网络设备安全策略

网络设备安全策略

一. 网络设备安全概述

设备的安全始终是信息网络安全的一个重要方面，攻击者往往通过控制网络中设备来破坏系统和信息，或扩大已有的破坏。只有网络中所有结点都安全了，才能说整个网络状况是安全的。网络设备包括主机（服务器、工作站、PC）和网络设施（交换机、路由器等）。对网络设备进行安全加固的目的是减少攻击者的攻击机会。如果设备本身存在安全上的脆弱性，往往会成为攻击目标。

二. 设备的安全脆弱性分析如下

（1）提供不必要的网络服务，提高了攻击者的攻击机会

（2）存在不安全的配置，带来不必要的安全隐患

（3）不适当的访问控制

（4）存在系统软件上的安全漏洞

（5）物理上没有安全存放，遭受临近攻击（close-in attack）

三. 针对网络设备存在的安全弱点，采取的方法和策略。（1）禁用不必要的网络服务

（2）修改不安全的配置

（3）利用最小权限原则严格对设备的访问控制

（4）及时对系统进行软件升级

（5）提供符合IPP要求的物理保护环境

四. 网络设备安全服务控制

利用IP 地址欺骗控制其他主机，共同要求Router提供的某种服务，导致Router 利用率升高。就可以实现DDOS攻击。防范措施是关闭某些默认状态下开启的服务，以节省内存并防止安全破坏行为/攻击。

（1）禁止CDP协议

（2）禁止其他的TCP、UDP Small服务

（3）禁止Finger服务

（4）建议禁止http server服务。

（5）禁止bootp server服务

（6）禁止代理ARP服务

（7）过滤进来的ICMP的重定向消息

（8）建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。或者需要访问列表来过滤

（9）如果没必要则禁止WINS和DNS服务

(10) 根据公司的业务需求对适合不同业务的网络协议端口进行相应的开放和封闭策略

五. 网络设备运行监控

对重要的网络设备,如核心交换机,防火墙,路由器等进行时时的监控和报警措施,及时做好预防措施,保证公司网络设备的安全运行.