網(wǎng)絡(luò)與通信安全3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第1頁。課程內(nèi)容網(wǎng)絡(luò)協(xié)議與安全威脅網(wǎng)絡(luò)安全控制交換機(jī)設(shè)備安全配置路由器設(shè)備安全配置?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第2頁。第一部分

網(wǎng)絡(luò)協(xié)議與安全威脅?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第3頁。四層協(xié)議鏈路層設(shè)驅(qū)動備程序及接口卡網(wǎng)絡(luò)層傳輸層應(yīng)用層IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第4頁。工作模式鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層郵寄物品郵寄類型和申請郵件封裝郵寄線路?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第5頁。四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)竊聽攻擊地址欺騙攻擊拒絕服務(wù)攻擊信息掃描攻擊服務(wù)系統(tǒng)攻擊?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第6頁。第二部分

網(wǎng)絡(luò)安全控制?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第7頁。OSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器

資源子網(wǎng)通信線路主機(jī)

通信子網(wǎng)主機(jī)網(wǎng)絡(luò)系統(tǒng)通信線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7

網(wǎng)絡(luò)通信子系統(tǒng)L4L5L6L7L1L2L3WANLAN?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第8頁。OSI網(wǎng)絡(luò)參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源和信宿；通信功能：為實(shí)現(xiàn)通信所能提供的特定操作和控制機(jī)制，如數(shù)據(jù)傳送、流量控制、差錯控制、應(yīng)答機(jī)制、數(shù)據(jù)包的拆分與重組等；通信服務(wù)：是通信功能的外部表現(xiàn)，為上層用戶提供通信支持；通信介質(zhì)：本層以下所有協(xié)議層，是本層以下通信結(jié)構(gòu)的抽象表示；通信子系統(tǒng)通過本層的通信功能和下層的通信服務(wù)，實(shí)現(xiàn)本層不同通信實(shí)體之間的通信，并為上層協(xié)議提供通信服務(wù)。通信介質(zhì)協(xié)議站1協(xié)議站2上層用戶1上層用戶2通信服務(wù)訪問通信協(xié)議通信功能通信子系統(tǒng)下層通信服務(wù)通信實(shí)體1通信實(shí)體2?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第9頁。理論依據(jù)互聯(lián)基礎(chǔ)設(shè)施域支撐基礎(chǔ)設(shè)施域局域計算接入域局域計算服務(wù)域服務(wù)和管理對象檢測和響應(yīng)、KMI、應(yīng)急和恢復(fù)處理計算存儲本地接入遠(yuǎn)程接入?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第10頁。理論依據(jù)美國總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)的21條建議美國國家安全局IATFDMTF的分布式管理方法和模型軟件行為學(xué)…?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第11頁。安全域綜述—概念&理解一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務(wù)和使命等?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第12頁。安全域綜述—安全域的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估的基礎(chǔ)安全域的分割是抗?jié)B透的防護(hù)方式基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)安全域邊界是災(zāi)難發(fā)生時的抑制點(diǎn)，防止影響的擴(kuò)散?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第13頁。安全區(qū)域的劃分原則需求牽引：業(yè)務(wù)層面的需求（不同業(yè)務(wù)、不同部門的安全等級需求不同）以及網(wǎng)絡(luò)結(jié)構(gòu)層面的需求（安全域在邏輯上可以和網(wǎng)絡(luò)層次結(jié)構(gòu)對應(yīng)）；與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)渚o密結(jié)合，盡量不大規(guī)模的影響網(wǎng)絡(luò)布局（考慮到用戶需求和成本等因素）與業(yè)務(wù)需求一致性原則，安全域的范圍，邊界的界定不能導(dǎo)致業(yè)務(wù)與實(shí)際分離；統(tǒng)一安全策略：安全域的最重要的一個特征是安全策略的一致性，所以劃分安全域的的前提是具備自上而下（縱向的），自內(nèi)而外（橫向的）的宏觀上的安全策略規(guī)劃；部署實(shí)施方便：最少化安全設(shè)備原則，合理的安全域劃分可以減少冗余設(shè)備，精簡開支；等級保護(hù)的需要；為集中化的安全管理服務(wù)。?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第14頁。安全控制接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域橫向骨干接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域核心數(shù)據(jù)區(qū)域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC縱向骨干?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第15頁。安全邊界安全邊界將需要保護(hù)的資源、可能的風(fēng)險和保障的需求結(jié)合起來可以在通信路徑上完成訪問控制的授權(quán)、范圍、期限。安全邊界的設(shè)計良好的清晰度以便進(jìn)行審查和測試具備簡潔性以便能夠迅速自動化執(zhí)行減輕維護(hù)人員的工作量具備現(xiàn)實(shí)性以便采用成熟的技術(shù)和產(chǎn)品安全邊界可采用的安全技術(shù)包括隔離、監(jiān)控、檢測、評估、審計、加密等。?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第16頁?？勺鳛榘踩吔绲脑O(shè)備交換機(jī)路由器防火墻入侵檢測網(wǎng)關(guān)VPNEtc…….?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第17頁。第三部分

交換機(jī)設(shè)備安全配置?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第18頁。配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)升級設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第19頁。交換機(jī)-針對CDP攻擊?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第20頁。交換機(jī)-針對STP攻擊說明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時，可以導(dǎo)致某些端口暫時失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDUFlood：消耗帶寬，拒絕服務(wù)對策對User-End端口，禁止發(fā)送BPDU?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第21頁。交換機(jī)-針對VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動態(tài)添加刪除VLAN準(zhǔn)確跟蹤和監(jiān)測VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個Domain的交換機(jī)才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過經(jīng)MD5加密的password驗(yàn)證，但password設(shè)置非必需的，如果未設(shè)置password，可能構(gòu)造VTP幀，添加或者刪除Vlan。對策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第22頁。第四部分

路由器設(shè)備安全配置?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第23頁。配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問的認(rèn)證與授權(quán)升級設(shè)備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據(jù)包類型?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第24頁。路由器-發(fā)現(xiàn)路由通過tracertroute命令最后一個路由容易成為DoS攻擊目標(biāo)?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第25頁。路由器-猜測路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會有cisco字樣提示?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第26頁。路由器-缺省帳號設(shè)備用戶名密碼級別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第27頁。路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第28頁。路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)Snmp網(wǎng)管軟件禁用簡單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第29頁。保證路由器密碼安全使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略usernamepasswordpassprivilegeexec6show控制網(wǎng)絡(luò)線路訪問access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時Exec-timeout50?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第30頁。Cisco路由器安全配置降低路由器遭受應(yīng)用層攻擊1禁止CDP(CiscoDiscoveryProtocol)。如：

Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止其他的TCP、UDPSmall服務(wù)。

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止Finger服務(wù)。

Router(Config)#noipfingerRouter(Config)#noservicefinger4建議禁止HTTP服務(wù)。

Router(Config)#noiphttpserver如果啟用了HTTP服務(wù)則需要對其進(jìn)行安全配置：設(shè)置用戶名和密碼；采用訪問列表進(jìn)行控制。?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第31頁。Cisco路由器安全配置5禁止BOOTp服務(wù)。

Router(Config)#noipbootpserver6禁止IPSourceRouting。

Router(Config)#noipsource-route7建議如果不需要ARP-Proxy服務(wù)則禁止它，路由器默認(rèn)識開啟的。

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcast?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第32頁。Cisco路由器安全配置9禁止ICMP協(xié)議的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply10建議禁止SNMP協(xié)議服務(wù)。在禁止時必須刪除一些SNMP服務(wù)的默認(rèn)配置。如：

Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRW11如果沒必要則禁止WINS和DNS服務(wù)。

Router(Config)#noipdomain-lookup

如果需要則需要配置：

Router(Config)#hostnameRouterRouter(Config)#ipname-server219.150.32.xxx12明確禁止不使用的端口。如：

Router(Config)#interfaceeth0/3Router(Config)#shutdown?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第33頁。Cisco路由器安全配置認(rèn)證與日志管理使用AAA加強(qiáng)設(shè)備訪問控制日志管理loggingonloggingbuffered36000?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第34頁。Cisco路由器安全配置禁用IPUnreachable報文禁用ICMPRedirect報文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-route?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第35頁。Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問控制列表起用TCP截獲特性設(shè)置截獲模式設(shè)置門限制設(shè)置丟棄模式?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第36頁。Cisco路由器安全配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數(shù)據(jù)包使用訪問控制列表限定數(shù)據(jù)流量使用訪問控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第37頁。DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-reply?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第38頁。DDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xx?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第39頁。DDoS預(yù)防方法RFC1918約定過濾InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyany?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第40頁。DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑檢查數(shù)據(jù)包地返回路徑是否使用與到達(dá)相同接口，以緩解某些欺騙數(shù)據(jù)包需要路由CEF（快速向前傳輸）特性在存在非對稱路徑時不適合?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第41頁。問題？?3網(wǎng)絡(luò)與信息安全全文共43頁，當(dāng)前為第42頁。1、有時候讀書是一種巧妙地避開思考的方法。6月-236月-23Saturday,June10,20232、閱讀一切好書如同和過去最杰出的人