1.3.2 網絡設備安全

局域網中的主要網絡設備包括路由器、交換機和防火墻，分別用于提供不同的網絡功能和應用。網絡設備的部署方式、工作環境、配置管理等，都可能影響其安全性。

1. 網絡設備的脆弱性

通常情況下，當用戶按照組網規劃方案購入并部署好網絡設備之后，設備中的主要組成系統即可在一段時間內保持相對穩定的運行。但是，網絡設備本身就有一定的脆弱性，這也往往會成為入侵者攻擊的目標。網絡設備的安全脆弱性主要表現在如下方面：

● 提供不必要的網絡服務，提高了攻擊者的攻擊機會。

● 存在不安全的配置，帶來不必要的安全隱患。

● 不適當的訪問控制。

● 存在系統軟件上的安全漏洞。

● 物理上沒有得到安全存放，容易遭受臨近攻擊。

針對這些與生俱來的安全弱點，用戶可以通過如下措施加固設備安全：

● 禁用不必要的網絡服務。

● 修改不安全的配置。

● 利用最小特權原則嚴格對設備的訪問控制。

● 及時對系統進行軟件升級。

● 提供符合IPP（Information Protection Policy，信息保護策略）要求的物理保護環境。

2. 部署網絡安全設備

局域網中常見的網絡安全設備包括網絡防火墻、入侵檢測設備、入侵防御設備等。網絡防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內部網絡有效避免內部攻擊。入侵檢測設備只能用于記錄入侵行為，局域網中已經很少使用。通常情況下，可以在網絡中部署入侵防御系統，保護內部服務器或局域網的安全。

3. IOS安全

IOS就是智能網絡設備的網絡操作系統，主要用于提供軟件管理平臺。IOS與計算機操作系統類似，難免存在系統漏洞，入侵者同樣可以通過這些漏洞進入網絡設備的IOS，進行各種破壞活動，從而影響網絡的安全運行。

通常情況下，用戶可以從如下方面實現網絡設備的IOS安全：

● 配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時可以以加密方式存儲密碼，以確保其安全性。

● 配置用戶訪問安全級別，為不同的管理賬戶賦予不同的訪問和管理權限。

● 控制終端訪問安全，嚴格控制允許終端連接的數量，以及終端會話超時限制。

● 配置SNMP安全。SNMP字符串用于驗證用戶與交換機的連接，確保其身份的有效性，類似于用戶賬戶和密碼。

● 及時備份IOS映像，以便出現誤操作或遭遇攻擊時可以迅速恢復。

● 升級IOS版本。IOS的系統漏洞是不可避免的，用戶可以通過安裝補丁或升級IOS版本的方法避免由于系統漏洞導致的網絡攻擊。