<th id="nbzph"></th>
<strike id="nbzph"><dl id="nbzph"></dl></strike>
<strike id="nbzph"><noframes id="nbzph"><ruby id="nbzph"><video id="nbzph"></video></ruby><span id="nbzph"><video id="nbzph"></video></span><del id="nbzph"><i id="nbzph"><cite id="nbzph"></cite></i></del>
<strike id="nbzph"><video id="nbzph"></video></strike>
<ruby id="nbzph"></ruby>
<span id="nbzph"><video id="nbzph"><strike id="nbzph"></strike></video></span>
<span id="nbzph"><video id="nbzph"></video></span>
<span id="nbzph"></span>
<th id="nbzph"><video id="nbzph"><span id="nbzph"></span></video></th>
<strike id="nbzph"><dl id="nbzph"></dl></strike>
<span id="nbzph"></span>
<th id="nbzph"><noframes id="nbzph">
<span id="nbzph"></span>
<span id="nbzph"><video id="nbzph"></video></span>
<ruby id="nbzph"><dl id="nbzph"><del id="nbzph"></del></dl></ruby>
<span id="nbzph"></span>
<span id="nbzph"></span>
<span id="nbzph"></span><span id="nbzph"><video id="nbzph"></video></span>
<span id="nbzph"></span><span id="nbzph"></span><strike id="nbzph"></strike>
<span id="nbzph"></span>
<th id="nbzph"></th>
<th id="nbzph"><noframes id="nbzph"><span id="nbzph"></span>
<th id="nbzph"></th>
<th id="nbzph"></th>
<noframes id="nbzph"><menuitem id="nbzph"><var id="nbzph"></var></menuitem>
<span id="nbzph"></span>
<span id="nbzph"></span>
<span id="nbzph"><video id="nbzph"></video></span>
<span id="nbzph"></span>
<th id="nbzph"><video id="nbzph"></video></th>
<span id="nbzph"></span>
<th id="nbzph"></th>
<strike id="nbzph"></strike>
<span id="nbzph"><video id="nbzph"></video></span><th id="nbzph"></th>
<span id="nbzph"></span>
<span id="nbzph"><video id="nbzph"></video></span>
<strike id="nbzph"><dl id="nbzph"></dl></strike>
<th id="nbzph"><video id="nbzph"></video></th>
<span id="nbzph"></span>

售前咨詢: 售后服務: | 網站地圖 | 關于我們 | 相關資質 | 聯系我們

idc機房
撥打銷售熱線 直接對話專家

如有疑問,請在線咨詢

為什么選擇我們

100%品質保障

您的位置:主頁 > 新聞中心 > 解決方案 > 解決方案

IP城域網設備安全加固措施

作者:鵬博士數據 發布于:www.wacw.tw 點擊量:


一、城域網核心層設備的安全防護措施

(一)提升核心設備數據層防護

(1)結合黑洞路由機制,根據需要對城域網中的地址段進行防護。在網內部署專門的黑洞觸發路由器,用來發布黑洞路由,黑洞路由的community設置為特定值,修改黑洞路由的next-hop,同時在所有網絡邊緣設備上配置靜態路由把黑洞路由的next-hop指向空端口。對造成網絡或者重要鏈路擁塞的大攻擊流量進行有效管控,主要是通過城域網遠程觸發黑洞策略,保證網絡的安全運行穩定。

(2) 在BRAS和SR上啟用源地址檢查功能。如城域網BRAS或SR不具備(或者不完全具備)源地址檢查功能,則在城域網出口路由器下聯端口上采用ACL技術或者URPF技術(在設備具備相關能力的情況下)過濾掉源地址非法的數據包。源地址為城域網業務地址,或者自帶地址用戶的源地址。

(二)提升核心設備控制層防護

對于只接收網內路由和缺省路由的城域網,嚴格控制路由過濾策略,防護對城域網BGP控制層面的沖擊。

二、城域網匯聚層設備的安全防護措施

對城域網設備網絡安全配置進行完善及優化,探討網絡層面抗攻擊手段,提高城域網設備抗攻擊能力,確保城域網絡安全。

(一)提高匯聚層數據層面安全

  1. 使用ACL/VACL等技術手段,在城域匯聚層交換機二層或三層對常見病毒攻擊包(如沖擊波病毒、SQL蠕蟲病毒及震蕩波病毒等)進行過濾,保證匯聚層網絡數據的安全,防止因病毒攻擊引起網絡擁塞。

  2. 在匯聚層交換機的專線接入端口,使用路由器的uRPF檢查(ip verify unicast rpf),防止偽造地址引起的網絡接入攻擊。

  3. 在匯聚層交換機的專線接入端口,配置no ip directed-broadcast,關閉直接廣播包在路由層面的轉發,防止因直接廣播包引起的smurf攻擊。

  4. 在匯聚層交換機的用戶接入端口上關閉源路由,使用命令no ip source-route,防止源路由攻擊。

  5. 在匯聚層交換機的專線接入端口,配置no ip proxy-arp,關閉代理 ARP功能,減輕CPU負擔,減少因此引起的可能ARP攻擊。

  6. 關閉不需要的網絡服務,如基于TCPUDP協議的小服務、finger等;在用戶接入端口關閉CDP服務,提高匯聚層設備的安全性。

  7. 對使用VLAN技術開放的二層VPN用戶,在中心交換機上設置spantree根節點,防止因根節點變化引起的spantree頻繁收斂。

  8. 在不同廣播域之間的二層trunk中繼上,對trunkvlanID進行過濾,減少透傳不必要的VLAN,提高vlan資源的利用率,同時提高整個二層網絡的安全性。

(二)提高匯聚層控制層面安全

  1. 將所有匯聚層以上交換機的VTP類型設置為transparent,防止因意外情況下,交換機VLAN信息被修改或丟失。

  2. 管理VLAN與數據業務VLAN進行分開,控制每個管理VLAN內的設備數目,禁止使用VLAN1做為管理VLAN,防止因cisco設備特性引起的管理vlan過大。

  3. 加強口令及日志管理,啟用了NTPserver,loggingserver。利用CiscoACS進行交換機遠程管理的TACACS+認證及記帳,并對本地網的設備進行分權管理。不同部門分配不同的口令權限,并強制口令定時更改,這樣既能保證了不同部門訪問匯聚交換機的需求,又提高了交換機管理的安全性。

  4. 對相關設備默認的口令進行初始更改,并定期修正口令和用戶名

  5. 利用數據自動備份系統,定時地對所有匯聚層設備配置進行自動備份,實現配置備份及時更新,并保證設備故障或配置丟失時業務快速恢復。

  6. 加強設備流量的動態監控,利用綜合IP網管系統對匯聚層以上的設備進行流量實時監控,為網絡優化及故障處理提供手段及依據。

  7. 在匯聚層設備上設置SNMP控制訪問權限,修改只讀團體屬性,匹配ACL,只對有需要的網管設備地址開放。

綜合采用上述技術,在IP城域網核心層、匯聚層設備進行網絡安全策略配置,可以在一定程度上保障網絡設備安全,把對IP城域網的安全隱患危害減輕到最低程度。

 


新聞中心 |  服務器托管 |  CDN |  光纖接入 |  五線云主機 |  典型案例 |  關于我們 |  更多友情鏈接 | 
Copyright © 2004-2011 DEDECMS. 織夢科技 版權所有
陕西陕西体彩11选5