常信村百科网
你的位置:
网站首页
>>
频道首页
>>
路由器
>>
Cisco 路由器和交换机安全加固如何进行有效的安全加固
Cisco 路由器和交换机安全加固如何进行有效的安全加固
点击联系发帖人
时间:2018-06-06 10:45
路由器与交换机的区别
{{data.item.arttitle}}
作者 {{data.item.artauthorname}} {{data.item.artcreatetime}}
请使用浏览器的分享功能分享到微信等请问路由器和交换机的主要区别是什么?尹淑雅交换机,顾名思意,主要是起交换数据的作用。
路由器,不但起交换数据的作用,它还会寻找到该数据会传给谁,该怎么传。这是交换机和路由器最基本的区别。路由器不但可以交换数据,还可以寻址、路由。
打个比方:A想给B传递一个东西,如果是在同一个房间内(网络上就是一个局域网内),他们彼此之间是认识的,那么A就可以直接给B这个东东。这就是一个交换机可以完成的事项;
同样,A想给B传递一个东西,但是不在同一个房间内(网络上就是不同局域网内),他们彼此之间是不认识的,那么A就不得不通过其他媒介,寻找到适当的方式才可以给B这个东东。这就是一个路由器该完成的事项;但是交换机做不到。
不过,现在的3层交换机也可以有路由功能。但是,交换机拥有强大的数据交换能力,这是路由器做不到的;路由器有强大的路由功能及安全策略能力,也是交换机做不到的。交换机一般用在区域内起数据交换的功能,路由器一般用在区域间起路由转发的功能。
查看更多更多回答纪德佑 (1)工作层次不同
最初的的交换机是工作在OSI/RM开放体系结构的数据链路层,也就是第二层,而路由器一开始就设计工作在OSI模型的网络层。由于交换机工作在OSI的第二层(数据链路层),所以它的工作原理比较简单,而路由器工作在OSI的第三层(网络层),可以得到更多的协议信息,路由器可以做出更加智能的转发决策。
(2)数据转发所依据的对象不同
交换机是利用物理地址或者说MAC地址来确定转发数据的目的地址。而路由器则是利用不同网络的ID号(即IP地址)来确定数据转发的地址。IP地址是在软件中实现的,描述的是设备所在的网络,有时这些第三层的地址也称为协议地址或者网络地址。MAC地址通常是硬件自带的,由网卡生产商来分配的,而且已经固化到了网卡中去,一般来说是不可更改的。而IP地址则通常由网络管理员或系统自动分配。
(3)传统的交换机只能分割冲突域,不能分割广播域;而路由器可以分割广播域。由交换机连接的网段仍属于同一个广播域,广播数据包会在交换机连接的所有网段上传播,在某些情况下会导致通信拥挤和安全漏洞。连接到路由器上的网段会被分配成不同的广播域,广播数据不会穿过路由器。
虽然第三层以上交换机具有VLAN功能,也可以分割广播域,但是各子广播域之间是不能通信交流的,它们之间的交流仍然需要路由器。
(4)路由器提供了防火墙的服务,它仅仅转发特定地址的数据包,不传送不支持路由协议的数据包传送和未知目标网络数据包的传送,从而可以防止广播风暴。 望采纳。
英雄的汗水路由器相对于交换机来说,是包含交换机的功能。交换机常常的用途是用来扩展网络接口,比如一个情景是只有两个网口,但是却有四台电脑需要上网,这时候就面临网口不足的情况,这时候就可以买一台交换机来扩展接口。总结来说交换机起到的是增加网口的作用。而路由器则不同,路由器不但起到了扩展网口,还可以一个账号,实现多人多机上网的作用。
热门问答1234567891011121314151617181920查看更多21222324252627282930免费验房免费设计黄道吉日建材优惠家具定制Q:,多交流技术
Cisco路由器及交换机安全加固
根据木桶理论,一个桶能装多少水,取决于这个桶最短的那块木板。具体到信息系统的安全也是一样,整个信息系统的安全程度也取决于信息系统中最薄弱的环节,网络做为信息系统的体,其安全需求的重要性是显而易见的。 网络层面的安全主要有两个方面,一是数据层面的安全,使用ACL等技术手段,辅助应用系统增强系统的整体安全;二是控制层面的安全,通过限制对网 络设备自身的访问,增强网络设备自身的安全性。数据层面的安全在拙著《网络层权限访问控制――ACL详解》(http: //www.yesky.com/bang/08/1712713.shtml)已经较为系统的讨论。 本文主要集中讨论控制层面即设备自身的安全这部分,仍以最大市场占有率的思科设备为例进行讨论。 一、 控制层面主要安全威协与应对原则 网络设备的控制层面的实质还是运行的一个操作系统,既然是一个操作系统,那么,其它操作系统可能遇到的安全威胁网络设备都有可能遇到;总结起来有如下几个方面: 1、 系统自身的缺陷:操作系统作为一个复杂系统,不论在发布之前多么仔细的进行测试,总会有缺陷产生的。出现缺陷后的唯一办法就是尽快给系统要上补丁。 Cisco IOS/Catos与其它通用操作系统的区别在于,IOS/Catos需要将整个系统更换为打过补丁的系统,可以查询http: //www.cisco.com/en/US/customer/products/prod_security_advisories_list.html
取得cisco最新的安全公告信息与补丁信息。 2、 系统缺省服务:与大多数能用操作系统一样,IOS与CatOS缺省情况下也开了一大堆服务,这些服务可能会引起潜在的安全风险,解决的办法是按最小特权原则,关闭这些不需要的服务。 3、 弱密码与明文密码:在IOS中,特权密码的加密方式强加密有弱加密两种,而普通存取密码在缺省情况下则是明文; 4、 非授权用户可以管理设备:既可以通过telnet/snmp通过网络对设备进行带内管理,还可以通过console与aux口对设备进行带外管理。缺省情况下带外管理是没有密码限制的。隐含较大的安全风险; 5、 CDP协议造成设备信息的泄漏; 6、 DDOS攻击导致设备不能正常运行,解决方案,使用控制面策略,限制到控制层面的流量; 7、 发生安全风险之后,缺省审计功能。 二、 Cisco IOS加固 对于12.3(4)T之后的IOS版本,可以通过autosecure命令完成下述大多数功能,考虑到大部分用户还没有条件升级到该IOS版本,这里仍然列出需要使用到的命令行: 1、禁用不需要的服务: no ip http server
//禁用http server,这玩意儿的安全漏洞很多的 no ip source-route
//禁用IP源路由,防止路由欺骗 no service finger
//禁用finger服务 no ip bootp server //禁用bootp服务 no service udp-small-s
//小的udp服务 no service tcp-small-s
//禁用小的tcp服务 2、关闭CDP no cdp run
//禁用cdp 3、配置强加密与启用密码加密: service password-encryption //启用加密服务,将对password密码进行加密 enable secret asdfajkls //配置强加密的特权密码 no enable password //禁用弱加密的特权密码 4、配置log server、时间服务及与用于带内管理的ACL等,便于进行安全审计 service timestamp log datetime localtime
//配置时间戳为datetime方式,使用本地时间 logging 192.168.0.1
//向192.168.0.1发送log logging 192.168.0.2
//向192.168.0.2发送log access-list 98的主机进行通讯 no access-list 99
//在配置一个新的acl前先清空该ACL access-list 99 permit 192.168.0.0 0.0.0.255 access-list 99 deny any log
//log参数说明在有符合该条件的条目时产生一条logo信息 no access-list 98
//在配置一个新的acl前先清空该ACL access-list 98 permit host 192.168.0.1 access-list 98 deny any log
//log参数说明在有符合该条件的条目时产生一条logo信息 ! clock timezone PST-8
//设置时区 ntp authenticate //启用NTP认证 ntp authentication-key 1 md5 uadsf
//设置NTP认证用的密码,使用MD5加密。需要和ntp server一致 ntp trusted-key 1 //可以信任的Key. ntp acess-group peer 98
//设置ntp服务,只允许对端为符合access-list 98条件的主机 ntp server 192.168.0.1 key 1 //配置ntp server,server为192.168.0.1,使用1号key做为密码 5、对带内管理行为进行限制: snmp-server community HSDxdf ro 98//配置snmp只读通讯字,并只允许access-list 98的主机进行通讯 line vty 0 4 access-class 99 in
//使用acl 99来控制telnet的源地址 login password 0 asdfaksdlf //配置telnet密码 exec-timeout 2 0 //配置虚终端超时参数,这里是2分钟 ! 6、对带外管理行为进行限制: line con 0 login password 0 adsfoii
//配置console口的密码 exec-timeout 2 0 //配置console口超时参数,这里是两分钟 ! line aux 0
transport input none
password 0 asfdkalsfj no exec exit 7、应用control-plane police,预防DDOS攻击(注:需要12.2(18)S或12.3(4)T以上版本才支持) 允许信任主机(包括其它网络设备、管理工作站等)来的流量: access-list 110 deny ip host 1.1.1.1 any access-list 110 deny ip 2.2.2.0 255.255.255.0 any ..... access-list 110 deny ip 3.3.3.3 any 限制所有其它流量 access-list 110 permit ip any any ! class-map control-plane-limit match access-group 110 ! policy-map control-plane-policy class control-plane-limit police 32000 conform transmit exceed drop ! control-plane service-policy input control-plane-policy 三、 Cisco CatOS加固 1、 禁用不需要的服务: set cdp disable
//禁用cdp set ip http disable
//禁用http server,这玩意儿的安全漏洞很多的 2、 配置时间及日志参数,便于进行安全审计: set logging timestamp enable
//启用log时间戳 set logging server 192.168.0.1
//向192.168.0.1发送log set logging server 192.168.0.2
//向192.168.0.2发送log! set timezone PST-8
//设置时区 set ntp authenticate enable //启用NTP认证 set ntp key 1 md5 uadsf
//设置NTP认证用的密码,使用MD5加密。需要和ntp server一致 set ntp server 192.168.0.1 key 1 //配置ntp server,server为192.168.0.1,使用1号key做为密码 set ntp client enable
//启用ntp client 3、 限制带内管理: set snmp community HSDxdf
//配置snmp只读通讯字
set ip permit enable snmp
//启用snmp访问控制 set ip permit 192.168.0.1 snmp //允许192.168.0.1进行snmp访问 set ip permit enable telnet
//启用telnet访问控制 set ip permit 192.168.0.1 telnet //允许192.168.0.1进行telnet访问 set password
//配置telnet密码 set enable
//配置特权密码 set logout 2
//配置超时参数,2分钟
没有更多推荐了,404 Not Found
404 Not Found
nginx/1.14.0H3C交换机网络加固手册_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
H3C交换机网络加固手册
阅读已结束,下载本文需要
定制HR最喜欢的简历
下载文档到电脑,同时保存到云知识,更方便管理
加入VIP
还剩1页未读,
定制HR最喜欢的简历
你可能喜欢}
我要回帖
说的太好了,我顶!
更多关于
路由器与交换机的区别
的文章
·
有一个十六口交换机 我有一个路由器接交换机插在上面 手机连上wifi后上网浏览记
·
如何关闭H3C的交换机路由器作为交换机使用等设备上使用SFP模块时候产生的警告提示
·
二三层交换机路由器区别和路由器的区别有人了解吗
·
路由与路由器当做交换机使用的使用问题
·
Cisco 路由器和交换机安全加固如何进行有效的安全加固
·
电脑。交换机。路由器 交换机
更多推荐
·
来个人说下高考基础重要还是刷题重要完全解读适合基础一般的孩子用吗?
·
能告知一下,成都郫都区幼儿园排名成外附小幼儿园园区环境好吗?
·
学校春游普通人去美国旅游需要什么条件洛杉矶一个星期五万一个人,能让孩子去吗,钱不钱无所谓?
·
大模型和老外交流翻译神器会替代人类吗?有什么好用的大模型和老外交流翻译神器工具?
·
讨教下,听说爱可丁奶粉是品牌吗HMOs奶粉不错,你家孩子喝了吗?
·
高血压180严重吗三级是高血压180严重吗中比较严重吗
·
请问房颤跟高血压会引起房颤吗有直接关系吗?
·
三月份做的人流完多久来月经,然后过完一个月来月经,一个月来了两次,这个月正常是1号来 为什么到现在还没来。
·
有没有人知道怎么买到癌症靶向治疗适合什么癌症药Atezolizumab,PD-L1,Tecentriq
·
尿是这个颜色怎么了,有点肾结石尿血是怎么回事
·
记忆力很差怎么办差怎么办??
·
我想如何让伤口不留疤痕留个伤疤该涂什么药膏
·
右脚右侧上面触觉不是很好,是不是癌症晚期病人精神很好啊,害怕,好几天了,走路正常,就摸不正常
·
湖南长沙湘雅医院院网上挂号?有点晕
·
一人拿把刀割脚成语旁一个脚一个手
·
孕妇湿疹流黄水溃烂流黄水
·
谁有复仇者联盟1资源3百度云资源,十分感谢
·
哈尔滨医大四院怎么样核磁共振做一次贵不贵,多少钱
·
耳机上有个K的ddj耳机是什么牌子子的
·
为啥耳机吧的人都要就敢狂怼韦少喷kd1more
·
Cisco 路由器和交换机安全加固如何进行有效的安全加固
·
手机的6.31M、2M是什么意思思?底下的1.7是什么意思?
·
山西中央空调工程清洗哪家做得好
·
谁知道小艾移动空调怎么样样?
·
谁知道可移动空调怎么样样?
·
王者荣耀铠的刀图片·铠如何一刀砍出4000多血
·
YDG怎么样,好不好的默认美团点评销售好不好
·
每个人都能用陈大年人拍拍拍视频miui设置10吗
·
美图手机m8s有哪几款北极狐限量版有哪几款型
·
戴尔布线涡轮导向器器在哪里
·
发现努比亚z11拆机视频的这几个强大功能,手机从
·
自动卖家同意退款后怎么做怎么设置
·
华为10和华为v10对比跟v10图片对比大多少
·
华为安卓带耳麦线控k歌耳机降噪通用好音质入耳式怎么样
·
有人知道我的手机号码选号上微博会显示号码吗
·
大家有没有推荐的摩托车行车记录仪推荐,千万不要买这
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请
点击这里与我们联系
,我们将及时删除。
点击添加站长微信