3網(wǎng)絡(luò)與信息安全

網(wǎng)絡(luò)與通信安全3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第1頁(yè)。課程內(nèi)容網(wǎng)絡(luò)協(xié)議與安全威脅網(wǎng)絡(luò)安全控制交換機(jī)設(shè)備安全配置路由器設(shè)備安全配置?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第2頁(yè)。第一部分

網(wǎng)絡(luò)協(xié)議與安全威脅?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第3頁(yè)。四層協(xié)議鏈路層設(shè)驅(qū)動(dòng)備程序及接口卡網(wǎng)絡(luò)層傳輸層應(yīng)用層IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第4頁(yè)。工作模式鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層郵寄物品郵寄類型和申請(qǐng)郵件封裝郵寄線路?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第5頁(yè)。四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)竊聽攻擊地址欺騙攻擊拒絕服務(wù)攻擊信息掃描攻擊服務(wù)系統(tǒng)攻擊?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第6頁(yè)。第二部分

網(wǎng)絡(luò)安全控制?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第7頁(yè)。OSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器

資源子網(wǎng)通信線路主機(jī)

通信子網(wǎng)主機(jī)網(wǎng)絡(luò)系統(tǒng)通信線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7

網(wǎng)絡(luò)通信子系統(tǒng)L4L5L6L7L1L2L3WANLAN?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第8頁(yè)。OSI網(wǎng)絡(luò)參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源和信宿；通信功能：為實(shí)現(xiàn)通信所能提供的特定操作和控制機(jī)制，如數(shù)據(jù)傳送、流量控制、差錯(cuò)控制、應(yīng)答機(jī)制、數(shù)據(jù)包的拆分與重組等；通信服務(wù)：是通信功能的外部表現(xiàn)，為上層用戶提供通信支持；通信介質(zhì)：本層以下所有協(xié)議層，是本層以下通信結(jié)構(gòu)的抽象表示；通信子系統(tǒng)通過(guò)本層的通信功能和下層的通信服務(wù)，實(shí)現(xiàn)本層不同通信實(shí)體之間的通信，并為上層協(xié)議提供通信服務(wù)。通信介質(zhì)協(xié)議站1協(xié)議站2上層用戶1上層用戶2通信服務(wù)訪問(wèn)通信協(xié)議通信功能通信子系統(tǒng)下層通信服務(wù)通信實(shí)體1通信實(shí)體2?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第9頁(yè)。理論依據(jù)互聯(lián)基礎(chǔ)設(shè)施域支撐基礎(chǔ)設(shè)施域局域計(jì)算接入域局域計(jì)算服務(wù)域服務(wù)和管理對(duì)象檢測(cè)和響應(yīng)、KMI、應(yīng)急和恢復(fù)處理計(jì)算存儲(chǔ)本地接入遠(yuǎn)程接入?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第10頁(yè)。理論依據(jù)美國(guó)總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)的21條建議美國(guó)國(guó)家安全局IATFDMTF的分布式管理方法和模型軟件行為學(xué)…?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第11頁(yè)。安全域綜述—概念&理解一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務(wù)和使命等?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第12頁(yè)。安全域綜述—安全域的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基礎(chǔ)安全域的分割是抗?jié)B透的防護(hù)方式基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的擴(kuò)散?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第13頁(yè)。安全區(qū)域的劃分原則需求牽引：業(yè)務(wù)層面的需求（不同業(yè)務(wù)、不同部門的安全等級(jí)需求不同）以及網(wǎng)絡(luò)結(jié)構(gòu)層面的需求（安全域在邏輯上可以和網(wǎng)絡(luò)層次結(jié)構(gòu)對(duì)應(yīng)）；與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)渚o密結(jié)合，盡量不大規(guī)模的影響網(wǎng)絡(luò)布局（考慮到用戶需求和成本等因素）與業(yè)務(wù)需求一致性原則，安全域的范圍，邊界的界定不能導(dǎo)致業(yè)務(wù)與實(shí)際分離；統(tǒng)一安全策略：安全域的最重要的一個(gè)特征是安全策略的一致性，所以劃分安全域的的前提是具備自上而下（縱向的），自內(nèi)而外（橫向的）的宏觀上的安全策略規(guī)劃；部署實(shí)施方便：最少化安全設(shè)備原則，合理的安全域劃分可以減少冗余設(shè)備，精簡(jiǎn)開支；等級(jí)保護(hù)的需要；為集中化的安全管理服務(wù)。?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第14頁(yè)。安全控制接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域橫向骨干接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域核心數(shù)據(jù)區(qū)域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC縱向骨干?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第15頁(yè)。安全邊界安全邊界將需要保護(hù)的資源、可能的風(fēng)險(xiǎn)和保障的需求結(jié)合起來(lái)可以在通信路徑上完成訪問(wèn)控制的授權(quán)、范圍、期限。安全邊界的設(shè)計(jì)良好的清晰度以便進(jìn)行審查和測(cè)試具備簡(jiǎn)潔性以便能夠迅速自動(dòng)化執(zhí)行減輕維護(hù)人員的工作量具備現(xiàn)實(shí)性以便采用成熟的技術(shù)和產(chǎn)品安全邊界可采用的安全技術(shù)包括隔離、監(jiān)控、檢測(cè)、評(píng)估、審計(jì)、加密等。?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第16頁(yè)?？勺鳛榘踩吔绲脑O(shè)備交換機(jī)路由器防火墻入侵檢測(cè)網(wǎng)關(guān)VPNEtc…….?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第17頁(yè)。第三部分

交換機(jī)設(shè)備安全配置?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第18頁(yè)。配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第19頁(yè)。交換機(jī)-針對(duì)CDP攻擊?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第20頁(yè)。交換機(jī)-針對(duì)STP攻擊說(shuō)明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDUFlood：消耗帶寬，拒絕服務(wù)對(duì)策對(duì)User-End端口，禁止發(fā)送BPDU?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第21頁(yè)。交換機(jī)-針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN準(zhǔn)確跟蹤和監(jiān)測(cè)VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個(gè)Domain的交換機(jī)才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過(guò)經(jīng)MD5加密的password驗(yàn)證，但password設(shè)置非必需的，如果未設(shè)置password，可能構(gòu)造VTP幀，添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第22頁(yè)。第四部分

路由器設(shè)備安全配置?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第23頁(yè)。配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第24頁(yè)。路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第25頁(yè)。路由器-猜測(cè)路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第26頁(yè)。路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無(wú)關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第27頁(yè)。路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第28頁(yè)。路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)Snmp網(wǎng)管軟件禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第29頁(yè)。保證路由器密碼安全使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6show控制網(wǎng)絡(luò)線路訪問(wèn)access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第30頁(yè)。Cisco路由器安全配置降低路由器遭受應(yīng)用層攻擊1禁止CDP(CiscoDiscoveryProtocol)。如：

Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止其他的TCP、UDPSmall服務(wù)。

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止Finger服務(wù)。

Router(Config)#noipfingerRouter(Config)#noservicefinger4建議禁止HTTP服務(wù)。

Router(Config)#noiphttpserver如果啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置：設(shè)置用戶名和密碼；采用訪問(wèn)列表進(jìn)行控制。?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第31頁(yè)。Cisco路由器安全配置5禁止BOOTp服務(wù)。

Router(Config)#noipbootpserver6禁止IPSourceRouting。

Router(Config)#noipsource-route7建議如果不需要ARP-Proxy服務(wù)則禁止它，路由器默認(rèn)識(shí)開啟的。

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcast?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第32頁(yè)。Cisco路由器安全配置9禁止ICMP協(xié)議的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply10建議禁止SNMP協(xié)議服務(wù)。在禁止時(shí)必須刪除一些SNMP服務(wù)的默認(rèn)配置。如：

Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRW11如果沒(méi)必要?jiǎng)t禁止WINS和DNS服務(wù)。

Router(Config)#noipdomain-lookup

如果需要?jiǎng)t需要配置：

Router(Config)#hostnameRouterRouter(Config)#ipname-server219.150.32.xxx12明確禁止不使用的端口。如：

Router(Config)#interfaceeth0/3Router(Config)#shutdown?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第33頁(yè)。Cisco路由器安全配置認(rèn)證與日志管理使用AAA加強(qiáng)設(shè)備訪問(wèn)控制日志管理loggingonloggingbuffered36000?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第34頁(yè)。Cisco路由器安全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-route?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第35頁(yè)。Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問(wèn)控制列表起用TCP截獲特性設(shè)置截獲模式設(shè)置門限制設(shè)置丟棄模式?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第36頁(yè)。Cisco路由器安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址使用訪問(wèn)控制列表限定訪問(wèn)端口使用訪問(wèn)控制列表過(guò)濾特定類型數(shù)據(jù)包使用訪問(wèn)控制列表限定數(shù)據(jù)流量使用訪問(wèn)控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第37頁(yè)。DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-reply?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第38頁(yè)。DDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xx?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第39頁(yè)。DDoS預(yù)防方法RFC1918約定過(guò)濾InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyany?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第40頁(yè)。DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑檢查數(shù)據(jù)包地返回路徑是否使用與到達(dá)相同接口，以緩解某些欺騙數(shù)據(jù)包需要路由CEF（快速向前傳輸）特性在存在非對(duì)稱路徑時(shí)不適合?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第41頁(yè)。問(wèn)題？?3網(wǎng)絡(luò)與信息安全全文共43頁(yè)，當(dāng)前為第42頁(yè)。1、有時(shí)候讀書是一種巧妙地避開思考的方法。6月-236月-23Saturday,June10,20232、閱讀一切好書如同和過(guò)去最杰出的人