软考-信息安全工程师学习笔记101—网络设备安全

1.关闭非安全的网络服务及功能

为了增强网络设备的安全，减少网络攻击面，网络设备应尽量不提供网络服务，或者关闭危险的网络服务，或者限制网络服务范围。

2.信息过滤

过滤恶意路由信息，控制网络的垃圾信息流

Router(Config)# access-list 10 deny 192.168.1 .0 0.0.0.255

Router(Config)# access-list 10 permit any

禁止路由器接收更新 192.168.1.0 网络的路由信息

Router(Config)# router ospf 100

Router(Config-router)# distribute-list 10 in

禁止路由器传播 192.168.1.0 网络的路由信息

Router(Config)# router ospf 100

Router(Config-router)# distribute-list 10 out

禁止默认启用的 ARP-Proxy,避免引起路由表的混乱。

Router(Config)# no ip proxy-arp

Router(Config-if)# no ip proxy-arp

3.协议认证

为保证路由协议的正常运行，用户在配置路由器时要使用协议认证。如果不是这样，路由器就会来者不拒，接收任意的路由信息，从而可能被恶意利用。因此，必须通过一些安全措施来实现路由器的协议安全运行。

• RIP 路由信息协议
• OSPF 开放最短路径优先协议
• EIGRP 增强内部网关路由协议

物理安全是网络设备安全的基础，物理访问必须得到严格控制。

物理安全的策略主要如下:

• 指定授权人安装、卸载和移动网络设备
• 指定授权人进行维护以及改变网络设备的物理配置
• 指定授权人进行网络设备的物理连接
• 指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接
• 明确网络设备受到物理损坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼