为此,提高这些网络设备管理接口的安全性已经迫在眉睫。考试大下面就对这个话题提一些建议,或许能够对大家有所帮助。
一、通过密码保护管理接口的安全性
在思科的网络设备中,默认情况下,控制台是没有设置口令的。为此,作为一种基本的和便于使用的安全措施,网络管理员在启用网络设备后,第一个任务就是应当立即为接口设置密码。
如就拿路由器来说,其有两种 *** 作模式,分别为用户级模式与特权级模式。其中,用户级模式是默认的访问模式。网络管理员在这个模式下可以执行某些查询命令,但是,不能够修改路由器的相关配置,也不能够利用调试工具。而在特权模式下,网络管理员可以管理、维护路由器,对相关配置进行修改;也可以通过调试工具来改善路由器的性能等等。
为了提高通过控制台接口访问路由器的安全性,考试大建议为两种模式都设置相关口令。而且,特权模式下的密码要跟用户级别模式下的密码不一致,同时,特权模式下因为可以更改网络设备的配置,所以密码要复杂一些。另外需要注意一点,在思科的网络产品中,密码是区分大小写的。
通常情况下,这些密码是以明文形式存储在路由器的配置文件中。所以,如果网络管理员对于安全性要求比较高的话,那么能够使用加密口令技术,让其通过密文的形式存储密码。在实际工作中,我们可以通过两种途径来加强这些已经存在明文口令的安全性。一是通过Enable Secret Password命令。这个命令只加密特权模式口令,对于用户级别模式的口令不起作用。二是采用Service Password-encrption命令。这个命令跟前面命令的不同,就是会加密路由器的所有口令,包括特权模式与用户模式的口令。如此的话,任何人通过查看路由器配置文件都不能够看到路由器的口令。不过要注意的一点是,虽然密码可以通过加密的形式来提高其安全性,但是他仍然可以破解的。为了提高其破解的难度,在设置密码的时候,要是需要增加一些复杂度,如利用字母、数字、特殊字符等组合来设置密码。这可以提高密码破解的难度。
二、设置管理会话超时
在管理 *** 作系统安全性时,我们可以通过屏幕保护程序来防止用户来离开时 *** 作系统的安全性。其实,在路由器等管理中,也需要如此做。因为网络管理员在路由器维护中,中途可能离开去做其它的事情。此时,其它一些别有用心的员工,如对网络管理员不满,就可以轻易的乘管理员离开的那段时间,进行破坏动作。这不需要多少时间,只要一分钟不到的时间,就可以更改路由器等网络设备的配置,从而影响网络的正常运行。
考试大在工作中,就遇到过类似的情况。那时考试大企业规定,要使用QQ的话,就必须申请。通常情况下,在公司不能够采用QQ等即时通信软件。所以,考试大把QQ软件在路由器防火墙中禁用掉了。但是,一次考试大在维护路由器的过程中,中途离开了半个小时。此时有个程序员就更改了路由器的配置,让他的电脑可以上QQ。后来发现,考试大还为此受到了一个处分。可见,在路由器等网络设备管理中,设置管理会话超时也是非常有必要的。
当管理员终端还保持连接,但因为某些原因,网络管理员已不再进行任何 *** 作。此时,就应该采用自动注销机制来确保在这种情况下没人能够使用该终端更改配置。简单的说,就是到网络管理员在一段时间内没有进行任何 *** 作的话,则路由器等网络设备就自动注销管理员用户。通过设置管理会话超时,可以为路由器等关键网络设备提供更好的安全机制。若要采用管理员超时机制的话,在思科网络设备中,可以采用exec-timeout命令。其中,后面跟的第一个参数为分钟,第二个参数为秒。一般情况下,设置个一分钟就差不多了,没有必要精确到秒。
三、限制Telnet访问相关接口
在网络设备维护中,我们除了可以通过控制台访问网络设备之外,还可以采用一些远程连接的方式来访问与管理路由器等网络设别。如可以通过Telnet程序来跟路由器建立远程连接,进行一些维护工作。
Telnet程序与路由器建立远程连接之后,网络管理员即可以登录到用户模式,也可以登录到特权模式。与通过控制台端口访问路由器一样,管理员在使用Telnet访问时,也需要在路由器提示后通过密码进行身份鉴别。此时,路由器上的Telnet端口也被叫做虚拟终端。至所以给他去了这个名字,主要是因为虚拟终端仿真了控制台终端的功能。在通常情况下,路由器同时允许五个用户通过Telent程序连接到路由器上执行管理任务。
不过远程连接有其自身的脆弱性。为了提高远程连接的安全性,能够采取一些对应的安全措施。
如可一通过访问列表的方式来加强Telnet连接的安全性。通过访问控制列表,可以限制只有一些特定的IP地址或者MAC地址的主机,如管理员的主机,才可以远程连接到路由器等关键网络设备上。如此的话,其他未经授权的用户,即使通过不法手段获取了管理员用户与密码,也不能够登录到路由器上。
另外,Telnet程序其自身安全性也不高。因为其在传输过程中,都是通过明文传输的。故非常容易被别有用心的人窃取用户名与密码。所以,在可行的情况下,网络管理员不要采用Telnet等进行远程连接路由器。若确实有这个必要的话,则采用更加安全的SSH协议。这也是一个跟Telnet类似的远程连接工具。只不过它在连接过程中,无论是密码还是命令,都是通过加密的。故其安全性要比Telnet程序要高。
四、关注>
通用网关接口是Web服务器将用户请求提交给应用程序并从用户处接收和返回数据的标准方法。当用户请求一个网页(例如,点击加亮的词或者输入一个网站的地址)时,服务器将返回所请求的页面。然而,当用户在网页上填写一张表格并将其发送出去后,它通常需要经应用程序处理。Web服务器常将表格中的信息转发给一个小应用程序,由它处理数据并返回确认信息。这种在服务器和应用程序之间交换信息的接口被称作通用网关接口。它是互联网上的超文本传输协议(>
CGI(Common Gateway Interface)公共网关接口,是外部扩展应用程序与 Web 服务器交互的一个标准接口。服务器端与客户端进行交互的常见方式多,CGI 技术就是其中之一。
公共网关接口 CGI 程序是存放在 >
扩展资料:
相关特点:
公共(Common)。无须考虑客户机和服务器所运行的 *** 作系统平台,只要二者的网关程序遵循同一数据传输协议,即可进行数据交互。
网关(Gateway)。CGI 可被用来作为 >
接口(Interface)。CGI 使用标准通讯机制,为其它应用程序与 >
CGI 进程是根据 >
参考资料来源:百度百科-CGI (通用网关接口)
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)