第一章网络设备安全.ppt

1、网络安全管理员,目录,第一章 网络设备安全 第二章 局域网安全攻防技术 第三章 网络边界流量控制及入侵防御技术 第四章 接入安全与准入技术 第五章 linux系统安全 第六章 漏洞的利用和木马,第一章网络设备安全,返回,提纲,1.1局域网设备安全 交换机设备安全 交换机设备用户访问控制 其他交换机访问设置 服务器设备安全 1.2 互联网边界设备安全 防火墙安全 互联网准入设备安全,1.1局域网设备安全,1.1局域网设备安全设备物理安全,保证设备物理安全是一切安全的基础 设备机房制定严格的规章制度 有权利访问交换机的用户使用的访问方式 机房在建设时应考虑防雷，接地安全,1.1局域网设备安全交换机

2、设备安全,构建安全的控制台访问 交换机中的控制台访问设置。 switch#sh ver DCRS-5526S Device, May 24 2007 12:13:15 HardWare version is 2.00 SoftWare version is DCRS-5526S_ OS version is OS_9 BootRom version is DCRS-5526S_1.3.3 Copyright (C) 2001-2006 by Digital China Networks Limited. All rights reserved. System up

3、 time: 0 days, 0 hours, 0 minutes, 36 seconds.）,1.1局域网设备安全交换机设备用户访问控制,配置特权用户密码 switch(Config)#enable password level admin 密码密文显示 switch(Config)#telnet-user user password 7 passfor,1.1局域网设备安全其他交换机访问设置,telnet登录设置 switch(Config)#telnet-user user1 password ? - Hide the password when showing (0/7) Web方式登

4、录设置 switch(Config)#ip http server web server is on switch(Config)#web-user web1 password 7 123,1.1局域网设备安全其他交换机访问设置,在浏览器地址栏输入：为交换机配置的IP地址，回车后，可以看到如下界面：,1.1局域网设备安全web登录设置,此处输入刚才添加的用户和口令单击登录就可以进入了，如图,1.1局域网设备安全web登录设置,此界面即为web方式管理交换机的主界面,1.1局域网设备安全服务器设备安全,警告标语(Warning Banners) SSH访问 禁用不需要的服务 终端安全,1.1局域

5、网设备安全警告标语(Warning Banners),警告标语用来警告有破坏企图的使用者消除不良动机，意在防患于未然，通常服务器可以根据服务性质设置警告性的语句。,1.1局域网设备安全SSH访问,第一种级别（基于口令的安全验证）只要知道自己帐号和口令，就可以登录到远程主机，所有传输的数据都会被加密。 第二种级别（基于密匙的安全验证）需要依靠密匙，也就是用户必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。,1.1局域网设备安全SSH 主要组成部分,传输层协议 SSH-TRANS 提供了服务器认证，保密性及完整性。 用户认证协议 SSH-USERAUTH 用于向服务器提供客户端用户鉴别

6、功能。 连接协议 SSH-CONNECT 将多个加密隧道分成逻辑通道。,1.1局域网设备安全SSH的组成,服务端是一个守护进程(deamon)，他在后台运行并响应来自客户端的连接请求 客户端可以包含ssh程序以及像scp（远程拷贝）、slogin（远程登录）、sftp（安全文件传输）等其他的应用程序。,1.1局域网设备安全SSH所能防范的网络攻击,1.1局域网设备安全禁用不需要的服务,禁用服务可以在windows系统中使用如下的方式进行。单击开始程序管理工具服务，如下所示为本地服务的启动、停止和查看界面。,1.1局域网设备安全禁用不需要的服务,本例中选择将已经启动的第三项服务禁用，过程如下,1

7、.1局域网设备安全禁用不需要的服务,双击选择的服务选择已禁用,1.1局域网设备安全终端安全,部署防病毒软件,1.1局域网设备安全部署防病毒软件的原则,功能多样化vs短板效应 传统vs创新 “杀”vs“防” 效率vs安全,1.2互联网边界设备安全,1.2互联网边界设备安全互联网边界设备安全,设备维护人员都应该对设备的管理制定相应的规章制度。了解相关条款，明确管理员的责任和义务。,1.2互联网边界设备安全路由设备安全,一是主机(包括用户主机和应用服务器等)的安全 二是网络自身(主要是网络设备，包括路由器、交换机等)的安全,1.2互联网边界设备安全关闭不必要的服务防止路由器受到不必要的攻击,可以使用

8、类似以下的命令将设备中不需要的服务关闭（主要是“no”命令的使用）： no service finger no service udp-small-server no service tcp-small-server no ip http server 另外，某些服务对网络的安全运行有很大的帮助，应该打开： service tcp-keepalives-in debug datetime msec localtime show-timezone show-timezone,1.2互联网边界设备安全防火墙安全,防火墙接入安全 防火墙访问安全 防火墙配置安全,1.2互联网边界设备安全防火墙接入安全

9、,由于防火墙本身的抗病毒和抗攻击能力较弱，因此，防火墙与易传播病毒的网络（如外网）之间最好增加一道屏障，如路由器,1.2互联网边界设备安全防火墙访问安全,SSH管理访问 HTTPS管理访问 SSL介绍,1.2互联网边界设备安全SSH管理访问,SSH管理访问 如需使用SSH方式进行设备管理，一般需要事先在防火墙中进行一些配置，如下（请注意本节最后部分示意的防火墙版本事项）： DCFW-1800(config)# interface ethernet0/0 DCFW-1800(config-if-eth0/0)# manage ssh DCFW-1800(config-if-eth0/0)# ex

10、it DCFW-1800(config)# ssh port 29 2009-02-10 17:48:37, Event WARNINGMGMT: SSH server port is changed to 29 ssh server work on the port: 29!,1.2互联网边界设备安全SSH管理访问,在客户端，可以使用诸如secureCRT这样的客户端软件来实现SSH的访问，过程如下：,1.2互联网边界设备安全SSH管理访问,首先打开应用程序，界面如下,1.2互联网边界设备安全SSH管理访问,在主界面中单击“快速连接”（如图示），出现如下界面：,1.2互联网边界设备安全SSH

11、管理访问,注意在此处输入的信息与防火墙的连接端口地址信息和ssh服务端口应一致。单击”connect”，站点返回如下,1.2互联网边界设备安全SSH管理访问,输入正确的用户名和口令，单击”ok”,1.2互联网边界设备安全SSH管理访问,登录后，可以看到在界面的最下面，系统提示了使用AES-256加密的SSH连接已经建立。,1.2互联网边界设备安全HTTPS管理访问,HTTPS（全称：Hypertext Transfer Protocol over Secure Socket Layer）。 使用端口为“443” 它作用可以分为两种：建立信息安全通道，保证数据传输安全；另一

12、种是确认网站的真实性。,1.2互联网边界设备安全SSL,SSL协议提供的服务主要有： 认证用户和服务器，确保数据发送到正确的客户机和服务器； 加密数据以防止数据中途被窃取； 维护数据的完整性，确保数据在传输过程中不被改变。,1.2互联网边界设备安全SSL,SSL协议的工作流程： 服务器认证阶段 用户认证阶段,1.2互联网边界设备安全SSL 协议,客户端和服务器相互传送版本号，加密算法的种类，随机数。由客户端发起。 客户端验证服务器的合法性。 用户端产生“对称密码”，然后用公钥加密，后将加密的“预主密码”传给服务器。,1.2互联网边界设备安全SSL 协议,用户端产生“对称密码”，然后用公钥加密，后将加密的“预主密码”传给服务器。 （可选），用户建立随机数对其进行数据签名，将随机数和客户端的证书以及加密过的“预主密码”一起传给服务器。,1.2互联网边界设备安全SSL 协议,服务器检验客户证书和签名随机数的合法性，（客户端也将通过同样的方法产生相同的主通讯密码）。 服务器和客户端用相同的“通话密码”，一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。,1.2互联网边界设备安全SSL 协议,客户端和服务器端互相发出信息，指明后面的数据通讯主密码为对称密钥，同时通知服务器客户端