《网络攻防与协议分析教学课件第五章 网络设备安全配置》由会员分享,可在线阅读,更多相关《网络攻防与协议分析教学课件第五章 网络设备安全配置(25页珍藏版)》请在金锄头文库上搜索。
1、第五章第五章 网络设备安全配置网络设备安全配置机械工业出版社机械工业出版社2路由器基本安全配置路由器基本安全配置SNMPSNMP、NTP NTP 和和 DNS DNS 漏洞:漏洞:协协 议议漏漏 洞洞SNMPSNMP第第1 1版和第版和第2 2版会以明文方式传递管理信息和社区字符串版会以明文方式传递管理信息和社区字符串(密码)(密码)NTPNTPNTPNTP将侦听端口保持为打开状态,容易受到攻击将侦听端口保持为打开状态,容易受到攻击DNSDNS可能被攻击者利用,将可能被攻击者利用,将ipip地址与域名对应起来地址与域名对应起来3路由器基本安全配置路由器基本安全配置路由器在网络安全中的作用:路由
2、器在网络安全中的作用:4路由器基本安全配置路由器基本安全配置路由器的安全保护:路由器的安全保护:物理安全物理安全随随时更新路由器更新路由器备份路由器配置和份路由器配置和IOS加固路由器以避免未使用端口和服加固路由器以避免未使用端口和服务遭到遭到滥用用5路由器基本安全配置路由器基本安全配置保护网络安全:保护网络安全:6路由器基本安全配置路由器基本安全配置路由器密码恢复:路由器密码恢复:vrommon 1 confreg 0 x2142v默认配置寄存器的值为0 x2102,此时修改为0 x2142,这会使路由器开机时不读取NVRAM中的配置文件。vrommon 2 reset 重启路由器,进入se
3、tup模式。vRouterenablevRouter#copy startup-config running-config 把配置文件从NVRAM中复制到内存中,在此基础上修改密码。7路由器基本安全配置路由器基本安全配置路由器密码恢复:路由器密码恢复:vRouter#config terminal vR1(config)#enable secret network 修改为自己的密码,如果还配置了其它密码,也要一一修改。vR1(config)#config-register 0 x2102 将寄存器的值恢复正常。vR1(config)#exitvR1#copy running-config st
4、artup-config vDestination filename startup-config?vBuilding configuration.vOKvR1#reload 重启路由器,校验密码。8路由器基本安全配置路由器基本安全配置SSHSSH:阻止用户登录 9防火防火墙技技术防火墙的分类:防火墙的分类:包包过滤防火防火墙应用网关防火用网关防火墙状状态检测防火防火墙复合型防火复合型防火墙10防火防火墙技技术防火墙的基本功能:防火墙的基本功能:网网络地址地址转换功能功能(NAT)双重双重DNS 虚虚拟专拟专用网用网络络(VPN)扫毒功能毒功能特殊控制需求特殊控制需求11防火防火墙技技术防火墙
5、的配置案例:防火墙的配置案例:假如你是某公司新聘假如你是某公司新聘请的一位网的一位网络管理管理员,公司要求你熟悉,公司要求你熟悉现有的有的网网络产品,有一个防火品,有一个防火墙需要你了解并掌握它的操作技巧,能需要你了解并掌握它的操作技巧,能够通通过图形界面形界面进行一些基本的配置。但公司覆盖范行一些基本的配置。但公司覆盖范围较大,包括很多分公司,大,包括很多分公司,这些分公司之些分公司之间需要需要进行通信,但都要通行通信,但都要通过防火防火墙进行安全行安全访问,要求,要求你你对防火防火墙进行适当的配置。行适当的配置。12防火防火墙技技术防火墙透明桥的拓扑图:防火墙透明桥的拓扑图:13入侵入侵检
6、测系系统入侵检测系统的工作流程:入侵检测系统的工作流程:信息收集信息收集 信号分析信号分析实时记录、报警或有限度反警或有限度反击14入侵入侵检测系系统入侵检测系统配置案例:入侵检测系统配置案例:最近小最近小张刚听了一个网听了一个网络安全的安全的讲座,得知当前网座,得知当前网络安全的重要性,安全的重要性,网网络时时刻刻存在着被攻刻刻存在着被攻击(网(网络黑客、蠕虫病毒等攻黑客、蠕虫病毒等攻击行行为)的)的风险,他做他做为某公司的网某公司的网络管理人管理人员,对公司的网公司的网络运行情况又了解多少呢?运行情况又了解多少呢?网网络中有没有被攻中有没有被攻击,是什么,是什么样的攻的攻击,又来自于哪里呢
7、?于是你从网,又来自于哪里呢?于是你从网络公司借了一台公司借了一台IDS设备,对公司的网公司的网络进行了行了测试,并最,并最终形成形成报表,表,网管人网管人员将怎么使用将怎么使用这台台IDS设备进行行测试呢?呢?15入侵入侵检测系系统网络拓扑图:网络拓扑图:16虚虚拟专用网技用网技术(VPN)VPNVPN的特点:的特点:具具备完善的安全保障机制完善的安全保障机制具具备用用户可接受的服可接受的服务质量保量保证(QoS)具具备良好的可良好的可扩充性与灵活性充性与灵活性具具备完善的可管理性完善的可管理性17虚虚拟专用网技用网技术(VPN)VPNVPN安全技术:安全技术:隧道技隧道技术 加解密技加解密
8、技术密密钥管理技管理技术 使用者与使用者与设备身份身份认证技技术 18虚虚拟专用网技用网技术(VPN)基于基于IPSecIPSec的的VPNVPN技术:技术:安全关安全关联和安全策略和安全策略 IPSec 协议的运行模式的运行模式 AH(Authentication Header,认证头)协议 ESP(Encapsulate Security Payload,封装安全,封装安全载荷)荷)协议 Internet 密密钥交交换协议(IKE)19虚虚拟专用网技用网技术(VPN)VPNVPN配置案例:配置案例:v你就你就职的公司技的公司技术总监张总正在外地出差,但需要正在外地出差,但需要访问公司内部的
9、服公司内部的服务器器资源,而源,而这些服些服务器器资源因安全性考源因安全性考虑并不直接在公网上开放,因此并不直接在公网上开放,因此张总必必须通通过先和公司建立先和公司建立VPN隧道,再隧道,再获得得访问内部内部资源的源的权利,利,作作为网管的你,网管的你,应该如何如何对网路网路设备进行行调试呢?呢?v需求:解决出差需求:解决出差员工和公司之工和公司之间通通过Internet进行信息安全行信息安全传输的的问题。v分析:分析:IPSec VPN技技术通通过隧道技隧道技术、加解密技、加解密技术、密、密钥管理技管理技术、和和认证技技术有效的保有效的保证了数据在了数据在Internet网网络传输的安全性
10、,是目前最的安全性,是目前最安全、使用最广泛的安全、使用最广泛的VPN技技术。因此我。因此我们可通可通过建立建立IPSec VPN的加的加密隧道,密隧道,实现出差出差员工和公司之工和公司之间的信息安全的信息安全传输。20虚虚拟专用网技用网技术(VPN)实验设备清单:实验设备清单:设设 备备型型 号号数数 量量备备 注注锐捷锐捷VPNVPN设备设备RG-WALL V50RG-WALL V501 1台台锐捷锐捷VPNVPN远程接入系统远程接入系统RG-SRARG-SRA1 1套套软件程序软件程序锐捷路由器设备锐捷路由器设备1 1台台WindowsWindows系统的系统的PCPC机机推荐推荐Win
11、 XPWin XP系统系统1 1台台WindowsWindows系统的服务器系统的服务器1 1台台建议开设建议开设FTPFTP服务服务或者或者WebWeb服务服务直连线直连线2 2根根交叉线交叉线1 1根根21虚虚拟专用网技用网技术(VPN)网络拓扑图:网络拓扑图:22计算机网算机网络安全与安全与维护案例案例配置案例:配置案例:v 某企某企业从事某高科技从事某高科技产品的生品的生产和和销售,随着售,随着业务的的发展,企展,企业原原有网有网络已已经不能不能满足需要,网足需要,网络安全安全对生生产和和经营的影响也越来越明的影响也越来越明显,企企业经常遭到来自互常遭到来自互联网网络的攻的攻击或入侵,
12、或入侵,为了更好的服了更好的服务企企业,企,企业网网络需要改造,需要在原网需要改造,需要在原网络基基础上上进行网行网络设备扩容和提高网容和提高网络的冗的冗余能力,达到提高网余能力,达到提高网络性能和性能和质量的目的,加量的目的,加强网网络安全建安全建设。23计算机网算机网络安全与安全与维护案例案例实验设备清单:实验设备清单:设备类型设备类型设备型号设备型号设备数量(台)设备数量(台)路由器路由器RG-RSR20-18RG-RSR20-181 1路由器路由器RG-RSR20-04RG-RSR20-041 1串口串口V35V35线缆线缆V.35 DTE-V.35 DCEV.35 DTE-V.35 DCE线缆线缆1 1二层交换机二层交换机RG-SRG-S1 1三层交换机三层交换机RG-S3760-24RG-S3760-241 1防火墙防火墙RG-WALLRG-WALL1 1VPNVPN设备设备RG-WALL-V160SRG-WALL-V160S1 1IDS IDS 设备设备1 124计算机网算机网络安全与安全与维护案例案例网络拓扑图:网络拓扑图:
