网络设备的种类很多,本文介绍最常用到的路由器和交换机两类设备的结构安全,并以思科和华为网络设备为例进行说明。（详见信创致远http://www.dengbao110.com/）

（一）网络布局

1）结构安全

a)应保证主要网络安全设备的业务处理能力具备冗余空间,满足业务高峰期需要。

【描述】

为了保证网络安全业务服务的连续性,应保证网络各个部分的带宽满足业务高峰期需要。如果存在带宽无法满足业务高峰期需要的情况,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求。

【检查方法】

访谈网络管理员,询问网络各个部分的带宽是否满足业务高峰期需要。例如,询问业务应用的高峰流量是多少?各个网络接入链路带宽是多少?是否有过网络带宽瓶颈事件发生?

如果各个网络接入链路带宽无法满足业务高峰期需要,则需要在主要网络设备上进行带宽配置,保证关键业务应用的带宽需求。据此需要核查关键网络设备的配置信息是否存在相关的带宽配置。

【描述】

网络安全中，在网络路由配置中主要有静态路由和动态路由。静态路由是指由网络管理员手工配置的路由信息,当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工修改路由表中相关的静态路由信息。动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际情况的变化适时地进行调整。动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护和路由器之间适时的路由信息交换。路由器之间的路由信息交换是基于路由协议实现的,如OSPF路由协议是一种典型的链路状态的路由协议,它通过路由器之间通告网络接口的状态来建立链路状态数据库,生成最短路径树,每个OSPF路由器使用这些最短路径构造路由表。如果使用动态路由协议应配置使用路由协议认证功能,保证网络路由安全。

【检查方法】

核查边界设备和主要网络设备的配置信息,查看是否进行了路由控制建立安全的访问路径。

检查路由器的配置信息中是否存在路由协议认证在思科路由器中:

1)在特权模式下输入命令 show running- config会输出该路由器相关配置信息。

2)检查配置信息中应当存在类似如下配置信息:

interface serial0

ip address192.16.64.1255.255.255.0

ip ospf message- digest-key1md5 XXXXXX(认证码)

router ospf 10

network172.16.0.00.0.255,255area0

network192.16.64.00.0.0.255area0

area o authentication message-digest

在华为路由器中:

1)在特权模式下输入命令 display current-configuration会输出该路由器相关配置信息。