网络信息安全员(高级)——01网络设备的使用和维护.ppt

1、网络信息安全管理员,高级网络安全员培训,第一讲 网络设备的使用和维护,网络信息安全技术,交换机 路由器 外围防火墙设计 网络设计指南,网络信息安全技术,交换机 路由器 外围防火墙设计 网络设计指南,交换机,交换机用来将网络的物理网段链接在一起，并允许数据在这些网段之间移动。交换机工作在OSI模型的第2层，根据第2层地址（例如以太网MAC地址）指导数据流。某些交换机还提供其他功能，例如VLAN和第3层交换。 交换机自动进行自身配置。它们侦听每个以太网端口的数据流，发现每个连接设备连接到哪一个端口。然后，交换机直接向目标端口发送数据流。除非需要激活其他功能，否则，交换机不需要配置，这是安装网络时的

2、一个主要优点。交换过程是在线路速度非常高且没有滞后时间的硬件中执行的。,交换机,网络数据流包括广播消息，这些消息必须复制到对大型网络有重要影响的每个端口。由于大多数用户想要与有限的一组服务器和关联设备进行通信，所以，可以只在该组中发送所有广播数据流。减少广播数据流的一个方法是为每个组提供一个交换机，然后将它们一同链接到一个路由器，因为路由器不传输广播。另一个方法是在交换机上使用VLAN。VLAN是一组设备，这些设备实际位于许多不同的物理LAN网段，但被配置为像连接到同一条线上那样进行通信。来自VLAN一个成员的广播只发送给同一VLAN的其他成员，因此降低了广播数据流的传播。,交换机和路由器的常

3、见功能,可伸缩性 高速以太网支持 复原能力 可管理性 IP电话(VoIP),安全性 制造商的支持 产品范围和制造商生存能力 成本 性能,交换机的特定功能,生成树协议：生成树协议用于计算交换机之间的最佳路径（当网络中存在多个交换机和多个路径时）。只有使用此协议，才能避免数据同时通过多个路径发送而导致数据重复 VLAN支持：VLAN支持可以在任何大小的网络上使用，但是在安装了一些特大型交换机的情况下，特别需要 上行链路连接性：上行链路用于将网络中的交换机连接在一起 合并：交换机中合并其他功能可以降低成本和提高可管理性。 例如，用于小分支机构的低成本交换机还可以包括路由器和防火墙，甚至可以包括宽带调

4、制解调器,低端固定交换机,低端可变交换机,中型交换机,高端交换机,交换机安全性,在网络设计中，安全性非常重要。设计者既要控制来自Internet的外部入侵，又要控制有内部网络访问权限的内部员工或其他人员发动内部入侵。应注意保护的主要领域有四个： 控制通过交换机或路由器入侵 控制对交换机或路由器入侵 控制交换机或路由器的管理员访问权限 路由器和交换机的物理保护 交换机和路由器是通过网络传输数据包的，它们也是滤除入侵企图的第一道防线。背后则是有高级过滤功能的防火墙。这种过滤还应阻止对网络设备本身的攻击。大多数交换机和路由器都可重新配置，因此必须实行严格的控制，进而限制拥有管理权限的人员。应特别注意

5、的是：多数路由器和交换机都存在一些后门访问方法，它们能避开逻辑安全设置，因此应将这些设备物理锁定以防止这种入侵。,交换机安全性注意事项,与路由器类似，你必须确保交换机本身不被重新配置。必须使用安全管理接口，确保交换机已应用了最新的软件修补程序和更新，控制管理访问权限，并提供物理安全性。 下列配置类别可帮助你实现交换机的安全配置： 修补程序和更新 VLAN 使用管理访问控制系统 禁用未使用的端口 服务 加密,网络信息安全技术,交换机 路由器 外围防火墙设计 网络设计指南,路由器功能,路由协议 WAN链接 网络地址转换(NAT) 动态主机配置协议(DHCP) 防火墙 虚拟路由器冗余协议（VRRP协

6、议） 虚拟专用网(VPN),软件路由器,低端固定路由器,低端可变路由器,中型路由器,高端路由器,ISP路由器,路由器安全性注意事项,修补程序和更新 协议：使用出入过滤、将ICMP数据流从内部网络中屏蔽 、阻止跟踪路由（如traceroute)、控制广播数据流、阻止其他不必要的数据流 管理访问：应用强密码策略、使用管理访问控制系统、禁用未使用的接口、考虑静态路由、关闭基于Web的配置 服务：必须关闭不必要的默认服务 审核和日志 入侵检测 控制物理访问,网络信息安全技术,交换机 路由器 外围防火墙设计 网络设计指南,外围防火墙设计,防火墙是一种用于控制两个网络之间的IP通信的机制，通常是在OSI模

7、型的第三层运行的，但是某些型号也可以在更高层运行。防火墙通常会提供下列保护功能：保护内部服务器不会受到网络攻击、执行网络使用和访问策略、监视通信并在检测到可疑情况时生成警报。 要注意的重要一点是，防火墙只能降低某些类型的安全性危险。防火墙通常无法防止对具有软件缺陷的服务器造成的损害。防火墙应该作为一个组织的综合安全体系结构的一部分进行实现。 外部攻击 内部攻击,入侵的类型,数据包嗅探器 IP欺骗 拒绝服务攻击 应用程序层攻击 网络侦察 病毒/特洛伊木马,防火墙功能,网络适配器输入筛选器 静态数据包筛选器 网络地址转换(NAT) 状态检查 线路层检查 代理 应用程序层筛选,防火墙类别,个人防火墙

8、 路由器防火墙 低端硬件防火墙 高端硬件防火墙 服务器防火墙,外围防火墙的选择,设置外围防火墙是为了满足组织边界之外用户的需要。这些用户类型可能包括： 信任。组织的员工，如各个分支办事处工作人员、远程用户或者在家工作的用户。 部分信任。组织的业务合作伙伴，这类用户的信任级别比不受信任的用户高。但是，这类用户通常又比组织的员工低一个信任级别。 不信任。例如，组织公共网站的用户。,防火墙可用性,要增加外围防火墙的可用性，可以将其实现为带有冗余组件的单个防火墙设备，或者实现为一个冗余防火墙对，其中结合一些类型的故障转移和/或负载平衡机制。 单个无冗余组件的防火墙 单个带冗余组件的防火墙 容错防火墙

9、容错防火墙配置,单个无冗余组件的防火墙,单个无冗余组件的防火墙,单个带冗余组件的防火墙,单个带冗余组件的防火墙,容错防火墙,容错防火墙为每个防火墙配置备用装置,容错防火墙,容错防火墙配置,实现容错防火墙集（通常称为群集）时，有两种主要的方法 主动/被动容错防火墙 主动/主动容错防火墙,主动/被动容错防火墙 主动/主动容错防火墙,容错防火墙配置,网络信息安全技术,交换机 路由器 外围防火墙设计 网络设计指南,网络体系结构,网络中当前有多少设备？有多少设备需要连接？预计将来有多大的增长？ 哪些设备要与其他设备进行通信？ 需要通信的不同设备之间需要多少带宽？ 在网络设计中，什么地方需要交换机（和路由

10、器）？ 是否需要虚拟局域网(VLAN)？如果需要的话，需要多少？在每个VLAN上有哪些主机？是否将在VLAN之间执行路由？ 可接受的滞后时间是多少？,网络设计-两种结构,路由协议,路由信息协议(RIP) 开放式最短路径优先(OSPF) 边界网关协议(BGP),可用性,网络需要高可用性，网络越大，所需的可用性越高。有许多方法可以配置和查找路由器和交换机，以满足这些可用性需求。包括重复组件（如网络设备中的电源和引擎）和重复设备本身。后者会大大增加成本，但是可以提供完全的复原解决方案。,安全网络特征快照-路由器,（1）修补程序和更新：使用最新软件来修补路由器操作系统 （2）协议： 阻止未使用的协议和

11、端口 实施出入过滤 将ICMP数据流从内部网络中屏蔽 禁用跟踪路由 不转发直接广播数据流 屏蔽庞大的Ping数据包 在最外路由器中阻止路由信息协议(RIP)数据包(如果有) 使用静态路由,安全网络特征快照-路由器,(3) 管理访问： 强制执行强管理密码策略。 使用管理访问控制系统。 禁用路由器中未使用的管理接口。 禁用基于Web的管理。 (4) 服务：禁用未使用的服务（例如bootps和Finger）。 (5) 审核和日志： 为所有拒绝的数据流启用日志。 对日志进行集中保存和保护。 审核日志，检查是否存在非正常模式。 (6) 入侵检测：设置IDS以确认和通知活动攻击。 (7) 物理访问：限制物理访问。,安全网络特征快照-交换机,修补程序和更新：测试并安装最新的安全修补程序，减轻来