交換機(jī)與路由器的安全配置_第1頁
交換機(jī)與路由器的安全配置_第2頁
交換機(jī)與路由器的安全配置_第3頁
交換機(jī)與路由器的安全配置_第4頁
交換機(jī)與路由器的安全配置_第5頁
已閱讀5頁,還剩10頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

陜西能源職業(yè)技術(shù)學(xué)院交換機(jī)與路由器的安全配置姓名:秋智龍班級:網(wǎng)絡(luò)091班院系:電子工程系指導(dǎo)教師:衛(wèi)星君一、課題名稱交換機(jī)與路由器的安全配置二、課題內(nèi)容互聯(lián)網(wǎng)是一把雙刃劍?;ヂ?lián)網(wǎng)在給廣大用戶帶來了方便、快捷的同時(shí)其安全性日益惡化。以病毒、木馬、僵尸網(wǎng)絡(luò)、間諜軟件等為代表的惡意代碼,拒絕服務(wù)攻擊、網(wǎng)絡(luò)仿冒、垃圾郵件等安全事件仍十分猖獗。網(wǎng)絡(luò)的安全以及對不良信息內(nèi)容的有效控制和管理已是急需解決的問題。路由器、交換機(jī)是網(wǎng)絡(luò)中不可缺少的設(shè)備,網(wǎng)絡(luò)安全就離不開路由器、交換機(jī)的各種安全機(jī)制。三、課題任務(wù)要求觀點(diǎn)正確,論證充分。結(jié)構(gòu)合理,邏輯嚴(yán)密。滿足一定的閱讀量。摘要隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展,信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。信息網(wǎng)絡(luò)中存儲、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息,這些信息難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計(jì)算機(jī)病毒等)。同時(shí),網(wǎng)絡(luò)實(shí)體還要經(jīng)受自然災(zāi)害。網(wǎng)絡(luò)安全已經(jīng)成為嚴(yán)重的社會問題之一。關(guān)鍵字:路由器、交換機(jī)、網(wǎng)絡(luò)安全交換機(jī)與路由器安全配置目錄TOC\o"1-3"\h\u81351細(xì)述當(dāng)今網(wǎng)絡(luò)安全現(xiàn)狀 246061.1概述 2217211.2影響網(wǎng)絡(luò)安全的主要因素 3109972交換機(jī)的基本功能 3192082.1交換機(jī)基礎(chǔ) 4184992.1.1交換機(jī)的發(fā)展 4107912.1.2交換機(jī)的功能 4250692.1.3交換機(jī)工作原理 491442.2交換機(jī)配置中的安全性 5242452.2.1流量控制 5147392.2.2虛擬局域網(wǎng)VLAN 578522.2.3訪問控制列表 56972.2.4設(shè)備冗余 6101733.路由器的基本功能 6195463.1路由器基礎(chǔ) 6233993.2路由器的基本功能 7290003.3路由器工作原理 7310993.4路由器配置中的安全性 826983.4.1協(xié)議交換認(rèn)證 812393.4.2路由器的物理安全防范 8200213.4.3保護(hù)路由器口令 8182313.4.4阻止查看到路由器當(dāng)前的用戶列表。 889753.4.5關(guān)閉CDP服務(wù) 9103363.4.6阻止路由器接收帶源路由標(biāo)記的包 9178053.4.7關(guān)閉路由器廣播包的轉(zhuǎn)發(fā) 9162743.4.8管理HTTP服務(wù) 914944.網(wǎng)絡(luò)鏈接配置實(shí)例 10156934.1鏈路聚合 10216014.2利用三層交換機(jī)實(shí)現(xiàn)兩層交換機(jī)之間不同vlan間通信 1166964.3路由器廣域網(wǎng)PPP封裝和PAP驗(yàn)證 1375505.目前網(wǎng)絡(luò)的其他威脅 14298025.1網(wǎng)絡(luò)通信協(xié)議安全漏洞 14286825.2操作系統(tǒng)安全漏洞 14211065.3應(yīng)用軟件安全漏洞 14266455.4防火墻缺陷 1531374致謝 1527433參考文獻(xiàn) 161.細(xì)述當(dāng)今網(wǎng)絡(luò)安全現(xiàn)狀1.1概述21世紀(jì)全世界的計(jì)算機(jī)都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化。它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在。當(dāng)人類步入21世紀(jì)這一信息社會、網(wǎng)絡(luò)社會的時(shí)候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。一個(gè)國家的信息安全體系實(shí)際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺。我國在構(gòu)建信息防衛(wèi)系統(tǒng)時(shí),應(yīng)著力發(fā)展自己獨(dú)特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點(diǎn):第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機(jī)制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會各個(gè)方面的延伸,進(jìn)入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個(gè)十分復(fù)雜的系統(tǒng)工程。為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團(tuán)聯(lián)合研究開發(fā)。安全與反安全就像矛盾的兩個(gè)方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個(gè)隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。信息安全是國家發(fā)展所面臨的一個(gè)重要問題。對于這個(gè)問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上、產(chǎn)業(yè)上、政策上來發(fā)展它。政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個(gè)重要組成部分,甚至應(yīng)該看到它對我國未來電子化、信息化的發(fā)展將起到非常重要的作用。1.2影響網(wǎng)絡(luò)安全的主要因素網(wǎng)絡(luò)系統(tǒng)在穩(wěn)定性和可擴(kuò)充性方面存在問題。由于設(shè)計(jì)的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮,因而使其受到影響。網(wǎng)絡(luò)硬件的配置不協(xié)調(diào)。一是文件服務(wù)器。它是網(wǎng)絡(luò)的中樞,其運(yùn)行穩(wěn)定性、功能完善性直接影響網(wǎng)絡(luò)系統(tǒng)的質(zhì)量。網(wǎng)絡(luò)應(yīng)用的需求沒有引起足夠的重視,設(shè)計(jì)和選型考慮欠周密,從而使網(wǎng)絡(luò)功能發(fā)揮受阻,影響網(wǎng)絡(luò)的可靠性、擴(kuò)充性和升級換代。二是網(wǎng)卡用工作站選配不當(dāng)導(dǎo)致網(wǎng)絡(luò)不穩(wěn)定。缺乏安全策略。許多站點(diǎn)在防火墻配置上無意識地?cái)U(kuò)大了訪問權(quán)限,忽視了這些權(quán)限可能會被其他人員濫用。訪問控制配置的復(fù)雜性,容易導(dǎo)致配置錯(cuò)誤,從而給他人以可乘之機(jī)。管理制度不健全,網(wǎng)絡(luò)管理、維護(hù)任其自然。2交換機(jī)基本功能交換機(jī)在局域網(wǎng)中占有重要的地位,通常是整個(gè)網(wǎng)絡(luò)的核心所在。在這個(gè)黑客入侵風(fēng)起云涌、病毒肆虐的網(wǎng)絡(luò)時(shí)代,作為核心的交換機(jī)也理所當(dāng)然要承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任。因此,交換機(jī)要有專業(yè)安全產(chǎn)品的性能,安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。2.1交換機(jī)基礎(chǔ)2.1.1交換機(jī)的發(fā)展交換機(jī)的英文名稱之為“Switch”,它是集線器的升級換代產(chǎn)品,從外觀上來看的話,它與集線器基本上沒有多大區(qū)別,都是帶有多個(gè)端口的長方形盒狀體。交換機(jī)是按照通信兩端傳輸信息的需要,用人工或設(shè)備自動完成的方法把要傳輸?shù)男畔⑺偷椒弦蟮南鄳?yīng)路由上的技術(shù)統(tǒng)稱。廣義的交換機(jī)就是一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。2.1.2交換機(jī)的功能交換機(jī)的主要功能包括物理編址、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、錯(cuò)誤校驗(yàn)、幀序列以及流量控制。目前一些高檔交換機(jī)還具備了一些新的功能,如對VLAN(虛擬局域網(wǎng))的支持、對鏈路匯聚的支持,甚至有的還具有路由和防火墻的功能。交換機(jī)除了能夠連接同種類型的網(wǎng)絡(luò)之外,還可以在不同類型的網(wǎng)絡(luò)(如以太網(wǎng)和快速以太網(wǎng))之間起到互連作用。如今許多交換機(jī)都能夠提供支持快速以太網(wǎng)或FDDI等的高速連接端口,用于連接網(wǎng)絡(luò)中的其它交換機(jī)或者為帶寬占用量大的關(guān)鍵服務(wù)器提供附加帶寬。一般來說,交換機(jī)的每個(gè)端口都用來連接一個(gè)獨(dú)立的網(wǎng)段,但是有時(shí)為了提供更快的接入速度,我們可以把一些重要的網(wǎng)絡(luò)計(jì)算機(jī)直接連接到交換機(jī)的端口上。這樣,網(wǎng)絡(luò)的關(guān)鍵服務(wù)器和重要用戶就擁有更快的接入速度,支持更大的信息流量??傊?,交換機(jī)是一種基于MAC地址識別,能完成封裝轉(zhuǎn)發(fā)數(shù)據(jù)包功能的網(wǎng)絡(luò)設(shè)備。交換機(jī)對于因第一次發(fā)送到目的地址不成功的數(shù)據(jù)包會再次對所有節(jié)點(diǎn)同時(shí)發(fā)送,企圖找到這個(gè)目的MAC地址,找到后就會把這個(gè)地址重新加入到自己的MAC地址列表中,這樣下次再發(fā)送到這個(gè)節(jié)點(diǎn)時(shí)就不會發(fā)錯(cuò)。交換機(jī)的這種功能就稱之為“MAC地址學(xué)習(xí)”功能。2.1.3交換機(jī)工作原理交換機(jī)的數(shù)據(jù)傳遞工作原理可以簡單地這樣來說明:當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)以太網(wǎng)幀后,將立即在其內(nèi)存中的地址表(端口號-MAC地址)進(jìn)行查找,以確認(rèn)該目的MAC的網(wǎng)卡連接在哪一個(gè)節(jié)點(diǎn)上,然后將該幀轉(zhuǎn)發(fā)至該節(jié)點(diǎn)。如果在地址表中沒有找到該MAC地址,也就是說,該目的MAC地址是首次出現(xiàn),交換機(jī)就將數(shù)據(jù)包廣播到所有節(jié)點(diǎn)。擁有該MAC地址的網(wǎng)卡在接收到該廣播幀后,將立即做出應(yīng)答,從而使交換機(jī)將其節(jié)點(diǎn)的“MAC地址”添加到MAC地址表中。換言之,當(dāng)交換機(jī)從某一節(jié)點(diǎn)收到一個(gè)幀時(shí)(廣播幀除外),將對地址表執(zhí)行兩個(gè)動作,一是檢查該幀的源MAC地址是否已在地址表中,如果沒有,則將該MAC地址加到地址表中,這樣以后就知道該MAC地址在哪一個(gè)節(jié)點(diǎn);二是檢查該幀的目的MAC地址是否已在地址表中,如果該MAC地址已在地址表中,則將該幀發(fā)送到對應(yīng)的節(jié)點(diǎn)即可,而不必像集線器那樣將該幀發(fā)送到所有節(jié)點(diǎn),只須將該幀發(fā)送到對應(yīng)的節(jié)點(diǎn),從而使那些既非源節(jié)點(diǎn)又非目的節(jié)點(diǎn)的節(jié)點(diǎn)間仍然可以進(jìn)行相互間的通信,從而提供了比集線器更高的傳輸速率。如果該MAC地址不在地址表中,則將該幀發(fā)送到所有其它節(jié)點(diǎn)(源節(jié)點(diǎn)除外),相當(dāng)于該幀是一個(gè)廣播幀。交換機(jī)是根據(jù)以太網(wǎng)幀中的源MAC地址來更新地址表。當(dāng)一臺計(jì)算機(jī)打開電源后,安裝在該系統(tǒng)中的網(wǎng)卡會定期發(fā)出空閑包或信號,交換機(jī)即可據(jù)此得知它的存在以及其MAC地址,這就是所謂自動地址學(xué)習(xí)。由于交換機(jī)能夠自動根據(jù)收到的以太網(wǎng)幀中的源MAC地址更新地址表的內(nèi)容,所以交換機(jī)使用的時(shí)間越長,學(xué)到的MAC地址就越多,未知的MAC地址就越少,因而廣播的包就越少,速度就越快。由于交換機(jī)中的內(nèi)存畢竟有限,因此,能夠記憶的MAC地址數(shù)量也是有限的。既然不能無休止地記憶所有的MAC地址,那么就必須賦予其相應(yīng)的忘卻機(jī)制,從而吐故納新。事實(shí)上,工程師為交換機(jī)設(shè)定了一個(gè)自動老化時(shí)間(Auto-aging),若某MAC地址在一定時(shí)間內(nèi)(默認(rèn)為300秒)不再出現(xiàn),那么,交換機(jī)將自動把該MAC地址從地址表中清除。當(dāng)下一次該MAC地址重新出現(xiàn)時(shí),將會被當(dāng)作新地址處理。2.2交換機(jī)配置中的安全性安全交換機(jī)—網(wǎng)絡(luò)界的新寵兒,網(wǎng)絡(luò)入口的守關(guān)者,志在向一切不安全的因素舉起大刀。網(wǎng)絡(luò)時(shí)代的到來使得安全問題成為一個(gè)迫切需要解決的問題;病毒、黑客以及各種各樣漏洞的存在,使得安全任務(wù)在網(wǎng)絡(luò)時(shí)代變得無比艱巨。交換機(jī)在企業(yè)網(wǎng)中占有重要的地位,通常是整個(gè)網(wǎng)絡(luò)的核心所在。在這個(gè)黑客入侵風(fēng)起云涌、病毒肆虐的網(wǎng)絡(luò)時(shí)代,作為核心的交換機(jī)也理所當(dāng)然要承擔(dān)起網(wǎng)絡(luò)安全的一部分責(zé)任。因此,交換機(jī)要有專業(yè)安全產(chǎn)品的性能,安全已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之中。安全交換機(jī)由此應(yīng)運(yùn)而生,在交換機(jī)中集成安全認(rèn)證、ACL(AccessControlList,訪問控制列表)、防火墻、入侵檢測甚至防毒的功能,網(wǎng)絡(luò)的安全真的需要“武裝到牙齒”。2.2.1流量控制安全交換機(jī)的流量控制技術(shù)把流經(jīng)端口的異常流量限制在一定的范圍內(nèi),避免交換機(jī)的帶寬被無限制濫用。安全交換機(jī)的流量控制功能能夠?qū)崿F(xiàn)對異常流量的控制,避免網(wǎng)絡(luò)堵塞。2.2.2虛擬局域網(wǎng)VLAN虛擬局域網(wǎng)是安全交換機(jī)必不可少的功能。VLAN可以在二層或者三層交換機(jī)上實(shí)現(xiàn)有限的廣播域,它可以把網(wǎng)絡(luò)分成一個(gè)一個(gè)獨(dú)立的區(qū)域,可以控制這些區(qū)域是否可以通訊。VLAN可能跨越一個(gè)或多個(gè)交換機(jī),與它們的物理位置無關(guān),設(shè)備之間好像在同一個(gè)網(wǎng)絡(luò)間通信一樣。VLAN可在各種形式上形成,如端口、MAC地址、IP地址等。VLAN限制了各個(gè)不同VLAN之間的非授權(quán)訪問,而且可以設(shè)置IP/MAC地址綁定功能限制用戶的非授權(quán)網(wǎng)絡(luò)訪問。2.2.3訪問控制列表安全交換機(jī)采用了訪問控制列表ACL來實(shí)現(xiàn)包過濾防火墻的安全功能,增強(qiáng)安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機(jī)中,訪問控制過濾措施可以基于源/目標(biāo)交換槽、端口、源/目標(biāo)VLAN、源/目標(biāo)IP、TCP/UDP端口、ICMP類型或MAC地址來實(shí)現(xiàn)。ACL不但可以讓網(wǎng)絡(luò)管理者用來制定網(wǎng)絡(luò)策略,針對個(gè)別用戶或特定的數(shù)據(jù)流進(jìn)行允許或者拒絕的控制,也可以用來加強(qiáng)網(wǎng)絡(luò)的安全屏蔽,讓黑客找不到網(wǎng)絡(luò)中的特定主機(jī)進(jìn)行探測,從而無法發(fā)動攻擊。3.路由器基本功能路由器是連接因特網(wǎng)中各局域網(wǎng)、廣域網(wǎng)的設(shè)備,它會根據(jù)信道的情況自動選擇和設(shè)定路由,以最佳路徑,按前后順序發(fā)送信號的設(shè)備。路由器英文名Router,路由器是互聯(lián)網(wǎng)絡(luò)的樞紐。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè),各種不同檔次的產(chǎn)品已經(jīng)成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。3.1路由器基礎(chǔ)路由器是互聯(lián)網(wǎng)絡(luò)中必不可少的網(wǎng)絡(luò)設(shè)備之一,路由器是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備,它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”,以使它們能夠相互“讀”懂對方的數(shù)據(jù),從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò)。路由器有兩大典型功能,即數(shù)據(jù)通道功能和控制功能。數(shù)據(jù)通道功能包括轉(zhuǎn)發(fā)決定、背板轉(zhuǎn)發(fā)以及輸出鏈路調(diào)度等,一般由特定的硬件來完成;控制功能一般用軟件來實(shí)現(xiàn),包括與相鄰路由器之間的信息交換、系統(tǒng)配置、系統(tǒng)管理等。要解釋路由器的概念,首先要介紹什么是路由。所謂“路由”,是指把數(shù)據(jù)從一個(gè)地方傳送到另一個(gè)地方的行為和動作,而路由器,正是執(zhí)行這種行為動作的機(jī)器,它的英文名稱為Router。3.2路由器的基本功能路由器是一種多端口設(shè)備,它可以連接不同傳輸速率并運(yùn)行于各種環(huán)境的局域網(wǎng)和廣域網(wǎng),也可以采用不同的協(xié)議。路由器屬于OSI模型的第三層--網(wǎng)絡(luò)層。指導(dǎo)從一個(gè)網(wǎng)段到另一個(gè)網(wǎng)段的數(shù)據(jù)傳輸,也能指導(dǎo)從一種網(wǎng)絡(luò)向另一種網(wǎng)絡(luò)的數(shù)據(jù)傳輸。第一,網(wǎng)絡(luò)互連:路由器支持各種局域網(wǎng)和廣域網(wǎng)接口,主要用于互連局域網(wǎng)和廣域網(wǎng),實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信;第二,數(shù)據(jù)處理:提供包括分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密、壓縮和防火墻等功能;第三,網(wǎng)絡(luò)管理:路由器提供包括路由器配置管理、性能管理、容錯(cuò)管理和流量控制等功能。所謂“路由”,是指把數(shù)據(jù)從一個(gè)地方傳送到另一個(gè)地方的行為和動作,而路由器,正是執(zhí)行這種行為動作的機(jī)器,它的英文名稱為Router,是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備,它能將不同網(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”,以使它們能夠相互“讀懂”對方的數(shù)據(jù),從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò)。3.3路由器工作原理為了簡單地說明路由器的工作原理,現(xiàn)在我們假設(shè)有這樣一個(gè)簡單的網(wǎng)絡(luò)。如圖所示,A、B、C、D四個(gè)網(wǎng)絡(luò)通過路由器連接在一起。現(xiàn)在我們來看一下在如圖所示網(wǎng)絡(luò)環(huán)境下路由器又是如何發(fā)揮其路由、數(shù)據(jù)轉(zhuǎn)發(fā)作用的?,F(xiàn)假設(shè)網(wǎng)絡(luò)A中一個(gè)用戶A1要向C網(wǎng)絡(luò)中的C3用戶發(fā)送一個(gè)請求信號時(shí),信號傳遞的步驟如下:第1步:用戶A1將目的用戶C3的地址C3,連同數(shù)據(jù)信息以數(shù)據(jù)幀的形式通過集線器或交換機(jī)以廣播的形式發(fā)送給同一網(wǎng)絡(luò)中的所有節(jié)點(diǎn),當(dāng)路由器A5端口偵聽到這個(gè)地址后,分析得知所發(fā)目的節(jié)點(diǎn)不是本網(wǎng)段的,需要路由轉(zhuǎn)發(fā),就把數(shù)據(jù)幀接收下來。第2步:路由器A5端口接收到用戶A1的數(shù)據(jù)幀后,先從報(bào)頭中取出目的用戶C3的IP地址,并根據(jù)路由表計(jì)算出發(fā)往用戶C3的最佳路徑。因?yàn)閺姆治龅弥紺3的網(wǎng)絡(luò)ID號與路由器的C5網(wǎng)絡(luò)ID號相同,所以由路由器的A5端口直接發(fā)向路由器的C5端口應(yīng)是信號傳遞的最佳途經(jīng)。第3步:路由器的C5端口再次取出目的用戶C3的IP地址,找出C3的IP地址中的主機(jī)ID號,如果在網(wǎng)絡(luò)中有交換機(jī)則可先發(fā)給交換機(jī),由交換機(jī)根據(jù)MAC地址表找出具體的網(wǎng)絡(luò)節(jié)點(diǎn)位置;如果沒有交換機(jī)設(shè)備則根據(jù)其IP地址中的主機(jī)ID直接把數(shù)據(jù)幀發(fā)送給用戶C3,這樣一個(gè)完整的數(shù)據(jù)通信轉(zhuǎn)發(fā)過程也完成了。從上面可以看出,不管網(wǎng)絡(luò)有多么復(fù)雜,路由器其實(shí)所作的工作就是這么幾步,所以整個(gè)路由器的工作原理基本都差不多。當(dāng)然在實(shí)際的網(wǎng)絡(luò)中還遠(yuǎn)比上圖所示的要復(fù)雜許多,實(shí)際的步驟也不會像上述那么簡單,但總的過程是這樣的。目前,生產(chǎn)路由器的廠商,國外主要有CISCO(思科)公司、北電網(wǎng)絡(luò)等,國內(nèi)廠商包括華為等。3.4路由器配置中的安全性路由器是網(wǎng)絡(luò)系統(tǒng)的主要設(shè)備,也是網(wǎng)絡(luò)安全的前沿關(guān)口。如果路由器連自身的安全都沒有保障,整個(gè)網(wǎng)絡(luò)也就毫無安全可言。因此在網(wǎng)絡(luò)安全管理上,必須對路由器進(jìn)行合理規(guī)劃、配置,采取必要的安全保護(hù)措施,避免因路由器自身的安全問題而給整個(gè)網(wǎng)絡(luò)系統(tǒng)帶來漏洞和風(fēng)險(xiǎn)。下面是一些加強(qiáng)路由器安全的具體措施,用以阻止對路由器本身的攻擊,并防范網(wǎng)絡(luò)信息被竊取。3.4.1協(xié)議交換認(rèn)證路由器的一個(gè)重要功能是路由的管理和維護(hù),目前具有一定規(guī)模的網(wǎng)絡(luò)都采用動態(tài)的路由協(xié)議,常用的有:RIP、EIGRP、OSPF、IS-IS、BGP等。當(dāng)一臺設(shè)置了相同路由協(xié)議和相同區(qū)域標(biāo)示符的路由器加入網(wǎng)絡(luò)后,會學(xué)習(xí)網(wǎng)絡(luò)上的路由信息表。但此種方法可能導(dǎo)致網(wǎng)絡(luò)拓?fù)湫畔⑿孤部赡苡捎谙蚓W(wǎng)絡(luò)發(fā)送自己的路由信息表,擾亂網(wǎng)絡(luò)上正常工作的路由信息表,嚴(yán)重時(shí)可以使整個(gè)網(wǎng)絡(luò)癱瘓。這個(gè)問題的解決辦法是對網(wǎng)絡(luò)內(nèi)的路由器安全之間相互交流的路由信息進(jìn)行認(rèn)證。當(dāng)路由器配置了認(rèn)證方式,就會鑒別路由信息的收發(fā)方。有兩種鑒別方式,其中“純文本方式”安全性低,建議使用“MD5方式”。3.4.2路由器的物理安全防范路由器控制端口是具有特殊權(quán)限的端口,如果攻擊者物理接觸路由器后,斷電重啟,實(shí)施“密碼修復(fù)流程”,進(jìn)而登錄路由器,就可以完全控制路由器。3.4.3保護(hù)路由器口令在備份的路由器配置文件中,密碼即使是用加密的形式存放,密碼明文仍存在被破解的可能。一旦密碼泄漏,網(wǎng)絡(luò)也就毫無安全可言。3.4.4阻止查看到路由器當(dāng)前的用戶列表。noserviceudp-small-servers關(guān)閉命令為:noservicefinger。3.4.5關(guān)閉CDP服務(wù)在OSI二層協(xié)議即鏈路層的基礎(chǔ)上可發(fā)現(xiàn)對端路由器的部分配置信息:設(shè)備平臺、操作系統(tǒng)版本、端口、IP地址等重要信息??梢杂妹睿簄ocdprunning或nocdpenable關(guān)閉這個(gè)服務(wù)。3.4.6阻止路由器接收帶源路由標(biāo)記的包阻止路由器接收帶源路由標(biāo)記的包“IPsource-route”是一個(gè)全局配置命令,允許路由器處理帶源路由選項(xiàng)標(biāo)記的數(shù)據(jù)流。啟用源路由選項(xiàng)后,源路由信息指定的路由使數(shù)據(jù)流能夠越過默認(rèn)的路由,這種包就可能繞過防火墻。關(guān)閉命令如下:noipsource-route。3.4.7關(guān)閉路由器廣播包的轉(zhuǎn)發(fā)SumrfDOS攻擊以有廣播轉(zhuǎn)發(fā)配置的路由器安全作為反射板,占用網(wǎng)絡(luò)資源,甚至造成網(wǎng)絡(luò)的癱瘓。應(yīng)在每個(gè)端口應(yīng)用“noipdirected-broadcast”關(guān)閉路由器廣播包。3.4.8管理HTTP服務(wù)HTTP服務(wù)提供Web管理接口?!皀oiphttpserver”可以停止HTTP服務(wù)。如果必須使用HTTP,一定要使用訪問列表“iphttpaccess-class”命令,嚴(yán)格過濾允許的IP地址,同時(shí)用“iphttpauthentication”命令設(shè)定授權(quán)限制。4.網(wǎng)絡(luò)鏈接配置實(shí)例4.1鏈路聚合『第一步』正確連接網(wǎng)線,交換機(jī)全部恢復(fù)出廠設(shè)置,做初始配置,避免廣播風(fēng)暴出現(xiàn)。交換機(jī)A:Switch#conifigSwitch(conifig)#hostnameSwitchAswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress1switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#交換機(jī)B:Switch#conifigSwitch(conifig)#hostnameSwitchBswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress2switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#『第二步』創(chuàng)建Portgroup交換機(jī)A:switchA(config)#port-group1switchA(config)#驗(yàn)證配置:switchA#showport-groupdetail交換機(jī)B:switchB(config)#port-group2switchB(config)#『第三步』手工生成鏈路聚合組交換機(jī)A:SwitchA#configswitchA(config)#interfaceeth0/0/1-2switchA(config-port-range)#port-group1modeonswitchA(config-port-range)#exitswitchA(cinfig)#interfaceport-channel1switchA(config-if-port-channel1)#驗(yàn)證測試:switchA#showvlan交換機(jī)B:SwitchB#configswitchBe(config)#interfaceeth0/0/3-4switchB(config-port-range)#port-group2modeonswitchB(config-port-range)#exitswitchB(cinfig)#interfaceport-channel2switchB(config-if-port-channel2)#驗(yàn)證配置:switchB#showport-groupbrief4.2利用三層交換機(jī)實(shí)現(xiàn)兩層交換機(jī)之間不同vlan間通信步驟1:交換機(jī)恢復(fù)出廠設(shè)置。Switch#setdefaultSwitch#writeSwitch#reload步驟2:給交換機(jī)設(shè)置標(biāo)示符和管理IP。交換機(jī)A:Switch(config)#hostnameswitchASwitchA(config)#interfacevlan1SwitchA(config-If-vlan1)ipaddress1SwitchA(config-If-vlan1)noshutSwitchA(config-If-vlan1)exitSwitchA(config)#交換機(jī)B:Switch(config)#hostnameswitchBSwitchB(config)#interfacevlan1SwitchB(config-If-vlan1)#ipaddress2SwitchB(config-If-vlan1)#noshutSwitchB(config-If-vlan1)#exitSwitchB(config)#交換機(jī)C:Switch(config)#hostnameswitchCSwitchC(config)#interfacevlan1SwitchC(config-If-vlan1)#ipaddress3SwitchC(config-If-vlan1)#noshutSwitchC(config-If-vlan1)#exitSwitchC(config)#步驟3:在交換機(jī)中創(chuàng)建vlan100和vlan200,并添加端口。交換機(jī)A:SwitchA(config)#vlan100SwitchA(config-vlan100)#SwtichA(config-vlan100)#switchportinterfaceeth0/0/1-8SwitchA(config-vlan100)#exitSwitchA(config)#vlan200SwitchA(config-vlan200)#SwitchA(config-vlan200)#switchportinterfaceeth0/0/9-16SwitchA(config-vlan200)#exitSwitchA(config)#驗(yàn)證配置:SwitchA#showvlan交換機(jī)B同配置與交換機(jī)A一樣。步驟4:設(shè)置交換機(jī)trunk端口。交換機(jī)A:SwitchA(config)#interfaceeth0/0/24SwitchA(config-Ethernet0/0/24)#switchportmodetrunkSwitchA(config-Ethernet0/0/24)#switchporttrunkallowedvlanallSwitchA(config-Ethernet0/0/24)#exit驗(yàn)證配置:SwitchA#showvlan交換機(jī)B配置同交換機(jī)A一樣。交換機(jī)C:SwitchC(config)#vlan100SwitchC(config-vlan100)exitSwitchC(config)#vlan200SwitchC(config-vlan200)#exitSwitchC(config)#interfaceeth0/0/1-2SwitchC(config-port-range)#switchportmodetrunkSwitchC(config-port-range)#switchporttrunkallowedvlanallSwitchC(config-port-range)#exit驗(yàn)證配置:SwitchC(config)#showvlan步驟5:交換機(jī)C添加vlan地址。SwitchC(config)#interfacevlan100SwitchC(config-If-vlan100)#ipaddressSwitchC(config-If_vlan100)#noshutSwitchC(config-If-vlan100)#exitSwitchC(config)#interfacevlan200SwitchC(config-If-vlan200)#ipaddressSwitchC(config-If-vlan200)#noshutSwitchC(config-If-vlan200)#exit驗(yàn)證配置:Switch#showiproute4.3路由器廣域網(wǎng)PPP封裝和PAP驗(yàn)證步驟1:Router-A的配置Router>enableRouter#configRouter_config#hostnameRouter-ARouter-A_config#usernameRouterBpassworddigitallchinaB!設(shè)置帳號密碼Router-A_config#interfaces1/1Router-A_config_s1/1#ipaddressRouter-A_config_s1/1#encapsultaionPPPRouter-A_config_s1/1#PPPauthenticationpapRouter-A_config_s1/1#PPPpapsent-usernameRouterAdigitallchinaARouter-A_config_s1/1#physical layerspeed64000Router-A_config_s1/1#noshutdownRouter-A_config_s1/1#^Z步驟2:查看配置:Router-A#showinterfaces1/1步驟3:Router-B的配置Router>enableRouter#configRouter_config#hostnameRouter-BRouter-B_config#usernameRouterApassworddigitallchinaB!設(shè)置帳號密碼Router-B_config#interfaces1/0Router-B_config_s1/0#ipaddressRouter-B_config_s1/0#encapsultaionPPPRouter-B_config_s1/0#PPPauthenticationpapRouter-B_config_s1/0#PPPpapsent-usernameRouterBdigitallchinaBRouter-B_config_s1/0#noshutdownRouter-B_config_s1/0#^Z步驟4:查看配置:Router-B#showinterfaces1/0步驟5:測試連通性Router-A#ping5.目前網(wǎng)絡(luò)的其他威脅5.1網(wǎng)絡(luò)通信協(xié)議安全漏洞隨著TCP(UDP)/IP協(xié)議被互聯(lián)網(wǎng)普遍采用,網(wǎng)絡(luò)通信協(xié)議漏洞問題變得越來越突出。TCP/IP協(xié)議簇最初設(shè)計(jì)的應(yīng)用環(huán)境是美國國防系統(tǒng)的內(nèi)部網(wǎng)絡(luò),這一網(wǎng)絡(luò)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論