<listing id="7p2f7"><object id="7p2f7"></object></listing>
    <code id="7p2f7"><ol id="7p2f7"></ol></code>
    
    
      <small id="7p2f7"></small>

      售前咨询: 售后服务: | 网站地图 | 关于我们 | 相关资质 | 联系我们

      idc机房
      拨打销售热线 直接对话专家

      如有疑问£¬请在线咨询

      为什么选择我们

      100%品?#26102;?#38556;

      您的位置£º主页 > 新闻中心 > 解决方案 > 解决方案

      IP城域网设备安全加固措施

      作者£º鹏博士数据¡¡发?#21152;Ú£ºwww.vzir.tw 点击量£º


      一¡¢城域网核心层设备的安全防护措施

      £¨一£©提升核心设备数据层防护

      £¨1£©结合黑洞路由机制£¬根据需要对城域网中的地址段进行防护¡£在网内部署专门的黑洞触发路由器£¬用来发布黑洞路由£¬黑洞路由的community设置为特定值£¬修改黑洞路由的next-hop£¬同时在所有网络边缘设备上配置静态路由把黑洞路由的next-hop指向空端口¡£对造成网络或者重要链路拥塞的大攻击流量进行?#34892;?#31649;控£¬主要是通过城域网远程触发黑洞策略£¬保证网络的安全运行稳定¡£

      £¨2£© 在BRAS和SR上启用源地址检查功能¡£如城域网BRAS或SR不具备£¨或者不完全具备£©源地址检查功能£¬则在城域网出口路由器下联端口上采用ACL技术或者URPF技术£¨在设备具备相关能力的情况下£©过滤掉源地址非法的数据包¡£源地址为城域网业务地址£¬或者?#28304;?#22320;址用户的源地址¡£

      £¨二£©提升核心设备控制层防护

      对于只接收网内路由和缺省路由的城域网£¬严格控制路由过滤策略£¬防护对城域网BGP控制层面的冲击¡£

      二¡¢城域网汇聚层设备的安全防护措施

      对城域网设备网络安全配置进行完善及优化£¬探讨网络层面抗攻击手段£¬提高城域网设备抗攻击能力£¬确保城域网络安全¡£

      £¨一£©提高汇聚层数据层面安全

      1. 使用ACL/VACL等技术手段£¬在城域汇聚层交换机二层或三层对常见病毒攻击包£¨如冲击波病毒¡¢SQL蠕虫病毒及震荡波病毒等£©进行过滤£¬保证汇聚层网络数据的安全£¬防止因病毒攻击引起网络拥塞¡£

      2. 在汇聚层交换机的专线接入端口£¬使用路由器的uRPF检查£¨ip verify unicast rpf£©£¬防止伪造地址引起的网络接入攻击¡£

      3. 在汇聚层交换机的专线接入端口£¬配置no ip directed-broadcast£¬关闭直接广播包在路由层面的转发£¬防止因直接广播包引起的smurf攻击¡£

      4. 在汇聚层交换机的用户接入端口上关闭源路由£¬使用命令no ip source-route£¬防止源路由攻击¡£

      5. 在汇聚层交换机的专线接入端口£¬配置no ip proxy-arp£¬关闭代理 ARP功能£¬减轻CPU负担£¬减少因此引起的可能ARP攻击¡£

      6. 关闭不需要的网络服务£¬如基于TCPUDP协议的小服务¡¢finger等£»在用户接入端口关闭CDP服务£¬提高汇聚层设备的安全性¡£

      7. 对使用VLAN技术开放的二层VPN用户£¬在中心交换机上设置spantree根节点£¬防止因根节点变化引起的spantree频繁收?#30149;?/span>

      8. 在不同广播域之间的二层trunk中继上£¬对trunkvlanID进行过滤£¬减少透传不必要的VLAN£¬提高vlan资源的利用率£¬同时提高整个二层网络的安全性¡£

      £¨二£©提高汇聚层控制层面安全

      1. 将所有汇聚层以上交换机的VTP类型设置为transparent£¬防止因意外情况下£¬交换机VLAN信息被修改或丢失¡£

      2. 管理VLAN与数据业务VLAN进行分开£¬控制每个管理VLAN内的设备数目£¬禁止使用VLAN1做为管理VLAN£¬防止因cisco设备特性引起的管理vlan过大¡£

      3. 加强口令及日志管理£¬启用了NTPserver£¬loggingserver¡£利用CiscoACS进行交换机远程管理的TACACS+认证及记帐£¬并对本地网的设备进行分权管理¡£不同部门分配不同的口令权限£¬并强制口令定?#22791;?#25913;£¬这样既能保证了不同部门访问汇聚交换机的需求£¬又提高了交换机管理的安全性¡£

      4. 对相关设备默认的口令进行初始更改£¬并定期修正口令和用户名

      5. 利用数据?#36828;?#22791;份系?#24120;?#23450;时地对所有汇聚层设备配置进行?#36828;?#22791;份£¬实现配置备份及?#22791;?#26032;£¬并保证设备故障或配置丢失时业务快速?#25351;µA?/span>

      6. 加强设备流量的动态监控£¬利用综合IP网管系统对汇聚层以上的设备进行流量实时监控£¬为网络优化及故障处理提供手段及依据¡£

      7. 在汇聚层设备上设置SNMP控制访问权限£¬修改只读团体属性£¬匹配ACL£¬只对有需要的网管设备地址开放¡£

      综合采用上述技术£¬在IP城域网核心层¡¢汇聚层设备进行网络安全策略配置£¬可以在一定程度上保障网络设备安全£¬把对IP城域网的安全隐患危害减轻到最低程度¡£

       


      新闻中心 |  服务器托管 |  CDN |  光纤接入 |  五线云主机 |  典型案例 |  关于我们 |  更多友情链接 | 
      Copyright © 2004-2011 DEDECMS. 织梦科技 版权所有
      º£¿ÚÆßÐDzÊ808²ÊƱÍø
      <listing id="7p2f7"><object id="7p2f7"></object></listing>
        <code id="7p2f7"><ol id="7p2f7"></ol></code>
        
        
          <small id="7p2f7"></small>

          <listing id="7p2f7"><object id="7p2f7"></object></listing>
            <code id="7p2f7"><ol id="7p2f7"></ol></code>
            
            
              <small id="7p2f7"></small>