收藏
下载资源

CCNA_Security_02

上传人:飞*** 文档编号:47557089 上传时间:2018-07-02 格式:PPTX 页数:97 大小:3.88MB
返回 下载 相关 举报
CCNA_Security_02_第1页
第1页 / 共97页
CCNA_Security_02_第2页
第2页 / 共97页
CCNA_Security_02_第3页
第3页 / 共97页
CCNA_Security_02_第4页
第4页 / 共97页
CCNA_Security_02_第5页
第5页 / 共97页
点击查看更多>>
资源描述

《CCNA_Security_02》由会员分享,可在线阅读,更多相关《CCNA_Security_02(97页珍藏版)》请在金锄头文库上搜索。

1、1CCNA 安全 第二章第二章: : 保护网络设备保护网络设备2目 标1、用CLI和SDM安全的管理访问权访问权 限2、用权限级别和基于角色的CLI配置管理角色3、实现SYSLOG,SNMP,SSH和NTP的管理和报告功能4、用Cisco SDM的安全审计审计 功能检查路由器配置 5、用 auto secure 命令或一步锁定(One-Step Lockdown )特性3第二章第二章: : 保护网络设备保护网络设备 2.12.1 保护对设备的访问保护对设备的访问 2.22.2 分配管理角色分配管理角色 2.32.3 监控和管理设备监控和管理设备 2.42.4 使用自动安全特性使用自动安全特性4

2、2.1 保护对设备的访问52.1 保护对网络设备的访问 2.1.1 2.1.1 保护边界路由器保护边界路由器 2.1.2 2.1.2 配置安全的配置安全的管理访问管理访问 2.1.3 2.1.3 为为虚拟登录虚拟登录配置增强的配置增强的安全性安全性 2.1.4 2.1.4 配置配置SSHSSH62.1.1 保护边界路由器单一路由器法单一路由器法纵深防御方法纵深防御方法DMZ DMZ 方法方法7路由器安全的范围路由器安全的范围物理位置物理位置, UPS, UPS电源电源安全的管理控制安全的管理控制, ,关闭未用端口和关闭未用端口和 接口和不需要的服务接口和不需要的服务2.1.1 保护边界路由器内

3、存内存, , 最新的最新的IOSIOS版本版本, ,路由器路由器 OSOS的映像文件和路由器配置文的映像文件和路由器配置文 件的安全副本件的安全副本8 保护管理访问 1、限制限制对设备 的访问 2、对所有访问做日志日志和记帐记帐记帐记帐 3、对访问进 行认证认证认证认证 4、对动作授授权权权权 5、呈现合法的通知合法的通知 6、确保数据的机密性机密性2.1.1 保护边界路由器9本地与远程访问InternetLAN 1R1本地访问管理员主机console端口LAN 2R1 InternetR2FirewallLAN 3管理LAN管理员主机t日志主机远程访问Telnet, SSH, HTTP or

4、 SNMPTelnet, SSH, HTTP or SNMPConsole, AUXConsole, AUX2.1.1 保护边界路由器102.1.2 配置安全的管理访问1、密码2、访问端口密码3、密码安全4、创建用户111、密码设置要求 (1)密码长度10R1(config)# R1(config)# security passwords min-length 10security passwords min-length 10 (2)复杂的密码 (3)不用字典词汇、用户名等,如: “Security = 5ecur1ty” (4)经常改变密码 (5)把密码保存在私密的地方2.1.2 配置安全

5、的管理访问122、设置访问端口的密码R1(config)# enable secret ciscoenable secret ciscoR1(config)# line con 0 R1(config-line)# password cisco R1(config-line)# loginR1(config)# line aux 0 R1(config-line)# password cisco R1(config-line)# loginR1(config)# line vty 0 4line vty 0 4 R1(config-line)# password ciscopassword c

6、isco R1(config-line)# loginlogin2.1.2 配置安全的管理访问133、密码安全设置2.1.2 配置安全的管理访问144、创建用户参数说明name指定用户名0(可选).这个选项指出明文密码被路由器用MD5进行散列password明文密码,用MD5进行散列运算。5(可选).这个选项指出加密的安全密码被路由器用MD5进行 散列 encrypted-secret加密的安全密码,用MD5进行散列运算。username username namename secretsecret 0 0passwordpassword|5|5encrypted-secretencrypte

7、d-secret 2.1.2 配置安全的管理访问154、创建用户2.1.2 配置安全的管理访问162.1.3 为虚拟登录配置增强的安全性 1 1、虚拟登录虚拟登录的安全的安全 2 2、增强增强的登录特性的登录特性 3 3、系统、系统日志日志消息消息 4 4、登录消息、登录消息171、为获得更好虚拟登录连接的安全性应配置以下参数: (1 1)连续两次成功登录之间的)连续两次成功登录之间的延迟延迟 (2 2)如果检测到)如果检测到DoSDoS攻击,应关闭攻击,应关闭登录登录. . (3 3)为登录建立系统)为登录建立系统日志日志. .2.1.3 为虚拟登录配置增强的安全性18阻塞登录的block-

8、for命令 如果在如果在6060秒内超过秒内超过5 5次登录失败,登录将被次登录失败,登录将被禁止禁止120120秒秒2.1.3 为虚拟登录配置增强的安全性2、增强的登录安全特性19login block-for 两种模式1 1)常规模式(观察模式)常规模式(观察模式)2.1.3 为虚拟登录配置增强的安全性2、增强的安全登录特性20login block-for 两种模式2 2)安静模式(安静期)安静模式(安静期) 6th attempt6th attempt2.1.3 为虚拟登录配置增强的安全性 2、增强的登录安全特性21配置登录block-for 命令2.1.3 为虚拟登录配置增强的安全性

9、 2、增强的登录安全特性222.1.3 为虚拟登录配置增强的安全性3、配置系统日志消息23登录登录block-forblock-for命令命令示例示例244、登录消息R1(config)# bannerbanner exec | incoming | login | motd | slip-ppp exec | incoming | login | motd | slip-ppp d message dd message d2.1.3 为虚拟登录配置增强的安全性R1(config)# banner banner motd #This equipment motd #This equipment

10、 is privately owned and is privately owned and access is logged. access is logged. Disconnect immdiately Disconnect immdiately if you are no an if you are no an authorized user. authorized user. Violators will be Violators will be prosecuted the fullest prosecuted the fullest extent of the law.#exte

11、nt of the law.#252.1.4 配置 SSH 1 1、配置路由器(准备工作)、配置路由器(准备工作) 2 2、SSH SSH 命令命令 3 3、连接到路由器、连接到路由器 4 4、使用、使用SDMKSDMK配置配置SSHSSH守护进程守护进程261、配置路由器(准备工作)(1 1)确保)确保 IOS: = IOS: =12.1(T)12.1(T), ,以支持以支持 SSHSSH(2 2)确保路由器有唯一的)确保路由器有唯一的主机名主机名 ( (不要使用不要使用 RouterRouter) )(3 3)确保路由器使用正确)确保路由器使用正确网网络络络络域名域名(必须设置)(必须设置

12、)(4 4)本地本地验证验证验证验证 或者或者AAAAAA 需要用需要用户户名和密名和密码码2.1.4 配置 SSH27SSH简单的运行过程 1、Client端向Server端发起SSH连接请求。 2、Server端向Client端发起版本协商。 3、协商结束后Server端发送Host Key公钥 Server Key公钥 ,随机数等信息。到这里所有通信是不加密的。 4、Client端返回确认信息,同时附带用公钥加密过的一个随 机数,用于双方计算Session Key。 5、进入认证阶段。从此以后所有通信均加密。 6、认证成功后,进入交互阶段。2.1.4 配置 SSH282、SSH配置R1#

13、 conf t R1(config)# ip domain-name ip domain-name R1(config)# crypto key generate rsa general-keys modulus crypto key generate rsa general-keys modulus 10241024 The name for the keys will be: R% The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non- exportable.OKR1(conf

14、ig)# *Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled R1(config)# username Bob secret ciscousername Bob secret cisco R1(config)# line vty 0 4line vty 0 4 R1(config-line)# login login locallocal R1(config-line)# transport input sshtransport input ssh R1(config-line)# exitexit1. 配置网络的 I

15、P域名2. 产生单向密钥3. 验证或创建一个本地用 户名数据库入口4. 启用 VTY 入向的 SSH会话2.1.4 配置 SSH29可选的SSH命令R1# show ip sshshow ip ssh SSH Enabled - version 1.991.99 Authentication timeout: 120120 secs; Authentication retries: 3 3 R1# R1# conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# ip ssh version ip ssh version 2 2 R1(config)# ip ssh time-out ip ssh time-out 6060 R1(config)# ip ssh authentication-retries ip ssh authentication-retries 2 2 R1(config)# Z R1# R1# show ip sshshow ip ssh SSH Enabled - version 2.0 Authentication timeout: 60 secs; Authentication retries: 2 R1#2.1.4 配置 SSH3

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 商业/管理/HR > 其它文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号