如今,随着计算机网络的逐渐壮大,企业网络也面临着巨大的挑战。其中,挑战较大的就是企业互联设备。企业网络互联设备的安全构建与否,关乎到企业航母——服务器的存亡。因此,如何构建一套完整的企业网络互连设备的安全体系,显得格外重要。

本篇,系笔者倾力奉献,谢绝摘抄、转载、剽窃等侵权行为,请亲们谅解。(为了方便您搭建TFTP服务器,笔者在文章末尾特意给您免费共享一款tftp服务器软件。)

现阶段网络互联设备面临的问题

由于TCP/IP协议体系本身所存在的漏洞以及网络互联设备本身所存在的漏洞,企业网络互联设备面临着巨大的挑战。

一、TCP/IP协议问题。

TCPIP协议在制定时,没有考虑安全因素。TCPIP协议数据流采用明文传输,数据信息很容易被在线窃听,篡改和伪造:***者可以在一定范围内直接修改节点的IP地址,冒充可信节点进行***;***者同样可以利用RIP协议在网上发布错误路由信息,利用ICMP的重定向信息欺骗路由器或主机,实现对网络的***。

可以说由于TCP/IP协议体系本身所存在的问题,造成的问题不胜枚举,在此笔者只是简单讨论。

二、网络互联设备本身问题

由于各大设备厂商独立开发本身设备的OS,因此,难免存在各种各样的漏洞。对于企业来讲,一旦发现漏洞需要即使修复,如果不采取措施,很可能就会轻易被攻破。而企业设备往往很多,如何统一进行打补丁,如何在很短的时间内对所有的设备进行打补丁,就是一个值得考虑的问题了。

网络互联设备解决方案

一、OS方案

可能是由于才疏学浅,笔者只在互联网上找到一些cisco公布自己漏洞的相关新闻,而h3c和锐捷关于漏洞的新闻,笔者是没有看到。因此笔者仅针对与cisco产品提出解决方案。

1.定期备份

    不论是否进行升级,是否进行打补丁,都需要为互联设备备份。主要备份操作系统、配置文件的等重要的信息。考虑到设备较多的问题,一定要搭建TFTP服务器。另外需要注意将TFTP服务器放置在绝对安全的区域。(可以不与任何网络相连,只有在需要时才进行连接)

2.定期打补丁

    为了充分的保证企业设备的安全,可以定期关注cisco官方网站,定期打补丁。考虑到企业网络互联设备较多的问题,可以组建类似于WSUS的打补丁专用服务器。

3.定期升级

    如果想要得到最新的功能,可以考虑升级互联设备的OS。但考虑到新os的不可预知性,不建议这样做。

二、密码方案

1.密码本身问题。

    为了管理方便很多管理员在组网时,采用了较为简单的密码进行验证。比如在SNMP、缺省的管理密码等。因此,需要对密码本身进行重新设置,设置为较为复杂的密码。

2.验证方案

针对于telnet(尽量关闭telnet)ssh等,不建议在设备本身建立帐号。应该采用专用的服务器进行验证。本篇以H3C设备采用ACS为例进行说明。

出于篇幅的考虑,笔者仍使用明文的telnet和不安全的密码。而且笔者只是针对于设备的配置进行简要说明,如果您感兴趣,想要更为详细的步骤的话,可以参考笔者的另一篇文章《千呼万唤ACS始出来》。(http://pheonix.blog.51cto.com/4449015/804187

实验要求:某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备。由于设备有限,笔者仅使用一台设备进行模拟管理。

实验拓扑: 

实验设备:Radius认证服务器一台(CISCO ACS运行环境Windows Server 2003)

          H3c  二层交换机2600系列一台

          PC机一台

实验步骤:

    针对于二层设备上的配置如下:

   (1)、首先建立radius方案

[sw3]radius scheme xxx  

新的Radius服务器

[sw3-radius-xxx]primary au 192.168.100.138  指定远端服务器地址

[sw3-radius-xxx]key au 123456 验证密码与服务器一致

[sw3-radius-xxx]server-type huawei 此项尤为重要,一定要选择huawei,否则将无法获得管理员权限

[sw3-radius-xxx]user-name-format without-domain 去除域名

[sw3-radius-xxx]accounting optional  计费可选

   (2)、建立域

[sw3]domain tec

添加了新域。

[sw3-isp-tec]radius-scheme xxx  使用刚刚创立的radius方案

[sw3-isp-tec]access-limit en 10 设置连接数限制

[sw3-isp-tec]accounting  optional 计费可选

[sw3-isp-tec]state active  状态激活

   (3)、配置验证模式

[sw3]user-interface vty 0 4

[sw3-ui-vty0-4]authentication-mode  scheme 选择方案

三、接入方案

1.ARP绑定

实验要求:某公司为了实现对设备的安全管理,只允许特定的主机可以和某设备进行通讯,而不允许他人和该设备进行通讯,而其他人即使进行了伪造仍然不可以和该设备通讯。

实验拓扑: 

实验设备:H3C二层交换机S2000系列一台

          PC机1(使用H3C 防火墙F100-C模拟PC)一台

          PC机2(Windows xp)一台

实验步骤:

(1)PC1上配置 

(2)SW交换机上配置 

(3)PC2机上查看 

2.mac绑定

实验要求:为了实现对设备接口的安全管理,只允许特定主机使用该接口,其他人不允许,即使其他人伪造该主机信息,仍然不可以使用此接口。

实验拓扑: 

实验设备:H3C二层交换机S2000系列一台

          PC机1(使用H3C 防火墙F100-C模拟PC)一台

          PC机2(Windows xp)一台

          PC机3(伪造信息主机)一台(未画出)

实验步骤:

(1)、防火墙上进行配置 

(2)、交换机上进行配置 

3)、伪造主机上查看信息 

3. 端口隔离

实验要求:出于保护特殊设备(或主机)的考虑,公司拟定将普通员工的主机与该特定目标设备(或主机)隔离,不允许普通员工与主机进行通讯。

实验拓扑: 

实验设备:H3C二层交换机S2000系列一台

          PC机(Windows xp)两台

实验步骤:

(一)、使用普通员工主机测试与特定设备(主机)通讯状况 

(二)、在交换机上配置 

(三)、再次使用普通员工主机测试与特定设备(主机)通讯状况 

4.AM管理1(端口隔离)

实验要求:出于保护特殊设备(或主机)的考虑,公司拟定将普通员工的主机与该特定目标设备(或主机)隔离,(采用AM管理技术)不允许普通员工与主机进行通讯。

实验拓扑: 

实验设备:H3C三层交换机S3526E系列一台

          PC机(Windows xp)两台

实验步骤:

    (1)、使用普通员工主机测试与特定设备(主机)通讯状况 

    (2)、在交换机上配置 

3)、再次使用普通员工主机测试与特定设备(主机)通讯状况 

5.AM管理(限定地址范围)

实验要求:某公司为了实现对特殊设备的安全管理,限制特定的地址范围通过特殊端口进行连接并管理该设备。

实验拓扑: 

实验设备:H3C三层交换机S3526E系列一台

          PC机(Windows xp)一台

实验步骤:

1)、使用主机连接设备,并进行管理 

  

    (2)、在交换机上进行配置 

    (3)、再次使用主机连接设备,查看结果。 

6.标准ACL

实验要求:某公司为了实现对设备的安全管理,拟定限制主机在特殊时间,连接并管理设备。

实验拓扑: 

实验设备:H3C三层交换机S3526E系列一台

          PC机(Windows xp)一台

实验步骤:

1)、使用主机连接设备,并进行管理 

  

    (2)、在三层交换机上进行配置 

  

  

    (3)、再次使用主机连接设备,查看结果。 

 

7.专家ACL

实验要求:某公司为了实现对特定(设备)主机群进行保护,限制其它主机群对该主机进行ping测试,从而达到对该特定目标的保护。

实验拓扑:

实验设备:H3C三层交换机S3526E系列一台

          PC机1(使用H3C 防火墙F100-C模拟PC)两台

实验步骤:

    (1)、在防火墙1上进行配置

    (2)、在防火墙2上进行配置

    (3)、在三层交换机上进行配置

  

 

   

 

   

    (4)、再次使用防火墙1进行测试

    (5)、再次使用防火墙2进行测试

8.二层访问控制列表

实验要求:公司为了针对特殊的设备进行保护,采取了严格的措施,绑定mac、端口等技术,严格保护特定设备,保证该设备不被探测到。

实验拓扑: 

实验设备:H3C三层交换机S3526E系列一台

          PC机1(使用H3C 防火墙F100-C模拟PC)两台

实验步骤:

    (1)、在防火墙1上进行配置 

    (2)、在防火墙2上进行配置 

    (3)、在三层交换机上进行配置 

  

  

    (4)、再次使用防火墙1进行测试 

    (5)、再次使用防火墙2进行测试 

四、救援方案

     当然仅仅使用以上技术,仍然不能达到目的。为了防止设备遭受到更为严重的破坏,需要备份设备文件。

实验要求:公司针对于设备的操作系统进行备份,防止设备遭受到更大的破坏。

实验拓扑:

 

实验设备:CISCO 路由器2600一台

          TFTP SERVER(在XP系统上使用TFTP_SERVER 软件构建服务器)一台

实验步骤:

    (1)、对路由器进行基本配置 

    (2)、备份路由器操作系统 

  

  

    (3)、模拟故障,删除路由器操作系统 

    (4)、进入故障的路由器,进行灾难恢复 

  

(5)、查看正常路由器 

总结:

   综上,可以看到企业互联设备面临着种种挑战,需要运用多种技术,综合使用,才可以确保企业设备的安全。只有通过综合使用多种技术,才能构建全方位的安全体系,最终才可以保障企业驱逐舰的安全。