怎么保证网络安全设备的安全，是网络办理员有必要考虑的一个问题。换句话说，除了网络功用要素之外，网络设备的安满是网络办理员最关怀的一个论题。思科网络设备在这方面比其他公司的产品愈加具有远见。假如咱们有贰言，或许听过我的叙述之后，会有所改变。

一、HTTP安全性

为了使得网络设备的办理与保护愈加的便当，许多网络设备厂商都在自己的产品中完成了HTTP服务器，以树立一个穿插渠道的、易于办理的图形化处理方案。用户能够经过WEB图形化界面临网络设备进行办理。思科在这方面当然也有相似的处理机制。

不过思科在这方面比其他厂商走先了一步。大都的思科网络设备，具有一整套机制来进行认证和约束HTTP长途拜访。网络办理员有必要紧记，嵌入到网络基础设施设备的HTTP客户机和服务器之间的通讯应当是安全的。思科为此供给了一整套处理方案。假如网络办理员能够经过合理的装备，那么思科设备的安全性是毋庸置疑的。

1、在必要的时分敞开HTTP服务器。其实关于大部分有经历的网络办理员来说，都不习气运用WEB界面来办理网络设备。如笔者，现在都是经过指令行来进行装备。由于这不只安全，并且，还能够进步办理的功率。所以一般情况下，思科大部分产品默许情况下，都封闭了HTTP服务器。可见，思科专家们也不是很鼓舞咱们网络办理员经过WEB方法来办理他们的网络设备。一般情况下，只要刚触摸思科网络设备的“菜鸟”才会经过图形化的办理界面来了解思科的网络设备。

2、若真实需求敞开HTTP服务器的话，则需求进行相关的安全装备，来保证HTTP衔接的准确性。

尽管思科不主张咱们经过HTTP协议来办理思科网络设备，可是，咱们网络办理员依然能够运用WEB浏览器来发布绝大部分的IOS指令。经过运用WEB浏览器界面能够拜访思科的大大都办理功用。思科网络设备的大部分办理功用都能够经过HTTP协议来装备。

思科HTTP服务器程序它是思科IOS办理软件的一个嵌入式组件，他答应特权等级(或其他任何装备的优先等级)为15用户经过浏览器来拜访思科设备。若要启用HTTP服务器来办理思科网络设备，需求经过如下过程。

(1)启用HTTP服务。上面笔者现已说过，思科不少的网络设备，默许情况下都没有敞开HTTP服务。所以，网络办理员若需求选用这个服务的话，则有必要手艺的发动它。如咱们网络办理员需求经过运用“http server”指令来启用它。

(2)相关的权限操控。若思科设备启用了HTTP服务器之后，网络办理员就能够经过WEB浏览器拜访路由器并进行相关的办理。默许情况下，思科的IOS办理软件一般只答应特权等级为15的用户拜访路由器预先界说的主页或许拜访服务器。假如用户的拜访等级不是15，则用户没有彻底办理路由器的权限。在网页上只显示出与这个用户所对应的功用。别的需求留意一个版别之间的差异。在IOS11.3之前的版别，只要特权为15的用户才能够运用HTTP功用，并且仅有的认证机制便是启用Enable口令。不过在现在的IOS版别中，除了特权等级为15的用户能够经过HTTP来办理路由器。并且，还能够给其他用户进行授权，让其叶具有相似的办理功用。

(3)若要给某个用户颁发某些HTTP办理的功用，只需求经过简略的两步就能够颁发。一是在WEB浏览器中输入网络设备的地址，并以特权用户的口令登陆办理体系。二是经过HTTP authentication enable指令来给某个特定等级的用户启用HTTP功用。HTTP拜访只对特定的用户等级敞开，启用暗码是认证HTTP服务器用户的办法。所以，网络办理员需求留意，授权不是针对详细的用户，而是经过对用户等级进行授权完成的。#p#

二、关于暗码办理的一些主张

为了给Cisco网络设备一个安全的办理环境，往往还需求留意一些暗码设置的技巧。关于不同的设备往往需求装备不同的暗码，所以，暗码办理是一件十分令人头疼的作业。在实践作业中，咱们能够经过AAA机制能够极大的减轻办理的作业量。由于当时思科许多软件版别都支撑AAA认证和授权。所以，经过AAA机制是暗码办理的一个很不错的挑选。

与此一起，在条件答应的情况下，还能够遵从如下的主张。

一是特权暗码***与其它暗码不同。在思科设备中，任何用户都有普通用户与特权用户两个底子的等级。普通用户只能够对路由器的装备进行检查，而无法对其进行任何的装备，包含命名等等。当网络呈现毛病时，咱们往往会先运用普通用户等级的人物去检查网络设备的底子情况。比及发现问题的原因，再运用特权形式进行保护。为此，若把特权暗码与其它用户暗码设置为不同，则能够在很大程度上进步网络设备的安全性。

二是定时的更改特权暗码，并保证暗码的复杂性。有时分，不怕一万，就怕假如。特群用户暗码有时分会在网络办理员不经意之间走漏。如在输入暗码的时分他人窃视或许被盗取等等。所以，笔者主张，网络办理员应该养成定时更改特权暗码的习气。一起，在更改时，尽量要保证暗码的复杂性。

三是要更改设备的默许暗码。当设备一连入企业网络后，办理员就要更改设备的网络暗码。思科的网络设备往往都会有默许的办理员暗码，并且，惋惜的是，任何网络设备的办理员暗码都是相同的。#p#

三、运用SNMPv2 协议来替代SNMPv1 协议。

简略网络办理协议(SNMP)是一个搜集计算信息并长途监督网络基础设施设备的协议。他是一个十分简略地协议。在V1版别中，其实底子没有供给任何的安全措施。那时，SNMP协议都是经过明文传输的。包含暗码在内，在网络内的传输都是明文的。所以，是十分不安全的。

为此，笔者主张，应该选用V2版别，而不要选用V1版别。由于V2处理了V1版别中的一些缝隙。特别值得着重的是，在V2种，选用了MD5算法来验证SNMP办理器和署理器之间传递信息。在思科网络设备中，有SNMP两个选项，分别为只读与读写两个形式。

只读形式下往往只能够读取SNMP MIB方针;而读写形式则指定SNMP办理员能够读取并更改MIB方针。别的在实践作业中，要结合IP地址来办理网络设备的拜访权限。一般情况下，用户都应该装备过滤器并且只答应某些特定的IP地址具有设备的SNMP拜访权。别的，在平常的办理中，假如仅仅搜集一些计算信息，则***只选用只读形式。关于读写形式的办理选项，要慎用。并且启用读写形式时，一定要做好相关的安全装备。如笔者在日常装备中，***只答应自己的IP地址来启用读写形式，以保证办理的安全性。

别的，在***的思科办理软件中，还选用了SNMPv3版别。这个版别在V2 的基础上，安全性更高。如增加了更多的认证方法，一起，机密性也得到了进一步进步。在关于网络稳定性与安全性有特殊要求的企业，能够考虑选用V3版别的SNMP协议来办理思科网络设备。#p#

四、SSH与Telnet长途办理协议

笔者在实践作业中，仍是喜爱经过一些长途办理协议来长途办理网络设备。假如用户需求长途办理的话，则有SSH与Telnet两种协议能够挑选。不过在挑选的时分，需求留意一个问题。Telnet与SSH在安全上是相差很大的。

Telnet归于一种长途办理协议，可是，其跟SNMPv1版别相同，底子上没有供给能够运用的安全机制。其无论是代码，仍是用户名与口令，在网络上都是明文传输的。所以，其是十分风险的。所以，思科网络设备在一般情况下，都是没有启用这个功用的。若网络办理员需求的话，要先敞开这个功用。不过向HTTP协议相同，思科网络办理专家一般不主张咱们经过这种方法对网络设备进行办理。若用户真的需求选用这个协议的话，则笔者主张网络办理员，结合Ipsec等安全东西来加强其安全性。

笔者更倾向于SSH来办理思科网络设备。由于SSH比起Telnet协议来说，供给了更高的安全性。如其口令与代码在网络中都是经过密文来传输的。所以，相对来说，其安全性要比Telent安全的多。若用户选用的是Linux操作体系，则其本身就带有SSH功用。若用户选用的是微软操作体系的话，则其只要Telent东西，而没有SSH长途衔接东西。若此刻用户需求SSH来办理的话，则能够从网络免费下载SSh协议客户端。这是一个巨细只要几十K的软件包，运用起来十分的便利。并且其仍是免费的。

笔者以为，在保护思科网络设备时，其功用、安全性、灵活性是咱们日常办理作业中的三个首要方针。故关于安全性来说，咱们能够学习我以上的三个主张，为思科网络设备供给一个安全的办理环境。

【修改引荐】

1. 使用攻略：四招进步网络设备办理接口安全性
2. 智能化网络办理体系为网络安全评脉