Cisco网络基础保护框架（二）

　　对于前面的教程所说的，控制平面保护CoPP的扩展,但是允许監管的粒度。例如,CPr能够对进入路由器控制平面的数据包进行过滤和速率限制,并丢弃恶意数据包和/或错误数据包。控制平面记录(ControlPlaneLogging):允许记录CoPP和CPPr丢弃或允许的数据包。它提供了有效部署、监控、排错CoPP特性所需要的记录机制。

　　管理平面的流量由使用进程和协议(比如Telnet、ssh、TFTP、FTP等)的网络设备或网络管理工作站生成的。管理平面对黑客就有很强的吸引力。出于这个原因,管理模块是由用来缓解被攻击的风险的工具来构建的管理主机和被管理设备之间的信息流可以是帯外(out-of-band,OOB)的,即信息在没有生流量(productiontraffic)驻留的网络内部流动;也可以是带内的(in-band),即信息跨企业的生产网络和Internet流动。管理平面的安全可以采用如下特性来实施:登录和密码策略:限制设备的可访问性。

　　限制可访问的端口并限制访问的“who”和"how方法。显示法律通知:显示法律声明。这通常是由由公司的法律顺问来制定的。确保数据的保密性:防止本地存储的敏感数据不会被查看到或复制。使用管理协议和强认证可以缓解旨在暴露密码和设备配置的保密性攻击。

　　基于角色的访问控制:确保将访问权限只授予认证的用户、组和服务。RBAC和认证、授权、审计(AAA)服务提供了有效管理访问控制的机制动作的授权:限制特定的用户、组和服务的访问动作和视图。启用管理控制报告:记录并审计所有的访问。记录谁访问了设备、发生了什么行为,以及行为发生的时间。RBAC基于用户的角色来限制用户访问。

　　而角色则是根据其承担的工作或任务功能来创建的,并将访间权限分配给特定的资产。然后对用户进行角色划分,并授予用户该角色所定义的的权在CiscoiOS中,基于角色的CL访问特性实现了路由器管理访问的RBAC。该特性创建了不同的“视图”,这些视图定义了哪些命令是可以接受的,哪些配置信息息是可见的。出于扩展性考虑,用户权限和角色通常是在一台中央仓库服务器上创建和维护。

　　小编结语：针对上面的做法，那么这样,多台设备就可以使用访问控制策略。中央仓库服务器可以是AAA服务器,比如CsCo安全访问控制系统了。