石油企业Cisco路由器及交换机安全加固的若干思考

信息安 I全n for m at i o n S c ue r t iy

油企石 Ci业 cs o由路器及交换机安加全固若的思干考文/赵天 陈德福照

路器由局域是网之中非重要的一种网络设常备，主要其在网络层实现 网之子间以及内外数据的转发，是不网络同之间进行 数据换交及通信的一个重要通道当前很，路多器由可成集火防墙等安全块模对网络，起安全加到固作用的。所以，路由器往是往访问那么这，就阻了其对止本油石企业 C i sc o交换机访的问因，也此无就法获取本企业 Cis co交换 机中的何数据任在。三交换层机4 0 0型 6上进行如下的配置：a cc e s— lis t 1 S0 P e rm i t2 02 1. 15. 1 4 . 65 6int e fa r c ev la n2 i n ac ce s s— r gou p 10i n病毒入侵的第一屏道障。前目，各大小石油业均企使用 Ci S OC (科 )思路由器及 交换机对 该业企局域网进行安 全加，固从而在很大程度上提高石了油 业企的网络安全以及提高企业的了生产效。益

图 1:某石油企业网拓络扑 意示图经过上述安全加固策略的实，施只有 I P地址为 022 . 1 1 5 1 . 45 6 6.的配 置能够访问本石油企业域局网络交网机换。3 .允3许程远登录交换机主机的配 置

服务安器策略全及网以访问络全策略等。

安 2 c i S C O由器路全加固安策略众所周知，对于一个络网而，言路由器【键关】C词 i S C O路由器换机交安加固是全网 络的核心部分，其实际配 置况情对整 个网

许允访问换交机的主，机应该注意对远程登录该换交机的过程进限行。只制允许被权的授主机进登录行，从而对相关的置参配数 加以修。在改交换机全局的配条件置，下设置标准的访问控表制，用于虚接口拟 0的 1~5面上 ,用的方应向为i n。交机换面上的体配置具如 .下 a CCe S S— l i s t 1 epm i r t2 02 .1 1 5 . 1 45. 6 6 iln e tv y 01 5

络的正常工与运作行均具十分有重的要义与意

价值，在实际过中，应只允许程授权的机主对由“木桶”理可原以知得一，个木可以桶装多少水，到该木受最短桶的块那板木所决定。具体到信 系息统的安全也是同的道理样， 整个 息信统系的全安程度也受到信息 统系之中最薄弱的 节环决定所，络作网为信息统系的主

路由器行远程进登录而禁止，授未的权机主进行登录。路在由器全的局配条件置下设，置标访准问制控，且表在部全虚的口接上行进应，用应用的方向为in,如此 ,能够就很好地保证只有授权的主机远程录路登由且修改器其配置， a c ce s s c.l a s s i1n 如,仅仅此许主机 2允 02 . 115 . 14 5. 66对交换机进行远登程录从，而能 修够交改换机的体具置。配

体，安其需全的求要性重显是而易的见。本文主要石对油企业C i s o路c由器交及换安机全加固措施进行析，分在旨为石油业的网企安络全运行供提一的参考依定据。

实际过 程，路中器的主由要置配：为 a cce s s— il st l p er imt 02 2.1 1 5 . 415 . 6 6 l i ne v ty0 4 acc e ss. c l a s s 1 i n4结论表示仅允许机主2 2 0 .11 . 514 5 . 6远6程登录

综上述所，本研主究要对 iC sco由路与器交换在石油企机业络之网中的安全略策。若在 油石业企网构络过建程中，用采本所提出文的

1 概述目,很前石多企油业域网的局设建全部或者部采用 C分 i sc o (“思科” )的 由器路与交换机 ,

路由器。至

3 0 i CS O交换机安全固加略3 .策1 i CS C O交换机址地的配置网络安全解决略策，够能很地好足石油满业企绝的大多数全安求需以最大，程度地减网少络建所需设的各种费用。 宄原其，笔者认为因这，要是主由于设备的功该能非常强，大工作性能稳定性好，其 联网互

作操系统( I SO)在网络全策安等方面均略具有独的特考虑，使用 I O的S安全略功策能不，需要独地购置单安全管理件软就能，够很地好现实大部绝的分全功能安，使得石企油局业域运网行于较安全 环境的中之。 运用C

i c o的s路由器与交 机换，构筑

为成能了够 于便理管，可将交换机配参考献文 I置地 P址。例可如 I P将址进行地配置， [】1张秀梅 .络网入侵防御统系的析与分设计1 92 . 16 8 . .0 0,就够禁能非本止企业的机对主交[ J】 .信息与脑电，2 0 0 9(0 7 :卜2 . )换机进行访问。企将内业全部的换机交均应置于一个虚拟络网之中(常见为 V的L N.A2之),在交换机之中中进行如下可置：配 I n t e f rac vel a n2

【 2】马丽，袁建生，王雅超.基于行为入的防侵系御统研究 ….络网安全技术与 应，用 O2 1 0 0(6 ): 3 —3 3 .

5一个为型典基于的第三交层技换术高的性能干石兆油企业局域网， 具其体扑拓结示构意[ 3]郭，谢宇飞翔，李 .锐校园网层次网型安络设全计….科技资， 2讯O 10 ( 9 ) 2:6 . … 4杨 .森浅谈科路由器思用安全对策… .使

i n a dd r e s s 1 92 .1 6 8. 0 .3 25 5 2.5 5 . 2 5 5. 0图如 图所1示，以a tC aly s t一 4 0 0作 6为核心交 换，机5台 aCt a y lst一 2 9 0 5G构成汇聚， 层 02台 C a ta l y st . 9 2 42与 aCt aly s t一 1 9 42构成接 入层1,台 5 040型路由器做边缘路器由通，过 2 MD N线D路与 E CRNE地T区网络心中相连 接，1台 25 1 1做型程远访问服器务作，是用供提拨用号户使。用应用 Ci sc o由路与器换交机，石油企业可实现如下个几面方网的络安全 略策：由路器安 全略策用、户主机安全策略、交换 机全安略策、

3 .2 置允配许问交换访机主的机

地房导刊产， 021 ( 3 )7: 3 17- 3 72 .经上过述的安全加策固略的施实 C, si co

交机换的访被问限制于石油业内企部而，还且能够石在油企业内部网络的三层交换 4 0 0机6上面将，问访控制表进行置配，其将用于 Ci s c o交换机的虚拟网络 中之，应的用方向属 于in,仅仅允许石油企业所内指定的主机够能【

5】均王杨善林. . VL AN技术网络在的应中用[J] .电脑信与技息，术 0 20 0(,2 ) .

者作位单1 .中国油石长庆油田分公司四第采油厂宁夏回族自治区银川市夏族自治回银区川 市 75 0 0 60

访问该换机交在所的拟虚网络，其他而机 (主如他其石企业的油主 )不能机该对虚拟络网行进

.中2石油国长油庆田分公司八第采油厂75 0 0 06宁

2 3 8 电技子术与软件程工E l e tc o rn i c T e c h n ol ogy&S o f twa r e E g n n i e e ir ng

本文来源：https://www.bwwdw.com/article/49gi.html