专家话网络：给网络设备一个安全管理环境(1)

专家话网络：给网络设备一个安全管理环境(1)

如何保障网络安全设备的安全，是网络管理员必须考虑的一个问题。换句话说，除了网络性能因素之外，网络设备的安全是网络管理员最关心的一个话题。思科网络设备在这方面比其他公司的产品更加具有远见。如果大家有异议，或许听过我的讲述之后，会有所转变。

一、HTTP安全性

为了使得网络设备的管理与维护更加的便利，许多网络设备厂商都在自己的产品中实现了HTTP服务器，以建立一个交叉平台的、易于管理的图形化解决方案。用户可以通过WEB图形化界面对网络设备进行管理。思科在这方面当然也有类似的处理机制。

不过思科在这方面比其他厂商走先了一步。多数的思科网络设备，拥有一整套机制来进行认证和限制HTTP远程访问。网络管理员必须牢记，嵌入到网络基础设施设备的HTTP客户机和服务器之间的通信应当是安全的。思科为此提供了一整套解决方案。如果网络管理员能够通过合理的配置，那么思科设备的安全性是毋庸置疑的。

1、在必要的时候开启HTTP服务器。其实对于大部分有经验的网络管理员来说，都不习惯利用WEB界面来管理网络设备。如笔者，现在都是通过命令行来进行配置。因为这不仅安全，而且，还可以提高管理的效率。所以通常情况下，思科大部分产品默认情况下，都关闭了HTTP服务器。可见，思科专家们也不是很鼓励我们网络管理员通过WEB形式来管理他们的网络设备。一般情况下，只有刚接触思科网络设备的“菜鸟”才会通过图形化的管理界面来熟悉思科的网络设备。

2、若实在需要开启HTTP服务器的话，则需要进行相关的安全配置，来保障HTTP连接的准确性。

虽然思科不建议我们通过HTTP协议来管理思科网络设备，但是，我们网络管理员仍然可以使用WEB浏览器来发布绝大部分的IOS命令。通过使用WEB浏览器界面可以访问思科的大多数管理功能。思科网络设备的大部分管理功能都可以通过HTTP协议来配置。

思科HTTP服务器程序它是思科IOS管理软件的一个嵌入式组件，他允许特权级别(或其他任何配置的优先级别)为15用户通过浏览器来访问思科设备。若要启用HTTP服务器来管理思科网络设备，需要通过如下步骤。

(1)启用HTTP服务。上面笔者已经说过，思科不少的网络设备，默认情况下都没有开启HTTP服务。所以，网络管理员若需要采用这个服务的话，则必须手工的启动它。如我们网络管理员需要通过利用“http server”命令来启用它。

(2)相关的权限控制。若思科设备启用了HTTP服务器之后，网络管理员就可以通过WEB浏览器访问路由器并进行相关的管理。默认情况下，思科的IOS管理软件通常只允许特权级别为15的用户访问路由器预先定义的主页或者访问服务器。如果用户的访问级别不是15，则用户没有完全管理路由器的权限。在网页上只显示出与这个用户所对应的功能。另外需要注意一个版本之间的差异。在IOS11.3之前的版本，只有特权为15的用户才能够使用HTTP功能，并且唯一的认证机制就是启用Enable口令。不过在现在的IOS版本中，除了特权级别为15的用户可以通过HTTP来管理路由器。而且，还可以给其他用户进行授权，让其叶具有类似的管理功能。

(3)若要给某个用户授予某些HTTP管理的功能，只需要通过简单的两步就可以授予。一是在WEB浏览器中输入网络设备的地址，并以特权用户的口令登陆管理系统。二是通过HTTP authentication enable命令来给某个特定级别的用户启用HTTP功能。HTTP访问只对特定的用户级别开放，启用密码是认证HTTP服务器用户的方法。所以，网络管理员需要注意，授权不是针对具体的用户，而是通过对用户级别进行授权实现的。