网络安全基础知识50

网络安全基础知识教师材料网络入门v7.0(ITN)教师材料–第16模块规划指南这份PowerPoint文件分为两部分：教师规划指南帮助您熟悉该模块的信息教学辅助工具教师课堂演示课堂上可使用的可选幻灯片从第10张幻灯片开始注意：在与任何人分享此演示文稿之前，请将其中的规划指南删除。如需更多帮助和资源，请访问本课程的讲师主页和课程资源页面。您还可以访问上的专业发展网站、思科网络学院官方Facebook主页或仅限讲师加入的Facebook群组。为了方便学习，本模块的图形用户界面中可能包含以下功能：本模块内容概述特征描述动画让学习者接触新的技能和概念。视频让学习者接触新的技能和概念。检查你的理解（CYO）每个主题都配有在线测验，帮助学习者评估对内容的理解程度。互动活动多种形式帮助学习者评估对内容的理解程度。语法检查器小型模拟环境，让学习者接触思科命令行，练习配置技能。PT活动旨在探索、获取、巩固和扩展技能的模拟和建模活动。特征描述动手实践实验室专为操作物理设备而设计的实验室。课堂活动这些资源可在“教师资源”页面找到。课堂活动旨在促进学习、课堂讨论和协作。模块测验将模块中介绍的一系列主题所学到的概念和技能进行整合的自我评估。模块概要简要回顾模块内容。本模块内容概述（续）为了便于学习，本模块可能包含以下功能：检查你的理解“检查理解”活动旨在让学生快速确定他们是否理解了内容并可以继续学习，或者是否需要复习。“检查你的理解”活动不影响学生的成绩。PPT中没有单独的幻灯片来展示这些活动。它们列在这些活动之前出现的幻灯片的备注区域中。模块16：活动页＃活动类型活动名称选修的？16.1.4检查你的理解安全威胁和漏洞受到推崇的16.2.5检查你的理解网络攻击受到推崇的16.2.6实验室研究网络安全威胁受到推崇的16.3.8检查你的理解网络攻击缓解措施受到推崇的16.4.6数据包跟踪器配置安全密码和SSH受到推崇的16.4.7实验室使用SSH配置网络设备受到推崇的16.5.1数据包跟踪器安全网络设备受到推崇的16.5.2实验室安全网络设备受到推崇的本模块包含哪些活动？第十六单元：最佳实践在教授模块16之前，教师应：请查看本模块的活动和评估内容。尽量多提出问题，以保持学生在课堂讲解过程中的参与度。主题16.1询问学生或进行课堂讨论你还能想到哪些其他威胁？你是否曾目睹或经历过安保漏洞？如果可以，请分享你的经历。主题16.2询问学生或进行课堂讨论你会采取哪些方法来保护自己免受侦察攻击？您能想到还有哪些其他方式可以实施拒绝服务(DoS)攻击，以及可能造成的影响吗？第十六单元：最佳实践（续）主题16.1询问学生或进行课堂讨论你还能想到哪些其他威胁？你是否曾目睹或经历过安保漏洞？请分享你的经历。主题16.2询问学生或进行课堂讨论你会采取哪些方法来保护自己免受侦察攻击？您能想到还有哪些其他方式可以实施拒绝服务(DoS)攻击，以及可能造成的影响吗？第十六单元：最佳实践（续）主题16.3询问学生或进行课堂讨论如何将纵深防御安全方法应用于家庭网络场景？您认为AAA的会计部分如何帮助提供安全性？主题16.4询问学生或进行课堂讨论您还知道哪些其他提供密码的方法？SSH只能用于远程终端服务吗？请研究该协议的功能并进行讨论。第16单元：网络安全基础知识网络入门v7.0(ITN)模块目标模块标题：网络安全基础知识模块目标：配置交换机和路由器，使其具备设备加固功能，以增强安全性。主题标题主题目标安全威胁和漏洞解释为什么网络设备需要基本的安全措施。网络攻击识别安全漏洞。网络攻击缓解确定一般缓解措施。设备安全配置网络设备并启用设备加固功能，以降低安全威胁。16.1安全威胁和漏洞安全威胁与漏洞

威胁类型网络攻击可能造成毁灭性后果，导致时间和金钱的损失，例如重要信息或资产被盗或遭受损坏。入侵者可以通过软件漏洞、硬件攻击或猜测用户名和密码来访问网络。通过修改软件或利用软件漏洞获得访问权限的入侵者被称为威胁行为者。攻击者获得网络访问权限后，可能会出现四种类型的威胁：信息窃取数据丢失和篡改身份盗窃服务中断安全威胁与漏洞

漏洞类型漏洞是指网络或设备存在的薄弱程度。路由器、交换机、台式机、服务器甚至安全设备都存在一定程度的漏洞。通常，遭受攻击的网络设备是终端设备，例如服务器和台式电脑。主要存在三个漏洞或弱点：技术漏洞可能包括TCP/IP协议漏洞、操作系统漏洞和网络设备漏洞。配置漏洞可能包括不安全的用户帐户、密码容易被猜到的系统帐户、配置错误的互联网服务、不安全的默认设置以及配置错误的网络设备。安全策略漏洞可能包括缺乏书面安全策略、政治因素、缺乏身份验证连续性、未应用逻辑访问控制、软件和硬件安装及变更不遵循策略，以及不存在灾难恢复计划。这三种漏洞来源都可能使网络或设备容易受到各种攻击，包括恶意代码攻击和网络攻击。安全威胁和漏洞

物理安全如果网络资源遭到物理破坏，攻击者就可以阻止用户使用网络资源。物理威胁可分为以下四类：硬件威胁——包括服务器、路由器、交换机、布线设备和工作站的物理损坏。环境威胁——包括极端温度（太热或太冷）或极端湿度（太湿或太干）。电气威胁——包括电压尖峰、供电电压不足（电压骤降）、未经处理的电源（噪声）和完全断电。维护威胁——包括关键电气元件处理不当（静电放电）、缺少关键备件、布线不良和标签不清晰。必须制定并实施完善的实体安全计划来解决这些问题。16.2网络攻击网络攻击

恶意软件类型恶意软件是恶意程序的简称。它是一种专门设计用于破坏、干扰、窃取数据、主机或网络，或对其进行“恶意”或非法操作的代码或软件。以下是几种常见的恶意软件类型：病毒——计算机病毒是一种恶意软件，它通过将自身副本插入并成为其他程序的一部分来进行传播。它会从一台计算机传播到另一台计算机，并在传播过程中留下感染痕迹。蠕虫——计算机蠕虫与病毒类似，它们会复制自身的功能副本，并造成相同类型的损害。但与需要通过感染宿主文件传播的病毒不同，蠕虫是独立的软件，无需宿主程序或人为干预即可传播。木马程序——它是一种伪装成合法程序的恶意软件。与病毒和蠕虫不同，木马程序不会通过感染其他文件进行传播，而是通过自我复制。木马程序必须通过用户交互才能传播，例如打开电子邮件附件或从互联网下载并运行文件。网络攻击

侦察攻击除了恶意代码攻击外，网络还可能遭受各种网络攻击。网络攻击可分为三大类：侦察攻击——发现和绘制系统、服务或漏洞图。访问攻击——未经授权对数据、系统访问权限或用户权限的篡改。拒绝服务攻击——网络、系统或服务的瘫痪或破坏。对于侦察攻击，外部威胁行为者可以使用诸如nslookup和whois之类的互联网工具，轻松确定分配给特定公司或实体的IP地址空间。确定IP地址空间后，威胁行为者可以ping通公开的IP地址，以识别哪些地址处于活动状态。网络攻击

访问攻击访问攻击利用身份验证服务、FTP服务和Web服务中的已知漏洞，以获取Web帐户、机密数据库和其他敏感信息的访问权限。访问攻击可分为四种类型：密码攻击——采用暴力破解、木马和数据包嗅探器等手段实施。信任利用——攻击者利用未经授权的权限获取系统访问权限，可能导致目标系统遭到入侵。端口重定向：攻击者利用被入侵的系统作为攻击其他目标的基地。例如，攻击者使用SSH（端口22）连接到被入侵的主机A。主机A受主机B信任，因此攻击者可以使用Telnet（端口23）访问主机B。中间人攻击——攻击者位于两个合法实体之间，目的是读取或修改双方之间传递的数据。网络攻击

拒绝服务攻击拒绝服务(DoS)攻击是最广为人知的攻击形式，也是最难消除的攻击形式之一。然而，由于其易于实施且可能造成重大损失，DoS攻击值得安全管理员特别关注。拒绝服务攻击（DoS攻击）形式多样。其最终目的是通过消耗系统资源来阻止授权用户使用服务。为了帮助预防DoS攻击，及时更新操作系统和应用程序的最新安全补丁至关重要。拒绝服务攻击（DoS攻击）风险巨大，因为它们会中断通信，造成巨大的时间和金钱损失。即使是经验不足的攻击者，也能相对轻松地实施此类攻击。DDoS攻击与DoS攻击类似，但它源自多个协同攻击源。例如，攻击者会构建一个由受感染主机（称为“僵尸主机”）组成的网络。僵尸主机网络被称为“僵尸网络”。攻击者使用命令与控制（C&C）程序来指示僵尸网络执行DDoS攻击。网络攻击

实验室——研究网络安全威胁在本实验中，你将完成以下目标：第一部分：浏览SANS网站第二部分：识别近期网络安全威胁第三部分：详细描述一个具体的网络安全威胁16.3网络攻击缓解措施网络攻击缓解：

纵深防御方法为了缓解网络攻击，首先必须保护包括路由器、交换机、服务器和主机在内的设备。大多数组织采用纵深防御（也称为分层防御）的安全策略。这需要多种网络设备和服务协同工作。为了保护组织的用户和资产免受TCP/IP威胁，我们部署了多种安全设备和服务：VPNASA防火墙IPSESA/WSAAAA服务器网络攻击缓解措施：

保留备份备份设备配置和数据是防止数据丢失最有效的方法之一。应按照安全策略中的规定定期执行备份。数据备份通常异地存储，以防主设施发生任何意外情况导致备份介质丢失。表格列出了备份注意事项及其说明。考虑描述频率按照安全策略中的规定，定期执行备份。完整备份可能很耗时，因此建议每月或每周进行一次完整备份，并经常对已更改的文件进行部分备份。贮存务必验证备份以确保数据完整性，并验证文件恢复程序。安全根据安全策略的要求，备份文件应按每日、每周或每月轮换的方式传输到经批准的异地存储地点。验证备份文件应使用强密码保护。恢复数据时需要输入密码。网络攻击缓解

升级、更新和补丁随着新型恶意软件的出现，企业需要及时更新防病毒软件的最新版本。缓解蠕虫攻击最有效的方法是从操作系统供应商处下载安全更新，并修补所有易受攻击的系统。解决关键安全补丁管理问题的一种方法是确保所有终端系统自动下载更新。网络攻击缓解措施：

身份验证、授权和计费身份验证、授权和计费（AAA，或“三重A”）网络安全服务为在网络设备上设置访问控制提供了主要框架。AAA是一种控制谁可以访问网络（身份验证）、他们在访问网络时执行哪些操作（授权）以及记录他们在网络期间所做的事情（记账）的方法。AAA的概念类似于信用卡的使用。信用卡可以识别谁可以使用它，用户可以消费多少，并记录用户消费了哪些商品。网络攻击缓解

防火墙网络防火墙位于两个或多个网络之间，控制它们之间的流量，并有助于防止未经授权的访问。防火墙可以允许外部用户对特定服务进行受控访问。例如，外部用户可访问的服务器通常位于称为非军事区(DMZ)的特殊网络中。DMZ使网络管理员能够对连接到该网络的主机应用特定的策略。网络攻击缓解措施：

防火墙类型防火墙产品以多种形式呈现。这些产品采用不同的技术来确定允许或拒绝哪些网络访问。它们包括以下几种：数据包过滤——根据IP或MAC地址阻止或允许访问应用程序过滤-根据端口号阻止或允许特定类型的应用程序访问URL过滤——根据特定URL或关键词阻止或允许访问网站。状态检测(SPI)——传入的数据包必须是对内部主机请求的合法响应。未经请求的数据包将被阻止，除非获得明确许可。SPI还可以识别并过滤特定类型的攻击，例如拒绝服务(DoS)攻击。网络攻击缓解

端点安全终端设备（或主机）是指充当网络客户端的单个计算机系统或设备。常见的终端设备包括笔记本电脑、台式机、服务器、智能手机和平板电脑。保护终端设备是网络管理员面临的最具挑战性的工作之一，因为它涉及到人性。公司必须制定完善的策略文档，员工也必须了解这些规则。员工需要接受网络正确使用方面的培训。相关策略通常包括使用防病毒软件和主机入侵防御系统。更全面的终端安全解决方案则依赖于网络访问控制。16.4设备安全CiscoAutoSecure设备安全

在设备上安装新操作系统时，安全设置会恢复为默认值。在大多数情况下，这种安全级别不足以保障安全。对于思科路由器，可以使用CiscoAutoSecure功能来增强系统安全。此外，还有一些适用于大多数操作系统的简单步骤：应立即更改默认用户名和密码。只有获得授权的个人才能访问系统资源。任何不必要的服务和应用程序都应尽可能关闭和卸载。通常情况下，制造商发货的设备会在仓库中存放一段时间，并且可能没有安装最新的补丁程序。因此，在部署之前，务必更新所有软件并安装所有安全补丁。设备安全

密码为了保护网络设备，使用强密码至关重要。以下是一些标准指南：密码长度至少为8个字符，最好为10个字符或更长。设置复杂密码。如果允许，密码应包含大小写字母、数字、符号和空格的组合。避免使用基于重复、常用字典单词、字母或数字序列、用户名、亲属或宠物名字、出生日期、身份证号码、祖先名字等个人信息或其他容易识别的信息作为密码。故意拼错密码。例如，Smith=Smyth=5mYth或Security=5ecur1ty。经常更改密码。如果密码在不知不觉中泄露，攻击者使用该密码的机会窗口是有限的。不要将密码写下来并放在显眼的地方，例如桌子上或显示器上。在思科路由器上，密码开头的空格会被忽略，但第一个字符之后的空格不会被忽略。因此，创建强密码的一种方法是使用空格键创建一个由多个单词组成的短语，称为密码短语。密码短语通常比简单的密码更容易记住，而且更长，更难被猜到。设备安全

附加密码安全为确保思科路由器和交换机上的密码安全，可以采取以下几个步骤：servicepassword-encryption命令加密所有明文密码。安全密码最小长度命令设置可接受的最小密码长度。登录阻止#次尝试#来阻止暴力破解密码攻击命令。exec-timeout命令在指定时间后禁用不活动的特权EXEC模式访问。设备安全

启用SSH可以通过以下步骤配置Cisco设备以支持SSH：配置唯一的设备主机名。设备必须具有除默认主机名之外的唯一主机名。配置IP域名。使用全局配置模式命令ip-domainname配置网络的IP域名。生成用于加密SSH流量的密钥。SSH用于加密源和目标之间的流量。但是，要实现这一点，必须使用全局配置命令`cryptokeygeneratersageneral-keysmodulus`生成唯一的身份验证密钥。

模数位数决定密钥的长度，可配置范围为360位到2048位。位值越大，密钥越安全。但是，较大的位值也会导致加密和解密信息所需的时间更长。建议的最小模数长度为1024位。验证或创建本地数据库条目。使用用户名全局配置命令创建本地数据库用户名条目。本地数据库进行身份验证。使用loginlocalline配置命令对vty线路进行本地数据库身份验证。启用vty入站SSH会话。默认情况下，vty线路不允许任何输入会话。您可以使用transportinput[ssh|telnet]命令指定多个输入协议，包括Telnet和SSH。设备安全

禁用未使用的服务思科路由器和交换机启动时会列出一系列活动服务，这些服务可能在您的网络中是必需的，也可能不是。禁用任何未使用的服务可以节省系统资源（例如CPU周期和内存），并防止攻击者利用这些服务。默认启用的服务类型会因iOS版本而异。例如，iOSXE通常只会开放HTTPS和DHCP端口。您可以使用`showipportsall`命令来验证这一点。IOS-XE之前的IOS版本使用showcontrol-planehostopen-ports命令。设备安全

数据包跟踪器–配置安全密码和SSH在此PacketTracer中，您将配置密码和SSH：网络管理员要求您准备RTA和SW1的部署。在它们连接到网络之前，必须启用安全措施。设备安全

实验室–使用SSH配置网络设备在本实验中，你将完成以下目标：第一部分：配置基本设备设置第二部分：配置路由器以进行SSH访问第三部分：配置交换机以进行SSH访问第四部分：通过交换机上的命令行界面进行SSH连接16.5模块练习和测验PacketTracer–安全网络设备模块练习和测验

在这个活动中，你将根据一系列要求配置路由器和交换机。

模块练习和测验

实验室–安全网络设备在本实验中，你将完成以下目标：配置基本设备设置在路由器上配置基本安全措施在交换机上配置基本安全措施

模块练习和测验：

我在本模块中学到了什么？威胁行为者获得网络访问权限后，可能会出现四种类型的威胁：信息盗窃、数据丢失和篡改、身份盗窃以及服务中断。主要存在三个漏洞或弱点：技术漏洞、配置漏洞和安全策略漏洞。物理威胁分为四类：硬件威胁、环境威胁、电气威胁和维护威胁。恶意软件是恶意程序的简称。它是一种专门设计用来破坏、干扰、窃取数据、主机或网络，或对其进行“恶意”或非法操作的代码或软件。病毒、蠕虫和木马都是恶意软件的类型。网络攻击可分为三大类：侦察攻击、访问攻击和拒绝服务攻击。为了降低网络攻击风险，首先必须保护包括路由器、交换机、服务器和主机在内的设备。大多数组织都采用纵深防御的安全策略。这需要多种网络设备和服务协同工作。为了保护组织的用户和资产免受TCP/IP威胁，实施了多种安全设备和服务：VPN、ASA防火墙