网络基础设施安全指南(下)
💡
原文中文,约18400字,阅读约需44分钟。
📝
内容提要
本文介绍了提高设备和网络安全性的措施,包括限制管理服务访问、禁用出站连接、禁用不必要的网络服务、正确启用远程网络管理服务、启用加密服务、禁用不安全协议、指定加密算法和应用ACL、启用具有身份认证和隐私的SNMPv3、禁用IP源路由、启用单播反向路径转发和路由认证、禁用动态中继、启用端口安全、禁用默认VLAN。
🎯
关键要点
- 日志是记录设备活动和跟踪网络安全事件的重要机制。
- 应启用日志并将其发送到本地和中央日志服务器。
- 建立至少两个远程中央日志服务器以实现冗余和监控。
- 设备日志应配置足够的信息以便分析安全事件。
- 使用网络时间协议(NTP)同步设备时钟以确保时间戳准确。
- 禁用明文管理服务,使用加密服务保护网络通信。
- 确保加密强度足够,使用强大的加密算法和密钥长度。
- 利用安全协议,确保管理服务使用最新版本和安全设置。
- 限制对管理服务的访问,使用ACL仅允许管理员系统连接。
- 设置可接受的超时时间以防止会话劫持。
- 启用TCP keep-alive以检测连接状态并防止会话丢失。
- 禁用出站连接以防止攻击者在网络中移动。
- 删除SNMP读写团体名,升级到SNMPv3以增强安全性。
- 禁用不必要的网络服务以减少攻击面。
- 在特定接口上禁用发现协议以防止信息泄露。
- 配置网络服务以确保安全的远程管理。
- 禁用IP源路由以防止数据包被重定向。
- 启用单播反向路径转发(uRPF)以防止IP欺骗。
- 启用路由认证以确保路由信息未被操控。
- 禁用动态中继以防止未授权访问网络。
- 启用端口安全以限制连接到Switchport的有效MAC地址。
- 禁用默认VLAN以减少安全风险。
- 禁用未使用的端口以防止恶意设备连接到网络。
- 禁用端口监控以防止攻击者收集网络流量。
- 禁用代理ARP以防止网络欺骗。
- 配置通知横幅以告知用户网络使用政策。
➡️
