21.2、网络设备安全机制与实现技术

网络设备安全机制与实现技术 - 认证技术

网络设备需要对用户身份进行认证，登录设备需要口令、密码，通过不同的方式去登录，需要不同的密码。比如说通过console口去登录设备，需要输入console的密码，通过远程vty方式去登录，要输入ssh密码，这就是简单认证机制。

基础认证方式，直接在设备上存用户名和密码，但是网络中，如果设备很多，比如说交换机，路由器有1000台，配置用户名，密码都要到1000台设备上去配，就很麻烦，所以为了便于网络安全管理，交换机，路由器等等一些网络设备，可以支持TACACS+认证，RADIUS认证，就把这1000台交换机的一些用户名和密码存到后台服务器上，如TACACS服务器或者RADIUS服务器做管理就很方便，直接管后台服务器就行了，将来修改密码，不一定要登录1000台设备去管理，整个认证方式就是，比如说这是一台PC，然后这些是交换机、路由器，他们的密码是存在后台的两个服务器之上，这是两种协议，如果是叫tacacs，它是思科私有的

TACACS指的是交换机跟后端服务器就纯用户名密码的服务器通信协议，如果跑的是radius服务器，这两个协议主要是用来进行认证的时候做内容交互用的。

一般我们中间的路由器跟后台的认证服务器之间跑的协议是radius，那么后端服务器，我们把它叫做radius服务器，为了统一管理，用户名密码可能会引入这种方式

网络设备安全机制与实现技术 - 访问控制

网络设备的访问可以分为代内访问和代外访问，举个例子，我这里面有一台交换机，我想远程登录它，它放在机房里面，我在家里面远程登录它，我只要把这个接口配个公网IP，或者我在公网能访问到这个IP地址就行了，我就可以登录这个设备，这叫代内访问，就是这个接口既跑业务流量，又跑网络管理流量

比如说单独搞一个ipmi专用接口，不跑其他网络流量，只跑网络管理流量，这就叫带外，我有一台电脑在云上，就是在远端，公有云或者是在任何一个地方都行，我是通过一个接口去访问这台电脑，通过向日葵远程控制软件去访问它，如果这台电脑你在下载，比如带宽是10M或者100M，你在下载百度云，或者下载迅雷，那有可能造成这些软件把带宽占满，导致远程登录软件上不去，我想控制你，控制不了，只有等你下载完，我才能控制抢带宽，但是如果我有一个专用端口来访问你的这个端口，就不跑其他业务，只跑网络管理流量是不是就能很好的去做管理，在我们数据中心设计里面基本上带外管理是必备的，特别是大型的数据中心，因为数据中心流量很大，可能业务就占满了我整个带宽，网管流量上不来，你想改一些配置都改不了

带外访问不依赖其他网络，而代内访问要求我们提供网络支持，就是业务网络，要能够通过网络设备访问的方式，主要可以通过console口，本地去把console线怼到设备上，console线一般都不会很长，最长就几米。所以不可能实现远程访问

辅助接口是早期设备，类似于服务器的ipmi，是一个代外管理口，现在交换机的辅助接口也变成了ipmi，aux的接口已经基本上见不到了。vty虚拟接口，是在交换机设备上，可以配的虚拟接口。华为配的话，它不叫vty，叫user interface，用户通过虚拟接口去登录设备，当然我们设备也可以通过ftp网页的方式去访问，还可以传一些文件，这就是网管协议

其中console、辅助接口和vty被称为line，在思科设备上叫line，在华为设备上叫user interface，就是用户登录的虚拟接口

通过访问控制列表来实现line的话，只能通过console口去登录，其他的远程登录方式把它给关闭掉，通过local的方式去登录

超时时间，然后访问控制列表的应用，就是只有满足访问控制列表一的流量才能登录我的这个设备，而且是通过console口去登录，只能本地登录，远程登录不了，这是对console口的一个访问控制。限制特定的IP才能登录，这是第一种控制方式

第二种可以通过vty方式去控制，写了很多访问控制列表，只允许这两个IP地址，其他的都拒绝，user interface跟line虚拟线路，是对应的关系

华为的很多命令其实跟思科是比较类似的，最早就完全一样，后来由于侵权就改掉了

只允许acl10的流量进来，只允许这样的流量通过远程访问的方式来登录设备
超时配置五分钟，对网页的访问控制就只允许这个IP地址来访问，通过网页的方式来访问我的设备

以前没事的时候，拿着扫描器在网络上扫八零端口，扫公网IP的80端口，扫到了80端口开放之后，就用弱密码猜密码，最后找出来就会有一大堆公网IP的登录窗口

路由器底层是iOS系统，上层其实就是一个80端口，web访问的服务，然后上层还可能有23端口开放，你扫到了八零端口的用户名和密码，就可以进入路由器了，可以查看一些配置，但是操作不了，八零端口一般它是设置了一些权限，就你可以查看，但你操作不了，你查看的话，只能查看这台路由器目前运行的所有的配置你可以看得到的，包括你可以看到它的telnet 23端口的用户名和密码，查看到了之后，可以通过telnet上去登录到我们的路由器，然后对它的配置进行你想要的任何修改

登录设备的IP没有做限制，从公网的任一个IP过来，我都可以登录设备，我们应该限制一下，只有某一个内网IP才能登录出口路由器，这样别人在公网上就登录不了，如果想登录，要先搞定一台内网PC，但是搞定内网PC，这个也不是那么容易的事情

问题的解决方法，比如说第一个就限制指定的IP才可以访问这台出口路由器

不必要的服务，把它关，因为它可能会招致攻击，早年是可以随便去网上扫的，但现在不行了

对http的访问控制，不要这个服务，把它关了，如果要开，就设置一些访问控制列表，只有指定的终端可以登录

snmp访问控制，snmp是网络管理协议，我们可以通过这个协议管理前端的网络设备，你要管理它是不是相当于也是要有对方的用户名密码，在snmp里边它叫团体字，叫community，说白了就是一个密码，你只有知道对方的密码，你才能管理他，比如说，这个密码它是readonly ro表示read only，然后这样的密码，也叫团体字rw，就是读和写，输入不同的团体字，你的权限是不一样的，这个一般在网络管理软件里面去把这些东西给写进网络管理软件的操作权限，然后还有一些限制访问的IP地址，只有网管软件这个IP才能访问，如果不需要的话，就把snmp给关掉

第五个是设置管理专网，通过专用网络去做管理，专用网络更安全，不容易被黑客攻击。然后我们的通信要加密，用ssh去替代，在路由器上去设置一些包过滤的规则，只允许管理主机远程访问我们的路由器。说白了，就是在路由器上写acl，你在中间传输网络写acl也行，这是访问控制相关的一些技术应用。

第六个特权分级，在思科和华为设备上用户的等级都是0-15，一共16个级别。其中它分用户级别和命令级别，用户级别16级，然后命令级别是四个级别0-3。其中零级就是一些基础命令，ping，然后一级叫监控级，它的命令会更高级一点。二级是配置级，可以执行一些配置命令。三级就是管理级，基本上所有的命令都可以执行，用户要执行相应的命令，需要保证用户的级别不低于命令的级别。

比如说0到15，所有的用户，都可以执行零级的命令，因为它的优先级最低，然后一到15，所有的用户都能执行一级。要执行三级的命令，必须用户的等级要在三级以上，这是特权分级，针对不同的用户，进行相应的权限划分，这是用户的等级和命令的等级要相匹配。

网络设备安全机制与实现技术 - 信息加密

网络配置文件里边有一些敏感口令，一旦泄露，将导致网络失去控制。我们通过80端口去查看它的配置，而且配置是明文，我能看到你的密码，可以通过23端口telnet去访问你

在思科命令上，我们可以通过service password-encryption命令来对明文口令进行加密

网络设备安全机制与实现技术 - 安全通信

我们要么用加密的ssh去替代telnet，ssh是加密的，telnet是明文传送。第二个我们用VPN，典型的用IP，这个VPN就是我们与设备之间的通信是加密的

第一个用安全的协议ssh，第二个打VPN隧道

网络设备安全机制与实现技术 - 日志审计

其实所有设备，都带日志审计功能，我们通过阅读审计日志，有利于我们分析一些安全事件，网络设备提供了多种审计方式，控制台的日志审计就是把输入的命令给记录下来、缓冲区日志审计、终端审计、SNMP traps、AAA审计、Syslog审计

Syslog是标准的日志协议，我们可以通过Syslog协议，把相应的日志读到Syslog服务器上去，相当于做日志的统一管理，像日志审计设备也可以读取我们所有前端设备的Syslog，把Syslog给集中到后台，由于网络设备存储信息的有限，一般需要建立专用的日志服务器，并开启网络设备的Syslog服务，接收它发送的一些报警。

专用的日志服务器，用服务器安装一个的软件，也可以买专业审计设备，比如说买一台上网行为管理，它就可以充当专业的日志服务器，日志审计是审计设备的一个功能

网络设备安全机制与实现技术 - 安全增强

安全增强，关闭非安全的一些网络服务及功能，Web服务八零端口，不要的时候它关掉。不然可以通过他来搞你

做一些信息过滤，通过acl，限制用户登录

协议认证，协议主要是传路由信息，比如说建立bgp邻居关系，我们相互传路由，要先经过身份认证，不是所有人我都把内部的一些信息给你，所以有一个协议认证

网络设备安全机制与实现技术 - 强物理安全

物理安全是网络设备安全的基础，物理访问必须得到严格的控制。把设备抱走了，何谈安全

指定授权人安装卸载和移动我们的网络设备，指定授权人进行维护及改变网络的一些物理配置，指定授权人进行网络设备的物理连接，指定授权人进行网络设备控制台的使用以及其他直接访问端口的连接，明确网络设备受到物理损坏时恢复的过程或者出现网络设备被篡改时，它恢复的过程，相当于容灾备份

物理安全还需要注意机房门禁，要做登记、人脸识别、指纹识别，防火防雷。