1.3.2 网络设备安全

局域网中的主要网络设备包括路由器、交换机和防火墙，分别用于提供不同的网络功能和应用。网络设备的部署方式、工作环境、配置管理等，都可能影响其安全性。

1. 网络设备的脆弱性

通常情况下，当用户按照组网规划方案购入并部署好网络设备之后，设备中的主要组成系统即可在一段时间内保持相对稳定的运行。但是，网络设备本身就有一定的脆弱性，这也往往会成为入侵者攻击的目标。网络设备的安全脆弱性主要表现在如下方面：

● 提供不必要的网络服务，提高了攻击者的攻击机会。

● 存在不安全的配置，带来不必要的安全隐患。

● 不适当的访问控制。

● 存在系统软件上的安全漏洞。

● 物理上没有得到安全存放，容易遭受临近攻击。

针对这些与生俱来的安全弱点，用户可以通过如下措施加固设备安全：

● 禁用不必要的网络服务。

● 修改不安全的配置。

● 利用最小特权原则严格对设备的访问控制。

● 及时对系统进行软件升级。

● 提供符合IPP（Information Protection Policy，信息保护策略）要求的物理保护环境。

2. 部署网络安全设备

局域网中常见的网络安全设备包括网络防火墙、入侵检测设备、入侵防御设备等。网络防火墙是必不可少的，用于拦截处理来自Internet的各种攻击行为，并且可以隔离内部网络有效避免内部攻击。入侵检测设备只能用于记录入侵行为，局域网中已经很少使用。通常情况下，可以在网络中部署入侵防御系统，保护内部服务器或局域网的安全。

3. IOS安全

IOS就是智能网络设备的网络操作系统，主要用于提供软件管理平台。IOS与计算机操作系统类似，难免存在系统漏洞，入侵者同样可以通过这些漏洞进入网络设备的IOS，进行各种破坏活动，从而影响网络的安全运行。

通常情况下，用户可以从如下方面实现网络设备的IOS安全：

● 配置登录密码，主要包括Enable密码和Telnet密码，必要时可以以加密方式存储密码，以确保其安全性。

● 配置用户访问安全级别，为不同的管理账户赋予不同的访问和管理权限。

● 控制终端访问安全，严格控制允许终端连接的数量，以及终端会话超时限制。

● 配置SNMP安全。SNMP字符串用于验证用户与交换机的连接，确保其身份的有效性，类似于用户账户和密码。

● 及时备份IOS映像，以便出现误操作或遭遇攻击时可以迅速恢复。

● 升级IOS版本。IOS的系统漏洞是不可避免的，用户可以通过安装补丁或升级IOS版本的方法避免由于系统漏洞导致的网络攻击。