四宗罪:管理随意化
实际上对于一台路由交换设备来说,我们可以通过远程终端,本地终端,WEB,TFTP服务器,虚拟终端,SSH等多个方式对其进行配置,在网络设备加固工作时最好都使用本地终端的方式,即通过PC机的超级终端和交换机的Console口进行配置,这是因为在安全加固过程中要避免外界干扰,通过本地终端连接路由器可以防止管理员因为操作不当后被拒绝登录到网络设备事情的发生。
当然如果我们实在需要使用非本地超级终端的方式进行管理,那么最标准的管理路由交换设备的方法是通过访问控制列表ACL来阻止非授权IP地址对路由交换设备的访问,这样就算非法人员知道了管理密码也会因使用的IP未授权而无法入侵。就个人经验来说对内网可以通过划分VLAN虚拟局域网的形式控制访问权限,而对外网则要借助ACL访问控制列表来精细化的分配授权。(如图5)
