结构安全网络设备的种类很多,本文为您继续介绍最常用到的路由器和交换机两类设备的配置和检查方法,您可前往信创致远http://www.zhiyuanit.com.cn/查看了解。
(一)网络布局
1)结构安全
d)应绘制与当前运行情况相符的网络拓扑结构图。
【描述】
为了便于网络管理和安全运维,网络安全测评应绘制与当前运行情况相符的网络拓扑结构图。当网络拓扑结构发生改变时,应及时更新网络拓扑结构图。
【检查方法】
访谈网络管理员和检査网络拓扑图,査看其与当前运行情况是否一致。
e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。
【描述】
根据组织实际情况、业务应用重要性和安全区域防护要求,应在主要网络设备上进行ⅤLAN划分。VLAN是一种通过将局域网内的设备逻辑而不是物理划分成不同子网从而实现虚拟工作组的新技术。不同ⅤLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同ⅥLAN要进行通信,则需要通过路由器或三层交换机等三层设备实现。
【检查方法】
访谈网络管理员,网络安全测评是否依据部门的工作职能、重要性和应用系统的级别划分了不同的VLAN,并检查交换机的配置在思科交换机中:
1)在特权模式下输入命令 show vlan会输出该交换机相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
display vlan static:
Now, the following static VLAN exist(s):
1( default),100,200,1203-1204,2101-2102,2105-2107,21092111-2112,2116-2119,2148
int e0/2
vlan-membership static 2
int e0/3
vlan-membership static 3ip address 10.1.10.2 255.255.255.0
在华为交换机中:
1)在特权模式下输入命令 display vlan all会输出该交换机相相关配置信息。
2)检查配置信息中应当存在类似如下配置信息:
display vlan static
Now, the following static vlan exist(s):
1( defau1t),100,200,1203-1204,2101-2102,2105-2107,21092111-2112,2116-2119,2148
display vlan all
VLAN ID: 100
VLAN Type: static
Description: VLAN 0100
Name: VLAN 0100
Tagged Ports: none
Untagged Ports:
GigabitEthernet1/1/1
VLAN ID: 200
VLAN Type: static
Description: VLAN 0200
Name: VLAN 0200
Tagged Ports: none
Untagged ports
GigabitEthernet1/1/2