如何保障網絡安全設備的安全，是網絡管理員必須考慮的一個問題。換句話說，除了網絡性能因素之外，網絡設備的安全是網絡管理員最關心的一個話題。思科網絡設備在這方面比其他公司的產品更加具有遠見。如果大家有異議，或許聽過我的講述之后，會有所轉變。

一、HTTP安全性

為了使得網絡設備的管理與維護更加的便利，許多網絡設備廠商都在自己的產品中實現了HTTP服務器，以建立一個交叉平臺的、易于管理的圖形化解決方案。用戶可以通過WEB圖形化界面對網絡設備進行管理。思科在這方面當然也有類似的處理機制。

不過思科在這方面比其他廠商走先了一步。多數的思科網絡設備，擁有一整套機制來進行認證和限制HTTP遠程訪問。網絡管理員必須牢記，嵌入到網絡基礎設施設備的HTTP客戶機和服務器之間的通信應當是安全的。思科為此提供了一整套解決方案。如果網絡管理員能夠通過合理的配置，那么思科設備的安全性是毋庸置疑的。

1、在必要的時候開啟HTTP服務器。其實對于大部分有經驗的網絡管理員來說，都不習慣利用WEB界面來管理網絡設備。如筆者，現在都是通過命令行來進行配置。因為這不僅安全，而且，還可以提高管理的效率。所以通常情況下，思科大部分產品默認情況下，都關閉了HTTP服務器?？梢?，思科專家們也不是很鼓勵我們網絡管理員通過WEB形式來管理他們的網絡設備。一般情況下，只有剛接觸思科網絡設備的“菜鳥”才會通過圖形化的管理界面來熟悉思科的網絡設備。

2、若實在需要開啟HTTP服務器的話，則需要進行相關的安全配置，來保障HTTP連接的準確性。

雖然思科不建議我們通過HTTP協議來管理思科網絡設備，但是，我們網絡管理員仍然可以使用WEB瀏覽器來發(fā)布絕大部分的IOS命令。通過使用WEB瀏覽器界面可以訪問思科的大多數管理功能。思科網絡設備的大部分管理功能都可以通過HTTP協議來配置。

思科HTTP服務器程序它是思科IOS管理軟件的一個嵌入式組件，他允許特權級別(或其他任何配置的優(yōu)先級別)為15用戶通過瀏覽器來訪問思科設備。若要啟用HTTP服務器來管理思科網絡設備，需要通過如下步驟。

(1)啟用HTTP服務。上面筆者已經說過，思科不少的網絡設備，默認情況下都沒有開啟HTTP服務。所以，網絡管理員若需要采用這個服務的話，則必須手工的啟動它。如我們網絡管理員需要通過利用“http server”命令來啟用它。

(2)相關的權限控制。若思科設備啟用了HTTP服務器之后，網絡管理員就可以通過WEB瀏覽器訪問路由器并進行相關的管理。默認情況下，思科的IOS管理軟件通常只允許特權級別為15的用戶訪問路由器預先定義的主頁或者訪問服務器。如果用戶的訪問級別不是15，則用戶沒有完全管理路由器的權限。在網頁上只顯示出與這個用戶所對應的功能。另外需要注意一個版本之間的差異。在IOS11.3之前的版本，只有特權為15的用戶才能夠使用HTTP功能，并且唯一的認證機制就是啟用Enable口令。不過在現在的IOS版本中，除了特權級別為15的用戶可以通過HTTP來管理路由器。而且，還可以給其他用戶進行授權，讓其葉具有類似的管理功能。

(3)若要給某個用戶授予某些HTTP管理的功能，只需要通過簡單的兩步就可以授予。一是在WEB瀏覽器中輸入網絡設備的地址，并以特權用戶的口令登陸管理系統。二是通過HTTP authentication enable命令來給某個特定級別的用戶啟用HTTP功能。HTTP訪問只對特定的用戶級別開放，啟用密碼是認證HTTP服務器用戶的方法。所以，網絡管理員需要注意，授權不是針對具體的用戶，而是通過對用戶級別進行授權實現的。#p#

二、對于密碼管理的一些建議

為了給Cisco網絡設備一個安全的管理環(huán)境，往往還需要注意一些密碼設置的技巧。對于不同的設備往往需要配置不同的密碼，所以，密碼管理是一件非常令人頭疼的工作。在實際工作中，我們可以通過AAA機制可以極大的減輕管理的工作量。因為當前思科許多軟件版本都支持AAA認證和授權。所以，通過AAA機制是密碼管理的一個很不錯的選擇。

與此同時，在條件允許的情況下，還可以遵循如下的建議。

一是特權密碼***與其它密碼不同。在思科設備中，任何用戶都有普通用戶與特權用戶兩個基本的級別。普通用戶只能夠對路由器的配置進行查看，而無法對其進行任何的配置，包括命名等等。當網絡出現故障時，我們往往會先利用普通用戶級別的角色去查看網絡設備的基本情況。等到發(fā)現問題的原因，再利用特權模式進行維護。為此，若把特權密碼與其它用戶密碼設置為不同，則可以在很大程度上提高網絡設備的安全性。

二是定期的更改特權密碼，并保障密碼的復雜性。有時候，不怕一萬，就怕萬一。特群用戶密碼有時候會在網絡管理員不經意之間泄露。如在輸入密碼的時候別人偷窺或者被竊取等等。所以，筆者建議，網絡管理員應該養(yǎng)成定期更改特權密碼的習慣。同時，在更改時，盡量要保障密碼的復雜性。

三是要更改設備的默認密碼。當設備一連入企業(yè)網絡后，管理員就要更改設備的網絡密碼。思科的網絡設備往往都會有默認的管理員密碼，而且，可惜的是，任何網絡設備的管理員密碼都是相同的。#p#

三、利用SNMPv2 協議來代替SNMPv1 協議。

簡單網絡管理協議(SNMP)是一個搜集統計信息并遠程監(jiān)視網絡基礎設施設備的協議。他是一個非常簡單地協議。在V1版本中，其實根本沒有提供任何的安全措施。那時，SNMP協議都是通過明文傳輸的。包括密碼在內，在網絡內的傳輸都是明文的。所以，是非常不安全的。

為此，筆者建議，應該采用V2版本，而不要采用V1版本。因為V2解決了V1版本中的一些漏洞。特別值得強調的是，在V2種，采用了MD5算法來驗證SNMP管理器和代理器之間傳遞信息。在思科網絡設備中，有SNMP兩個選項，分別為只讀與讀寫兩個模式。

只讀模式下往往只能夠讀取SNMP MIB對象;而讀寫模式則指定SNMP管理員可以讀取并更改MIB對象。另外在實際工作中，要結合IP地址來管理網絡設備的訪問權限。通常情況下，用戶都應該配置過濾器并且只允許某些特定的IP地址擁有設備的SNMP訪問權。另外，在平時的管理中，如果只是收集一些統計信息，則***只采用只讀模式。對于讀寫模式的管理選項，要慎用。并且啟用讀寫模式時，一定要做好相關的安全配置。如筆者在日常配置中，***只允許自己的IP地址來啟用讀寫模式，以保障管理的安全性。

另外，在***的思科管理軟件中，還采用了SNMPv3版本。這個版本在V2 的基礎上，安全性更高。如增加了更多的認證方式，同時，機密性也得到了進一步提高。在對于網絡穩(wěn)定性與安全性有特殊要求的企業(yè)，可以考慮采用V3版本的SNMP協議來管理思科網絡設備。#p#

四、SSH與Telnet遠程管理協議

筆者在實際工作中，還是喜歡通過一些遠程管理協議來遠程管理網絡設備。如果用戶需要遠程管理的話，則有SSH與Telnet兩種協議可以選擇。不過在選擇的時候，需要注意一個問題。Telnet與SSH在安全上是相差很大的。

Telnet屬于一種遠程管理協議，但是，其跟SNMPv1版本一樣，基本上沒有提供可以使用的安全機制。其無論是代碼，還是用戶名與口令，在網絡上都是明文傳輸的。所以，其是非常危險的。所以，思科網絡設備在通常情況下，都是沒有啟用這個功能的。若網絡管理員需要的話，要先開啟這個功能。不過向HTTP協議一樣，思科網絡管理專家一般不建議大家通過這種方式對網絡設備進行管理。若用戶真的需要采用這個協議的話，則筆者建議網絡管理員，結合Ipsec等安全工具來加強其安全性。

筆者更傾向于SSH來管理思科網絡設備。因為SSH比起Telnet協議來說，提供了更高的安全性。如其口令與代碼在網絡中都是通過密文來傳輸的。所以，相對來說，其安全性要比Telent安全的多。若用戶采用的是Linux操作系統，則其自身就帶有SSH功能。若用戶采用的是微軟操作系統的話，則其只有Telent工具，而沒有SSH遠程連接工具。若此時用戶需要SSH來管理的話，則可以從網絡免費下載SSh協議客戶端。這是一個大小只有幾十K的軟件包，使用起來非常的方便。而且其還是免費的。

筆者認為，在維護思科網絡設備時，其性能、安全性、靈活性是我們日常管理工作中的三個主要目標。故對于安全性來說，大家可以借鑒我以上的三個建議，為思科網絡設備提供一個安全的管理環(huán)境。

【編輯推薦】

1. 應用指南：四招提高網絡設備管理接口安全性
2. 智能化網絡管理系統為網絡安全把脈