网络基础设施安全课件_第1页
网络基础设施安全课件_第2页
网络基础设施安全课件_第3页
网络基础设施安全课件_第4页
网络基础设施安全课件_第5页
已阅读5页,还剩53页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、网络基础设施安全1第七讲、网络基础设施安全(2)路由系统安全网络基础设施安全2目录7.1 局域网和vlan7.2 远程访问(拨号)7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全网络基础设施安全37.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全4低端路由器外观网络基础设施安全5高端路由器外观网络基础设施安全6核心路由器外观网络基础设施安全7interfaceinterface路由器的内部结构ramromflashnvraminterfacecp

2、uinterfaceconsole网络基础设施安全8 configurations can come from many sources configurations will act in device memoryconsole portauxiliary portinterfacespc or unix serverweb or network managementservervirtual terminal路由器配置方式telnettftp网络基础设施安全9超级终端step 1: verify cablingstep 2: power on pcstep 3: open hyperte

3、rminal folderstep 4: open hyperterminalstep 5: describe connectionstep 3 and 4step 5网络基础设施安全10超级终端通信参数配置step 6: select com port to be usedstep 7: select properties网络基础设施安全11路由器配置界面connectdisconnectstep 8: access device网络基础设施安全12console登录路由器 enableenter password:# disable quit user mode prompt privil

4、eged mode prompt 网络基础设施安全13内存 :rom 只读存储器(rom) 只读存储器,存放引导程序和ios的一个最小子集,相当于pc的bios。 闪存(flash) 包含压缩的ios和微代码,是一种可擦写、可编程的rom,系统掉电时数据不会丢失。 nvram(no-voliate ram) 存放路由器的配置文件,系统掉电时数据不会丢失。网络基础设施安全14内存 :ram ram 动态内存,系统掉电,内容丢失 操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区网络基础设施安全15路由器的启动过程 首先运行rom的程序,系统自检和引导 读flash内的ios,装入r

5、am中 从nvram中读入路由器的配置信息 计算并生成初始路由表 通过与相邻路由器交换路由信息,更新、完善路由表网络基础设施安全167.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全17networkprotocoldestinationnetworkconnectedlearnedexit interfacee0s0routed protocol: ip routers must learn destinations t

6、hat are not directly connectede0s0什么是路由?网络基础设施安全18静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由网络基础设施安全19so静态路由(static routes)bnetworkaconfigure unidirectional static routes to and from a stub network to allow communications t

7、o occur.bstub networktransit network网络基础设施安全20stub networkip route so静态路由举例bnetworkabthis is a unidirectional route. you must have a route configured in the opposite direction.网络基础设施安全21stub networkip route 缺省

8、路由sobnetworkabthis route allows the stub network to reach all known networks beyond router a.网络基础设施安全22什么是路由协议路由协议用于路由器之间交换信息,这些信息用来决定最佳路径,维护路由表networkprotocoldestinationnetworkconnectedripigrpexit interfacee0s0s1routed protocol: iprouting

9、protocol: rip, igrpe0s0网络基础设施安全23autonomous system 100autonomous system 200igps: rip, ospf,igrpegps: bgp内部/外部网关路由协议 (igp/egp) an autonomous system is a collection of networks under a common administrative domain igps operate within an autonomous system egps connect diff

10、erent autonomous systems网络基础设施安全24距离向量/链路状态路由协议distance vectorhybrid routinglink state网络基础设施安全25距离向量路由协议pass periodic copies of routing table to neighbor routers and accumulate distance vectorsroutingtableroutingtableroutingtableroutingtabledistancehow farvectorin which direction网络基础设施安全26routers di

11、scover the best path to destinations from each neighbore0s0s0s1s0e0routing table 00s0s1routing tables00e00routing table e0s0 00距离向量路由发现过程网络基础设施安全27routers discover the best path to destinations from each neighbor

12、e0s0s0s1s0e0routing tablerouting table0011s0s1s1s0routing tables00e00s0 1e0s0s0100距离向量路由发现过程网络基础设施安全28距离向量路由发现过程routers discover the best path to destinations from each neighbor10.

13、3.0.0e0s0s0s1s0e0routing tablerouting table0011s0s1s1s0routing tables00e00s0s012e0s0s0s01200网络基础设施安全2919.2 kbpst1t1t1 距离向量路由协议 用跳数(hop)计算路径的尺度(metric) 每30秒广播一次路由表rip 简介网络基础设施安全30 starts the rip ro

14、uting processrouter(config)#router riprouter(config-router)#network network-number selects participating attached networks the network number must be a major classful network numberrip 配置命令网络基础设施安全3router ripnetwork network rip 配置实例router ripnetwork router ri

15、pnetwork network s2e0s3s2s3abc e0网络基础设施安全32debug ip rip commandroutera#debug ip riprip protocol debugging is onroutera#00:06:24: rip: received v1 update from on serial200:06:24: in 1 hops00

16、:06:24: in 2 hops00:06:33: rip: sending v1 update to 55 via ethernet0 ()00:06:34: network , metric 100:06:34: network , metric 300:06:34: rip: sending v1 update to 55 via serial2 ()00:06:34: network , metric 1172.16

17、.1.1s2e0s3s2s3abc e0网络基础设施安全33链路状态路由协议after initial flood, pass small event-triggered link-state updates to all other routerslink-state packetsspfalgorithmtopologicaldatabaseshortest path first treeroutingtable网络基础设施安全347.3 路由系统安全7.3.1路

18、由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全35使用边界路由器保护内部网络 路由其自身的安全保护 路由协议安全配置 路由器实现访问控制 防止dos 攻击网络基础设施安全36保护路由器自身的安全 控制对路由器的访问 控制台访问 telnet http snmp 关闭不必要的服务 路由协议认证 审计网络基础设施安全37控制台访问 物理安全: 在路由器加电启动时,可以通过按“break”键,进入口令恢复过程 通过修改寄存器的值,可以使启动过程绕过口令验证 设置控制台口令router(confi

19、g)# line console 0router(config-line)# loginrouter(config-line)# password password网络基础设施安全38控制台访问 设置口令加密 缺省条件下, enable 口令是明文存储的,很容易被看到(控制台、telnet) 两种方式: service password-encryption enable secretrouter# show running-configenable password 7 14141b180fb0!line con 0password 7 094f71a1a0a网络基础设施安全39控制台访问

20、口令加密 enable secret 超时退出router # show running-config!enable secret 5 $1$6cwv$ind7guhplld3zmdx08mmsrouter (config )#line console 0router(config-line)# exec-timeout 2 30网络基础设施安全40控制telnet、http的访问 telnet 口令 telnet 端口在路由器上被称为vty端口 必须在vty上配置一个启用口令才能通过telnet访问 控制列表router(config)# line vty 0 4router (config

21、 -line)# loginrouter(config-line) #password shakespearerouter(config)# access-list 21 permit router (config -line)# line vty 0 4router(config-line) #access-class 21 in网络基础设施安全41控制snmp的访问 snmp概述get / setudp 161udp 162trapmanageragent, mibs网络基础设施安全42控制snmp的访问 snmpv1 community name 明文传输 没有访问控制

22、 用snmpwalk等工具可以得到路由器的配置性 snmpv2 增加了视图的概念,访问控制机制router(config)# snmp-server community password1 rorouter(config)# snmp-server community password2 rw网络基础设施安全43控制snmp的访问 snmp trap 设备启动、链路中断、链路启动、认证失败等 访问控制router(config)# snmp-server host 1 traprouter(config) # access-list 1 permit rout

23、er (config) # access-list 1 permit router (config) # snmp-server community private rw 1 网络基础设施安全44关闭不必要的服务 no service tcp-small-servers no service udp-small-servers no service finger no service ip domain-lookup no cdp enable no proxy arp no ip directed-broadcast网络基础设施安全45保护路由器之间的通信 路由器假冒、路由欺

24、骗 相邻路由器认证 明文认证 md5 认证pppchap 认证认证网络基础设施安全46rakey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface serial0 ip address 0 52 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network network 70.0.0

25、.0 rbkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface serial0 ip address 52 ip rip authentication key-chain kal ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network network 网络基础设施安全477.3 路由系统安全7

26、.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全48用路由器实现访问控制 访问控制列表的配置原则 路由器总是自顶向下顺序检查所有规则,因此,配置规则时要从具体到一般,如主机、子网、网络、任何网络 permit deny 55 permit any 常发生的放在列表的前面 隐含拒绝一切 新增加的行将放在末尾 未定义的访问控制列表等与允许一切网络基础设施安全49标准型和扩展型访问控制列表 标准型 access-list nu

27、m permit|deny source wildcard logaccess-list 10 permit access-list 10 deny 55access-list 10 permit 网络基础设施安全50标准型和扩展型访问控制列表 扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 55 est

28、ablishedaccess list 103 permit tcp any host eq smtpethe 1internet网络基础设施安全51实例internet内部网内部网/24允许所有外出的数据流允许所有外出的数据流允许所有由内部发起允许所有由内部发起的外来的数据流的外来的数据流拒绝其他的数据流,并记录这些访问企图拒绝其他的数据流,并记录这些访问企图s0网络基础设施安全52router(config) # access-list 47 permit 55router(config) # acc

29、ess-list 103 permit tcp any any establishedrouter(config) # access-list 103 deny any any router(config) # interface serial 0router(config-if) # ip access-group 47 outrouter(config-if) # ip access-group 103 in网络基础设施安全537.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的

30、攻击网络基础设施安全54防止dos 攻击 no ip directed-broadcast 入流量过滤、出流量过滤 car(committed access rate) 限制某种类型包的发送速率interface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply网络基础设施安全55过滤出入的包进入过滤:interface serial 0i

31、p address ip access-group 11 inaccess-list 11 deny 55access-list 11 deny 55access-list 11 deny 55access-list 11 deny access-list 11 permit any离开过滤:interface ethernet 0ip address ip access-group 12 inaccess-list 12 permit ip verify unicast reverse-path外部网络s0eth0内部网络网络基础设施安全56tcp 拦截 限制 syn 攻击internet客户机请求被拦截客户机请求被拦截和验证和验证与客户机与客户机建立连接建立连接有效连接被交换,有效连接被交换,数据被传递数据被传递ip tcp intercept list 100ip tcp

人人文库> 全部分类> 应用文书 > 事务文书

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论