1-网络设备安全

《1-网络设备安全》由会员分享，可在线阅读，更多相关《1-网络设备安全（43页珍藏版）》请在金锄头文库上搜索。

1、网络设备安全,目录,1.1 网络基础 1.2 典型网络设备 1.3 网络设备安全,网络安全问题,事发的5月18日22时左右，域名解析服务器DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击，导致DNSPod的6台解析服务器开始失效，大量网站开始间歇性无法访问。 从2009年5月19日21：06开始，江苏、安徽、广西、海南、甘肃、浙江 等6个省份的中国电信网络用户发现无法登录网络，与此同时，电信的客服部门源源不断地开始接到客户的投诉。 5月20日下午，根据工业和信息化部通信保障局发布的公告，确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器

2、收到大量异常请求而引发拥塞。,1.1 网络基础,1.1.1 网络的概念,计算机网络是通过通信线路和通信设备将多个具有独立功能的计算机系统连接起来，按照网络通信协议实现资源共享和信息传递的系统。,1.1.2 通信协议的概念,通信协议是为使计算机之间能够正确通信，而制定的通信规则、约定和标准。 在开始通信之前需要确定的事情： 通信的发送方、接收方 一致的通信方法 相同的语言 注意传递的速度和时间 证实或确认要求,语义 发送方、接收方,语法 双方一致同意的通信方法 通信语言和语法,时序 传递的速度和时间 证实或确认要求,通信协议,网络通信协议的问题：计算机间通信仅靠一个通信协议无法完成！ 解决方法：

3、网络分层 各层内使用自己的通信协议完成层内通信； 各层间通过接口提供服务； 各层可以采用最适合的技术来实现； 各层内部的变化不影响其他层。,定义传输介质、信号波形（电压、电流）等，实现比特流传输。,定义差错控制、流量控制机制,如何在通信网络间选择路由,端到端可靠数据传输,建立维护通信双方的会话连接,信息表示方法（数据格式）,为应用提供网络通信服务,1.1.3 网络体系结构,按照TCP/IP模型搭建计算机网络时， 在计算机上需要安装配置的组件。,3.计算机上安装的网卡 （或者其它通信接口） 、网线。,2.计算机上的TCP/IP通信程序， 一般随操作系统安装，但需要 用户配置用于网络路由的地址。,

4、1.计算机上的网络应用程序， 例如IE浏览器、QQ程序,这是计算机使用TCP/IP模型进行通信的标志,AH,1.1.4 TCP/IP网络中数据传输过程,计算机A,计算机B,电子邮件数据,AH,AH,AH,数据段,数据包,数据帧,比特流,封装/重组,1.2 典型网络设备,使用TCP/IP模型通信的网络设备,路由器,企业级的二层交换机,桌面二层交换机,计算机A,计算机B,计算机A,计算机B,计算机A与计算机B之间通信的数据传输过程,1.2.1 交换机,交换机可以将 LAN 细分为多个单独的冲突域，其每个端口都代表一个单独的冲突域，为该端口连接的节点提供完全的介质带宽。,交换机的工作原理 选择性转发

5、,以太网 LAN 交换机采用五种基本操作来实现其用途： 获取 过期 泛洪 选择性转发 过滤,1,交换机的分类,按是否可配置分类,按端口速率分类 10Mbps、100Mbps、1000Mbps 按是否可物理扩展分类,按转发方式分类,按照工作层次分类： 二层交换机 三层交换机,VLAN的概念,3rd Floor,2nd Floor,1st Floor,计算机系,邮政系,金融系,A VLAN = A Broadcast Domain = Logical Network (Subnet),物理拓扑,逻辑拓扑（3台交换机）,三个广播域,一个广播域,1.2.2 路由器,路由器是专门用于路由的计算机 为数据

6、报文选择到达目的地址的最佳路径 将数据报文转发到正确的输出端口,路由器工作在网络层，实现不同网段之间的通信。,路由器核心：路由表 目的地址、子网掩码 下一跳地址、输出端口 注意：路由器的路由描述方式是局部的,RTB#show ip route -output omitted- 10.0.0.0/24 is subnetted, 1 subnets R 10.1.1.0 120/1 via 11.1.1.1, 00:00:25, Serial0/1 11.0.0.0/24 is subnetted, 1 subnets C 11.1.1.0 is directly connected, Seri

7、al0/1 12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial0/0 13.0.0.0/24 is subnetted, 1 subnets O 13.1.1.0 110/65 via 12.1.1.2, 00:00:13, Serial0/0,RTBdisplay ip routing-table Routing Tables: Public Destinations : 10 Routes : 10 Destination/Mask Proto Pre Cost NextHop Inter

8、face 10.1.1.0/24 RIP 100 1 11.1.1.1 S2/0 11.1.1.0/24 Direct 0 0 11.1.1.2 S2/0 11.1.1.1/32 Direct 0 0 11.1.1.1 S2/0 11.1.1.2/32 Direct 0 0 127.0.0.1 InLoop0 12.1.1.0/24 Direct 0 0 12.1.1.1 S1/0 12.1.1.1/32 Direct 0 0 127.0.0.1 InLoop0 12.1.1.2/32 Direct 0 0 12.1.1.2 S1/0 13.1.1.0/24 OSPF 10 1563 12.1

9、.1.2 S1/0 127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0 127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0,路由器和三层交换机的比较,第 3 层交换机可以像专用路由器一样在不同的 LAN 网段之间路由数据包。 专用路由器在支持WAN接口卡 (WIC)方面更加灵活，这使得它成为用于连接 WAN的首选设备，而且有时是唯一的选择。 第3层交换机不能完全取代网络中的路由器。,1.2.3 典型网络拓扑结构,在汇聚层交换机上进行VLAN的创建，并在接入层交换机上通过将接入端口指定到相应的VLAN中来按部门划分广播域，由汇聚层交换

10、机实现其下的接入层各VLAN之间的路由。在汇聚层交换机和核心层交换机之间运行动态路由选择协议，由核心层交换机实现整个局域网的路由。 对于带宽需求较高的部分，在接入层交换机和汇聚层交换机之间进行链路聚合。 对网络可用性要求较高的部分，进行设备和链路的冗余，保障可用性的同时，通过负载均衡提高网络通信效率。,1.3 网络设备安全,1.3.1 网络设备自身安全保障,禁止不必要的网络服务 禁止HTTP服务 禁止DNS服务 禁止IP源路由选择 禁止ICMP重定向 禁止ARP代理服务 禁止直接广播 禁止CDP 禁止SNMP协议服务,关闭不使用的接口或端口 使用SSH代替Telnet进行设备远程访问管理 严格

11、控制远程访问用户的权限 对于远程访问进行严格的限制 交换机管理VLAN与业务VLAN相独立,1.3.2 交换机数据安全,静态配置端口类型，避免DTP协商导致的VLAN跳跃攻击 对于Trunk链路，明确配置其能传输的VLAN数据。 对于CISCO交换机，尽量不要使用VTP协议功能。,1.3.3 路由协议安全,RIP协议安全 配置抑制接口 配置MD5认证 OSPF协议安全 配置MD5认证,1.3.4 局域网安全,AAA认证 Authentication：认证，对访问网络的用户的身份进行认证，判断访问者是否为合法的用户； Authorization：授权，为认证通过的不同用户赋予不同的权限，限制用户

12、可以访问的资源和使用的服务； Accounting：计费，用来记录用户的操作和使用的网络资源，包括使用的服务类型、起始时间和数据流量等，在计费的同时对网络安全情况进行监控。,IEEE 802.1x技术 在以太网接入设备的端口一级对所接入的设备进行认证和控制。在应用了IEEE 802.1x的交换机端口上，如果该端口连接的终端设备能够通过认证，就可以访问网络中的资源；而如果不能通过认证，则无法访问网络中的资源。,端口安全技术 基于MAC地址对网络接入进行控制的安全机制，它通过定义各种端口安全模式，让网络设备的端口学习到该端口下的合法的终端MAC地址； 通过检测端口收到的数据帧中的源MAC地址来控制

13、非授权设备对网络的访问； 通过检测从端口发出的数据帧中的目的MAC地址地址来控制对非授权设备的访问。 端口安全模式 noRestrictions模式 autolearn模式 secure模式,端口绑定技术 将用户的IP地址和MAC地址绑定到指定的交换机端口上，使交换机只对从相应端口收到的指定IP地址和指定MAC地址的数据报文进行转发，从而实现对端口转发的报文进行过滤控制，增强端口的安全性，实现IP源防护（IP Source Guard，IPSG）功能。 交换机上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN等六种绑定表项的组合，因此它既支持IP+MAC

14、的绑定，也支持单独只绑定IP地址或单独只绑定MAC地址。,DHCP Snooping技术 保证客户端从合法的DHCP服务器获取IP地址。 将连接DHCP服务器的端口指定为信任端口，而将其它的端口指定为不信任端口来保证客户端从合法的DHCP服务器获取IP地址。 在不信任端口上配置DHCP报文限速功能来防范基于DHCP请求的DoS攻击。 监听DHCP报文，记录客户端的IP地址与MAC地址。 监听DHCP-REQUEST报文和从信任端口上收到的DHCP-ACK报文，记录客户端的MAC地址以及动态获得的IP地址，并将其保存到DHCP Snooping绑定表中。通过读取DHCP Snooping绑定表中

15、表项的内容可以生成动态端口绑定表项，从而实现动态IP地址与端口的绑定。,终端准入控制（End user Admission Domination，EAD）,1、有时候读书是一种巧妙地避开思考的方法。20.9.2620.9.26Saturday, September 26, 2020 2、阅读一切好书如同和过去最杰出的人谈话。16:15:0416:15:0416:159/26/2020 4:15:04 PM 3、越是没有本领的就越加自命不凡。20.9.2616:15:0416:15Sep-2026-Sep-20 4、越是无能的人，越喜欢挑剔别人的错儿。16:15:0416:15:0416:15S

16、aturday, September 26, 2020 5、知人者智，自知者明。胜人者有力，自胜者强。20.9.2620.9.2616:15:0416:15:04September 26, 2020 6、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2020年9月26日星期六下午4时15分4秒16:15:0420.9.26 7、最具挑战性的挑战莫过于提升自我。2020年9月下午4时15分20.9.2616:15September 26, 2020 8、业余生活要有意义，不要越轨。2020年9月26日星期六4时15分4秒16:15:0426 September 2020 9、一个人即使已登上顶峰，也仍要自强不息。下午4时15分4秒下午4时15分16:15:0420.9.26 10、你要做多大的事情，就该承受多大的压力。9/26/2020 4:15:04 PM16:15:042020/9/26