六大法则：交换机及路由器如何更加安全

　　传统的网络安全技术侧重于系统入侵检测，反病毒软件或防火墙。内部安全如何?在网络安全构造中，交换机和路由器是非常重要的，在七层网络中每一层都必须是安全的。很多交换机和路由器都有丰富的安全功能，要了解有些什么，如何工作，如何部署，一层有问题时不会影响整个网络。交换机和路由器被设计成缺省安全的，出厂时就处于安全设置的状态，特别操作的设置在用户要求时才会被激活，所有其他选项都是关闭的，以减少危险，网管员也无需了解哪些选项应该关闭。

　　在初始登录时会被强制要求更改密码，也有密码的期限选项及登录尝试的次数限制，而且以加密方式存储。限期的帐号(维护帐号或后门)是不会存在的。交换机及路由器在掉电，热启动、冷启动，升级IOS、硬件或一个模块失败的情况下都必须是安全的，而且在这些事件发生后应该不会危及安全并恢复运作，因为日志的原因，网络设备应该通过网络时间协议保持安全精确的时间。通过SNMP协议连接管理的名称也应该被改变。

　　抵挡DoS攻击

　　从可用性出发，交换机和路由器需要能抵挡拒绝服务式Dos攻击，并在攻击期间保持可用性。理想状态是他们在受到攻击时应该能够做出反应，屏蔽攻击IP及端口。每件事件都会立即反应并记录在日志中，同时他们也能识别并对蠕虫攻击做出反应。

　　交换机及路由器中使用FTP，HTTP，TELNET或SSH都有可以有代码漏洞，在漏洞被发现报告后，厂商可以开发、创建、测试、发布升级包或补丁。

　　基于角色的管理给予管理员最低程序的许可来完成任务，允许分派任务，提供检查及平衡，只有受信任的连接才能管理倔们。管理权限可赋予设备或其他主机，例如管理权限可授予一定IP地址及特定的TCP/UDP端口。

　　控制管理权限的最好办法是在授权进入前分权限，可以通过认证和帐户服务器，例如远程接入服务，终端服务，或LDAP服务。