网络安全加固之交换机篇

前言：随着国家信息化发展与进步，网络安全法的颁布完善，等级保护对企业安全的要求，因此会面临很多信息系统安全加固的项目，信息系统安全加固肋项目在可以为加快等级保护的审查进度，对企业信息安全提供基础的安全保护。网络安全加固出现的原因在于系统建设早于安全的需求，因此在已建成的系统中，集成人员大多数采用默认配置，未对网络及信息系统进行精细化的安全考虑，很多安全需求不明确，是安全加固类项目存在的必要条件。本篇将细细总结网络设备交换机安全加固，部分来源于网络，个别出于自己经验与学习总结，大神请绕路，不喜勿喷！

一.设备介绍

交换机作用：物理编址，差错校验，划分冲突域，配置VLAN隔离广播，链路汇聚，链路捆绑，STP，有些支持三层的路由功能，ACL功能等等。简单的说，1扩口，2一个物理交换当多个虚拟交换机使用（vlan）。

二.加固策略

1.1.设备登录安全

登录设备的三种方式：

（1）console/aux

能够接触到设备的人员进行console管理的安全风险。

加固方式：配置console密码，cisco方式：

配置成功如下图：

华为方式：

（2）ssh/Telnet

1.密码认证和RSA认证

2.变更端口号：变更更改知名端口

3.ACL：限制登录源

4.配置ssh服务器源接口：原因是默认情况下，接受所有接口发来的ssh登录请求 ，更改后，只允许登录设定的接口IP。

（3）Web

1.禁用web管理，如需开启，则需要加强以下方面：

http AAA 认证:

2.限制登录主机地址：

3.变更服务端口号：

4.更改HTTP为HTTPS：

1.2AAA用户管理安全

本地帐号锁定功能，配置用户的重试时间间隔为6分钟、连续输入错误密码的限制 次数为4次及帐号锁定时间为6分钟

有部分设备直接支持password-control，选项，以实际为主。

1.3SNMP管理设备安全

1.配置SNMP限制网段，

2.配置视图

3.建立SNMP用户，关联ACL，并设置认证方式为sha，加密方式选择sha512,基于用户和组进行过滤

1.4端口安全

端口安全中，主要有：

端口隔离，

加入同一个组的端口互相，不同组隔离

端口防环：

MAC地址绑定，MAC地址学习数量限定：

此功能是将动态学习到的MAC地址设置为安全属性，其他没有被学习到的非安全属性的MAC的帧将被端口丢弃

配置其他非安全mac地址数据帧的处理动作

在配置STP，MSTP时，直接定死根端口，免得因新接入交换机产生根转移。

1.5禁用或关闭多余无用服务

1.禁用多余或无用服务，需要根据实际业务情况进行配置

2、关闭CDP

1.6开启密码加密服务

以cisco密码加密存放示例

1.7配置log server、时间服务及与用于带内管理的ACL等，便于进行安全审计

通过以上加固策略，基本上做到了设备登录安全，管理安全，流量控制安全，安全审计等，这对企业的网络安全一定的提升。

最后，感谢大家的关注，愿意与各位共同进步！