设备管理_网络设备安全概述

网络设备安全 目录 1 1网络基础1 2典型网络设备1 3网络设备安全 网络安全问题 事发的5月18日22时左右 域名解析服务器DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击 导致DNSPod的6台解析服务器开始失效 大量网站开始间歇性无法访问 从2009年5月19日21 06开始 江苏 安徽 广西 海南 甘肃 浙江等6个省份的中国电信网络用户发现无法登录网络 与此同时 电信的客服部门源源不断地开始接到客户的投诉 5月20日下午 根据工业和信息化部通信保障局发布的公告 确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障 导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞 1 1网络基础 1 1 1网络的概念 计算机网络是通过通信线路和通信设备将多个具有独立功能的计算机系统连接起来 按照网络通信协议实现资源共享和信息传递的系统 1 1 2通信协议的概念 通信协议是为使计算机之间能够正确通信 而制定的通信规则 约定和标准 在开始通信之前需要确定的事情 通信的发送方 接收方一致的通信方法相同的语言注意传递的速度和时间证实或确认要求 语义发送方 接收方 语法双方一致同意的通信方法通信语言和语法 时序传递的速度和时间证实或确认要求 通信协议 网络通信协议的问题 计算机间通信仅靠一个通信协议无法完成 解决方法 网络分层各层内使用自己的通信协议完成层内通信 各层间通过接口提供服务 各层可以采用最适合的技术来实现 各层内部的变化不影响其他层 定义传输介质 信号波形 电压 电流 等 实现比特流传输 定义差错控制 流量控制机制 如何在通信网络间选择路由 端到端可靠数据传输 建立维护通信双方的会话连接 信息表示方法 数据格式 为应用提供网络通信服务 1 1 3网络体系结构 按照TCP IP模型搭建计算机网络时 在计算机上需要安装配置的组件 3 计算机上安装的网卡 或者其它通信接口 网线 2 计算机上的TCP IP通信程序 一般随操作系统安装 但需要用户配置用于网络路由的地址 1 计算机上的网络应用程序 例如IE浏览器 QQ程序 这是计算机使用TCP IP模型进行通信的标志 AH 1 1 4TCP IP网络中数据传输过程 计算机A 计算机B 电子邮件数据 AH AH AH 数据段 数据包 数据帧 比特流 封装 重组 1 2典型网络设备 使用TCP IP模型通信的网络设备 路由器 企业级的二层交换机 桌面二层交换机 计算机A 计算机B 计算机A 计算机B 计算机A与计算机B之间通信的数据传输过程 1 2 1交换机 交换机可以将LAN细分为多个单独的冲突域 其每个端口都代表一个单独的冲突域 为该端口连接的节点提供完全的介质带宽 交换机的工作原理选择性转发 以太网LAN交换机采用五种基本操作来实现其用途 获取过期泛洪选择性转发过滤 1 交换机的分类 按是否可配置分类 按端口速率分类10Mbps 100Mbps 1000Mbps按是否可物理扩展分类 按转发方式分类 按照工作层次分类 二层交换机三层交换机 VLAN的概念 3rdFloor 2ndFloor 1stFloor 计算机系 邮政系 金融系 AVLAN ABroadcastDomain LogicalNetwork Subnet 物理拓扑 逻辑拓扑 3台交换机 三个广播域 一个广播域 1 2 2路由器 路由器是专门用于路由的计算机为数据报文选择到达目的地址的最佳路径将数据报文转发到正确的输出端口 路由器工作在网络层 实现不同网段之间的通信 路由器核心 路由表目的地址 子网掩码下一跳地址 输出端口注意 路由器的路由描述方式是局部的 RTB showiproute outputomitted 10 0 0 0 24issubnetted 1subnetsR10 1 1 0 120 1 via11 1 1 1 00 00 25 Serial0 111 0 0 0 24issubnetted 1subnetsC11 1 1 0isdirectlyconnected Serial0 112 0 0 0 24issubnetted 1subnetsC12 1 1 0isdirectlyconnected Serial0 013 0 0 0 24issubnetted 1subnetsO13 1 1 0 110 65 via12 1 1 2 00 00 13 Serial0 0 RTB displayiprouting tableRoutingTables PublicDestinations 10Routes 10Destination MaskProtoPreCostNextHopInterface10 1 1 0 24RIP100111 1 1 1S2 011 1 1 0 24Direct0011 1 1 2S2 011 1 1 1 32Direct0011 1 1 1S2 011 1 1 2 32Direct00127 0 0 1InLoop012 1 1 0 24Direct0012 1 1 1S1 012 1 1 1 32Direct00127 0 0 1InLoop012 1 1 2 32Direct0012 1 1 2S1 013 1 1 0 24OSPF10156312 1 1 2S1 0127 0 0 0 8Direct00127 0 0 1InLoop0127 0 0 1 32Direct00127 0 0 1InLoop0 路由器和三层交换机的比较 第3层交换机可以像专用路由器一样在不同的LAN网段之间路由数据包 专用路由器在支持WAN接口卡 WIC 方面更加灵活 这使得它成为用于连接WAN的首选设备 而且有时是唯一的选择 第3层交换机不能完全取代网络中的路由器 1 2 3典型网络拓扑结构 在汇聚层交换机上进行VLAN的创建 并在接入层交换机上通过将接入端口指定到相应的VLAN中来按部门划分广播域 由汇聚层交换机实现其下的接入层各VLAN之间的路由 在汇聚层交换机和核心层交换机之间运行动态路由选择协议 由核心层交换机实现整个局域网的路由 对于带宽需求较高的部分 在接入层交换机和汇聚层交换机之间进行链路聚合 对网络可用性要求较高的部分 进行设备和链路的冗余 保障可用性的同时 通过负载均衡提高网络通信效率 1 3网络设备安全 1 3 1网络设备自身安全保障 禁止不必要的网络服务禁止HTTP服务禁止DNS服务禁止IP源路由选择禁止ICMP重定向禁止ARP代理服务禁止直接广播禁止CDP禁止SNMP协议服务 关闭不使用的接口或端口使用SSH代替Telnet进行设备远程访问管理严格控制远程访问用户的权限对于远程访问进行严格的限制交换机管理VLAN与业务VLAN相独立 1 3 2交换机数据安全 静态配置端口类型 避免DTP协商导致的VLAN跳跃攻击对于Trunk链路 明确配置其能传输的VLAN数据 对于CISCO交换机 尽量不要使用VTP协议功能 1 3 3路由协议安全 RIP协议安全配置抑制接口配置MD5认证OSPF协议安全配置MD5认证 1 3 4局域网安全 AAA认证Authentication 认证 对访问网络的用户的身份进行认证 判断访问者是否为合法的用户 Authorization 授权 为认证通过的不同用户赋予不同的权限 限制用户可以访问的资源和使用的服务 Accounting 计费 用来记录用户的操作和使用的网络资源 包括使用的服务类型 起始时间和数据流量等 在计费的同时对网络安全情况进行监控 IEEE802 1x技术在以太网接入设备的端口一级对所接入的设备进行认证和控制 在应用了IEEE802 1x的交换机端口上 如果该端口连接的终端设备能够通过认证 就可以访问网络中的资源 而如果不能通过认证 则无法访问网络中的资源 端口安全技术基于MAC地址对网络接入进行控制的安全机制 它通过定义各种端口安全模式 让网络设备的端口学习到该端口下的合法的终端MAC地址 通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问 通过检测从端口发出的数据帧中的目的MAC地址地址来控制对非授权设备的访问 端口安全模式noRestrictions模式autolearn模式secure模式 端口绑定技术将用户的IP地址和MAC地址绑定到指定的交换机端口上 使交换机只对从相应端口收到的指定IP地址和指定MAC地址的数据报文进行转发 从而实现对端口转发的报文进行过滤控制 增强端口的安全性 实现IP源防护 IPSourceGuard IPSG 功能 交换机上支持IP MAC IP MAC IP VLAN MAC VLAN IP MAC VLAN等六种绑定表项的组合 因此它既支持IP MAC的绑定 也支持单独只绑定IP地址或单独只绑定MAC地址 DHCPSnooping技术保证客户端从合法的DHCP服务器获取IP地址 将连接DHCP服务器的端口指定为信任端口 而将其它的端口指定为不信任端口来保证客户端从合法的DHCP服务器获取IP地址 在不信任端口上配置DHCP报文限速功能来防范基于DHCP请求的DoS攻击 监听