21-网络设备安全

21.1 概况

1）交换机安全威胁

交换机是构成网络的基础设备，主要的功能是负责网络通信数据包的交换传输

• MAC 地址泛洪（flooding）：通过伪造大量的虚假 MAC 地址发往交换机
• ARP（地址解析协议（Address Resolution Protocol）包） 欺骗：攻击者可以随时发送虚假 ARP 包更新被攻击主机上的 ARP缓存，进行地址欺骗，干扰交
  换机的正常运行。
• 口令威胁
• 漏洞利用

2）路由器安全威胁

• 漏洞利用
• 口令安全威胁
• 路由协议安全威胁
• Dos / DDos威胁
• 依赖性威胁

21.2 机制与实现技术

1）认证机制

2）访问控制

3）信息加密

4）安全通信

5）日志审计

6）安全增强

7）物理安全

21.3 增强技术方法

1）交换机

• 配置交换机访问口令和ACL，限制安全登录
• 利用镜像技术监测网络流量
• MAC 地址控制技术
• 安全增强

2）路由器

• 及时升级操作系统和打补丁
• 关闭不需要的网络服务
• 明确禁止不使用的端口
• 禁止 IP 直接广播和源路由
• 增强路由器 VTY 安全
• 阻断恶意数据包
• 路由器口令安全
• 传输加密
• 增强路由器 SNMP 的安全（Simple Network Management Protocol，简单网络管理协议）

21.4 场景漏洞与解决方法

1）场景漏洞

• 拒绝服务漏洞
• 跨站伪造请求 CSRF
• 格式化字符串漏洞
• XSS
• 旁路
• 代码执行
• 溢出
• 内存破坏

2）解决方法

• 及时获取网络设备漏洞信息
• 漏洞扫描
• 漏洞修补