抵擋DoS遠程連接讓網絡更安全

　　傳統的網絡安全技術側重於系統入侵檢測，反病毒軟件或防火牆。內部安全如何？在網絡安全構造中，交換機和路由器是非常重要的， 在七層網絡中每一層都必須是安全的。 很多交換機和路由器都有豐富的安全功能，要了解有些什麼，如何工作，如何部署，一層有問題時不會影響整個網絡。交換機和路由器被設計成缺省安全的，出廠時就處於安全設置的狀態，特別操作的設置在用戶要求時才會被激活，所有其他選項都是關閉的，以減少危險，網管員也無需了解哪些選項應該關閉。

　　在初始登錄時會被強制要求更改密碼，也有密碼的期限選項及登錄嘗試的次數限制，而且以加密方式存儲。限期的帳號（維護帳號或後門）是不會存在的。交換機及路由器在掉電，熱啟動、冷啟動，升級IOS、硬件或一個模塊失敗的情況下都必須是安全的，而且在這些事件發生後應該不會危及安全並恢復運作，因為日志的原因，網絡設備應該通過網絡時間協議保持安全精確的時間。通過SNMP協議連接管理的名稱也應該被改變。

　　抵擋DoS攻擊

　　從可用性出發，交換機和路由器需要能抵擋拒絕服務式Dos攻擊，並在攻擊期間保持可用性。理想狀態是他們在受到攻擊時應該能夠做出反應，屏蔽攻擊IP及端口。每件事件都會立即反應並記錄在日志中，同時他們也能識別並對蠕蟲攻擊做出反應。

　　交換機及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代碼漏洞，在漏洞被發現報告後，廠商可以開發、創建、測試、發布升級包或補丁。

　　基於角色的管理給予管理員最低程序的許可來完成任務，允許分派任務，提供檢查及平衡，只有受信任的連接才能管理倔們。管理權限可賦予設備或其他主機，例如管理權限可授予一定IP地址及特定的TCP/UDP端口。

　　控制管理權限的最好辦法是在授權進入前分權限，可以通過認證和帳戶服務器，例如遠程接入服務，終端服務，或LDAP服務。

　　遠程連接的加密

　　很多情況下，管理員需要遠程管理交換機及路由器，通常只能從公共網絡上訪問。為了保證管理傳輸的安全，需要加密協議，SSH是所有遠程命令行設置和文件傳輸的標准協，基於WEB的則用SSL或TLS協議，LDAP通常是通訊的協議，而SSL/TLS則加密此通訊。

　　SNMP用來發現、監控、配置網絡設備，SNMP 3是足夠安全的版本，可以保證授權的通信。

　　建立登錄控制可以減輕受攻擊的可能性，設定嘗試登錄的次數，在遇到這種掃描時能做出反應。詳細的日志在發現嘗試破解密碼及端口掃描時是非常有效的。