【摘 要】本文主要對IP城域網(wǎng)設(shè)備管理中的安全防護(hù)情況，結(jié)合目前較成熟的安全防護(hù)技術(shù)，分別從設(shè)備的防護(hù)手段，設(shè)備配置方法，綜合防護(hù)措施，使網(wǎng)絡(luò)設(shè)備的安全防護(hù)能力得以提高。

【關(guān)鍵詞】設(shè)備管理；安全防護(hù)；服務(wù)；協(xié)議；訪問列表

0.引言

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)中的安全防護(hù)問題日趨嚴(yán)峻，網(wǎng)絡(luò)設(shè)備被攻擊而導(dǎo)致無法為用戶提供服務(wù)的情況時(shí)有發(fā)生，原有的一些傳統(tǒng)設(shè)備管理方式和方法存在安全隱患，管理人員往往重視對用戶攻擊的防護(hù)而忽視了對設(shè)備本身安全的防護(hù)。為保證網(wǎng)絡(luò)設(shè)備的穩(wěn)定運(yùn)行，提高對外來攻擊的防護(hù)能力，加強(qiáng)網(wǎng)絡(luò)設(shè)備對遠(yuǎn)程管理的可靠性，在網(wǎng)絡(luò)設(shè)備管理中要采用更加安全、便捷的技術(shù)手段管理網(wǎng)絡(luò)設(shè)備。

1.網(wǎng)絡(luò)設(shè)備管理存在的安全風(fēng)險(xiǎn)

1.1對設(shè)備的遠(yuǎn)端管理采取傳統(tǒng)管理方式，無接入限制，存在隱患

在對設(shè)備的遠(yuǎn)程管理上，基本都是通過傳統(tǒng)的TELNET 方式管理，由于TELNET協(xié)議特點(diǎn)決定其不安全性，沒有口令保護(hù)，遠(yuǎn)程用戶的登陸傳送的帳號和密碼都是明文，沒有加密，使用普通的抓包工具就可以被截獲。沒有強(qiáng)力認(rèn)證過程，只是驗(yàn)證連接者的帳戶和密碼。 沒有完整性檢查，傳送的數(shù)據(jù)沒有辦法確定是否完整的，而不是被篡改過的數(shù)據(jù)。

1.2 SNMP訪問無限制

簡單網(wǎng)絡(luò)管理協(xié)議SNMP是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最廣的管理協(xié)議，主要有三個(gè)版本，SNMP1，SNMP2，SNMP3其中版本1最常用，但是他有很多安全問題，原因是他的認(rèn)證方案是基于一個(gè)字符串的，字符串在網(wǎng)絡(luò)上沒有任何加密，采用明文傳輸，所以是非常脆弱的。

1.3開啟不必要服務(wù)，增加了設(shè)備的被攻擊幾率

許多設(shè)備在出廠時(shí)為了保證多種應(yīng)用需要，在缺省情況下的許多服務(wù)是開啟，例如：DHCP，WEB，F(xiàn)INGER，F(xiàn)TP等等，這些服務(wù)在我們的實(shí)際工作中往往應(yīng)用不到，，我們往往忽視對這些服務(wù)端口的管理與防護(hù)，但這些開啟的服務(wù)端口卻可能成為設(shè)備被攻擊的最好載體。

1.4設(shè)備管理安全防護(hù)未做到全網(wǎng)聯(lián)動(dòng)

我們在對設(shè)備安全防護(hù)時(shí)對一些關(guān)鍵的設(shè)備關(guān)注較多，而對一些底端的接入設(shè)備關(guān)注較少，但是這些設(shè)備往往由于處理能力較弱，防護(hù)功能較弱，漏洞較多而成為被攻擊的目標(biāo)，這些設(shè)備一旦被攻破，則會危及到關(guān)鍵設(shè)備的安全，近而危及整個(gè)網(wǎng)絡(luò)的安全。

2.設(shè)備管理安全防護(hù)優(yōu)化策略與方法

針對網(wǎng)絡(luò)設(shè)備安全防護(hù)中的問題，通過加強(qiáng)設(shè)備的訪問配置、服務(wù)端口限制進(jìn)行優(yōu)化，加強(qiáng)核心出口對網(wǎng)內(nèi)設(shè)備訪問限制優(yōu)化，提高全網(wǎng)設(shè)備對安全攻擊的綜合防控能力。

2.1加強(qiáng)設(shè)備的遠(yuǎn)程管理控制，提高遠(yuǎn)程管理安全性

TELNET 是TCP/IP環(huán)境下的終端仿真協(xié)議，通過TCP建立服務(wù)器與客戶機(jī)之間的連接。連接后，TELNET服務(wù)器與客戶機(jī)進(jìn)入?yún)f(xié)商階段，選定雙方都支持連接操作，每個(gè)連接系統(tǒng)可以協(xié)商新可選項(xiàng)或重協(xié)商舊可選項(xiàng)。傳統(tǒng)telnet連線會話所傳輸?shù)馁Y料并未加密，因此需要將telnet服務(wù)關(guān)閉，改用更為安全的SSH。

SSH是替代Telnet和其他遠(yuǎn)程控制臺管理應(yīng)用程序的行業(yè)標(biāo)準(zhǔn)。SSH命令是加密的并以多種方式進(jìn)行保密。在使用SSH的時(shí)候，一個(gè)數(shù)字證書將認(rèn)證客戶端和服務(wù)器之間的連接，并加密受保護(hù)的口令。SSH保護(hù)并且有助于防止欺騙，“中間人”攻擊，以及數(shù)據(jù)包監(jiān)聽。

在城域網(wǎng)內(nèi)所有支持SSH管理的設(shè)備上啟用SSH管理方式。登錄城域網(wǎng)路由器或交換機(jī)，并確定是否加載了一個(gè)支持SSH的IPSec IOS鏡像。確定支持后進(jìn)行啟用SSH配置，以下為常用的華為設(shè)備配置方法；

local-user abcde password cipher DDN/[AN^C@；，YWX*NZ65OA！！

local-user abcde service-type telnet ssh

ssh user abcde authentication-type password

ssh user abcde service-type stelnet

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

在配置好SSH登錄后關(guān)閉TELNET登錄方式，增強(qiáng)設(shè)備健壯性。

同時(shí)為設(shè)備設(shè)置會話超時(shí)斷開及警示登錄標(biāo)語消息

2.2加強(qiáng)SNMP安全防護(hù)，針對SNMP訪問設(shè)置訪問列表

由于SNMP強(qiáng)大的網(wǎng)絡(luò)管理功能，在網(wǎng)絡(luò)管理中得到廣泛應(yīng)用，但在應(yīng)用中也暴露出明顯安全不足，如，缺少身份驗(yàn)證（Authentication）和加密（Privacy）機(jī)制。雖然在SNMPv2版本后有了很大改進(jìn)，但許多廠商使用的還是標(biāo)準(zhǔn)的通信字符串。為了提高SNMP通信時(shí)不被黑客截獲數(shù)據(jù)而被入侵。有必要對所管理的網(wǎng)絡(luò)設(shè)備進(jìn)行SNMP協(xié)議限制。

在使用SNMP時(shí)，盡量將SNMP服務(wù)升級到2.0或更高的版本。修改所有默認(rèn)的通信字符串。另外在設(shè)備上，應(yīng)該編寫一個(gè)ACL，只允許特定的可信任的SNMP管理系統(tǒng)進(jìn)行SNMP操作。下面的命令可以設(shè)定SNMP版本，并且為SNMP管理啟用ACL控制，只允許來自SNMP管理系統(tǒng)的SNMP通信，限制網(wǎng)絡(luò)上的所有其他SNMP通信：

snmp-agent sys-info version

snmp-agent community read abcdef acl 2000

acl number 2000

rule 5 per source xx.xx.xx.xx xx.xx.xx.xx

這個(gè)ACL的第一行定義了可信任管理系統(tǒng)（xx.xx.xx.xx）。利用snmp-agent community read abcdef acl 2000的命令可以將上述ACL應(yīng)用到SNMP中.在網(wǎng)絡(luò)出口上過濾SNMP通信和請求，阻塞SNMP請求使用的端口，外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的能力就受到了限制。

2.3關(guān)閉不必要的服務(wù)，對必需開啟的服務(wù)通過訪問列表進(jìn)行控制

對于我們所維護(hù)的網(wǎng)絡(luò)設(shè)備，必需了解每臺設(shè)備所需要開啟的服務(wù)，對應(yīng)用不到的服務(wù)予以關(guān)閉，在網(wǎng)絡(luò)設(shè)備中通常需要關(guān)閉的服務(wù)包括：CDP、HTTP、WINS、DNS等無關(guān)的服務(wù)項(xiàng)目。對于應(yīng)用較少的服務(wù)，可以在應(yīng)用時(shí)開啟，不應(yīng)用時(shí)關(guān)閉。例如：TFTP與FTP是進(jìn)行數(shù)據(jù)備份常用的兩種服務(wù)，但在平時(shí)維護(hù)管理時(shí)，則應(yīng)用不到，我們可以在應(yīng)用時(shí)將該服務(wù)開啟，平時(shí)則將其服務(wù)關(guān)閉，提高設(shè)備安全性。

2.4用城域網(wǎng)出口設(shè)備建立對全網(wǎng)設(shè)備的訪問控制，限制城域網(wǎng)外網(wǎng)對城域網(wǎng)設(shè)備的訪問

對網(wǎng)絡(luò)內(nèi)設(shè)備的管理地址統(tǒng)一分配，將管理地址分配為同一網(wǎng)段內(nèi)，以便于通過ACL控制。對于城域網(wǎng)內(nèi)設(shè)備可遵循公網(wǎng)設(shè)備，內(nèi)網(wǎng)式管理的方法，即對于用戶來說，對網(wǎng)絡(luò)設(shè)備不應(yīng)該有任何針對設(shè)備的應(yīng)用服務(wù)請求，可以在關(guān)口設(shè)備針對網(wǎng)內(nèi)設(shè)備將所有針對設(shè)備的應(yīng)用服務(wù)請求屏蔽掉，在城域網(wǎng)內(nèi)的三層接入設(shè)備上同時(shí)對接入端口設(shè)置ACL，控制對城域網(wǎng)設(shè)備的訪問，可以將除管理需要的SNMP、SSH或TELNET、FTP或TFTP開啟外，其他服務(wù)均予以關(guān)閉。如果必需通過城域網(wǎng)外網(wǎng)訪問，則設(shè)置訪問跳板，即設(shè)置一臺機(jī)器作為登錄設(shè)備的跳板，避免對設(shè)備的直接操作，減少設(shè)備密碼被竊聽幾率。在ACL的設(shè)置點(diǎn)上，選在城市核心設(shè)備的入接口和三層匯聚接入設(shè)備的接入口上，這樣可以避免在所有設(shè)備啟用ACL而加重網(wǎng)絡(luò)負(fù)擔(dān)，同時(shí)又能有效對設(shè)備進(jìn)行防控。

華為設(shè)備ACL配置：

建立ACL

acl number 3001

rule 5 permit tcp source xx.xx.xx.xx xx.xx.xx.xx（準(zhǔn)許IP段） source-port eq 20 des xx.xx.xx.xx xx.xx.xx.xx（設(shè)備管理IP） eq 20

rule 10 permit tcp source xx.xx.xx.xx xx.xx.xx.xx（受（下轉(zhuǎn)第275頁）（上接第120頁）限IP段） source-port eq 21 des xx.xx.xx.xx xx.xx.xx.xx（設(shè)備管理IP） eq 21

rule 25 permit udp source xx.xx.xx.xx xx.xx.xx.xx（準(zhǔn)許IP段） source-port eq 161 des xx.xx.xx.xx xx.xx.xx.xx（設(shè)備管理IP） eq 161

rule 30 permit udp source xx.xx.xx.xx xx.xx.xx.xx（受限IP段） source-port eq 162 des xx.xx.xx.xx xx.xx.xx.xx（設(shè)備管理IP） eq 161

rule 35 deny tcp source any des xx.xx.xx.xx xx.xx.xx.xx（設(shè)備管理IP）

rule 100 permit ip

建立policy

traffic behavior guanli

traffic policy guanli

share-mode

classifier anti behavior guanli

將防護(hù)列表應(yīng)用于上行口.

traffic-policy guanli inbound

3.結(jié)論

通過上述優(yōu)化措施，提高了整個(gè)城域網(wǎng)設(shè)備的整體防護(hù)能力，使設(shè)備安全得到了較好保證，提高了網(wǎng)絡(luò)的整體健壯性。

【參考文獻(xiàn)】

[1]華為技術(shù)公司.《華為NE5000E高端路由器操作手冊》.

[2]蘇英如.《網(wǎng)絡(luò)管理與維護(hù)技術(shù)》，中國水利水電出版社.

[3]李學(xué)軍，李洪，朱英軍.《寬帶IP城域網(wǎng)的優(yōu)化策略與實(shí)踐》，人民郵電出版社.

[4]George C.Sacket.《CISCO路由器手冊》，機(jī)械工業(yè)出版社.