多说，为了安全，肯定不会允许其他没有管理需求的主机能够登录设备，所以限制管理主机也是十分必要的。

三、可选加固项

以上核心加固项列出的几点是所有网络设备都必须要做的加固的基础项，接下来是可选的加固项，这篇文章里就只列点，不一一解释了。

开启snmp指到管理服务器

限制snmp陷阱源地址范围

开启syslog指到管理服务器

arp绑定

console端口密码配置

关闭cdp

关闭无用端口

四、总结

网络设备的加固项目前我只列出这么多，可能还有没有想到的。欢迎补充。命令也就不展示了，各厂商的配置命令也不尽相同，不过大同小异。总之，我们作为一个安全行业从业者，必须谨小慎微，不放过每一个可能产生威胁的点，虽然没有绝对的安全，但是我们要做到更安全，大家共勉。

欢迎关注！！！