計(jì)算機(jī)網(wǎng)絡(luò)安全管理技術(shù)項(xiàng)目二網(wǎng)絡(luò)設(shè)備的安全管理任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置任務(wù)2.2網(wǎng)絡(luò)設(shè)備遠(yuǎn)程安全訪問的配置任務(wù)2.3NTP和日志服務(wù)的配置【學(xué)習(xí)目標(biāo)】知識(shí)目標(biāo)

1．識(shí)記：網(wǎng)絡(luò)設(shè)備本地安全的要點(diǎn)；日志服務(wù)的特點(diǎn)和工作機(jī)制。2．領(lǐng)會(huì)：遠(yuǎn)程訪問協(xié)議Telnet和SSH的工作原理；網(wǎng)絡(luò)時(shí)間協(xié)議NTP的工作原理。技能目標(biāo)

1．能實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備本地安全訪問；2．能配置遠(yuǎn)程訪問協(xié)議Telnet和SSH進(jìn)行遠(yuǎn)程安全訪問；3．會(huì)NTP和日志服務(wù)的操作。素質(zhì)目標(biāo)

1．樹立愛國主義情懷，做到學(xué)以致用，報(bào)效祖國；2．具有網(wǎng)絡(luò)安全意識(shí)和辨別是非的能力。項(xiàng)目二網(wǎng)絡(luò)設(shè)備的安全管理任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置

【任務(wù)目標(biāo)】

1．能正確配置console線路下密碼認(rèn)證、用戶名密碼認(rèn)證2．能正確配置特權(quán)密碼3．能合理配置加密密碼服務(wù)、指定密碼最小長(zhǎng)度4．能設(shè)置EXEC超時(shí)時(shí)間和標(biāo)語信息項(xiàng)目二網(wǎng)絡(luò)設(shè)備的安全管理任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置

【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、PacketTracer軟件

任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置【網(wǎng)絡(luò)拓?fù)鋱D】

任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置

【知識(shí)支撐】

1、設(shè)置密碼的必要性使用機(jī)柜和上鎖的機(jī)架限制人員實(shí)際接觸網(wǎng)絡(luò)設(shè)備是不錯(cuò)的做法，但密碼仍是防范未經(jīng)授權(quán)的人員訪問網(wǎng)絡(luò)設(shè)備的主要手段。每個(gè)設(shè)備，甚至家用路由器，都應(yīng)當(dāng)配置本地密碼來限制訪問。

任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置

2、設(shè)置密碼的原則為了保護(hù)網(wǎng)絡(luò)設(shè)備，使用強(qiáng)密碼非常重要。以下是需要遵循的標(biāo)準(zhǔn)原則：1）使用的密碼長(zhǎng)度至少為8個(gè)字符，最好是10個(gè)或更多字符。密碼越長(zhǎng)越好。2）使用復(fù)雜密碼。如果條件允許，密碼中混合使用大寫字母、小寫字母、數(shù)字和特殊字符等。3）密碼中避免使用重復(fù)的常用字詞、字母或數(shù)字順序、用戶名、親屬的名字、個(gè)人信息（例如出生日期和身份證號(hào)碼等）或其他易于識(shí)別的信息。任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置4）故意將密碼拼錯(cuò)。

例如，Smith=Smyth=5mYth或Security=5ecur1ty。5）定期更改密碼。6）請(qǐng)勿將密碼寫出來并放在顯眼位置上，比如桌面上或顯示器上。任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置【任務(wù)實(shí)施】1、繪制網(wǎng)絡(luò)拓?fù)鋱D首先在設(shè)備選擇區(qū)的網(wǎng)絡(luò)設(shè)備內(nèi)選擇一臺(tái)路由器2811至工作區(qū)，在終端設(shè)備內(nèi)選擇一臺(tái)個(gè)人電腦至工作區(qū)，在連接線纜內(nèi)選擇console線纜將路由器的console端口與電腦的RS232串口設(shè)備連接起來，然后在設(shè)備操作管理區(qū)內(nèi)使用工具對(duì)工作區(qū)內(nèi)的設(shè)備進(jìn)行標(biāo)記，網(wǎng)絡(luò)拓?fù)鋱D繪制完成。

任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置2、網(wǎng)絡(luò)設(shè)備的登錄單擊工作區(qū)內(nèi)的個(gè)人電腦，在彈出的文本框中選擇Desktop選項(xiàng)，然后再選擇Terminal選項(xiàng)，單擊ok按鈕便可登錄到路由器上。

任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置3、配置console線路下使用密碼訪問配置命令如下：

Router>enRouter#conftRouter(config)#lineconsole0//進(jìn)入console線路Router(config-line)#passwordP@ssw0rd//定義進(jìn)入console線路下的密碼Router(config-line)#login//允許登錄Router(config-line)#endRouter#write//保存配置Router#reload//重啟路由器任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置路由器重新啟動(dòng)后，可以看到需要輸入密碼才可以登錄，如下所示。

UserAccessVerificationPassword://輸入時(shí)密碼隱藏，輸入正確后才可以登錄Router>任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置

4、配置console線路下使用用戶名和密碼訪問配置命令如下：

Router(config)#usernameuser01passwordP@ssw0rd//設(shè)置本地用戶名和密碼Router(config)#lineconsole0Router(config-line)#loginlocal//調(diào)用本地用戶登錄Router(config-line)#endRouter#writeRouter#reload任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置路由器重新啟動(dòng)后，可以看到需要輸入用戶名和密碼才可以登錄，如下所示。

UserAccessVerificationUsername:user01Password://輸入正確的用戶名和密碼后才可以登錄Router>任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置

5、配置特權(quán)密碼1）password密碼的配置配置完成后，從用戶模式進(jìn)入到特權(quán)模式就需要輸入密碼。如下所示。Router(config)#enablepasswordP@ssw0rd1Router>enPassword://輸入特權(quán)密碼后才可以進(jìn)入特權(quán)模式Router#任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置但是該密碼為明文存儲(chǔ)，通過showrun命令可以看到，如下所示。

Router#showrunBuildingconfiguration...……enablepasswordP@ssw0rd1……任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置2）secret密碼的配置

配置完成后，此時(shí)從用戶模式進(jìn)入到特權(quán)模式需要輸入secret密碼，password密碼自動(dòng)失效，因?yàn)樵撁艽a是加密存儲(chǔ)的，優(yōu)先級(jí)高，通過showrun命令可以看到，如下所示。Router(config)#enablesecretP@ssw0rd2Router#showrunBuildingconfiguration...……enablesecret5$1$mERr$hx5rVt7rPNoS4wqbXKX7m0……任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置項(xiàng)目二網(wǎng)絡(luò)設(shè)備的安全管理任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)1網(wǎng)絡(luò)設(shè)備密碼的設(shè)置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置

【任務(wù)環(huán)境】1、主流PC機(jī)一臺(tái)2、PacketTracer軟件【網(wǎng)絡(luò)拓?fù)鋱D】

同上一個(gè)任務(wù)任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置【知識(shí)支撐】除了為網(wǎng)絡(luò)設(shè)備設(shè)置密碼外，還需要采取許多其他基本安全措施，其中包括：1、加密密碼服務(wù)使用全局配置命令servicepassword-encryption來防止未經(jīng)授權(quán)的個(gè)人在配置文件中查看明文形式的密碼。該命令會(huì)將所有未加密密碼進(jìn)行加密。任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置2、指定密碼最小長(zhǎng)度為了確保配置的所有密碼至少為指定的最小長(zhǎng)度，請(qǐng)?jiān)谌峙渲媚Ｊ较率褂胹ecuritypasswordsmin-length命令。3、設(shè)置EXEC超時(shí)時(shí)間通過設(shè)置EXEC超時(shí)，將告知設(shè)備在用戶閑置時(shí)間達(dá)到EXEC超時(shí)時(shí)間值時(shí)自動(dòng)斷開線路上的用戶。EXEC超時(shí)可以在控制臺(tái)、vty和aux端口配置。4、設(shè)置標(biāo)語信息標(biāo)語消息類似于一個(gè)禁止非法侵入符號(hào)。在向法院起訴某人不正當(dāng)訪問系統(tǒng)時(shí)，這些標(biāo)語非常重要。任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置

【任務(wù)實(shí)施】

1、繪制網(wǎng)絡(luò)拓?fù)鋱D2、在終端設(shè)備上登錄路由器

3、路由器上配置特權(quán)password密碼，并配置console線路下使用用戶名和密碼訪問，同時(shí)新建用戶user01，配置命令如下所示。

此時(shí)通過showrun命令可以看到以上兩個(gè)密碼均為明文存儲(chǔ)。

Router(config)#enablepasswordP@ssw0rd1Router(config)#usernameuser01passwordP@ssw0rd2Router(config)#lineconsole0Router(config-line)#loginlocal任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置

4、配置加密密碼服務(wù)

該命令配置后，所有系統(tǒng)內(nèi)的password密碼都被加密，如下所示

Router(config)#servicepassword-encryptionRouter#showrunBuildingconfiguration...……enablepassword708701E1D5D4C53……usernameuser01password70822455D0A16……任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置5、設(shè)置最短密碼長(zhǎng)度

如果此后設(shè)置密碼時(shí)觸發(fā)規(guī)則就會(huì)彈出以下信息：

Router(config)#enablepasswordP@ssw0rd3%Passwordtooshort-mustbeatleast10characters.Passwordnotconfigured.Router(config)#securitypasswordsmin-length10//將密碼長(zhǎng)度設(shè)置為至少10位，任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置6、設(shè)置EXEC超時(shí)時(shí)間默認(rèn)情況下，在上一次會(huì)話之后的10分鐘之內(nèi)，管理接口處于活動(dòng)狀態(tài)并呈現(xiàn)為已登錄狀態(tài)，之后接口超時(shí)并退出會(huì)話。如果在控制臺(tái)活躍時(shí)，管理員離開終端設(shè)備，攻擊者有長(zhǎng)達(dá)10分鐘的時(shí)間獲取特權(quán)級(jí)的訪問權(quán)限。因此強(qiáng)烈建議將時(shí)限限制在2分鐘或3分鐘之內(nèi)，如下所示。

Router(config)#lineconsole0Router(config)#exec-timeout2//將時(shí)限限制為2分鐘任務(wù)2.1網(wǎng)絡(luò)設(shè)備本地安全訪問的配置

子任務(wù)2網(wǎng)絡(luò)設(shè)備其他本地安全配置7、配置標(biāo)語信息

通過配置標(biāo)語信息向潛在的入侵者顯示法律通知：他們?cè)诰W(wǎng)絡(luò)上不受歡迎，如下所示。配置完成后，當(dāng)