网络安全加固之交换机篇

前言:随着国家信息化发展与进步,网络安全法的颁布完善,等级保护对企业安全的要求,因此会面临很多信息系统安全加固的项目,信息系统安全加固肋项目在可以为加快等级保护的审查进度,对企业信息安全提供基础的安全保护。网络安全加固出现的原因在于系统建设早于安全的需求,因此在已建成的系统中,集成人员大多数采用默认配置,未对网络及信息系统进行精细化的安全考虑,很多安全需求不明确,是安全加固类项目存在的必要条件。本篇将细细总结网络设备交换机安全加固,部分来源于网络,个别出于自己经验与学习总结,大神请绕路,不喜勿喷!

一.设备介绍

交换机作用:物理编址,差错校验,划分冲突域,配置VLAN隔离广播,链路汇聚,链路捆绑,STP,有些支持三层的路由功能,ACL功能等等。简单的说,1扩口,2一个物理交换当多个虚拟交换机使用(vlan)。

二.加固策略

1.1.设备登录安全

登录设备的三种方式:

(1)console/aux

能够接触到设备的人员进行console管理的安全风险。

加固方式:配置console密码,cisco方式:

配置成功如下图:

华为方式:

(2)ssh/Telnet

1.密码认证和RSA认证

2.变更端口号:变更更改知名端口

3.ACL:限制登录源

4.配置ssh服务器源接口:原因是默认情况下,接受所有接口发来的ssh登录请求 ,更改后,只允许登录设定的接口IP。

(3)Web

1.禁用web管理,如需开启,则需要加强以下方面:

http AAA 认证:

2.限制登录主机地址:

3.变更服务端口号:

4.更改HTTP为HTTPS:

1.2AAA用户管理安全

本地帐号锁定功能,配置用户的重试时间间隔为6分钟、连续输入错误密码的限制 次数为4次及帐号锁定时间为6分钟

有部分设备直接支持password-control,选项,以实际为主。

1.3SNMP管理设备安全

1.配置SNMP限制网段,

2.配置视图

3.建立SNMP用户,关联ACL,并设置认证方式为sha,加密方式选择sha512,基于用户和组进行过滤

1.4端口安全

端口安全中,主要有:

端口隔离,

加入同一个组的端口互相,不同组隔离

端口防环:

MAC地址绑定,MAC地址学习数量限定:

此功能是将动态学习到的MAC地址设置为安全属性,其他没有被学习到的非安全属性的MAC的帧将被端口丢弃

配置其他非安全mac地址数据帧的处理动作

在配置STP,MSTP时,直接定死根端口,免得因新接入交换机产生根转移。

1.5禁用或关闭多余无用服务

1.禁用多余或无用服务,需要根据实际业务情况进行配置

2、关闭CDP

1.6开启密码加密服务

以cisco密码加密存放示例

1.7配置log server、时间服务及与用于带内管理的ACL等,便于进行安全审计

通过以上加固策略,基本上做到了设备登录安全,管理安全,流量控制安全,安全审计等,这对企业的网络安全一定的提升。

最后,感谢大家的关注,愿意与各位共同进步!

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190515A0KYYX00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

同媒体快讯

扫码关注云+社区

领取腾讯云代金券