3網(wǎng)絡(luò)與信息安全課件

網(wǎng)絡(luò)與通信安全網(wǎng)絡(luò)與通信安全課程內(nèi)容網(wǎng)絡(luò)協(xié)議與安全威脅網(wǎng)絡(luò)安全控制交換機(jī)設(shè)備安全配置路由器設(shè)備安全配置課程內(nèi)容網(wǎng)絡(luò)協(xié)議與安全威脅2第一部分

網(wǎng)絡(luò)協(xié)議與安全威脅第一部分

網(wǎng)絡(luò)協(xié)議與安全威脅3四層協(xié)議鏈路層設(shè)驅(qū)動(dòng)備程序及接口卡網(wǎng)絡(luò)層傳輸層應(yīng)用層IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet四層協(xié)議鏈路層設(shè)驅(qū)動(dòng)備程序及接口卡網(wǎng)絡(luò)層傳輸層應(yīng)用層IP、I4工作模式鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層郵寄物品郵寄類型和申請(qǐng)郵件封裝郵寄線路工作模式鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層郵寄物品郵寄類型和申請(qǐng)郵件封5四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)竊聽攻擊地址欺騙攻擊拒絕服務(wù)攻擊信息掃描攻擊服務(wù)系統(tǒng)攻擊四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)竊聽攻擊地址欺6第二部分

網(wǎng)絡(luò)安全控制第二部分

網(wǎng)絡(luò)安全控制7OSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器

資源子網(wǎng)通信線路主機(jī)

通信子網(wǎng)主機(jī)網(wǎng)絡(luò)系統(tǒng)通信線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7

網(wǎng)絡(luò)通信子系統(tǒng)L4L5L6L7L1L2L3WANLANOSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成結(jié)構(gòu)網(wǎng)絡(luò)系統(tǒng)L3L7L7L3L78OSI網(wǎng)絡(luò)參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源和信宿；通信功能：為實(shí)現(xiàn)通信所能提供的特定操作和控制機(jī)制，如數(shù)據(jù)傳送、流量控制、差錯(cuò)控制、應(yīng)答機(jī)制、數(shù)據(jù)包的拆分與重組等；通信服務(wù)：是通信功能的外部表現(xiàn)，為上層用戶提供通信支持；通信介質(zhì)：本層以下所有協(xié)議層，是本層以下通信結(jié)構(gòu)的抽象表示；通信子系統(tǒng)通過(guò)本層的通信功能和下層的通信服務(wù)，實(shí)現(xiàn)本層不同通信實(shí)體之間的通信，并為上層協(xié)議提供通信服務(wù)。通信介質(zhì)協(xié)議站1協(xié)議站2上層用戶1上層用戶2通信服務(wù)訪問(wèn)通信協(xié)議通信功能通信子系統(tǒng)下層通信服務(wù)通信實(shí)體1通信實(shí)體2OSI網(wǎng)絡(luò)參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源9理論依據(jù)互聯(lián)基礎(chǔ)設(shè)施域支撐基礎(chǔ)設(shè)施域局域計(jì)算接入域局域計(jì)算服務(wù)域服務(wù)和管理對(duì)象檢測(cè)和響應(yīng)、KMI、應(yīng)急和恢復(fù)處理計(jì)算存儲(chǔ)本地接入遠(yuǎn)程接入理論依據(jù)互聯(lián)基礎(chǔ)設(shè)施域支撐基礎(chǔ)設(shè)施域局域計(jì)算局域計(jì)算服務(wù)和管10理論依據(jù)美國(guó)總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)的21條建議美國(guó)國(guó)家安全局IATFDMTF的分布式管理方法和模型軟件行為學(xué)…理論依據(jù)美國(guó)總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)11安全域綜述—概念&理解一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務(wù)和使命等安全域綜述—概念&理解一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指12安全域綜述—安全域的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基礎(chǔ)安全域的分割是抗?jié)B透的防護(hù)方式基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的擴(kuò)散安全域綜述—安全域的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基13安全區(qū)域的劃分原則需求牽引：業(yè)務(wù)層面的需求（不同業(yè)務(wù)、不同部門的安全等級(jí)需求不同）以及網(wǎng)絡(luò)結(jié)構(gòu)層面的需求（安全域在邏輯上可以和網(wǎng)絡(luò)層次結(jié)構(gòu)對(duì)應(yīng)）；與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)渚o密結(jié)合，盡量不大規(guī)模的影響網(wǎng)絡(luò)布局（考慮到用戶需求和成本等因素）與業(yè)務(wù)需求一致性原則，安全域的范圍，邊界的界定不能導(dǎo)致業(yè)務(wù)與實(shí)際分離；統(tǒng)一安全策略：安全域的最重要的一個(gè)特征是安全策略的一致性，所以劃分安全域的的前提是具備自上而下（縱向的），自內(nèi)而外（橫向的）的宏觀上的安全策略規(guī)劃；部署實(shí)施方便：最少化安全設(shè)備原則，合理的安全域劃分可以減少冗余設(shè)備，精簡(jiǎn)開支；等級(jí)保護(hù)的需要；為集中化的安全管理服務(wù)。安全區(qū)域的劃分原則需求牽引：業(yè)務(wù)層面的需求（不同業(yè)務(wù)、不同部14安全控制接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域橫向骨干接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域核心數(shù)據(jù)區(qū)域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC縱向骨干安全控制接入?yún)^(qū)域邏業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域橫向骨15安全邊界安全邊界將需要保護(hù)的資源、可能的風(fēng)險(xiǎn)和保障的需求結(jié)合起來(lái)可以在通信路徑上完成訪問(wèn)控制的授權(quán)、范圍、期限。安全邊界的設(shè)計(jì)良好的清晰度以便進(jìn)行審查和測(cè)試具備簡(jiǎn)潔性以便能夠迅速自動(dòng)化執(zhí)行減輕維護(hù)人員的工作量具備現(xiàn)實(shí)性以便采用成熟的技術(shù)和產(chǎn)品安全邊界可采用的安全技術(shù)包括隔離、監(jiān)控、檢測(cè)、評(píng)估、審計(jì)、加密等。安全邊界安全邊界將需要保護(hù)的資源、可能的風(fēng)險(xiǎn)和保障的需求結(jié)合16可作為安全邊界的設(shè)備交換機(jī)路由器防火墻入侵檢測(cè)網(wǎng)關(guān)VPNEtc…….可作為安全邊界的設(shè)備交換機(jī)17第三部分

交換機(jī)設(shè)備安全配置第三部分

交換機(jī)設(shè)備安全配置18配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)19交換機(jī)-針對(duì)CDP攻擊交換機(jī)-針對(duì)CDP攻擊20交換機(jī)-針對(duì)STP攻擊說(shuō)明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDUFlood：消耗帶寬，拒絕服務(wù)對(duì)策對(duì)User-End端口，禁止發(fā)送BPDU交換機(jī)-針對(duì)STP攻擊說(shuō)明21交換機(jī)-針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN準(zhǔn)確跟蹤和監(jiān)測(cè)VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個(gè)Domain的交換機(jī)才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過(guò)經(jīng)MD5加密的password驗(yàn)證，但password設(shè)置非必需的，如果未設(shè)置password，可能構(gòu)造VTP幀，添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty交換機(jī)-針對(duì)VTP攻擊作用22第四部分

路由器設(shè)備安全配置第四部分

路由器設(shè)備安全配置23配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)24路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令25路由器-猜測(cè)路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示路由器-猜測(cè)路由器類型端口掃描26路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無(wú)關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶27路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5路由器-密碼Cisco路由器的密碼28路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)Snmp網(wǎng)管軟件禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname路由器-SNMPSNMP29保證路由器密碼安全使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6show控制網(wǎng)絡(luò)線路訪問(wèn)access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50保證路由器密碼安全使用加密的強(qiáng)密碼30Cisco路由器安全配置降低路由器遭受應(yīng)用層攻擊1禁止CDP(CiscoDiscoveryProtocol)。如：

Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止其他的TCP、UDPSmall服務(wù)。

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止Finger服務(wù)。

Router(Config)#noipfingerRouter(Config)#noservicefinger4建議禁止HTTP服務(wù)。

Router(Config)#noiphttpserver如果啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置：設(shè)置用戶名和密碼；采用訪問(wèn)列表進(jìn)行控制。Cisco路由器安全配置降低路由器遭受應(yīng)用層攻擊31Cisco路由器安全配置5禁止BOOTp服務(wù)。

Router(Config)#noipbootpserver6禁止IPSourceRouting。

Router(Config)#noipsource-route7建議如果不需要ARP-Proxy服務(wù)則禁止它，路由器默認(rèn)識(shí)開啟的。

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcastCisco路由器安全配置5禁止BOOTp服務(wù)。32Cisco路由器安全配置9禁止ICMP協(xié)議的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply10建議禁止SNMP協(xié)議服務(wù)。在禁止時(shí)必須刪除一些SNMP服務(wù)的默認(rèn)配置。如：

Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRW11如果沒必要?jiǎng)t禁止WINS和DNS服務(wù)。

Router(Config)#noipdomain-lookup

如果需要?jiǎng)t需要配置：

Router(Config)#hostnameRouterRouter(Config)#ipname-server219.150.32.xxx12明確禁止不使用的端口。如：

Router(Config)#interfaceeth0/3Router(Config)#shutdownCisco路由器安全配置9禁止ICMP協(xié)議的IPUnre33Cisco路由器安全配置認(rèn)證與日志管理使用AAA加強(qiáng)設(shè)備訪問(wèn)控制日志管理loggingonloggingbuffered36000Cisco路由器安全配置認(rèn)證與日志管理34Cisco路由器安全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-routeCisco路由器安全配置禁用IPUnreachable報(bào)文35Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問(wèn)控制列表起用TCP截獲特性設(shè)置截獲模式設(shè)置門限制設(shè)置丟棄模式Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊36Cisco路由器安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址使用訪問(wèn)控制列表限定訪問(wèn)端口使用訪問(wèn)控制列表過(guò)濾特定類型數(shù)據(jù)包使用訪問(wèn)控制列表限定數(shù)據(jù)流量使用訪問(wèn)控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)Cisco路由器安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址37DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率38DDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xxDDoS預(yù)防方法限制SYN數(shù)據(jù)包連接速率39DDoS預(yù)防方法RFC1918約定過(guò)濾InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預(yù)防方法RFC1918約定過(guò)濾40DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑檢查數(shù)據(jù)包地返回路徑是否使用與到達(dá)相同接口，以緩解某些欺騙數(shù)據(jù)包需要路由CEF（快速向前傳輸）特性在存在非對(duì)稱路徑時(shí)不適合DDoS預(yù)防方法驗(yàn)證單點(diǎn)傳送反向路徑41問(wèn)題？問(wèn)題？421、有時(shí)候讀書是一種巧妙地避開思考的方法。12月-2212月-22Saturday,December10,20222、閱讀一切好書如同和過(guò)去最杰出的人談話。11:37:0111:37:0111:3712/10/202211:37:01AM3、越是沒有本領(lǐng)的就越加自命不凡。12月-2211:37:0111:37Dec-2210-Dec-224、越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。11:37:0111:37:0111:37Saturday,December10,20225、知人者智，自知者明。勝人者有力，自勝者強(qiáng)。12月-2212月-2211:37:0111:37:01December10,20226、意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。10十二月202211:37:01上午11:37:0112月-227、最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。。十二月2211:37上午12月-2211:37December10,20228、業(yè)余生活要有意義，不要越軌。2022/12/1011:37:0111:37:0110December20229、一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。11:37:01上午11:37上午11:37:0112月-2210、你要做多大的事情，就該承受多大的壓力。12/10/202211:37:01AM11:37:0110-12月-2211、自己要先看得起自己，別人才會(huì)看得起你。12/10/202211:37AM12/10/202211:37AM12月-2212月-2212、這一秒不放棄，下一秒就會(huì)有希望。10-Dec-2210December202212月-2213、無(wú)論才能知識(shí)多么卓著，如果缺乏熱情，則無(wú)異紙上畫餅充饑，無(wú)補(bǔ)于事。Saturday,December10,202210-Dec-2212月-2214、我只是自己不放過(guò)自己而已，現(xiàn)在我不會(huì)再逼自己眷戀了。12月-2211:37:0110December202211:37謝謝大家1、有時(shí)候讀書是一種巧妙地避開思考的方法。12月-2212月43網(wǎng)絡(luò)與通信安全網(wǎng)絡(luò)與通信安全課程內(nèi)容網(wǎng)絡(luò)協(xié)議與安全威脅網(wǎng)絡(luò)安全控制交換機(jī)設(shè)備安全配置路由器設(shè)備安全配置課程內(nèi)容網(wǎng)絡(luò)協(xié)議與安全威脅45第一部分

網(wǎng)絡(luò)協(xié)議與安全威脅第一部分

網(wǎng)絡(luò)協(xié)議與安全威脅46四層協(xié)議鏈路層設(shè)驅(qū)動(dòng)備程序及接口卡網(wǎng)絡(luò)層傳輸層應(yīng)用層IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet四層協(xié)議鏈路層設(shè)驅(qū)動(dòng)備程序及接口卡網(wǎng)絡(luò)層傳輸層應(yīng)用層IP、I47工作模式鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層郵寄物品郵寄類型和申請(qǐng)郵件封裝郵寄線路工作模式鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層郵寄物品郵寄類型和申請(qǐng)郵件封48四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)竊聽攻擊地址欺騙攻擊拒絕服務(wù)攻擊信息掃描攻擊服務(wù)系統(tǒng)攻擊四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)竊聽攻擊地址欺49第二部分

網(wǎng)絡(luò)安全控制第二部分

網(wǎng)絡(luò)安全控制50OSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成結(jié)構(gòu)

網(wǎng)絡(luò)系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器

資源子網(wǎng)通信線路主機(jī)

通信子網(wǎng)主機(jī)網(wǎng)絡(luò)系統(tǒng)通信線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7

網(wǎng)絡(luò)通信子系統(tǒng)L4L5L6L7L1L2L3WANLANOSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成結(jié)構(gòu)網(wǎng)絡(luò)系統(tǒng)L3L7L7L3L751OSI網(wǎng)絡(luò)參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源和信宿；通信功能：為實(shí)現(xiàn)通信所能提供的特定操作和控制機(jī)制，如數(shù)據(jù)傳送、流量控制、差錯(cuò)控制、應(yīng)答機(jī)制、數(shù)據(jù)包的拆分與重組等；通信服務(wù)：是通信功能的外部表現(xiàn)，為上層用戶提供通信支持；通信介質(zhì)：本層以下所有協(xié)議層，是本層以下通信結(jié)構(gòu)的抽象表示；通信子系統(tǒng)通過(guò)本層的通信功能和下層的通信服務(wù)，實(shí)現(xiàn)本層不同通信實(shí)體之間的通信，并為上層協(xié)議提供通信服務(wù)。通信介質(zhì)協(xié)議站1協(xié)議站2上層用戶1上層用戶2通信服務(wù)訪問(wèn)通信協(xié)議通信功能通信子系統(tǒng)下層通信服務(wù)通信實(shí)體1通信實(shí)體2OSI網(wǎng)絡(luò)參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源52理論依據(jù)互聯(lián)基礎(chǔ)設(shè)施域支撐基礎(chǔ)設(shè)施域局域計(jì)算接入域局域計(jì)算服務(wù)域服務(wù)和管理對(duì)象檢測(cè)和響應(yīng)、KMI、應(yīng)急和恢復(fù)處理計(jì)算存儲(chǔ)本地接入遠(yuǎn)程接入理論依據(jù)互聯(lián)基礎(chǔ)設(shè)施域支撐基礎(chǔ)設(shè)施域局域計(jì)算局域計(jì)算服務(wù)和管53理論依據(jù)美國(guó)總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)的21條建議美國(guó)國(guó)家安全局IATFDMTF的分布式管理方法和模型軟件行為學(xué)…理論依據(jù)美國(guó)總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)關(guān)于加強(qiáng)SCADA網(wǎng)絡(luò)54安全域綜述—概念&理解一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指同一系統(tǒng)內(nèi)有相同的安全保護(hù)需求，相互信任，并具有相同的安全訪問(wèn)控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務(wù)要求和安全要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務(wù)和使命等安全域綜述—概念&理解一般常常理解的安全域（網(wǎng)絡(luò)安全域）是指55安全域綜述—安全域的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基礎(chǔ)安全域的分割是抗?jié)B透的防護(hù)方式基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全建設(shè)的部署依據(jù)安全域邊界是災(zāi)難發(fā)生時(shí)的抑制點(diǎn)，防止影響的擴(kuò)散安全域綜述—安全域的意義基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評(píng)估的基56安全區(qū)域的劃分原則需求牽引：業(yè)務(wù)層面的需求（不同業(yè)務(wù)、不同部門的安全等級(jí)需求不同）以及網(wǎng)絡(luò)結(jié)構(gòu)層面的需求（安全域在邏輯上可以和網(wǎng)絡(luò)層次結(jié)構(gòu)對(duì)應(yīng)）；與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)拓?fù)渚o密結(jié)合，盡量不大規(guī)模的影響網(wǎng)絡(luò)布局（考慮到用戶需求和成本等因素）與業(yè)務(wù)需求一致性原則，安全域的范圍，邊界的界定不能導(dǎo)致業(yè)務(wù)與實(shí)際分離；統(tǒng)一安全策略：安全域的最重要的一個(gè)特征是安全策略的一致性，所以劃分安全域的的前提是具備自上而下（縱向的），自內(nèi)而外（橫向的）的宏觀上的安全策略規(guī)劃；部署實(shí)施方便：最少化安全設(shè)備原則，合理的安全域劃分可以減少冗余設(shè)備，精簡(jiǎn)開支；等級(jí)保護(hù)的需要；為集中化的安全管理服務(wù)。安全區(qū)域的劃分原則需求牽引：業(yè)務(wù)層面的需求（不同業(yè)務(wù)、不同部57安全控制接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域橫向骨干接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域核心數(shù)據(jù)區(qū)域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC縱向骨干安全控制接入?yún)^(qū)域邏業(yè)務(wù)處理區(qū)域業(yè)務(wù)終端區(qū)域業(yè)務(wù)處理區(qū)域橫向骨58安全邊界安全邊界將需要保護(hù)的資源、可能的風(fēng)險(xiǎn)和保障的需求結(jié)合起來(lái)可以在通信路徑上完成訪問(wèn)控制的授權(quán)、范圍、期限。安全邊界的設(shè)計(jì)良好的清晰度以便進(jìn)行審查和測(cè)試具備簡(jiǎn)潔性以便能夠迅速自動(dòng)化執(zhí)行減輕維護(hù)人員的工作量具備現(xiàn)實(shí)性以便采用成熟的技術(shù)和產(chǎn)品安全邊界可采用的安全技術(shù)包括隔離、監(jiān)控、檢測(cè)、評(píng)估、審計(jì)、加密等。安全邊界安全邊界將需要保護(hù)的資源、可能的風(fēng)險(xiǎn)和保障的需求結(jié)合59可作為安全邊界的設(shè)備交換機(jī)路由器防火墻入侵檢測(cè)網(wǎng)關(guān)VPNEtc…….可作為安全邊界的設(shè)備交換機(jī)60第三部分

交換機(jī)設(shè)備安全配置第三部分

交換機(jī)設(shè)備安全配置61配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)62交換機(jī)-針對(duì)CDP攻擊交換機(jī)-針對(duì)CDP攻擊63交換機(jī)-針對(duì)STP攻擊說(shuō)明SpanningTreeProtocol防止交換網(wǎng)絡(luò)產(chǎn)生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge，導(dǎo)致網(wǎng)絡(luò)邏輯結(jié)構(gòu)改變，在重新生成STP時(shí)，可以導(dǎo)致某些端口暫時(shí)失效，可以監(jiān)聽大部份網(wǎng)絡(luò)流量。BPDUFlood：消耗帶寬，拒絕服務(wù)對(duì)策對(duì)User-End端口，禁止發(fā)送BPDU交換機(jī)-針對(duì)STP攻擊說(shuō)明64交換機(jī)-針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個(gè)網(wǎng)絡(luò)的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機(jī)動(dòng)態(tài)添加刪除VLAN準(zhǔn)確跟蹤和監(jiān)測(cè)VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個(gè)Domain的交換機(jī)才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過(guò)經(jīng)MD5加密的password驗(yàn)證，但password設(shè)置非必需的，如果未設(shè)置password，可能構(gòu)造VTP幀，添加或者刪除Vlan。對(duì)策設(shè)置password盡量將交換機(jī)的vtp設(shè)置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty交換機(jī)-針對(duì)VTP攻擊作用65第四部分

路由器設(shè)備安全配置第四部分

路由器設(shè)備安全配置66配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)使用強(qiáng)口令或密碼加強(qiáng)設(shè)備訪問(wèn)的認(rèn)證與授權(quán)升級(jí)設(shè)備固件或OS使用訪問(wèn)控制列表限制訪問(wèn)使用訪問(wèn)控制表限制數(shù)據(jù)包類型配置內(nèi)容關(guān)閉不必要的設(shè)備服務(wù)67路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令最后一個(gè)路由容易成為DoS攻擊目標(biāo)路由器-發(fā)現(xiàn)路由通過(guò)tracertroute命令68路由器-猜測(cè)路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標(biāo)（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會(huì)有cisco字樣提示路由器-猜測(cè)路由器類型端口掃描69路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶

Manager空管理員bay350T交換機(jī)NetlCs無(wú)關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-缺省帳號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶70路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5路由器-密碼Cisco路由器的密碼71路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)Snmp網(wǎng)管軟件禁用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議nosnmp-serverenable使用SNMPv3加強(qiáng)安全特性snmp-serverenabletrapssnmpauthmd5使用強(qiáng)的SNMPv1通訊關(guān)鍵字snmp-servercommunityname路由器-SNMPSNMP72保證路由器密碼安全使用加密的強(qiáng)密碼servicepassword-encryptionenablesecretpa55w0rd使用分級(jí)密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略u(píng)sernamepasswordpassprivilegeexec6show控制網(wǎng)絡(luò)線路訪問(wèn)access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置網(wǎng)絡(luò)連接超時(shí)Exec-timeout50保證路由器密碼安全使用加密的強(qiáng)密碼73Cisco路由器安全配置降低路由器遭受應(yīng)用層攻擊1禁止CDP(CiscoDiscoveryProtocol)。如：

Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止其他的TCP、UDPSmall服務(wù)。

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止Finger服務(wù)。

Router(Config)#noipfingerRouter(Config)#noservicefinger4建議禁止HTTP服務(wù)。

Router(Config)#noiphttpserver如果啟用了HTTP服務(wù)則需要對(duì)其進(jìn)行安全配置：設(shè)置用戶名和密碼；采用訪問(wèn)列表進(jìn)行控制。Cisco路由器安全配置降低路由器遭受應(yīng)用層攻擊74Cisco路由器安全配置5禁止BOOTp服務(wù)。

Router(Config)#noipbootpserver6禁止IPSourceRouting。

Router(Config)#noipsource-route7建議如果不需要ARP-Proxy服務(wù)則禁止它，路由器默認(rèn)識(shí)開啟的。

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcastCisco路由器安全配置5禁止BOOTp服務(wù)。75Cisco路由器安全配置9禁止ICMP協(xié)議的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply10建議禁止SNMP協(xié)議服務(wù)。在禁止時(shí)必須刪除一些SNMP服務(wù)的默認(rèn)配置。如：

Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRW11如果沒必要?jiǎng)t禁止WINS和DNS服務(wù)。

Router(Config)#noipdomain-lookup

如果需要?jiǎng)t需要配置：

Router(Config)#hostnameRouterRouter(Config)#ipname-server219.150.32.xxx12明確禁止不使用的端口。如：

Router(Config)#interfaceeth0/3Router(Config)#shutdownCisco路由器安全配置9禁止ICMP協(xié)議的IPUnre76Cisco路由器安全配置認(rèn)證與日志管理使用AAA加強(qiáng)設(shè)備訪問(wèn)控制日志管理loggingonloggingbuffered36000Cisco路由器安全配置認(rèn)證與日志管理77Cisco路由器安全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選項(xiàng)noipsource-routeCisco路由器安全配置禁用IPUnreachable報(bào)文78Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問(wèn)控制列表起用TCP截獲特性設(shè)置截獲模式設(shè)置門限制設(shè)置丟棄模式Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊79Cisco路由器安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址使用訪問(wèn)控制列表限定訪問(wèn)端口使用訪問(wèn)控制列表過(guò)濾特定類型數(shù)據(jù)包使用訪問(wèn)控制列表限定數(shù)據(jù)流量使用訪問(wèn)控制列表保護(hù)內(nèi)部網(wǎng)絡(luò)Cisco路由器安全配置使用訪問(wèn)控制列表限制訪問(wèn)地址80DDoS預(yù)防方法限制ICMP數(shù)據(jù)包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess