1.园区网络安全所涉及的内容
如下图,大型园区网络安全一般包括两个方面,内部和外部的网络安全:

在两个方向上加强安全防护的一般思路如下:
# 园区内网安全
1)设备登录安全
如果是本地Console
登录,强烈建议使用用户名和密码登录
如果是远程登录,则建议使用安全性较高的SSH
协议(STelnet
登录)
2)不同网络层次的安全
比如:
- 接入层:作为园区网络的边界,需要防止非法的终端和用户进入网络,同时控制二层流量的转发行为
- 核心层:作为网络的关键位置,其安全性更为重要,当核心设备作为集中认证点时,需要考虑
CPU
性能要能满足处理大量用户接入时的协议报文的能力,当核心设备作为网关时,还需考虑其ARP
安全。
3)无线业务安全
对非法入侵的设备和非法攻击的用户进行检测和反制,保护无线网络边界的安全
对用户接入的合法性和安全性进行认证,保证用户业务数据的安全
# 园区出口安全
1)上网行为管理
针对内网员工访问外部网络的行为,开启URL
过滤、文件过滤、内容过滤、应用行为控制、反病毒等功能,既保护内网主机不受外网威胁,又可以防止企业机密信息的泄露,提高企业网络的安全性。
2)边界防护
将企业员工网络、公司服务器网络、外部网络划分到不同安全区域,对安全区域间的流量进行检测和保护。
根据公司对外提供的网络服务的类型开启相应的内容安全防护功能。例如针对文件服务器开启文件过滤和内容过滤,针对邮件服务器开启邮件过滤,并且针对所有服务器开启反病毒和入侵防御。
2.园区内网安全配置
2.1设备登录安全配置
登录网络设备的方式主要有以下两种:
2.1.1本地Console口登录安全配置
通过Console
口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式的基础。通过配置Console
口用户界面的认证方式、用户的认证信息和用户级别,可以保证Console
登录的安全性。
注意事项:
如果用户通过Console
口登录设备再进行Console
用户界面配置,所配置的属性需退出当前登录,再次通过Console
口登录才会生效。
# 配置步骤如下:
1)配置Console
用户界面的认证方式
<HUAWEI> system-view
[HUAWEI] user-interface console 0 # 进入Console用户界面
[HUAWEI-console0] authentication-mode aaa # 配置认证方式为AAA,默认情况下即AAA
[HUAWEI-console0] quit