通信网络安全与防护-第三章-网络设备安全

第三章网络设备安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第1页。3.1物理安全3.2路由器的安全技术3.3交换机的安全技术3.4服务器与操作系统安全主要内容通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第2页。网络中大量的信息资源和信息服务是通过路由器、交换机、无线接入器等网络设备提供给用户的，而这些设备中存在的漏洞造成了极大的网络安全隐患。网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。网络设备的安全始终是通信网络安全的一个重要方面。网络设备的安全问题除了一般意义的技术安全之外，还应该包括网络设备的物理安全，诸如人为损坏以及网络设备防断电、防雷击、防静电、防灰尘、防电磁干扰、防潮散热等环境安全问题。通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第3页。

物理安全是整个通信网络系统安全的前提，是保护通信网络设备、设施及其他媒介免遭地震、水灾、火灾等环境事故、人为操作失误或人为损坏导致被破坏的过程。3.1物理安全物理安全机房安全技术硬件设备安全电源系统安全通信线路安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第4页。一、机房安全技术3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第5页。一、机房安全技术3.1物理安全1.机房的安全要求

减少无关人员进入机房的机会；

选址时应避免靠近公共区域，避免窗户邻街；

机房最好不要安排在底层或顶层；

在较大的楼层内，机房应靠近楼层的一边安排；

保证所有进出机房的人都在管理人员的监控之下。2.机房的防盗要求

对机房内重要的设备和存储媒体应采取严格的防盗措施。主要包括：

光纤电缆防盗系统；

特殊标签防盗系统；

视频监视防盗系统。通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第6页。

3.机房的三度要求（温度、湿度和洁净度）一、机房安全技术3.1物理安全（1）温度的影响（2）湿度的影响（3）灰尘的影响通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第7页。4.防静电措施一、机房安全技术3.1物理安全机房的内装修材料采用乙烯材料；机房内安装防静电地板，并将地板和设备接地；机房内的重要操作台应有接地平板；工作人员的服装和鞋最好用低阻值的材料制作；机房内应保持一定湿度。通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第8页。5.接地与防雷一、机房安全技术3.1物理安全接地与防雷是保护通信网络系统和工作场所安全的重要安全措施。接地是指整个通信网络系统中各处电位均以大地电位为零参考电位。地线种类可分为：保护地、直流地、屏蔽地、静电地、雷击地。通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第9页。5.接地与防雷一、机房安全技术3.1物理安全防雷，是指通过组成拦截、疏导最后泄放入地的一体化系统方式以防止由直击雷或雷电的电磁脉冲对建筑物本身或其内部设备造成损害的防护技术。机房外部防雷应使用接闪器、引下线和接地装置，吸引雷电流，并为其泄放提供一条低阻值通道；机房内部防雷主要采取屏蔽、等电位连接、合理布线或防闪器、过电压保护等技术措施以及拦截、屏蔽、均压、分流、接地等方法，达到防雷的目的；机房的设备本身也应有避雷装置和设施。通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第10页。机房内应有火灾、水灾自动报警系统；机房上层有用水设施须加防水层；机房内应放置适用于通信机房的灭火器，并建立应急计划和防火制度等。与机房安全相关的国家标准主要有：GB/T2887-2011《计算机场地通用规范》GB50174-2008《电子信息系统机房设计规范》GB/T9361-2011《计算站场地安全要求》6.机房的防火、防水措施一、机房安全技术3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第11页。二、通信线路安全3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第12页。

通信线路是信息传输的通道，会受到搭线窃听、中断或干扰的攻击。二、通信线路安全3.1物理安全电缆加压技术电缆屏蔽光纤通信技术通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第13页。电缆加压技术电缆两端加压，连接监视器，如果监测到变化，则启动报警器。加压电缆是屏蔽在波纹铝钢包皮中，几乎没有电磁辐射，对利用电磁感应的窃听行为有一定的抵抗力。2.电缆屏蔽技术降低电磁感应，提高抗干扰能力。屏蔽式双绞线的抗干扰能力更强，对于干扰严重的区域应使用屏蔽式双绞线，还可将其放在金属管内以增强抗干扰能力。14二、通信线路安全3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第14页。3.光纤通信技术光纤的“天然”保密性？15二、通信线路安全3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第15页。二、通信线路安全3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第16页。光纤窃听方法：1）光纤弯曲法2）V型槽切口法3）散射法4）光束分离法5）渐近耦合法3.光纤通信技术二、通信线路安全3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第17页。1.硬件设备的维护和管理三、硬件设备安全3.1物理安全（1）硬件设备的使用管理严格按硬件设备的操作使用规程进行操作；建立设备使用情况日志，并登记使用过程；建立硬件设备故障情况登记表；坚持对设备进行例行维护和保养，并指定专人负责。（2）常用硬件设备的维护和保养定期检查线缆连接的紧固性；定期清除表面及内部灰尘；定期检查供电系统的各种保护装置及地线是否正常。通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第18页。三、硬件设备安全3.1物理安全（1）电磁兼容和电磁辐射（2）电磁辐射防护的措施2.电磁兼容和电磁辐射的防护采用各种电磁屏蔽措施干扰的防护措施3.信息存储媒体的安全管理通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第19页。四、电源系统安全20风险：因电源系统电压波动、浪涌电流和突然断电等导致计算机系统存储信息丢失、设备损坏。供电连续性、可靠性、稳定性和抗干扰性等指标。机房的供配电系统设计要求：满足设备自身运转和网络应用的要求，保证网络系统运行的可靠性，保证设备的设计寿命，保证信息安全，保证机房人员的工作环境。3.1物理安全通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第20页。一、路由器存在的安全问题及对策3.2路由器的安全技术身份问题、漏洞问题、访问控制问题、路由协议问题、配置管理问题等端口登录口令：可以登录到路由器，一般只能查看部分信息特权用户口令：可以使用全部的查看、配置和管理命令。1.路由器口令的设置通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第21页。1.路由器口令的设置一、路由器存在的安全问题及对策3.2路由器的安全技术口令加密设置端口登录口令加密特权用户口令防止口令修复通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第22页。一、路由器存在的安全问题及对策3.2路由器的安全技术2.网络服务的安全设置禁止HTTP服务禁止一些默认状态下开启的服务如：思科发现协议CDP（CiscoDiscoveryProtocol）是用来获取相邻设备的协议地址以及发现这些设备的平台，就是说当思科的设备连接到一起时，不需要额外的配置，用showcdpneighbor就可以查看到邻居的状态。关闭其他一些易受攻击的端口服务Noipunreachables//防smurf攻击通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第23页。一、路由器存在的安全问题及对策3.2路由器的安全技术3.保护内部网络lP地址利用路由器的网络地址转换隐藏内部地址利用地址解析协议防止盗用内部IP地址通过ARP可以固定地将IP地址绑定在某一MAC上通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第24页。4.利用访问控制列表有效防范网络攻击

访问控制列表ACL使用包过滤技术，在路由器上读取第三层及第四层数据包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。一、路由器存在的安全问题及对策3.2路由器的安全技术利用ACL禁止ping相关接口利用ACL防止IP地址欺骗利用ACL防止SYN攻击利用ACL防范网络病毒攻击通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第25页。5.防止包嗅探使用SSH或支持Kerberos的Telnet，或使用IPSec加密路由器所有的管理流6.校验数据流路径的合法性一、路由器存在的安全问题及对策3.2路由器的安全技术使用RPF（Reversepathforwarding）反相路径转发7.为路由器间的协议交换增加认证功能，提高网络安全性8.使用安全的SNMP管理方案通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第26页。二、路由器的安全配置3.2路由器的安全技术1.路由器口令安全配置2.路由器网络服务的安全设置3.保护内部网络IP地址的配置4.利用ACL防范网络攻击的配置5.利用ACL防范病毒攻击的配置6.利用ACL对HTTP服务进行服务控制及权限管理Router(config)#access-list1permit30Router(config)#iphttpaccess-classlRouter(config)#iphttpauthenticationaaa通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第27页。一、交换机存在的安全问题及对策3.3交换机的安全技术2.利用虚拟局域网技术限制局域网广播及ARP攻击范围1.利用交换机端口安全技术限制端口接入的随意性3.强化Trunk端口设置避免利用封装协议缺陷实行VLAN

的跳跃攻击4.使用交换机包过滤技术增加网络交换的安全性5.使用交换机的安全网管6.使用交换机集成的入侵检测技术7.使用交换机集成的用户认证技术通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第28页。二、交换机的安全配置3.3交换机的安全技术路由器登录口令、加密等安全措施也适用于交换机打开端口的端口安全功能，命令如下。Switch(config-if)#switchportport-security设置端口上安全地址的最大个数，命令如下。Switch(config-if)#switchportport-secruitymaximum1配置处理违例的方式，命令如下。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第29页。一、Windows操作系统安全3.4服务器与操作系统安全限制用户数量。去掉所有的测试账户、共享账号和普通部门账号等。用户组策略设置相应权限、并且经常检查系统的账号，删除已经不适用的账号。管理员账号设置:更改默认名称、陷井帐号安全登录口令设置屏幕保护／屏幕锁定口令安全文件管理安装防病毒软件通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第30页。一、Windows操作系统安全3.4服务器与操作系统安全备份盘的安全禁止不必要的服务使用IPSec来控制端口访问定期查看日志经常访问微软升级程序站点，了解补丁的最新发布情况通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第31页。二、Web服务器的安全3.4服务器与操作系统安全1.明确安全需求（1）主机系统的安全需求：确保主机系统的认证机制，严密地设置及管理访问口令，是主机系统抵御威胁的有力保障。（2）web服务器的安全需求选择合适的程序，该类型web服务器的漏洞最少；对服务器的管理操作只能由授权用户执行；拒绝通过Web访问web服务器上不公开的内容；能够禁止内嵌在操作系统或web服务器软件中的不必要的网络服务；有能力控制对各种形式的执行程序的访问；能对某些Web操作进行日志记录，以便于入侵检测和入侵企图分析；具有适当的容错功能。通信网络安全与防护-第三章--网络设备安全全文共34页，当前为第32页。二、Web服务器的安全3.4服务器与操作系统安全2.