安讯士 AXIS 网络交换机加固指南
介绍 Axis Communications 致力于在设备的设计、开发和测试中应用网络安全最佳实践,以最大限度地降低可能被攻击的漏洞风险。但是,保护网络、设备及其支持的服务需要整个供应商供应链以及最终用户组织的积极参与。安全的环境取决于其用户、流程和技术。本指南旨在帮助您保护网络、设备和服务。 从 IT/网络角度来看,Axis 交换机与其他网络设备一样。然而,与注意本电脑不同,网络交换机不会让用户访问潜在有害的网站、打开恶意电子邮件附件或安装不受信任的应用程序。尽管如此,网络交换机是一种具有接口的设备,可能会给所连接的系统带来风险。本指南对焦介绍如何减少这些风险。 该指南为参与部署 Axis 解决方案的任何人提供技术建议。它建立了基准配置以及应对不断变化的威胁形势的强化指南。您可能需要产品的用户手册来了解如何配置特定设置。 Web 界面配置 本指南指的是按照以下说明在 Axis 设备的 Web 界面内修改设备设置: Web 界面配置路径 高级 > 安全 更新日志 日期和时间 版本 变化 2022 年 9 月 1.0 初始版本 范围 本指南中概述的强化说明是针对可通过 Web 界面或 SSH 控制台管理的 Axis 管理交换机编写的,并可应用于此类交换机,例如 AXIS T85 PoE+ 网络交换机系列。根据设备的不同,某些功能可能不适用或不可用。 安全通知 我们建议您订阅 Axis 安全通知服务, 以接收有关 Axis 产品、解决方案和服务中新发现的漏洞以及如何保护您的 Axis 设备安全的信息。 CIS 保护级别 我们遵循互联网安全中心 (CIS) 控制措施第 8 版中概述的方法来构建我们的网络安全框架建议。CIS 控制措施(以前称为 SANS 前 20 个关键安全控制措施)提供了 18 类关键安全控制措施 (CSC),对焦是解决组织中最常见的网络安全风险类别。 本指南通过为每个强化主题添加 CSC 编号 ( CSC # )来引用关键安全控制 。有关 CSC 类别的更多信息,请参阅cisecurity.org 上的 18 个 CIS 关键安全控制 。 默认保护 Axis 设备带有默认保护设置。有几种安全控制措施无需配置。这些控制措施提供了基本级别的设备保护,并可作为更广泛强化的基础。 凭证访问 Axis 网络交换机可以使用其默认设置开箱即用。但是,只有使用位于 Axis 交换机底部产品标签上的自动随机生成的密码才能访问管理功能。在首次设置期间,用户需要在首次访问时更改密码。有关更多信息,请参阅 设置设备 root 密码 。 网络协议 CSC #4:企业资产和软件的安全配置 Axis 网络交换机默认仅启用少量网络协议和服务。您可以在下表中看到这些协议和服务。 协议 港口 运输 评论 HTTP 80 TCP 一般 HTTP 流量,例如 Web 界面访问或 VAPIX。 HTTPS 443 TCP 一般 HTTP 流量,例如 Web 界面访问或 VAPIX。 网络时间协议 (NTP) 123 UDP 由 Axis 设备用于与 NTP 服务器进行时间同步。 即插即用 1900 UDP 由第三方应用程序使用,通过 UPnP 发现协议发现 Axis 设备。 你好 5353 UDP 由第三方应用程序使用,通过 mDNS 发现协议 (Bonjour) 发现 Axis 设备。 建议尽可能禁用未使用的网络协议和服务。 已启用 HTTPS CSC #3:数据保护 默认情况下,HTTPS 已启用,并使用自签名证书。这样可以以安全的方式设置设备密码。 Web 界面配置路径 高级 > 安全 > 配置 > 交换机 > 身份验证方法 高级 > 安全 > 配置 > 交换机 > HTTPS 退役 CSC #3:数据保护 停用 Axis 设备时,应执行出厂默认设置。恢复出厂默认设置后,客户应用的所有设置都将被删除。 Axis 设备同时使用易失性和非易失性存储器,虽然易失性存储器在断电时会被清除,但存储在非易失性存储器中的信息会保留下来,并在启动时再次可用。要安全地删除设备上的持久敏感数据,需要执行出厂默认设置。 基本硬化 基本强化是 Axis 设备推荐的最低保护级别。基本强化主题是“可在边缘配置”的。这意味着它们可以直接在 Axis 设备中配置,而无需进一步依赖第三方网络基础设施、视频或证据管理系统 (VMS、EMS)、设备或应用程序。 出厂默认设置 CSC #4:企业资产和软件的安全配置 开始之前,请确保设备处于已知的出厂默认状态。在停用设备和清除用户数据时,出厂默认状态非常重要。 Web 界面配置路径 高级 > 维护 > 出厂默认设置 升级到最新固件 CSC #2:软件资产的盘点与控制 修补软件和固件是网络安全的一个重要方面。攻击者通常会尝试利用众所周知的漏洞,如果他们获得未修补服务的网络访问权限,他们可能会成功。请确保始终使用最新固件,因为它可能包含已知漏洞的安全补丁。特定固件的发行说明可能会明确提到关键的安全修复,但不会提及所有常规修复。 可以从https:///support/firmware 下载固件 。 Web 界面配置路径 高级 > 维护 > 固件 > 固件升级 设置设备 root 密码 CSC #4:企业资产和软件的安全配置 CSC #5:帐户管理 设备根帐户是主要的设备管理帐户。在首次设置期间,用户需要在首次访问时更改密码。确保使用强密码,并将根帐户的使用限制在管理任务上。不建议在日常生产中使用根帐户。 操作 Axis 设备时,使用相同的密码可简化管理,但一旦发生入侵或数据泄露,安全性会降低。对每台 Axis 设备使用不同的密码可提供较高的安全性,但会增加设备管理的复杂性。建议使用密码轮换。 建议实施足够的密码复杂性和长度,例如 NIST 密码建议 。Axis 交换机支持最多 31 个字符的密码。 少于 8 个字符的 密码被视为弱密码。 Web 界面配置路径 高级 > 安全 > 配置 > 交换机 > 用户 创建客户账户 CSC #4:企业资产和软件的安全配置 CSC #5:帐户管理 默认的 root 帐户具有全部权限,应保留用于管理任务。建议创建一个具有有限权限的客户端用户帐户,用于日常操作(如果需要)。这可降低设备管理员密码泄露的风险。 Web 界面配置路径 高级 > 安全 > 配置 > 交换机 > 用户 配置网络设置 CSC #12:网络基础设施管理 设备 IP 配置取决于网络配置,例如 IPv4/IPv6、静态或动态 (DHCP) 网络地址、子网掩码和默认路由器。建议在添加新类型的组件时检查网络拓扑。 建议在 Axis 设备上使用静态 IP 地址配置,以确保网络可达性,并解除对网络中可能成为攻击目标的 DHCP 服务器等的依赖。 Web 界面配置路径 高级 > 系统 > 配置 > IP > IP 接口 正确的日期和时间配置 CSC #8:审计日志管理 从安全角度来看,日期和时间的正确性非常重要,例如,这样系统日志才能使用正确的信息打上时间戳,数字证书才能在运行时得到验证和使用。如果没有正确的时间同步,依赖数字证书(如 HTTPS、IEEE 802.1x 等)的服务可能无法正常工作。 建议将 Axis 设备时钟与网络时间协议 (NTP) 服务器同步,最好是两个。对于没有本地 NTP 服务器的个人和小型组织,可以使用公共 NTP 服务器。请咨询您的互联网服务提供商或使用公共 NTP 服务器,例如 pool.ntp.org。 Web 界面配置路径 基本 > 日期和时间 配置 VLAN CSC #1:企业资产清单与控制 CSC #4:企业资产和软件的安全配置 CSC #13:网络监控与防御 通过 VLAN,可以将物理网络虚拟地分割成几个不同的网络。通过将网络划分为多个不同的、相互隔离的广播域,可以降低网络中主机接收的网络流量,最小化网络攻击面,并将网络主机和资源组织地捆绑在一个 VLAN 内,而无需提供给整个物理网络。这提高了整体网络安全性。 Web 界面配置路径 高级 > VLAN 配置 IP 源保护 CSC #4:企业资产和软件的安全配置 CSC #13:网络监控和防御 IP 源防护功能用于通过基于 DHCP 侦听表或手动配置的 IP 源绑定过滤流量来限制 DHCP 侦听不信任端口上的 IP 流量。当主机试图欺骗并使用另一台主机的 IP 地址时,它有助于防止 IP 欺骗攻击。 IP 源防护配置示例仅允许交换机端口 1 上有一个动态客户端。交换机端口 2 上仅允许静态配置的客户端。 IP 源保护静态表的示例。 Web 界面配置路径 高级 > 安全 > 配置 > 网络 > IP 源防护 > 配置 配置 ACL CSC #4:企业资产和软件的安全配置 CSC #13:网络监控和防御 ACL 是访问控制列表 (Access Control List) 的缩写。它是一个包含访问控制条目 (ACE) 的列表,用于指定允许或拒绝访问特定流量对象(例如进程或程序)的单个用户或组。 ACL 的实现可能非常复杂。在网络中,ACL 是指主机或服务器上可用的服务端口或网络服务列表,每个端口或网络服务都带有允许或拒绝使用该服务的主机或服务器列表。ACL 通常可以配置为控制入站流量,在这种情况下,它们就像防火墙一样。 阻止交换机端口 1 上的 ICMP 流量的 ACE 配置示例。 ACE 配置示例,阻止交换机端口 1 上往返于 10.0.1.0/24 子网的所有 IPv4 流量。 Web 界面配置路径 高级 > 安全 > 配置 > 网络 > ACL > 访问控制列表 禁用未使用的服务/功能 CSC #4:企业资产和软件的安全配置 尽管未使用的服务和功能不会造成直接的安全威胁,但禁用未使用的服务和功能以减少不必要的风险是一种很好的做法。继续阅读以了解有关未使用时可以禁用的服务和功能的更多信息。 SSH 通过 SSH 访问网络交换机可以实现比 Web 界面更精细和详细的配置。它还可用于故障排除和调试。虽然 SSH 是一种安全的通信协议,但建议确保在不再使用时禁用 SSH 访问。 Web 界面配置路径 高级 > 安全 > 配置 > 交换机 > 身份验证方法 发现协议 发现协议(例如 Bonjour 或 UPnP)是支持服务,可让您更轻松地在网络上找到 Axis 设备及其服务。部署后,一旦知道 Axis 设备的 IP 地址,建议禁用发现协议以阻止 Axis 设备在网络上宣布其存在。 Web 界面配置路径 高级 > 系统 > 配置 > 信息 > Bonjour 发现 高级 > UPnP 未使用的物理网络端口 并非所有物理网络端口都可能一直处于占用状态。建议在交换机端以管理方式禁用未使用的网络端口。让未使用的网络端口处于无人值守和活动状态会带来严重的安全风险。 Web 界面配置路径 高级 > 端口 > 配置 交换机重启计划 CSC #2:软件资产的盘点与控制 在正常运行期间,不需要定期重启交换机,因为这也会导致断开或重启连接的设备(如果由交换机供电)。建议将此选项保持禁用状态,直到仅用于故障排除和调试目的为止。 Web 界面配置路径 高级 > 维护 > 重启计划 HTTPS CSC #3:数据保护 建议将 Axis 设备配置为仅 HTTPS(无法进行 HTTP 访问)。HTTP 访问不安全,完全没有加密,HTTPS 加密客户端和 Axis 设备之间的流量。我们建议您在 Axis 设备上执行所有管理任务时使用 HTTPS。虽然自签名证书在设计上不受信任,但它足以在初始配置期间以及手头没有公钥基础设施 (PKI) 时安全访问 Axis 设备。如果可用,应删除自签名证书并替换为所选 PKI 颁发机构的正确签名客户端证书。 Web 界面配置路径 高级 > 安全 > 配置 > 交换机 > 身份验证方法 高级 > 安全 > 配置 > 交换机 > HTTPS 配置 ARP 检测 CSC #4:企业资产和软件的安全配置 CSC #13:网络监控和防御 通过“毒害”网络交换机的 ARP 缓存,可以对连接到第 2 层网络的主机或设备发起几种不同类型的著名攻击,称为“ARP 缓存中毒”。成功的攻击会导致网络主机和流量暂时丢失。ARP 检查用于阻止此类攻击。只有有效的 ARP 请求和响应才能通过交换机设备。 交换机端口 1 和 2 上的 ARP 检查配置示例。 Web 界面配置路径 高级 > 安全 > 配置 > 网络 > ARP 检查 配置端口安全限制控制 CSC #4:企业资产和软件的安全配置 CSC #13:网络监控和防御 端口安全限制控制允许限制给定端口上的用户数量。用户通过 MAC 地址和 VLAN ID 进行标识。如果在端口上启用了限制控制,则限制将指定端口上的最大用户数量。如果超出该数量,则采取选定的操作。 虽然可以通过 Web 界面启用端口安全限制控制,但只能通过命令行界面设置限制。 交换机端口 1 和 2 上的端口安全限制控制配置示例。 Web 界面配置路径 高级 > 安全 > 配置 > 网络 > 限制控制 命令行配置路径 配置模式 > 接口千兆以太网 x/x > 端口安全最大值 x 延长硬化 扩展强化的说明基于 默认保护 和 基本强化 中描述的强化主题。但是,虽然您可以直接在 Axis 设备上应用默认和基本强化说明,但扩展强化需要整个供应商供应链、最终用户组织以及底层 IT 和/或网络基础设施的积极参与。 限制互联网接触 CSC #12:网络基础设施管理 不建议将 Axis 设备公开为公共 Web 服务器或任何类型的公共网络访问,以允许未知客户端获取该设备的网络访问权限。 网络漏洞扫描 CSC #1:企业资产盘点与控制 CSC #12:网络基础设施管理 建议定期对 Axis 设备所属的基础设施以及 Axis 设备本身进行漏洞评估。这些漏洞评估通常由网络安全扫描器执行。 漏洞评估的目的是系统地审查潜在的安全漏洞和错误配置。在开始扫描之前,请确保正在测试的 Axis 设备已更新到最新的可用固件。 建议查看扫描报告并过滤掉 此处 所述的 Axis 设备的已知误报。 剩余的报告和备注应通过帮助台票证提交给 Axis 支持部门 。 可信公钥基础设施 (PKI) CSC #3:数据保护 CSC #12:网络基础设施管理 我们建议您将受公共或私人证书颁发机构 (CA) 信任和签名的 Web 服务器和客户端证书部署到您的 Axis 设备。具有经过验证的信任链的 CA 签名证书有助于在您通过 HTTPS 连接时删除浏览器证书警告。当您部署网络访问控制 (NAC) 解决方案时,CA 签名证书还可确保 Axis 设备的真实性。这降低了计算机冒充 Axis 设备进行攻击的风险。 您可以使用带有内置 CA 服务的 AXIS 设备管理器向 Axis 设备颁发签名的证书。 IEEE 802.1x 网络访问控制 CSC #6:访问控制管理 CSC #13:网络监控和防御 Axis 设备支持使用 EAP-TLS 方法的 IEEE 802.1x 基于端口的网络访问控制。为了获得最佳保护,Axis 设备的身份验证必须使用由所选的受信任证书颁发机构 (CA) 签名的客户端证书。请参阅以下 指南 ,了解如何为 IEEE 802.1x 配置 Axis 网络交换机。 Web 界面配置路径 高级 > 安全 > 配置 > AAA > RADIUS 高级 > 安全 > 配置 > 网络 > NAS SMTP 监控 CSC #8:审计日志管理 可以配置 Axis 网络交换机以通过 SMTP 消息发送警报事件。 Web 界面配置路径 高级 > SMTP SNMP 监控 CSC #8:审计日志管理 Axis 设备支持以下 SNMP 协议: SNMP v1 :仅因遗留原因而受支持,不应使用。 SNMP v2c :可在受保护的网络段上使用。 SNMP v3 :推荐用于监控目的。 Web 界面配置路径 高级 > 安全 > 配置 > 交换机 > SNMP 远程系统日志 CSC #8:审计日志管理 可以将 Axis 设备配置为将所有日志消息加密发送到中央系统日志服务器。这简化了审计,并防止日志消息在 Axis 设备中被有意/恶意或无意地删除。它还允许根据公司政策延长设备日志的保留时间。 Web 界面配置路径 高级 > 系统 > 配置 > 日志
介绍
Axis Communications 致力于在设备的设计、开发和测试中应用网络安全最佳实践,以最大限度地降低可能被攻击的漏洞风险。但是,保护网络、设备及其支持的服务需要整个供应商供应链以及最终用户组织的积极参与。安全的环境取决于其用户、流程和技术。本指南旨在帮助您保护网络、设备和服务。
从 IT/网络角度来看,Axis 交换机与其他网络设备一样。然而,与注意本电脑不同,网络交换机不会让用户访问潜在有害的网站、打开恶意电子邮件附件或安装不受信任的应用程序。尽管如此,网络交换机是一种具有接口的设备,可能会给所连接的系统带来风险。本指南对焦介绍如何减少这些风险。
该指南为参与部署 Axis 解决方案的任何人提供技术建议。它建立了基准配置以及应对不断变化的威胁形势的强化指南。您可能需要产品的用户手册来了解如何配置特定设置。
Web 界面配置
本指南指的是按照以下说明在 Axis 设备的 Web 界面内修改设备设置:
| Web 界面配置路径 |
|---|
| 高级 > 安全 |
更新日志
| 日期和时间 | 版本 | 变化 |
| 2022 年 9 月 | 1.0 | 初始版本 |
范围
本指南中概述的强化说明是针对可通过 Web 界面或 SSH 控制台管理的 Axis 管理交换机编写的,并可应用于此类交换机,例如 AXIS T85 PoE+ 网络交换机系列。根据设备的不同,某些功能可能不适用或不可用。
安全通知
我们建议您订阅Axis 安全通知服务,以接收有关 Axis 产品、解决方案和服务中新发现的漏洞以及如何保护您的 Axis 设备安全的信息。
CIS 保护级别
我们遵循互联网安全中心 (CIS) 控制措施第 8 版中概述的方法来构建我们的网络安全框架建议。CIS 控制措施(以前称为 SANS 前 20 个关键安全控制措施)提供了 18 类关键安全控制措施 (CSC),对焦是解决组织中最常见的网络安全风险类别。
本指南通过为每个强化主题添加 CSC 编号 ( CSC # )来引用关键安全控制。有关 CSC 类别的更多信息,请参阅cisecurity.org 上的18 个 CIS 关键安全控制。
默认保护
Axis 设备带有默认保护设置。有几种安全控制措施无需配置。这些控制措施提供了基本级别的设备保护,并可作为更广泛强化的基础。
凭证访问
Axis 网络交换机可以使用其默认设置开箱即用。但是,只有使用位于 Axis 交换机底部产品标签上的自动随机生成的密码才能访问管理功能。在首次设置期间,用户需要在首次访问时更改密码。有关更多信息,请参阅设置设备 root 密码。
网络协议
CSC #4:企业资产和软件的安全配置
Axis 网络交换机默认仅启用少量网络协议和服务。您可以在下表中看到这些协议和服务。
| 协议 | 港口 | 运输 | 评论 |
|---|---|---|---|
| HTTP | 80 | TCP | 一般 HTTP 流量,例如 Web 界面访问或 VAPIX。 |
| HTTPS | 443 | TCP | 一般 HTTP 流量,例如 Web 界面访问或 VAPIX。 |
| 网络时间协议 (NTP) | 123 | UDP | 由 Axis 设备用于与 NTP 服务器进行时间同步。 |
| 即插即用 | 1900 | UDP | 由第三方应用程序使用,通过 UPnP 发现协议发现 Axis 设备。 |
| 你好 | 5353 | UDP | 由第三方应用程序使用,通过 mDNS 发现协议 (Bonjour) 发现 Axis 设备。 |
建议尽可能禁用未使用的网络协议和服务。
已启用 HTTPS
CSC #3:数据保护
默认情况下,HTTPS 已启用,并使用自签名证书。这样可以以安全的方式设置设备密码。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 交换机 > 身份验证方法 高级 > 安全 > 配置 > 交换机 > HTTPS |
退役
CSC #3:数据保护
停用 Axis 设备时,应执行出厂默认设置。恢复出厂默认设置后,客户应用的所有设置都将被删除。
Axis 设备同时使用易失性和非易失性存储器,虽然易失性存储器在断电时会被清除,但存储在非易失性存储器中的信息会保留下来,并在启动时再次可用。要安全地删除设备上的持久敏感数据,需要执行出厂默认设置。
基本硬化
基本强化是 Axis 设备推荐的最低保护级别。基本强化主题是“可在边缘配置”的。这意味着它们可以直接在 Axis 设备中配置,而无需进一步依赖第三方网络基础设施、视频或证据管理系统 (VMS、EMS)、设备或应用程序。
出厂默认设置
CSC #4:企业资产和软件的安全配置
开始之前,请确保设备处于已知的出厂默认状态。在停用设备和清除用户数据时,出厂默认状态非常重要。
| Web 界面配置路径 |
|---|
| 高级 > 维护 > 出厂默认设置 |
升级到最新固件
CSC #2:软件资产的盘点与控制
修补软件和固件是网络安全的一个重要方面。攻击者通常会尝试利用众所周知的漏洞,如果他们获得未修补服务的网络访问权限,他们可能会成功。请确保始终使用最新固件,因为它可能包含已知漏洞的安全补丁。特定固件的发行说明可能会明确提到关键的安全修复,但不会提及所有常规修复。
可以从https:///support/firmware下载固件。
| Web 界面配置路径 |
|---|
| 高级 > 维护 > 固件 > 固件升级 |
设置设备 root 密码
CSC #4:企业资产和软件的安全配置
CSC #5:帐户管理
设备根帐户是主要的设备管理帐户。在首次设置期间,用户需要在首次访问时更改密码。确保使用强密码,并将根帐户的使用限制在管理任务上。不建议在日常生产中使用根帐户。
操作 Axis 设备时,使用相同的密码可简化管理,但一旦发生入侵或数据泄露,安全性会降低。对每台 Axis 设备使用不同的密码可提供较高的安全性,但会增加设备管理的复杂性。建议使用密码轮换。
建议实施足够的密码复杂性和长度,例如NIST 密码建议。Axis 交换机支持最多 31 个字符的密码。少于 8 个字符的密码被视为弱密码。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 交换机 > 用户 |
创建客户账户
CSC #4:企业资产和软件的安全配置
CSC #5:帐户管理
默认的 root 帐户具有全部权限,应保留用于管理任务。建议创建一个具有有限权限的客户端用户帐户,用于日常操作(如果需要)。这可降低设备管理员密码泄露的风险。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 交换机 > 用户 |
配置网络设置
CSC #12:网络基础设施管理
设备 IP 配置取决于网络配置,例如 IPv4/IPv6、静态或动态 (DHCP) 网络地址、子网掩码和默认路由器。建议在添加新类型的组件时检查网络拓扑。
建议在 Axis 设备上使用静态 IP 地址配置,以确保网络可达性,并解除对网络中可能成为攻击目标的 DHCP 服务器等的依赖。
| Web 界面配置路径 |
|---|
| 高级 > 系统 > 配置 > IP > IP 接口 |
正确的日期和时间配置
CSC #8:审计日志管理
从安全角度来看,日期和时间的正确性非常重要,例如,这样系统日志才能使用正确的信息打上时间戳,数字证书才能在运行时得到验证和使用。如果没有正确的时间同步,依赖数字证书(如 HTTPS、IEEE 802.1x 等)的服务可能无法正常工作。
建议将 Axis 设备时钟与网络时间协议 (NTP) 服务器同步,最好是两个。对于没有本地 NTP 服务器的个人和小型组织,可以使用公共 NTP 服务器。请咨询您的互联网服务提供商或使用公共 NTP 服务器,例如 pool.ntp.org。
| Web 界面配置路径 |
|---|
| 基本 > 日期和时间 |
配置 VLAN
CSC #1:企业资产清单与控制
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控与防御
通过 VLAN,可以将物理网络虚拟地分割成几个不同的网络。通过将网络划分为多个不同的、相互隔离的广播域,可以降低网络中主机接收的网络流量,最小化网络攻击面,并将网络主机和资源组织地捆绑在一个 VLAN 内,而无需提供给整个物理网络。这提高了整体网络安全性。
| Web 界面配置路径 |
|---|
| 高级 > VLAN |
配置 IP 源保护
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控和防御
IP 源防护功能用于通过基于 DHCP 侦听表或手动配置的 IP 源绑定过滤流量来限制 DHCP 侦听不信任端口上的 IP 流量。当主机试图欺骗并使用另一台主机的 IP 地址时,它有助于防止 IP 欺骗攻击。
IP 源防护配置示例仅允许交换机端口 1 上有一个动态客户端。交换机端口 2 上仅允许静态配置的客户端。
IP 源保护静态表的示例。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 网络 > IP 源防护 > 配置 |
配置 ACL
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控和防御
ACL 是访问控制列表 (Access Control List) 的缩写。它是一个包含访问控制条目 (ACE) 的列表,用于指定允许或拒绝访问特定流量对象(例如进程或程序)的单个用户或组。
ACL 的实现可能非常复杂。在网络中,ACL 是指主机或服务器上可用的服务端口或网络服务列表,每个端口或网络服务都带有允许或拒绝使用该服务的主机或服务器列表。ACL 通常可以配置为控制入站流量,在这种情况下,它们就像防火墙一样。
阻止交换机端口 1 上的 ICMP 流量的 ACE 配置示例。
ACE 配置示例,阻止交换机端口 1 上往返于 10.0.1.0/24 子网的所有 IPv4 流量。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 网络 > ACL > 访问控制列表 |
禁用未使用的服务/功能
CSC #4:企业资产和软件的安全配置
尽管未使用的服务和功能不会造成直接的安全威胁,但禁用未使用的服务和功能以减少不必要的风险是一种很好的做法。继续阅读以了解有关未使用时可以禁用的服务和功能的更多信息。
SSH
通过 SSH 访问网络交换机可以实现比 Web 界面更精细和详细的配置。它还可用于故障排除和调试。虽然 SSH 是一种安全的通信协议,但建议确保在不再使用时禁用 SSH 访问。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 交换机 > 身份验证方法 |
发现协议
发现协议(例如 Bonjour 或 UPnP)是支持服务,可让您更轻松地在网络上找到 Axis 设备及其服务。部署后,一旦知道 Axis 设备的 IP 地址,建议禁用发现协议以阻止 Axis 设备在网络上宣布其存在。
| Web 界面配置路径 |
|---|
| 高级 > 系统 > 配置 > 信息 > Bonjour 发现 高级 > UPnP |
未使用的物理网络端口
并非所有物理网络端口都可能一直处于占用状态。建议在交换机端以管理方式禁用未使用的网络端口。让未使用的网络端口处于无人值守和活动状态会带来严重的安全风险。
| Web 界面配置路径 |
|---|
| 高级 > 端口 > 配置 |
交换机重启计划
CSC #2:软件资产的盘点与控制
在正常运行期间,不需要定期重启交换机,因为这也会导致断开或重启连接的设备(如果由交换机供电)。建议将此选项保持禁用状态,直到仅用于故障排除和调试目的为止。
| Web 界面配置路径 |
|---|
| 高级 > 维护 > 重启计划 |
HTTPS
CSC #3:数据保护
建议将 Axis 设备配置为仅 HTTPS(无法进行 HTTP 访问)。HTTP 访问不安全,完全没有加密,HTTPS 加密客户端和 Axis 设备之间的流量。我们建议您在 Axis 设备上执行所有管理任务时使用 HTTPS。虽然自签名证书在设计上不受信任,但它足以在初始配置期间以及手头没有公钥基础设施 (PKI) 时安全访问 Axis 设备。如果可用,应删除自签名证书并替换为所选 PKI 颁发机构的正确签名客户端证书。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 交换机 > 身份验证方法 高级 > 安全 > 配置 > 交换机 > HTTPS |
配置 ARP 检测
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控和防御
通过“毒害”网络交换机的 ARP 缓存,可以对连接到第 2 层网络的主机或设备发起几种不同类型的著名攻击,称为“ARP 缓存中毒”。成功的攻击会导致网络主机和流量暂时丢失。ARP 检查用于阻止此类攻击。只有有效的 ARP 请求和响应才能通过交换机设备。
交换机端口 1 和 2 上的 ARP 检查配置示例。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 网络 > ARP 检查 |
配置端口安全限制控制
CSC #4:企业资产和软件的安全配置
CSC #13:网络监控和防御
端口安全限制控制允许限制给定端口上的用户数量。用户通过 MAC 地址和 VLAN ID 进行标识。如果在端口上启用了限制控制,则限制将指定端口上的最大用户数量。如果超出该数量,则采取选定的操作。
虽然可以通过 Web 界面启用端口安全限制控制,但只能通过命令行界面设置限制。
交换机端口 1 和 2 上的端口安全限制控制配置示例。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 网络 > 限制控制 |
| 命令行配置路径 |
|---|
| 配置模式 > 接口千兆以太网 x/x > 端口安全最大值 x |
延长硬化
限制互联网接触
CSC #12:网络基础设施管理
不建议将 Axis 设备公开为公共 Web 服务器或任何类型的公共网络访问,以允许未知客户端获取该设备的网络访问权限。
网络漏洞扫描
可信公钥基础设施 (PKI)
CSC #3:数据保护
CSC #12:网络基础设施管理
我们建议您将受公共或私人证书颁发机构 (CA) 信任和签名的 Web 服务器和客户端证书部署到您的 Axis 设备。具有经过验证的信任链的 CA 签名证书有助于在您通过 HTTPS 连接时删除浏览器证书警告。当您部署网络访问控制 (NAC) 解决方案时,CA 签名证书还可确保 Axis 设备的真实性。这降低了计算机冒充 Axis 设备进行攻击的风险。
您可以使用带有内置 CA 服务的 AXIS 设备管理器向 Axis 设备颁发签名的证书。
IEEE 802.1x 网络访问控制
CSC #6:访问控制管理
CSC #13:网络监控和防御
Axis 设备支持使用 EAP-TLS 方法的 IEEE 802.1x 基于端口的网络访问控制。为了获得最佳保护,Axis 设备的身份验证必须使用由所选的受信任证书颁发机构 (CA) 签名的客户端证书。请参阅以下指南,了解如何为 IEEE 802.1x 配置 Axis 网络交换机。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > AAA > RADIUS 高级 > 安全 > 配置 > 网络 > NAS |
SMTP 监控
CSC #8:审计日志管理
可以配置 Axis 网络交换机以通过 SMTP 消息发送警报事件。
| Web 界面配置路径 |
|---|
| 高级 > SMTP |
SNMP 监控
CSC #8:审计日志管理
Axis 设备支持以下 SNMP 协议:
SNMP v1:仅因遗留原因而受支持,不应使用。
SNMP v2c:可在受保护的网络段上使用。
SNMP v3:推荐用于监控目的。
| Web 界面配置路径 |
|---|
| 高级 > 安全 > 配置 > 交换机 > SNMP |
远程系统日志
CSC #8:审计日志管理
可以将 Axis 设备配置为将所有日志消息加密发送到中央系统日志服务器。这简化了审计,并防止日志消息在 Axis 设备中被有意/恶意或无意地删除。它还允许根据公司政策延长设备日志的保留时间。
| Web 界面配置路径 |
|---|
| 高级 > 系统 > 配置 > 日志 |
