IP城域網網絡設備安全防護優化

【摘 要】本文主要對IP城域網設備管理中的安全防護情況，結合目前較成熟的安全防護技術，分別從設備的防護手段，設備配置方法，綜合防護措施，使網絡設備的安全防護能力得以提高。

【關鍵詞】設備管理；安全防護；服務；協議；訪問列表

0.引言

隨著互聯網的發展，網絡設備在網絡中的安全防護問題日趨嚴峻，網絡設備被攻擊而導致無法為用戶提供服務的情況時有發生，原有的一些傳統設備管理方式和方法存在安全隱患，管理人員往往重視對用戶攻擊的防護而忽視了對設備本身安全的防護。為保證網絡設備的穩定運行，提高對外來攻擊的防護能力，加強網絡設備對遠程管理的可靠性，在網絡設備管理中要采用更加安全、便捷的技術手段管理網絡設備。

1.網絡設備管理存在的安全風險

1.1對設備的遠端管理采取傳統管理方式，無接入限制，存在隱患

在對設備的遠程管理上，基本都是通過傳統的TELNET 方式管理，由于TELNET協議特點決定其不安全性，沒有口令保護，遠程用戶的登陸傳送的帳號和密碼都是明文，沒有加密，使用普通的抓包工具就可以被截獲。沒有強力認證過程，只是驗證連接者的帳戶和密碼。 沒有完整性檢查，傳送的數據沒有辦法確定是否完整的，而不是被篡改過的數據。

1.2 SNMP訪問無限制

簡單網絡管理協議SNMP是目前TCP/IP網絡中應用最廣的管理協議，主要有三個版本，SNMP1，SNMP2，SNMP3其中版本1最常用，但是他有很多安全問題，原因是他的認證方案是基于一個字符串的，字符串在網絡上沒有任何加密，采用明文傳輸，所以是非常脆弱的。

1.3開啟不必要服務，增加了設備的被攻擊幾率

許多設備在出廠時為了保證多種應用需要，在缺省情況下的許多服務是開啟，例如：DHCP，WEB，FINGER，FTP等等，這些服務在我們的實際工作中往往應用不到，，我們往往忽視對這些服務端口的管理與防護，但這些開啟的服務端口卻可能成為設備被攻擊的最好載體。

1.4設備管理安全防護未做到全網聯動

我們在對設備安全防護時對一些關鍵的設備關注較多，而對一些底端的接入設備關注較少，但是這些設備往往由于處理能力較弱，防護功能較弱，漏洞較多而成為被攻擊的目標，這些設備一旦被攻破，則會危及到關鍵設備的安全，近而危及整個網絡的安全。

2.設備管理安全防護優化策略與方法

針對網絡設備安全防護中的問題，通過加強設備的訪問配置、服務端口限制進行優化，加強核心出口對網內設備訪問限制優化，提高全網設備對安全攻擊的綜合防控能力。

2.1加強設備的遠程管理控制，提高遠程管理安全性

TELNET 是TCP/IP環境下的終端仿真協議，通過TCP建立服務器與客戶機之間的連接。連接后，TELNET服務器與客戶機進入協商階段，選定雙方都支持連接操作，每個連接系統可以協商新可選項或重協商舊可選項。傳統telnet連線會話所傳輸的資料并未加密，因此需要將telnet服務關閉，改用更為安全的SSH。

SSH是替代Telnet和其他遠程控制臺管理應用程序的行業標準。SSH命令是加密的并以多種方式進行保密。在使用SSH的時候，一個數字證書將認證客戶端和服務器之間的連接，并加密受保護的口令。SSH保護并且有助于防止欺騙，“中間人”攻擊，以及數據包監聽。

在城域網內所有支持SSH管理的設備上啟用SSH管理方式。登錄城域網路由器或交換機，并確定是否加載了一個支持SSH的IPSec IOS鏡像。確定支持后進行啟用SSH配置，以下為常用的華為設備配置方法；

local-user abcde password cipher DDN/[AN^C@；，YWX*NZ65OA！！

local-user abcde service-type telnet ssh

ssh user abcde authentication-type password

ssh user abcde service-type stelnet

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

在配置好SSH登錄后關閉TELNET登錄方式，增強設備健壯性。

同時為設備設置會話超時斷開及警示登錄標語消息

2.2加強SNMP安全防護，針對SNMP訪問設置訪問列表

由于SNMP強大的網絡管理功能，在網絡管理中得到廣泛應用，但在應用中也暴露出明顯安全不足，如，缺少身份驗證（Authentication）和加密（Privacy）機制。雖然在SNMPv2版本后有了很大改進，但許多廠商使用的還是標準的通信字符串。為了提高SNMP通信時不被黑客截獲數據而被入侵。有必要對所管理的網絡設備進行SNMP協議限制。

在使用SNMP時，盡量將SNMP服務升級到2.0或更高的版本。修改所有默認的通信字符串。另外在設備上，應該編寫一個ACL，只允許特定的可信任的SNMP管理系統進行SNMP操作。下面的命令可以設定SNMP版本，并且為SNMP管理啟用ACL控制，只允許來自SNMP管理系統的SNMP通信，限制網絡上的所有其他SNMP通信：

snmp-agent sys-info version

snmp-agent community read abcdef acl 2000

acl number 2000

rule 5 per source xx.xx.xx.xx xx.xx.xx.xx

這個ACL的第一行定義了可信任管理系統（xx.xx.xx.xx）。利用snmp-agent community read abcdef acl 2000的命令可以將上述ACL應用到SNMP中.在網絡出口上過濾SNMP通信和請求，阻塞SNMP請求使用的端口，外部網絡訪問內部網絡的能力就受到了限制。

2.3關閉不必要的服務，對必需開啟的服務通過訪問列表進行控制

對于我們所維護的網絡設備，必需了解每臺設備所需要開啟的服務，對應用不到的服務予以關閉，在網絡設備中通常需要關閉的服務包括：CDP、HTTP、WINS、DNS等無關的服務項目。對于應用較少的服務，可以在應用時開啟，不應用時關閉。例如：TFTP與FTP是進行數據備份常用的兩種服務，但在平時維護管理時，則應用不到，我們可以在應用時將該服務開啟，平時則將其服務關閉，提高設備安全性。

2.4用城域網出口設備建立對全網設備的訪問控制，限制城域網外網對城域網設備的訪問

對網絡內設備的管理地址統一分配，將管理地址分配為同一網段內，以便于通過ACL控制。對于城域網內設備可遵循公網設備，內網式管理的方法，即對于用戶來說，對網絡設備不應該有任何針對設備的應用服務請求，可以在關口設備針對網內設備將所有針對設備的應用服務請求屏蔽掉，在城域網內的三層接入設備上同時對接入端口設置ACL，控制對城域網設備的訪問，可以將除管理需要的SNMP、SSH或TELNET、FTP或TFTP開啟外，其他服務均予以關閉。如果必需通過城域網外網訪問，則設置訪問跳板，即設置一臺機器作為登錄設備的跳板，避免對設備的直接操作，減少設備密碼被竊聽幾率。在ACL的設置點上，選在城市核心設備的入接口和三層匯聚接入設備的接入口上，這樣可以避免在所有設備啟用ACL而加重網絡負擔，同時又能有效對設備進行防控。

華為設備ACL配置：

建立ACL

acl number 3001

rule 5 permit tcp source xx.xx.xx.xx xx.xx.xx.xx（準許IP段） source-port eq 20 des xx.xx.xx.xx xx.xx.xx.xx（設備管理IP） eq 20

rule 10 permit tcp source xx.xx.xx.xx xx.xx.xx.xx（受（下轉第275頁）（上接第120頁）限IP段） source-port eq 21 des xx.xx.xx.xx xx.xx.xx.xx（設備管理IP） eq 21

rule 25 permit udp source xx.xx.xx.xx xx.xx.xx.xx（準許IP段） source-port eq 161 des xx.xx.xx.xx xx.xx.xx.xx（設備管理IP） eq 161

rule 30 permit udp source xx.xx.xx.xx xx.xx.xx.xx（受限IP段） source-port eq 162 des xx.xx.xx.xx xx.xx.xx.xx（設備管理IP） eq 161

rule 35 deny tcp source any des xx.xx.xx.xx xx.xx.xx.xx（設備管理IP）

rule 100 permit ip

建立policy

traffic behavior guanli

traffic policy guanli

share-mode

classifier anti behavior guanli

將防護列表應用于上行口.

traffic-policy guanli inbound

3.結論

通過上述優化措施，提高了整個城域網設備的整體防護能力，使設備安全得到了較好保證，提高了網絡的整體健壯性。

【參考文獻】

[1]華為技術公司.《華為NE5000E高端路由器操作手冊》.

[2]蘇英如.《網絡管理與維護技術》，中國水利水電出版社.

[3]李學軍，李洪，朱英軍.《寬帶IP城域網的優化策略與實踐》，人民郵電出版社.

[4]George C.Sacket.《CISCO路由器手冊》，機械工業出版社.