易筋洗髓

--翟运波

近几年移动互联网快速发展，给人们的工作、生活和娱乐带来了翻天覆地的变化，与此同时，网络的安全威胁开始不断增多，而且危害日益严重，网络安全逐步引起了人们的广泛关注。从网络层次或者业务应用角度，可以把网络安全威胁分为物理传输设备的安全威胁、网络层的安全威胁以及应用层的安全威胁等等。目前人们更多的是关注数据传输层面或者应用系统及软件的安全，而往往忽略了底层物理线路或者网络传输设备本身的可靠性、安全性。针对各种终端的软件防火墙、杀毒软件层出不穷，数据加密认证技术也蓬勃发展，但是针对网络设备本身的安全防护技术以及防护措施少之又少，殊不知，网络设备是数据传输的根本，如果网络设备都不安全，何来数据安全？

2013年9月份中国保监会组织第三方评测机构对深圳某银行的网络系统进行安全扫描，发现客户其中一个公网地址的80端口开放，通过浏览器打开是一个软件登陆界面，而且使用周知的用户名和密码admin/admin可以直接登陆，登陆进去后竟然是其部署的一套网管系统，通过该网管系统可以进一步登陆内网的部分路由器和交换机等网络设备！这简直是一个天大的漏洞，试想，如果是黑客进入该系统，对里面的设备进行关闭或重启操作，那将给企业带来不可估量的损失，鉴于该银行网络存在严重的信息安全隐患，保监会对其进行了严重的处罚。另外，不仅企业的网络安全防范意识较薄弱，普通用户更是如此，比如很多家用的无线路由器、手机、平板电脑等设备往往直接采用默认的网络设置，安全等级设置较低，外部用户可以轻易破解，甚至通过无线直接接入，不仅影响用户的网络访问速度而且还在存在数据篡改、隐私泄露等重大安全隐患。

在网络建设和维护中，网络安全已经是不可或缺的一部分，而网络设备是整个网络的基础，网络设备的安全是整个网络安全稳定运行的前提条件，如果网络设备的安全得不到保证，整个网络的安全也就无从谈起。网络设备的安全威胁主要包括设备的用户名密码泄露、设备的非法登录、未授权操作以及针对设备本身的攻击等等。所以，网络管理员必须采取身份认证、授权、数据加密和验证、设备安全加固、日志审计等一系列手段保障设备的安全。

安全可靠的管理手段：要保障设备的安全，首先要选择一种安全的管理手段，防止日常管理和维护过程中设备关键信息的泄露。网络设备的管理方式多种多样，有Console、Telnet、SSH、HTTP、HTTPS等等，不同的设备支持的方式可能不同，总的来说这些管理方式可以分为命令行管理方式(CLI)和WEB管理方式两大类；其中，Console、Telnet、SSH、等属于命令行管理方式，而HTTP和HTTPS则属于WEB管理方式，在这么多管理方法中如何选择一种安全可靠的管理方式呢？Console和Telnet管理方式差不多，区别在于Telnet更加高效，而且可以远程管理设备，权限划分和用户控制也更加灵活，它们的缺点就是以明文传输交互的信息，安全性比较低；SSH可以采用丰富的加密和认证手段保证数据传输的安全性，为网络设备的管理提供一种更加安全的手段。HTTP基于普通的TCP连接，采用图形化的方式管理和配置设备，效率比较高，但是由于HTTP协议未采取任何加密手段，所以安全性较弱；HTTPS在HTTP的基础上采用SSL协议为其提供安全服务，更加安全可靠。所以，对于基于命令行管理的设备，强烈推荐采用SSH方式对设备进行管理和配置，基于WEB管理和配置的设备，建议采用HTTPS方式。

认证和授权:除了选择一种安全的管理方式以外，还需要对设备的管理员进行管理和监控，通常我们采用AAA框架来实现。AAA是Authentication、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，主要为用户提供接入服务，设备可以采用AAA对管理员进行认证和授权。身份认证是指设备对登陆的用户进行身份信息的确认，只有确认通过的用户才能登陆并管理设备，通常设备都支持本地认证和远端认证。本地认证就是将用户信息（包括用户名、密码和各种属性）保持在本地，其优点就是操作简单、认证速度快，缺点是设备存储的用户信息受限于设备条件不利于批量用户管理，而且不是非常安全。远端认证包括RADIUS、HWTACACS等方式，用户信息集中存放在专门的认证服务器上，不仅可以支持大量的用户，而且可以让不同的设备和同一台认证服务器配合，实现一个用户管理多台设备的目的。AAA框架的另一个重要作用是授权，授权就是对不同用户赋予不同的权限，以便执行不同的动作或者访问不同的资源。授权可以分为本地授权、RADIUS授权和HWTACACS授权，通过为不同的用户分配不同的权限等级，当用户登陆设备后仅仅能执行授权的命令。在网络运维过程中，建议采用远端认证和授权的方式管理设备，由于用户和设备分离，便于多台设备的用户名/密码统一管理，而且便于大量用户的集中管理。

监控和日志审计：几乎所有的网络设备都支持SNMP协议，通过SNMP协议，可以对设备的关键信息（CPU、内存利用率，接口速率，新建和并发连接数等）进行监控，再配合一些联动平台，可以实时将设备的重要事件信息发送给管理员。采用SNMP的时候要注意其安全性，最好采用SNMP V3进行加密和认证。软件方面可以采用一些比较成熟的专业软件如HP公司的HP Open View、IBM公司的NetView或者H3C的iMC管理平台，也可以采用一些开源的免费软件。审计就是对用户的登陆、退出和操作等过程进行记录，审计是设备安全管理里面非常重要的一环。网络设备一般都有日志记录功能，可以对用户登陆和退出过程，配置操作等信息进行记录并输出相应的日志，但是设备的日志存储空间有限，不能记录太多的日志信息，而且一旦设备重启，以前的日志将全部丢失且无法恢复，所以推荐搭建专门的日志服务器，配合第三方的软件分析平台（如iMC）对设备的系统日志、操作日志进行收集和备份，一旦出现问题，可以随时对日志进行查看和回溯。

设备安全加固：除了对登陆用户的身份、权限进行控制外，在设备上还可以对登陆方式进行控制，可以关闭某些不需要的登陆方式，比如Telnet、HTTP，或者更换服务端口，防止黑客恶意扫描，对设备发起攻击或者暴力破解。另外，还可以在设备上对管理员登陆设备的IP地址进行控制，防止管理员账户信息的泄露或者管理员从不安全的网络环境登陆和管理设备，SSH和HTTPS都可以配置ACL，对登陆的网段进行限制。另外设备还可以采取一些动态安全策略强化设备的登陆机制，比如连续多次登陆设备失败就将用户锁定或者将登陆的IP地址加入黑名单。最后，删除设备的一些默认配置，比如默认管理口IP地址，默认用户名密码，很多企业在搭建网络的时候，为了方便配置或管理，会保留交换机、路由器、服务器等设备的默认配置，对安全没有足够的认识，让企业网络面临着严重的威胁，要想保障企业网络的安全可靠，在搭建网络中一定要远离各种“默认”配置。

管理流程和制度：技术可以在一定程度上防范一些来着网络外部的安全威胁，但仅仅依靠技术手段来实现网络设备的安全是远远不够的，还需要通过提高安全防范意识和制定规范制度来完善整个网络的安全防护体系。在整个网络管理过程中，网络管理人员起着至关重要的作用，所以首先必须提高网络管理人员的安全意识，在网络规划、建设和维护过程中时时处处都会从稳定、安全的角度出发考虑问题；其次要建立一套完整的规范和制度来明确网络管理人员的角色和职责，规范和约束管他们的操作行为，减少日常工作中的疏忽，避免为网络的安全埋下隐患；最后，还需要建设一个全面、及时的监控系统以及一套快速、高效的应急处理机制，能够及时发现网络中出现的问题，并快速有序的解决。

结束语：网络设备的安全可以说是三分技术七分管理，对外需要采取一系列的技术和手段提高设备的稳定性、安全性，保证设备能够有效抵御各种入侵和攻击；对内需要建立一套完整的流程和制度来提高管理人员的安全意识，规范管理人员的操作行为。内外兼修，双管齐下，方能从根本上保障网络设备的稳定，保证业务的安全！