• <output id="kz2ff"><pre id="kz2ff"><dd id="kz2ff"></dd></pre></output>

    <output id="kz2ff"><pre id="kz2ff"></pre></output>
      <code id="kz2ff"></code>
    1. <output id="kz2ff"></output>
      <listing id="kz2ff"></listing>
        <acronym id="kz2ff"></acronym>
        <tt id="kz2ff"><pre id="kz2ff"><big id="kz2ff"></big></pre></tt>

        售前咨詢: 售后服務: | 網站地圖 | 關于我們 | 相關資質 | 聯系我們

        idc機房
        撥打銷售熱線 直接對話專家

        如有疑問,請在線咨詢

        為什么選擇我們

        100%品質保障

        您的位置:主頁 > 新聞中心 > 解決方案 > 解決方案

        IP城域網設備安全加固措施

        作者:鵬博士數據 發布于:www.dgll.tw 點擊量:


        一、城域網核心層設備的安全防護措施

        (一)提升核心設備數據層防護

        (1)結合黑洞路由機制,根據需要對城域網中的地址段進行防護。在網內部署專門的黑洞觸發路由器,用來發布黑洞路由,黑洞路由的community設置為特定值,修改黑洞路由的next-hop,同時在所有網絡邊緣設備上配置靜態路由把黑洞路由的next-hop指向空端口。對造成網絡或者重要鏈路擁塞的大攻擊流量進行有效管控,主要是通過城域網遠程觸發黑洞策略,保證網絡的安全運行穩定。

        (2) 在BRAS和SR上啟用源地址檢查功能。如城域網BRAS或SR不具備(或者不完全具備)源地址檢查功能,則在城域網出口路由器下聯端口上采用ACL技術或者URPF技術(在設備具備相關能力的情況下)過濾掉源地址非法的數據包。源地址為城域網業務地址,或者自帶地址用戶的源地址。

        (二)提升核心設備控制層防護

        對于只接收網內路由和缺省路由的城域網,嚴格控制路由過濾策略,防護對城域網BGP控制層面的沖擊。

        二、城域網匯聚層設備的安全防護措施

        對城域網設備網絡安全配置進行完善及優化,探討網絡層面抗攻擊手段,提高城域網設備抗攻擊能力,確保城域網絡安全。

        (一)提高匯聚層數據層面安全

        1. 使用ACL/VACL等技術手段,在城域匯聚層交換機二層或三層對常見病毒攻擊包(如沖擊波病毒、SQL蠕蟲病毒及震蕩波病毒等)進行過濾,保證匯聚層網絡數據的安全,防止因病毒攻擊引起網絡擁塞。

        2. 在匯聚層交換機的專線接入端口,使用路由器的uRPF檢查(ip verify unicast rpf),防止偽造地址引起的網絡接入攻擊。

        3. 在匯聚層交換機的專線接入端口,配置no ip directed-broadcast,關閉直接廣播包在路由層面的轉發,防止因直接廣播包引起的smurf攻擊。

        4. 在匯聚層交換機的用戶接入端口上關閉源路由,使用命令no ip source-route,防止源路由攻擊。

        5. 在匯聚層交換機的專線接入端口,配置no ip proxy-arp,關閉代理 ARP功能,減輕CPU負擔,減少因此引起的可能ARP攻擊。

        6. 關閉不需要的網絡服務,如基于TCPUDP協議的小服務、finger等;在用戶接入端口關閉CDP服務,提高匯聚層設備的安全性。

        7. 對使用VLAN技術開放的二層VPN用戶,在中心交換機上設置spantree根節點,防止因根節點變化引起的spantree頻繁收斂。

        8. 在不同廣播域之間的二層trunk中繼上,對trunkvlanID進行過濾,減少透傳不必要的VLAN,提高vlan資源的利用率,同時提高整個二層網絡的安全性。

        (二)提高匯聚層控制層面安全

        1. 將所有匯聚層以上交換機的VTP類型設置為transparent,防止因意外情況下,交換機VLAN信息被修改或丟失。

        2. 管理VLAN與數據業務VLAN進行分開,控制每個管理VLAN內的設備數目,禁止使用VLAN1做為管理VLAN,防止因cisco設備特性引起的管理vlan過大。

        3. 加強口令及日志管理,啟用了NTPserver,loggingserver。利用CiscoACS進行交換機遠程管理的TACACS+認證及記帳,并對本地網的設備進行分權管理。不同部門分配不同的口令權限,并強制口令定時更改,這樣既能保證了不同部門訪問匯聚交換機的需求,又提高了交換機管理的安全性。

        4. 對相關設備默認的口令進行初始更改,并定期修正口令和用戶名

        5. 利用數據自動備份系統,定時地對所有匯聚層設備配置進行自動備份,實現配置備份及時更新,并保證設備故障或配置丟失時業務快速恢復。

        6. 加強設備流量的動態監控,利用綜合IP網管系統對匯聚層以上的設備進行流量實時監控,為網絡優化及故障處理提供手段及依據。

        7. 在匯聚層設備上設置SNMP控制訪問權限,修改只讀團體屬性,匹配ACL,只對有需要的網管設備地址開放。

        綜合采用上述技術,在IP城域網核心層、匯聚層設備進行網絡安全策略配置,可以在一定程度上保障網絡設備安全,把對IP城域網的安全隱患危害減輕到最低程度。

         


        新聞中心 |  服務器托管 |  CDN |  光纖接入 |  五線云主機 |  典型案例 |  關于我們 |  更多友情鏈接 | 
        Copyright © 2004-2011 DEDECMS. 織夢科技 版權所有
        黑龙江的十一选五体彩