计算机网络原理 • 网络安全基础

引言

本篇是对计算机网络原理一文中的网络安全基础知识部分的详细介绍。
所用教学平台：Cisco Networking Academy

安全威胁和漏洞

威胁类型

有线和无线计算机网络是人们日常活动中不可或缺的一部分。个人和组织都同样依赖其计算机和网络。不速之客的入侵可能导致代价高昂的网络中断和工作成果的丢失。针对网络的攻击有时具有相当的破坏性，可能造成重要信息或资产的损坏或失窃，导致时间上和金钱上的损失。

入侵者会通过软件漏洞、硬件攻击或通过猜测某人的用户名和密码来获取网络访问。通过修改或利用软件漏洞来获取访问权的入侵者通常被称为威胁发起者。

一旦威胁发起者取得网络的访问权，就可能给网络带来四种威胁。

信息盗窃

指侵入计算机以获取机密信息。信息可以用于各种目的或出售。例子: 盗窃组织的专有信息，例如研究和开发数据。

数据丢失与操纵

是指闯入计算机破坏或更改数据记录。数据丢失的示例是：一个威胁发起者发送可重新格式化计算机硬盘的病毒。数据操纵示例是：闯入记录系统来更改信息（例如物品价格）。

身份盗窃

是一种信息盗窃形式，以冒用他人的身份为目的窃取个人信息。利用此类信息，威胁发起者便可以非法获取文件、申请信用贷款或者进行未经授权的在线购物。身份盗窃案件日渐增多，每年造成的损失达数十亿之多。

服务中断

阻止合法用户访问他们有权访问的服务。例如: 对服务器、网络设备或网络通信链路发起的拒绝服务 (DoS) 攻击。

漏洞分类

漏洞是指网络或设备的薄弱程度。路由器、交换机、桌面、服务器、甚至安全设备都存在一定程度的漏洞。一般而言，受到攻击的网络设备都是端点设备，例如服务器和台式计算机。

有三种主要的漏洞或弱点：技术、配置和安全策略。所有这三种漏洞源都会让网络或设备对各种攻击保持开放状态，包括恶意代码攻击和网络攻击。

技术漏洞

配置漏洞

策略漏洞

物理安全

网络中一个同样重要的漏洞区域是设备的物理安全性。如果网络资源可以被物理性破坏，攻击发起者便可借此拒绝对网络资源的使用。

物理威胁分为四类：

硬件威胁 －这包括对服务器、路由器、交换机、布线间和工作站的物理破坏
环境威胁 －这包括极端温度（过热或过冷）或极端湿度（过湿或过干）
电气威胁 －这包括电压过高、电源电压不足（电气管制）、不合格电源（噪音），以及断电
维护威胁 －这包括关键电气组件处理不佳（静电放电），缺少关键备用组件、布线混乱和标识不明

必须创建和实现一个良好的物理安全计划来解决这些问题。该图显示了物理安全计划的一个示例。

制定物理安全规划，限制对设备的破坏

网络攻击

恶意软件的类型

上一主题介绍了网络威胁的类型以及使威胁成为可能的漏洞。本主题将详细介绍威胁发起者如何获得网络的访问权限或限制授权用户的访问权限。

恶意软件是“有恶意的软件”的简称。是专门用来损坏、破坏、窃取数据、主机或网络或对数据、主机或网络进行“坏的”或者非法操作的代码或软件。恶意软件的类型包括病毒、蠕虫和特洛伊木马

病毒

计算机病毒是一种通过将自身副本插入另一个程序并成为其一部分来传播的恶意软件类型。它在计算机之间传播，感染所到之处。病毒从严重程度上来讲包括从导致轻度恼人影响到损坏数据或软件和导致拒绝服务 (DoS) 条件。几乎所有的病毒都是附加到一个可执行文件中，这意味着病毒可能在系统上存在，但在用户运行或打开恶意主机文件或程序前不会处于活跃状态也不会传播。执行主机代码后，也就执行了病毒代码。通常情况下，主机程序在感染了病毒后仍继续运行。但是，一些病毒用其自身副本覆盖其他程序，这就完全破坏了主机程序。当病毒附加的软件或文档通过网络、磁盘、文件共享或被感染的电子邮件附件从一台计算机传输到另一台计算机时，也传播了病毒。

蠕虫

计算机蠕虫与病毒相似，它们均可复制自身的功能副本，并造成相同类型的损坏。与病毒相比，病毒需要通过感染的主机文件来传播，而蠕虫属于独立软件，无需借助主机程序或人工帮助即可传播。蠕虫不需要附加在程序中来感染主机并通过系统漏洞进入计算机。蠕虫无需帮助便可利用系统功能在网络中传输。

特洛伊木马

特洛伊木马是另一种类型的恶意软件，以希腊人用来潜入特洛伊的木马来命名。它是看起来合法的有害软件。用户通常是被骗加载特洛伊木马并在他们的系统上执行。特洛伊木马激活后，可以在主机上进行任意数量的攻击，从激怒用户（过多的弹窗或改变桌面）到破坏主机（删除文件、窃取数据或激活和传播病毒等其他恶意软件）。众所周知，特洛伊木马为恶意用户访问系统创建后门。

不同于病毒和蠕虫，特洛伊木马不通过感染其他文件进行复制。它们也不自我复制。特洛伊木马必须通过用户交互传播，如打开电子邮件附件或从互联网下载并运行文件。

侦察攻击

除了恶意代码攻击外，网络还可能遭受各种网络攻击。网络攻击可分为三大类别：

侦察攻击 – 搜索和映射系统、服务或漏洞
访问攻击 – 数据、系统或用户访问权限的未授权控制
拒绝服务 – 网络、系统或服务的禁用或损坏

对于侦察攻击，外部威胁发起者可以使用互联网工具（如nslookup和whois实用程序）轻松地确定分配给公司或实体的 IP 地址空间。确定 IP 地址空间后，威胁发起者可以 ping 这些公有 IP 地址以确定哪些地址正在使用。为帮助自动执行此步骤，威胁发起者可能会使用 ping 扫描工具，例如fping或gping。它系统地向给定范围或子网中的所有网络地址执行 ping 操作。这类似于浏览电话簿的某一部分，拨打其中列出的每个号码，看哪些号码有人接听。

互联网查询

威胁发起者正在查找与目标相关的初始信息。他可以使用多种工具，其中包括Google搜索、组织机构网站、whois等。

Ping 扫描

现在，威胁发起 ping 扫描，以确定哪些 IP 地址处于活动状态。

端口扫描

威胁发起者对发现的活动 IP 地址执行端口扫描。

访问攻击

访问攻击利用身份验证服务、FTP 服务和 Web 服务的已知漏洞，获取对 Web 帐户、机密数据库和其他敏感信息的访问。访问攻击使个人能够对他们无权查阅的信息进行未经授权访问。访问攻击可分为四种类型：密码攻击、信任利用、端口重定向和中间人攻击。

密码攻击

威胁发起者可以使用多种方法实施密码攻击：

暴力攻击
特洛伊木马攻击
数据包嗅探

信任利用

在信任利用攻击中，威胁发起者会使用未经授权的特权来访问系统，可能还会进一步攻陷目标。

端口重定向

在端口重定向攻击中，威胁发起者会把攻陷的系统作为攻击其他目标的大本营。图中的示例显示出威胁发起者使用 SSH（端口22）连接受攻击主机 A 的威胁发起者。主机 B 信任主机 A；因此，允许威胁发起者使用 Telnet 访问主机 B。

中间人

在中间人攻击中，威胁发起者会置身于两个合法实体之间，以便读取或修改双方之间传输的数据。

拒绝服务攻击

拒绝服务 (DoS) 攻击是知名度最高的攻击，并且是最难防范的攻击。然而，由于其实施简单、破坏力强大，安全管理员需要特别关注 DoS 攻击。

DoS 攻击的方式多种多样。不过其目的都是通过消耗系统资源使授权用户无法正常使用服务。为了帮助防止 DoS 攻击，必须使操作系统和应用程序与最新的安全更新保持同步。

DoS攻击

DoS 攻击属于重大风险，因为它们可以中断通信，并在时间和财务上造成大量损失。这些攻击执行起来相对简单，即使是缺乏技能的威胁发起者也可以执行。

DDoS攻击

分布式 DoS 攻击 (DDoS) 与 DoS 攻击类似，但是它从多个协同攻击源发起攻击。举例来说，威胁发起者建立了一个受感染主机的网络，受感染的主机称为僵尸主机。受感染主机（僵尸）的网络称为僵尸网络。威胁发起者使用命令和控制(CnC)程序来指示僵尸网络进行DDoS攻击。

网络攻击缓解

纵深防御方法

现在您已经了解了更多有关威胁发起者如何入侵网络的信息，您需要了解如何防止这种未经授权的访问。本主题详细介绍了为使您的网络更加安全可以采取的一些措施。

要缓解网络攻击，必须首先保护设备，包括路由器、交换机、服务器和主机。大多数组织机构使用纵深防御法（也称为分层方法）来确保安全性。这需要网络设备和服务相互配套以协同工作。

思考图中的网络。已经实施了若干安全设备和服务来保护用户和资产免受 TCP/IP 威胁的侵害。

通过所有网络设备（包括路由器和交换机）各自图标上显示的密码组合锁判断，这些网络设备也经过了强化。这表示这些设备已受到保护，以防止威胁发起者对其获取访问权和进行篡改。

保留备份

备份设备配置和数据是防止数据丢失的最有效方式之一。数据备份可将计算机上的信息副本存储到可放在安全地方的可移动备份介质中。基础设施设备应该在FTP或类似的文件服务器上备份配置文件和IOS映像。如果计算机或路由器硬件发生故障，可以使用备份副本恢复数据或配置。

应根据安全策略中的规定定期执行备份。数据备份通常存储在非现场位置，在主要设施发生任何问题时能保护备份介质。Windows 主机提供了备份和还原实用程序。对用户来说，将数据备份到其他驱动器或基于云的存储提供商非常重要。

该表显示了备份考虑事项及其描述。

考虑事项	描述
频率	1. 根据安全策略中的标识定期执行备份。 2.完全备份可能非常耗时，因此需要每月或或每周执行一次备份，并经常对更改的文件进行部分备份。
存储容量	务必对备份进行验证，以确保数据的完整性并验证文件恢复程序。验证文件恢复程序。
安全	应按照安全策略的要求，每天，每周或每月轮流将备份转移到批准的异地存储位置。
验证	应使用强密码保护备份。恢复数据需要提供密码。

升级、更新和补丁

保持与最新进展同步会使对网络攻击的防御更加有效。随着新的恶意软件不断涌现，企业必须保持当前的防病毒软件为最新版本。

缓解蠕虫攻击的最有效方法是从操作系统厂商处下载安全更新，并为所有存在漏洞的系统应用补丁。管理大量系统时，会牵涉到创建用于部署在新系统或升级系统上的标准软件映像（经授权可在客户端系统中使用的操作系统和可信任的应用程序）。但是，安全要求不断变化，而且已部署系统也可能需要安装安全更新补丁。

管理关键安全补丁的一个解决方案是确保所有终端系统自动下载更新，如图中Windows 10所示。安全补丁会自动下载并安装，无需用户干预。

认证、授权和记账

所有网络设备都应该进行安全配置，只允许经过授权的个人访问。认证、授权和记账（AAA 或“三 A”）网络安全服务提供了设置网络设备访问控制的主要框架。

AAA 方法用于控制可以访问网络的用户（认证）、用户访问网络时可以执行的操作（授权），以及把他们在那里时所做的事记录下来（记账）。

AAA 的概念类似于信用卡的使用。信用卡会确定谁可以使用它、消费限额是多少，并记录使用者的消费项目，如图所示。

防火墙

防火墙是保护用户远离外部威胁的最为有效的安全工具之一。防火墙可通过防止不必要的流量进入内部网络来保护计算机和网络。

防火墙驻留在两个或多个网络之间，控制其间的流量并帮助阻止未授权的访问。例如，图中上面的拓扑说明防火墙如何使来自内部网络主机的流量离开并返回到内部网络。底部拓扑说明系统如何拒绝外部网络（即 Internet）发起的流量访问内部网络。

防火墙操作

防火墙可以允许外部用户控制对特定服务的访问。例如，外部用户可访问的服务器通常位于称为隔离区 (DMZ) 的特殊网络中，如图所示。DMZ 使网络管理员能够为连接到该网络的主机应用特定策略。

带有DMZ的防火墙拓扑

防火墙的类型

防火墙产品可以打包成各种形式。这些产品使用不同技术来区分应禁止和应允许的网络访问。其包括以下内容：

数据包过滤 - 根据 IP 或 MAC 地址阻止或允许访问
应用程序过滤 - 根据端口号阻止或允许访问特定类型的应用程序
URL 过滤 - 根据特定的 URL 或关键字阻止或允许访问网站
状态包侦测（SPI，Serial Peripheral Interface） - 传入数据包必须是对内部主机所发出请求的合法响应。除非得到特别允许，否则未经请求的数据包会被拦截。状态包侦测还可具有识别和过滤特定类型攻击，例如拒绝服务 (DoS) 的能力。

终端安全

端点，或主机，是充当网络客户端的单个计算机系统或设备。常见终端包括笔记本电脑、台式机、服务器、智能手机和平板电脑。保护端点设备是网络管理员最具挑战性的工作之一，因为它牵涉到人类本性。

公司必须制定适当的有明确记录的策略，并且员工必须了解这些规则。需要培训员工正确使用网络。

策略通常包括使用防病毒软件和主机入侵防御。更全面的终端安全解决方案依赖网络访问控制。

设备安全

在网路中有很多区域需要格外提供安全防护，设备本身就是其中之一。您可能已经有了计算机、智能手机或平板电脑的密码。它是否足够坚固？您是否使用其他工具来增强设备的安全性? 本主题会告诉您怎么做。

当在设备上安装新的操作系统时，安全设置保留为默认值。在大多数情况下，这种安全级别并不够。对于思科路由器，思科AutoSecure 功能可用于协助保护系统，如示例所示。

Router# auto secure
                --- AutoSecure Configuration ---
*** AutoSecure configuration enhances the security of
the router but it will not make router absolutely secure
from all security attacks ***

此外，还有以下适用于大部分操作系统的一些简单步骤：

立即更换默认用户名和密码。
限制对系统资源的访问，只有授权用户才可以访问。
尽可能关闭和卸载任何不必要的服务和应用程序。

通常，制造商提供的设备已经在仓库中存放了一段时间，并没有安装最新补丁。必须在实施之前更新所有软件并安装所有安全补丁。

密码

为了保护网络设备，使用强密码非常重要。以下是需要遵循的标准原则：

使用的密码长度至少为 8 个字符，最好是 10 个或更多字符。密码越长越安全。
使用复杂密码。如果条件允许，密码中混合使用大写和小写字母、数字、符号和空格。
密码中避免使用重复的常用字词、字母或数字顺序、用户名、亲属或宠物的名字、个人传记信息（例如出生日期、身份证号码、祖先的名字）或其他易于识别的信息。
故意将口令中的词拼错。例如，Smith = Smyth = 5mYth 或 Security = 5ecur1ty。
定期更改密码。如果密码不知不觉地遭到破坏，那么威胁发起者使用该密码的机会就会受到限制。
请勿将密码写出来并放在显眼位置上，比如桌面上或显示屏上。

弱密码

弱密码	密码薄弱的原因
secret	简单词典密码
smith	姓氏
toyota	汽车品牌
bob1967	用户的姓名和生日
Blueleaf23	简单的单词和数字

强密码

强密码	密码强的原因
b67n42d39c	组合使用字母数字字符
12^h u4@1p7	组合使用字母数字字符和特殊符号，并包括空格

思科路由器会忽略密码中的前置空格，但第一个字符之后的空格不会忽略。因此，创建强密码的一种方法就是使用空格键和创建一个由多个词组成的短语。这就是所谓的密码短语。密码短语通常比简单密码更易记忆。而且猜到它所用时间更长，也更难猜到。

其他密码安全性

强密码只有在保持其机密性才是有用的。在思科路由器和交换机上可以采取以下几个步骤来帮助确保密码的机密性：

加密所有的明文密码
设置可接受的最小密码长度
阻止暴力密码猜测攻击
在指定时间后禁用非活动的特权 EXEC 模式访问。

如图中的示例配置所示，service password-encryption全局配置命令防止未经授权的个人在配置文件中查看明文形式的密码。哪个命令可加密所有的明文密码？请注意在示例中，密码 “cisco” 已加密为 “03095A0F034F”。

为了确保配置的所有密码至少为指定的最小长度，请在全局配置模式下使用 security passwords min-length命令。在图中，任何新配置的密码都必须至少有8个字符。

威胁发起者可以使用密码破解软件对网络设备进行暴力攻击。这种攻击不断尝试猜测有效的密码，直到其中一个成功为止。使用 login block-for # attempts # within # 全局配置命令来阻止此类攻击。如图中示例，login block-for 120 attempts 3 within 60命令是在 60 秒内有 3 次登录尝试失败时阻止vty登录尝试 120 秒。

网络管理员可能会分心，意外地在终端上打开一个特权执行模式会话。这可能使内部威胁发起者能够更改或删除设备配置。

默认情况下，思科路由器将在 10 分钟不活动后注销 EXEC 会话。但是，您可以使用 exec-timeout 分秒线路配置命令减少此设置。此命令可应用于在线控制台、辅助线路和 vty 线路。在图中，我们告诉思科设备在用户闲置 5 分 30 秒后自动断开 vty 线上的非活动用户。

R1(config)# service password-encryption 
R1(config)# security passwords min-length 8 
R1(config)# login block-for 120 attempts 3 within 60
R1(config)# line vty 0 4 
R1(config-line)# password cisco 
R1(config-line)# exec-timeout 5 30 
R1(config-line)# transport input ssh 
R1(config-line)# end 
R1# 
R1# show running-config | section line vty
line vty 0 4
 password 7 094F471A1A0A
 exec-timeout 5 30
 login
 transport input ssh
R1#

启用 SSH

Telnet简化了远程设备访问，但并不安全。Telnet 数据包中包含的数据以未加密形式传输。因此，强烈建议在设备上启用安全外壳 (SSH) 以进行安全远程访问。

可以通过下列六个步骤来配置思科设备以支持 SSH。

步骤 1. 配置唯一的主机名 - 设备必须有一个唯一的主机名，而不是默认主机名。
步骤 2. 配置 IP 域名 - 使用全局配置命令 ip-domain name 配置网络的 IP 域名。
步骤 3. 生成密钥来加密 SSH 流量 - SSH 加密源和目的地之间的流量。但是，要这样做，必须使用全局配置命令 crypto key generate rsa general-keys modulus 位数生成唯一的身份验证密钥。该模数位数确定密钥大小并且可配置为 360 位至 2048 位。位值越大，密钥越安全。然而，较大的位值也需要较长的时间来加密和解密信息。最小建议系数长度为 1024 位。
步骤 4. 验证或创建一个本地数据库条目 - 使用 username 全局配置命令来创建本地数据库用户名条目。在示例中，使用了参数secret，因此密码将使用MD5加密。
步骤 5. 向本地数据库认证身份 - 使用 login local 线路配置命令对本地数据库的vty线路进行身份验证。
步骤 6. 启用 vty inbound SSH 会话 - 默认情况下，在 vty 线路上不允许输入会话。您可以使用 transport input [ssh | telnet] 命令指定多个输入协议，包括 Telnet 和 SSH。

如示例所示，路由器 R1 配置在 span.com 域中。此信息与crypto key generate rsa general-keys modulus命令中指定的位值一起使用，用于创建加密密钥。

接下来，为名为 Bob 的用户创建本地数据库条目。最后，将vty线路配置为根据本地数据库进行身份验证，并且只接受传入的SSH会话。

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
•Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#

禁用未使用的服务

思科路由器和交换机启动时会有一列活动服务，这些活动在您的网络中可能需要或不需要。禁用任何未使用的服务以保留系统资源，如CPU周期和RAM，并防止威胁发起者利用这些服务。默认打开的服务类型将根据IOS版本而有所不同。例如，IOS-XE 通常只打开 HTTPS 和 DHCP 端口。您可以使用 show ip ports all 命令来验证这一点，如示例所示。

Router# show ip ports all
Proto Local Address               Foreign Address             State       PID/Program Name
TCB       Local Address               Foreign Address             (state)
tcp   :::443                     :::*                        LISTEN      309/[IOS]HTTP CORE
tcp   *:443                      *:*                         LISTEN      309/[IOS]HTTP CORE
udp   *:67                        0.0.0.0:0                               387/[IOS]DHCPD Receive
Router#

IOS-XE 之前的 IOS 版本使用 show control-plane host open-ports 命令。我们提到此命令，因为您可能会在旧设备上看到它。输出是相似的。但是，请注意，这个较旧的路由器有不安全的 HTTP 服务器和 Telnet 正在运行。这两种服务都应该被禁用。如示例所示，使用 no ip http server 全局配置命令禁用 HTTP。通过在行配置命令transport input ssh中指定仅 SSH 来禁用 Telnet 。

Router# show control-plane host open-ports 
Active internet connections (servers and established)
Prot        Local Address      Foreign Address                  Service    State
 tcp                 *:23                  *:0                   Telnet   LISTEN
 tcp                 *:80                  *:0                HTTP CORE   LISTEN
 udp                 *:67                  *:0            DHCPD Receive   LISTEN
Router# configure terminal
Router(config)# no ip http server
Router(config)# line vty 0 15
Router(config-line)# transport input ssh

总结

安全威胁和漏洞

针对网络的攻击有时具有相当的破坏性，可能造成重要信息或资产的损坏或失窃，导致时间上和金钱上的损失。通过修改或利用软件漏洞来获取访问权的入侵者通常是威胁发起者。当黑客取得网络的访问权后，就可能给网络带来以下四种威胁：信息盗窃、数据丢失或操纵、身份盗窃以及服务中断。有三种主要的漏洞或弱点：技术、配置和安全策略。物理威胁分为四类：硬件、环境、电气和维护。

网络攻击

恶意软件是“有恶意的软件”的简称。是专门用来损坏、破坏、窃取数据、主机或网络或对数据、主机或网络进行“坏的”或者非法操作的代码或软件。恶意软件的类型包括病毒、蠕虫和特洛伊木马网络攻击可分为三大类：侦察、访问和拒绝服务。物理威胁分为四类：硬件、环境、电气和维护。三种类型的侦察攻击是：互联网查询、ping 扫描和端口扫描。四种类型的访问攻击是：密码（暴力、木马、数据包嗅探器）、信任利用、端口重定向和中间人。服务中断攻击的两种类型是：DoS 和 DDoS。

网络攻击缓解

要缓解网络攻击，必须首先保护设备，包括路由器、交换机、服务器和主机。大多数组织机构使用纵深防御法来确保安全性。这需要网络设备和服务相互配合以协同工作。这个环境中部署了一些安全设备和服务，来保护组织机构的用户、资产，免遭TCP/IP威胁的侵害：VPN、ASA防火墙、IPS、ESA/WSA和AAA服务器。基础设施设备应该在FTP或类似的文件服务器上备份配置文件和IOS映像。如果计算机或路由器硬件发生故障，可以使用备份副本恢复数据或配置。缓解蠕虫攻击的最有效方法是从操作系统厂商处下载安全更新，并为所有存在漏洞的系统应用补丁。要管理重要的安全补丁，请确保所有终端系统自动下载更新。AAA 方法用于控制可以访问网络的用户（认证）、用户可以执行的操作（授权），以及用户在访问网络时的行为（记账）。防火墙驻留在两个或多个网络之间，控制其间的流量并帮助阻止未授权的访问。外部用户可访问的服务器通常位于称为DMZ的特殊网络中。防火墙使用各种技术来确定允许或拒绝访问网络的内容，包括：数据包过滤、应用程序过滤、URL过滤和 SPI。保护终端设备的安全对于网络安全至关重要。公司必须制定有据可查的策略，其中可能包括使用杀毒软件和主机入侵防御。更全面的终端安全解决方案依赖网络访问控制。

设备安全

当在设备上安装新的OS时，安全设置保留为默认值。这种安全级别并不够。对于思科路由器，思科 AutoSecure 功能可用于协助保护系统。对于大多数OS的默认用户名和密码应该立即更改，对系统资源的访问应仅限于被授权使用这些资源的个人，任何不必要的服务和应用程序都应该尽可能地关闭和卸载。为了保护网络设备，使用强密码非常重要。密码短语通常比简单密码更易记忆。而且猜到它所用时间更长，也更难猜到。对于路由器和交换机，加密所有明文密码，设置可接受的最小密码长度，阻止暴力密码猜测攻击，并在指定时间后禁用非活动特权 EXEC 模式访问。配置适当的设备来支持SSH，并禁用未使用的服务。