萬盛學電腦網

 萬盛學電腦網 >> 黑客技術教程 >> 防范黑客 >> 網管技術 抵擋DoS遠程連接讓網絡更安全

網管技術 抵擋DoS遠程連接讓網絡更安全

  傳統的網絡安全技術側重於系統入侵檢測,反病毒軟件或防火牆。內部安全如何?在網絡安全構造中,交換機和路由器是非常重要的, 在七層網絡中每一層都必須是安全的。 很多交換機和路由器都有豐富的安全功能,要了解有些什麼,如何工作,如何部署,一層有問題時不會影響整個網絡。交換機和路由器被設計成缺省安全的,出廠時就處於安全設置的狀態,特別操作的設置在用戶要求時才會被激活,所有其他選項都是關閉的,以減少危險,網管員也無需了解哪些選項應該關閉。

  在初始登錄時會被強制要求更改密碼,也有密碼的期限選項及登錄嘗試的次數限制,而且以加密方式存儲。限期的帳號(維護帳號或後門)是不會存在的。交換機及路由器在掉電,熱啟動、冷啟動,升級IOS、硬件或一個模塊失敗的情況下都必須是安全的,而且在這些事件發生後應該不會危及安全並恢復運作,因為日志的原因,網絡設備應該通過網絡時間協議保持安全精確的時間。通過SNMP協議連接管理的名稱也應該被改變。

  抵擋DoS攻擊

  從可用性出發,交換機和路由器需要能抵擋拒絕服務式Dos攻擊,並在攻擊期間保持可用性。理想狀態是他們在受到攻擊時應該能夠做出反應,屏蔽攻擊IP及端口。每件事件都會立即反應並記錄在日志中,同時他們也能識別並對蠕蟲攻擊做出反應。

  交換機及路由器中使用FTP,HTTP,TELNET或SSH都有可以有代碼漏洞,在漏洞被發現報告後,廠商可以開發、創建、測試、發布升級包或補丁。

  基於角色的管理給予管理員最低程序的許可來完成任務,允許分派任務,提供檢查及平衡,只有受信任的連接才能管理倔們。管理權限可賦予設備或其他主機,例如管理權限可授予一定IP地址及特定的TCP/UDP端口。

  控制管理權限的最好辦法是在授權進入前分權限,可以通過認證和帳戶服務器,例如遠程接入服務,終端服務,或LDAP服務。

  遠程連接的加密

  很多情況下,管理員需要遠程管理交換機及路由器,通常只能從公共網絡上訪問。為了保證管理傳輸的安全,需要加密協議,SSH是所有遠程命令行設置和文件傳輸的標准協,基於WEB的則用SSL或TLS協議,LDAP通常是通訊的協議,而SSL/TLS則加密此通訊。

  SNMP用來發現、監控、配置網絡設備,SNMP 3是足夠安全的版本,可以保證授權的通信。

  建立登錄控制可以減輕受攻擊的可能性,設定嘗試登錄的次數,在遇到這種掃描時能做出反應。詳細的日志在發現嘗試破解密碼及端口掃描時是非常有效的。

  交換機及路由器的配置文件的安全也是不容忽視的,通常配置文件保存在安全的位置,在混亂的情況下,可以取出備份文件,安裝並激活系統,恢復到已知狀態。有些交換機結合了入侵檢測的功能,一些通過端口映射支持,允許管理員選擇監控端口。虛擬網絡的角色虛擬的本地網絡VLAN是第二層上的有限廣播域,由一組計算機設備組成,通常位一多個LAN上,可能跨越一個或多個LAN交換機,而與它們的物理位置無關,設備之間好像在同一個網絡間通信一樣,允許管理員將網絡分為多個可管理運行良好的小塊,將啬、移動、更改設備、用戶及權限的任務簡化。

  VLAN可在各種形式上形成,如交換口,MAC地址,IP地址,協議類型,DHCP,802.1Q標志或用戶自定義。這些可以單獨或組合部署。

  VLAN認證技術在用戶通過認證過程後授權給用戶進入一個或多個VLAN,該授權不是給予設備。

  防火牆可以控制網絡之間的訪問,最廣泛應用的是嵌在傳統路由器和多層交換機上的,也稱作ACLS,防火牆的不同主要在於他們掃描包的深度,是端到端的直接通訊還是通過代理,是否有Session.

  在網絡之間的訪問控制中,路由過濾措施可以基於源/目標交換槽或端口,源/目標VLAN,源/目標IP,或TCP/UDP端口,ICMP類型,或MAC地址。對於某些交換機和路由器,動態ACL標准可以用戶通過認證過程後被創建,就像是認證的VLAN,不過是在第三層上。當未知的源地址要求連入已知的內部目標時是有用的。

  現在的網絡要求設計成各層次都是安全的,通過部署交換機和路由器的安全設置,企業可以傳統的安全技術創建強壯、各層都安全的系統。

  閱讀關於 DDOS 拒絕服務 網絡安全 DOS 的全部文章
copyright © 萬盛學電腦網 all rights reserved