收藏
下载资源

网络基础设施安全PPT课件

上传人:汽*** 文档编号:569713649 上传时间:2024-07-30 格式:PPT 页数:60 大小:532KB
返回 下载 相关 举报
网络基础设施安全PPT课件_第1页
第1页 / 共60页
网络基础设施安全PPT课件_第2页
第2页 / 共60页
网络基础设施安全PPT课件_第3页
第3页 / 共60页
网络基础设施安全PPT课件_第4页
第4页 / 共60页
网络基础设施安全PPT课件_第5页
第5页 / 共60页
点击查看更多>>
资源描述

《网络基础设施安全PPT课件》由会员分享,可在线阅读,更多相关《网络基础设施安全PPT课件(60页珍藏版)》请在金锄头文库上搜索。

1、第七讲、网络基础设施安全(2)路由系统安全网络基础设施安全目录7.1 局域网和VLAN7.2 远程访问(拨号)7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全低端路由器外观网络基础设施安全高端路由器外观网络基础设施安全核心路由器外观网络基础设施安全InterfaceInterface路由器的内部结构RAMROMFlashNVRAMInterfaceCPUInterfaceconso

2、le网络基础设施安全Configurations can come from many sourcesConfigurations will act in device memoryConsole portAuxiliary portInterfacesPC or Unix serverWeb or Network ManagementserverVirtual terminal路由器配置方式TelnetTFTP网络基础设施安全超级终端Step 1: Verify cablingStep 2: Power on PCStep 3: Open HyperTerminal FolderStep 4

3、: Open HyperTerminalStep 5: Describe ConnectionStep 3 and 4Step 5网络基础设施安全超级终端通信参数配置Step 6: Select COM port to be usedStep 7: Select properties网络基础设施安全路由器配置界面ConnectDisconnectStep 8: Access Device网络基础设施安全Console登录路由器 enableEnter password:# disable quit User mode prompt Privileged mode prompt 网络基础设施安全

4、内存 :ROM只读存储器(ROM)只读存储器,存放引导程序和IOS的一个最小子集,相当于PC的BIOS。闪存(Flash)包含压缩的IOS和微代码,是一种可擦写、可编程的ROM,系统掉电时数据不会丢失。NVRAM(No-Voliate RAM)存放路由器的配置文件,系统掉电时数据不会丢失。网络基础设施安全内存 :RAMRAM动态内存,系统掉电,内容丢失操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区网络基础设施安全路由器的启动过程首先运行ROM的程序,系统自检和引导读Flash内的IOS,装入RAM中从NVRAM中读入路由器的配置信息计算并生成初始路由表通过与相邻路由器交换路由

5、信息,更新、完善路由表网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全NetworkProtocolDestinationNetworkConnectedLearned10.120.2.0172.16.1.0Exit InterfaceE0S0Routed Protocol: IPRouters must learn destinations that are not directly connected172.16.1.010.120.2.0

6、E0S0什么是路由?网络基础设施安全静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由网络基础设施安全172.16.2.1SO静态路由(Static Routes)172.16.1.0B172.16.2.2NetworkAConfigure unidirectional static routes to and from a stub network to allow communications to occur.BStub NetworkTransit Network网络基础设施安全Stub Netwo

7、rkip route 172.16.1.0 255.255.255.0 172.16.2.1172.16.2.1SO静态路由举例172.16.1.0B172.16.2.2NetworkABThis is a unidirectional route. You must have a route configured in the opposite direction.网络基础设施安全Stub Networkip route 0.0.0.0 0.0.0.0 172.16.2.2缺省路由172.16.2.1SO172.16.1.0B172.16.2.2NetworkABThis route all

8、ows the stub network to reach all known networks beyond router A.网络基础设施安全什么是路由协议路由协议用于路由器之间交换信息,这些信息用来决定最佳路径,维护路由表NetworkProtocolDestinationNetworkConnectedRIPIGRP10.120.2.0172.16.2.0172.17.3.0Exit InterfaceE0S0S1Routed Protocol: IPRouting protocol: RIP, IGRP172.17.3.0172.16.1.010.120.2.0E0S0网络基础设施安

9、全Autonomous System 100Autonomous System 200IGPs: RIP, OSPF,IGRPEGPs: BGP内部/外部网关路由协议 (IGP/EGP)An autonomous system is a collection of networks under a common administrative domainIGPs operate within an autonomous systemEGPs connect different autonomous systems网络基础设施安全距离向量/链路状态路由协议Distance VectorHybri

10、d RoutingLink StateC CB BA AD DC CD DB BA A网络基础设施安全距离向量路由协议Pass periodic copies of routing table to neighbor routers and accumulate distance vectorsC CD DB BA AC CB BA AD DRoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn which direction网络基础设施安全Routers discover the best path to

11、 destinations from each neighborA AB BC C10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.2.0.010.3.0.0 00S0S1Routing Table10.3.0.0S0010.4.0.0E00Routing Table10.1.0.010.2.0.0 E0S0 00距离向量距离向量路由发现过程路由发现过程网络基础设施安全Routers discover the best path to destinations from each neighborA AB BC C10.1.

12、0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.1.0.010.2.0.010.3.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S0 1E0S0S0100距离向量距离向量路由发现过程路由发现过程网络基础设施安全距离向量路由发现过程Routers discover the best path to destinations from each neighborA AB BC

13、C10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.1.0.010.2.0.010.3.0.010.4.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S010.1.0.0S012E0S0S0S01200网络基础设施安全19.2 kbpsT1T1T1距离向量路由协议用跳数(Hop)计算路径的尺度(metric)每30秒广播一次路由表RIP RIP 简介简介网络基础设施安

14、全Starts the RIP routing processRouter(config)#router ripRouter(config-router)#network network-numberSelects participating attached networksThe network number must be a major classful network numberRIP RIP 配置命令配置命令网络基础设施安全2.3.0.0router ripnetwork 172.16.0.0network 10.0.0.0RIP 配置实例router ripnetwork 10

15、.0.0.02.3.0.0router ripnetwork 192.168.1.0network 10.0.0.0172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2.3172.16.1.0ABC192.168.1.0 E0网络基础设施安全debug ip rip CommandRouterA#debug ip ripRIP protocol debugging is onRouterA#00:06:24: RIP: received v1 update from 10.1.1.2 on Serial200:06:24:

16、10.2.2.0 in 1 hops00:06:24: 192.168.1.0 in 2 hops00:06:33: RIP: sending v1 update to 255.255.255.255 via Ethernet0 (172.16.1.1)00:06:34: network 10.0.0.0, metric 100:06:34: network 192.168.1.0, metric 300:06:34: RIP: sending v1 update to 255.255.255.255 via Serial2 (10.1.1.1)00:06:34: network 172.16

17、.0.0, metric 1172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2.3172.16.1.0ABC192.168.1.0 E0网络基础设施安全链路状态路由协议After initial flood, pass small event-triggered link-state updates to all other routersLink-State PacketsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTableC CA AD

18、DB B网络基础设施安全网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全使用边界路由器保护内部网络路由其自身的安全保护路由协议安全配置路由器实现访问控制防止DoS 攻击网络基础设施安全保护路由器自身的安全控制对路由器的访问控制台访问TelnetHTTPSNMP关闭不必要的服务路由协议认证审计网络基础设施安全控制台访问物理安全:在路由器加电启动时,可以通过按“Break”键,进入口令恢复过程通过修改寄存器的值,可以使启动过程绕过口令验证设置控制台

19、口令Router(config)# line console 0Router(config-line)# loginRouter(config-line)# password password网络基础设施安全控制台访问设置口令加密缺省条件下, enable 口令是明文存储的,很容易被看到(控制台、telnet)两种方式:Service password-encryptionenable secretrouter# show running-configenable password 7 14141B180FB0!line con 0password 7 094F71A1A0A网络基础设施安全控

20、制台访问口令加密enable secret 超时退出router # show running-config!enable secret 5 $1$6cWV$inD7guHPLlD3ZmdX08MMSrouter (config )#line console 0router(config-line)# exec-timeout 2 30网络基础设施安全控制Telnet、HTTP的访问telnet 口令Telnet 端口在路由器上被称为vty端口必须在vty上配置一个启用口令才能通过telnet访问控制列表Router(config)# line vty 0 4Router (config -l

21、ine)# loginRouter(config-line) #password shakespeareRouter(config)# access-list 21 permit 10.1.1.4 Router (config -line)# line vty 0 4Router(config-line) #access-class 21 in网络基础设施安全控制SNMP的访问SNMP概述GET / SETUDP 161UDP 162TRAPManagerAgent, MIBs网络基础设施安全控制SNMP的访问SNMPv1 Community name 明文传输没有访问控制用snmpwalk等

22、工具可以得到路由器的配置性SNMPv2增加了视图的概念,访问控制机制Router(config)# snmp-server community password1 roRouter(config)# snmp-server community password2 rw网络基础设施安全控制SNMP的访问SNMP TRAP设备启动、链路中断、链路启动、认证失败等访问控制Router(config)# snmp-server host 10.11.1.11 trapRouter(config) # access-list 1 permit 10.1.1.4Router (config) # acce

23、ss-list 1 permit 10.1.1.5Router (config) # snmp-server community private rw 1 网络基础设施安全关闭不必要的服务No service tcp-small-serversno service udp-small-serversno service fingerno service ip domain-lookupno cdp enableno proxy arpno ip directed-broadcast网络基础设施安全保护路由器之间的通信路由器假冒、路由欺骗相邻路由器认证明文认证MD5 认证PPPCHAP 认证认证

24、网络基础设施安全RAkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network 141.108.0.0 network 70.0.0.0 RBkey chain kal key chain kal ke

25、y 1 key 1 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network 141.108.0.0 network 80.0.0.0网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身

26、的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全用路由器实现访问控制访问控制列表的配置原则路由器总是自顶向下顺序检查所有规则,因此,配置规则时要从具体到一般,如主机、子网、网络、任何网络permit 192.168.2.1 deny 192.168.2.0 0.0.0.255permit any 常发生的放在列表的前面隐含拒绝一切新增加的行将放在末尾未定义的访问控制列表等与允许一切网络基础设施安全标准型和扩展型访问控制列表标准型access-list num permit|deny source wildcard logaccess-list 10 pe

27、rmit 10.1.1.3 access-list 10 deny 10.1.1.3 0.0.0.255access-list 10 permit 10.1.1.3网络基础设施安全标准型和扩展型访问控制列表扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 172.16.1.0 0.0.255.255 establishedaccess list 103 permit tcp any host 172.16.1.

28、3 eq smtp172.16.1.0Ethe 1internet网络基础设施安全实例internet内部网内部网10.1.2.0/24允许所有外出的数据流允许所有外出的数据流允许所有由内部发起允许所有由内部发起的外来的数据流的外来的数据流拒绝其他的数据流,并记录这些访问企图拒绝其他的数据流,并记录这些访问企图s0网络基础设施安全Router(config) # access-list 47 permit 10.1.2.0 0.0.0.255Router(config) # access-list 103 permit tcp any any establishedRouter(config)

29、 # access-list 103 deny any any Router(config) # interface serial 0Router(config-if) # ip access-group 47 outRouter(config-if) # ip access-group 103 in网络基础设施安全7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击网络基础设施安全防止DOS 攻击no ip directed-broadcast 入流量过滤、出流量过滤CAR(c

30、ommitted access rate) 限制某种类型包的发送速率interface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply网络基础设施安全过滤出入的包进入过滤:interface Serial 0ip address 10.80.71.1 255.255.255.0ip access-group 11 inaccess-lis

31、t 11 deny 192.168.0.0 0.0.255.255access-list 11 deny 172.16.0.0 0.15.255.255access-list 11 deny 10.0.0.0 0.255.255.255access-list 11 deny access-list 11 permit any离开过滤:interface Ethernet 0ip address 10.80.71.1 255.255.255.0ip access-group 12 inaccess-list 12 permit ip verify unicast reverse-path外部网络

32、s0eth0内部网络网络基础设施安全TCP 拦截 限制 SYN 攻击internet客户机请求被拦截客户机请求被拦截和验证和验证与客户机与客户机建立连接建立连接有效连接被交换,有效连接被交换,数据被传递数据被传递ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tc

33、p any x.x.x.0 0.0.0.255网络基础设施安全TCP 拦截 限制 SYN 攻击网络基础设施安全TCP 拦截 限制 SYN 攻击Can do as much good as badIf enabled : process switching and not “full” CEF anymoreThe “destination” host must send a RST (no silent drops) or youll DoS yourselfSame is true if you use “blackholed” routes (route to Null0)ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp any x.x.x.0 0.0.0.255网络基础设施安全网络基础设施安全

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 医学/心理学 > 基础医学

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号