第三章 網(wǎng)絡(luò)安全策略

第三章網(wǎng)絡(luò)安全策略及實(shí)施2023/2/51計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.1安全策略概述3.1.1安全策略的定義

“安全策略是對訪問規(guī)則的正式陳述，所有需要訪問某個機(jī)構(gòu)的技術(shù)和信息準(zhǔn)資產(chǎn)的人員都應(yīng)該遵守這些規(guī)則”2023/2/52計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.1.2安全策略的內(nèi)容

權(quán)威的聲明和效力范圍：用以識別安全策略的發(fā)起者和覆蓋的主題范圍。物理安全策略

:包括環(huán)境安全、設(shè)備安全、媒體安全、信息資產(chǎn)的物理分布、人員的訪問控制、審計記錄、異常情況的追查等。網(wǎng)絡(luò)安全策略:包括網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備的管理、網(wǎng)絡(luò)安全訪問措施（防火墻、入侵檢測系統(tǒng)、VPN等）、安全掃描、遠(yuǎn)程訪問、不同級別網(wǎng)絡(luò)的訪問控制方式、識別/認(rèn)證機(jī)制等。它規(guī)定了組織內(nèi)部用戶關(guān)于網(wǎng)絡(luò)訪問能力的規(guī)范。數(shù)據(jù)加密策略:包括加密算法、適用范圍、密鑰交換和管理等。數(shù)據(jù)備份策略:包括適用范圍、備份方式、備份頻率，備份數(shù)據(jù)的安全存儲、負(fù)責(zé)人等。2023/2/53計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)病毒防護(hù)策略:包括防病毒軟件的安裝、配置、對軟盤使用、網(wǎng)絡(luò)下載等作出的規(guī)定等。應(yīng)用系統(tǒng)安全策略:包括WWW訪問策略、內(nèi)部郵件與外部郵件的訪問策略，數(shù)據(jù)庫系統(tǒng)安全策略、應(yīng)用服務(wù)器系統(tǒng)安全策略、個人桌面系統(tǒng)安全策略、其它業(yè)務(wù)相關(guān)系統(tǒng)安全策略等。身份識別與認(rèn)證策略：用來規(guī)定用什么樣的技術(shù)和設(shè)備來確保只有授權(quán)的用戶才能訪問組織的信息與數(shù)據(jù)，包括認(rèn)證及授權(quán)機(jī)制、方式、審計記錄等。災(zāi)難恢復(fù)與應(yīng)急響應(yīng)策略：用來規(guī)定如何建立安全事件響應(yīng)小組，如何針對突發(fā)事件采取的響應(yīng)措施，包括響應(yīng)小組、聯(lián)系方式、事故處理計劃、控制過程、恢復(fù)機(jī)制、方式、歸檔管理、硬件、軟件等。主要工作有保護(hù)機(jī)構(gòu)的系統(tǒng)與信息，還原操作，起訴入侵者，減少損失等。2023/2/54計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)密碼管理策略:包括密碼管理方式、密碼設(shè)置規(guī)則、密碼適應(yīng)規(guī)則等。補(bǔ)丁管理策略:包括軟件升級、系統(tǒng)補(bǔ)丁的更新、測試、安裝等。系統(tǒng)變更控制策略:包括對設(shè)備更新、軟件配置、控制措施、數(shù)據(jù)變更管理、一致性管理等。商業(yè)伙伴、客戶關(guān)系策略:包括合同條款安全策略、客戶服務(wù)安全建議等。復(fù)查審計策略:包括對安全策略的定期復(fù)查與審計。安全教育策略:包括安全策略的發(fā)布宣傳、執(zhí)行效果的監(jiān)督、安全技能的培訓(xùn)、安全意識教育等。對安全控制及過程的重新評估、對系統(tǒng)日志記錄的審計、對安全技術(shù)發(fā)展的跟蹤等。2023/2/55計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.1.2網(wǎng)絡(luò)安全模型網(wǎng)絡(luò)安全模型1、保護(hù)階段：身份認(rèn)證和驗證，訪問控制，數(shù)據(jù)加密，防火墻，漏洞補(bǔ)丁2．監(jiān)控階段：管理員通過利用網(wǎng)絡(luò)漏洞掃描器，對網(wǎng)絡(luò)進(jìn)行掃描監(jiān)控，預(yù)先識別漏洞區(qū)域，進(jìn)行漏洞的修補(bǔ)。通過IDS系統(tǒng)，對正在發(fā)生的安全事件進(jìn)行監(jiān)視并響應(yīng)。對當(dāng)前網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)流有一個清晰的判斷。3．測試階段：通過測試，知道現(xiàn)有的和最新的攻擊方式，模擬受到安全侵害后的及時響應(yīng)。4．改進(jìn)過程：利用監(jiān)視和測試階段得來的數(shù)據(jù)去改進(jìn)安全措施，并根據(jù)識別的漏洞和風(fēng)險對安全策略加以調(diào)整。確保得到最新的安全修復(fù)。2023/2/56計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2網(wǎng)絡(luò)安全策略設(shè)計與實(shí)施安全策略的制定是比較繁瑣和復(fù)雜的工作，許多安全策略將重點(diǎn)放在了有效實(shí)施的概念上，這種觀點(diǎn)的出發(fā)點(diǎn)在于，如果策略無法得到實(shí)施，那么制定的策略再好也沒有可用之處。從安全系統(tǒng)的設(shè)計人員的角度看，重要的是理解實(shí)施策略有若干不同的方式，而具體的實(shí)施過程并不屬于安全系統(tǒng)的設(shè)計人員的考慮范圍。所以，由于用戶對網(wǎng)絡(luò)的具體需求不同，可能會包含不同的設(shè)計與實(shí)施要求。從大的方面來說，一般需要包括以下幾個部分：2023/2/57計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.1物理安全控制

對物理基礎(chǔ)設(shè)施、物理設(shè)備的安全和訪問的控制。包括選擇適當(dāng)?shù)慕橘|(zhì)類型及電纜的鋪設(shè)路線,網(wǎng)絡(luò)資源的存放位置也極為重要,為保護(hù)關(guān)鍵的網(wǎng)絡(luò)資源，必須安裝和充分的使用環(huán)境安全防護(hù)。2023/2/58計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.2邏輯安全控制 指在不同網(wǎng)段之間構(gòu)造邏輯邊界，同時還對不同網(wǎng)段之間的數(shù)據(jù)流量進(jìn)行控制。邏輯訪問控制通過對不同網(wǎng)段間的通信進(jìn)行邏輯過濾來提供安全保障。對內(nèi)部網(wǎng)絡(luò)進(jìn)行子網(wǎng)劃分是進(jìn)行邏輯安全控制的有效方法。需要執(zhí)行兩類控制一是預(yù)防性控制，用于識別每個授權(quán)用戶并拒絕非授權(quán)用戶的訪問。二是探測性控制，用于記錄和報告授權(quán)用戶的行為，以及記錄和報告非授權(quán)的訪問，或者對系統(tǒng)、程序和數(shù)據(jù)的訪問企圖。2023/2/59計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.3基礎(chǔ)設(shè)備和數(shù)據(jù)完整性1．防火墻2．入侵檢測系統(tǒng)3．安全審計系統(tǒng)4．病毒防護(hù)系統(tǒng)如何保證有效通信，對于網(wǎng)絡(luò)服務(wù)和協(xié)議的選擇是一項復(fù)雜而艱巨的任務(wù)。2023/2/510計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.4數(shù)據(jù)保密性 指保證網(wǎng)絡(luò)實(shí)體間通信數(shù)據(jù)的保密，使其不能被非法修改，它屬于加密的范疇。如何確定哪些數(shù)據(jù)需要加密，以及哪些數(shù)據(jù)不需要加密。這個過程應(yīng)該使用風(fēng)險分析步驟來進(jìn)行決策。2023/2/511計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.5用戶行為控制人員角色管理是整個網(wǎng)絡(luò)安全的重要組成部分，網(wǎng)絡(luò)中所有的軟硬件系統(tǒng)、安全策略等最終都需要人來實(shí)踐，所以對人員角色的定義及行為規(guī)則的制定是非常重要的。應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)安全策略來為負(fù)責(zé)網(wǎng)絡(luò)基礎(chǔ)設(shè)施維護(hù)和升級的人員制定特殊的指導(dǎo)方針，以幫助完成各自的任務(wù)。1．安全備份2．審計跟蹤2023/2/512計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.2.6一個網(wǎng)絡(luò)安全策略示例2023/2/513計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.3網(wǎng)絡(luò)安全測試工具的使用3.3.1掃描原理及其工具掃描技術(shù)利用TCP/IP協(xié)議標(biāo)準(zhǔn)和其在各種操作系統(tǒng)中不同的實(shí)現(xiàn)方式，向目標(biāo)主機(jī)的服務(wù)端口發(fā)送探測數(shù)據(jù)包，并記錄目標(biāo)主機(jī)的響應(yīng)。通過分析響應(yīng)的數(shù)據(jù)包來判斷服務(wù)端口是打開還是關(guān)閉，就可以得知端口提供的服務(wù)或信息。它可以搜集到目標(biāo)主機(jī)的各種信息，如是否能用匿名登陸，是否有可寫的FTP目錄，是否能用Telnet等。掃描也可以通過捕獲本地主機(jī)或服務(wù)器的流入流出數(shù)據(jù)包來監(jiān)視本地IP主機(jī)的運(yùn)行情況，它能對接收到的數(shù)據(jù)進(jìn)行分析，幫助人們發(fā)現(xiàn)目標(biāo)主機(jī)的某些內(nèi)在弱點(diǎn)，掃描工作本身不會提供侵入一個系統(tǒng)的詳細(xì)方法，只是系統(tǒng)入侵的前奏。2023/2/514計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)系統(tǒng)掃描通常采用兩種策略，第一種是被動式策略，第二種是主動式策略。所謂被動式策略就是基于主機(jī)之上，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其它同安全規(guī)則抵觸的對象進(jìn)行檢查；而主動式策略是基于網(wǎng)絡(luò)的，它通過執(zhí)行一些腳本文件模擬對系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。2023/2/515計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)目前常用的專業(yè)掃描工具有:Superscan:免費(fèi)的掃描軟件，可以在

下載NmapNessusShadowscan等2023/2/516計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)Nmap使用舉例

Nmap是在免費(fèi)軟件基金會的GNU

General

Public

License

(GPL)下發(fā)布的，可從/nmap站點(diǎn)上免費(fèi)下載。下載格式可以是tgz格式的源碼或RPM格式。目前最新版本號nmap-4.76。Nmap的語法相當(dāng)簡單。Nmap的不同選項和-s標(biāo)志組成了不同的掃描類型，比如：一個Ping-scan命令就是"-sP"。在確定了目標(biāo)主機(jī)和網(wǎng)絡(luò)之后，即可進(jìn)行掃描。如果以root來運(yùn)行Nmap，Nmap的功能會大大的增強(qiáng)，因為超級用戶可以創(chuàng)建便于Nmap利用的定制數(shù)據(jù)包。2023/2/517計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)在目標(biāo)機(jī)上，Nmap運(yùn)行靈活。使用Nmap進(jìn)行單機(jī)掃描或是整個網(wǎng)絡(luò)的掃描很簡單，只要將帶有“/mask”的目標(biāo)地址指定給Nmap即可。地址是“victim/24”，則目標(biāo)是c類網(wǎng)絡(luò)，地址是“victim/16”，則目標(biāo)是B類網(wǎng)絡(luò)。

另外,Nmap允許你使用各類指定的網(wǎng)絡(luò)地址，比如192.168.1.*,是指/24,或,4,8-12，對所選子網(wǎng)下的主機(jī)進(jìn)行掃描。2023/2/518計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)1.Ping掃描(Ping

Sweeping)入侵者使用Nmap掃描整個網(wǎng)絡(luò)尋找目標(biāo)。通過使用"

-sP"命令，進(jìn)行ping掃描。缺省情況下，Nmap給每個掃描到的主機(jī)發(fā)送一個ICMP

echo和一個TCP

ACK,主機(jī)對任何一種的響應(yīng)都會被Nmap得到。

舉例：掃描網(wǎng)絡(luò)：

#

nmap

-sP

/242023/2/519計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)2.端口掃描(Port

Scanning)

由于攻擊者使用TCP連接掃描很容易被發(fā)現(xiàn)，因為Nmap將使用connect()系統(tǒng)調(diào)用打開目標(biāo)機(jī)上相關(guān)端口的連接，并完成三次TCP握手。黑客登錄到主機(jī)將顯示開放的端口。一個tcp連接掃描使用"-sT"命令如下。

#

nmap

-sT

22023/2/520計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.隱蔽掃描(Stealth

Scanning)

如果一個攻擊者不愿在掃描時使其信息被記錄在目標(biāo)系統(tǒng)日志上，TCP

SYN掃描可幫你的忙，它很少會在目標(biāo)機(jī)上留下記錄，三次握手的過程從來都不會完全實(shí)現(xiàn)。通過發(fā)送一個SYN包（是TCP協(xié)議中的第一個包）開始一次SYN的掃描。任何開放的端口都將有一個SYN|ACK響應(yīng)。然而，攻擊者發(fā)送一個RST替代ACK，連接中止。三次握手得不到實(shí)現(xiàn)，也就很少有站點(diǎn)能記錄這樣的探測。如果是關(guān)閉的端口，對最初的SYN信號的響應(yīng)也會是RST，讓NMAP知道該端口不在監(jiān)聽。"-sS"命令將發(fā)送一個SYN掃描探測主機(jī)或網(wǎng)絡(luò)：

#

nmap

-sS

2023/2/521計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)4.UDP掃描(UDP

Scanning)

如果一個攻擊者尋找一個流行的UDP漏洞，比如rpcbind漏洞或cDc

Back

Orifice。為了查出哪些端口在監(jiān)聽，則進(jìn)行UDP掃描，即可知哪些端口對UDP是開放的。Nmap將發(fā)送一個O字節(jié)的UDP包到每個端口。如果主機(jī)返回端口不可達(dá)，則表示端口是關(guān)閉的。但這種方法受到時間的限制，因為大多數(shù)的UNIX主機(jī)限制ICMP錯誤速率。幸運(yùn)的是，Nmap本身檢測這種速率并自身減速，也就不會產(chǎn)生溢出主機(jī)的情況。

#

nmap

-sU

2023/2/522計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)5.操作系統(tǒng)識別(OS

Fingerprinting)

通常一個入侵者可能對某個操作系統(tǒng)的漏洞很熟悉，能很輕易地進(jìn)入此操作系統(tǒng)的機(jī)器。一個常見的選項是TCP/IP上的指紋，帶有"-O"選項決定遠(yuǎn)程操作系統(tǒng)的類型。Nmap通過向主機(jī)發(fā)送不同類型的探測信號，縮小查找的操作系統(tǒng)系統(tǒng)的范圍。指紋驗證TCP包括使用FIN探測技術(shù)發(fā)現(xiàn)目標(biāo)機(jī)的響應(yīng)類型。有一篇權(quán)威的關(guān)于指紋（fingertprinting）的文章/nmap/nmap-fingerprinting-article.html

Nmap's操作系統(tǒng)的檢測是很準(zhǔn)確也是很有效的，舉例：使用系統(tǒng)Solaris

10帶有SYN掃描的指紋驗證堆棧。

#

nmap

-sS

-O

52023/2/523計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)6.ident掃描（Ident

Scanning）

一個攻擊者常常尋找一臺對于某些進(jìn)程存在漏洞的電腦。比如,一個以root運(yùn)行的WEB服務(wù)器。如果目標(biāo)機(jī)運(yùn)行了identd,一個攻擊者使用Nmap通過"-I"選項的TCP連接,就可以發(fā)現(xiàn)哪個用戶擁有http守護(hù)進(jìn)程。我們將掃描一個Linux

WEB服務(wù)器為例：

#

nmap

-sT

-p

80

-I

-O

2023/2/524計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)7.其它選項(Options)

除了以上這些掃描，Nmap還提供了無數(shù)選項。有一個是"-PT",，我們已經(jīng)介紹過了。在目標(biāo)機(jī)或網(wǎng)絡(luò)上常見的未經(jīng)過濾的端口，進(jìn)行TCP

"ping"掃描。

另一個選項是"-P0"。在缺省設(shè)置下試圖掃描一個端口之前，Nmap將用TCP

ping"和ICMP

echo命令ping一個目標(biāo)機(jī)，如果ICMP和TCP的探測掃描得不到響應(yīng)，目標(biāo)主機(jī)或網(wǎng)絡(luò)就不會被掃描，即使他們是運(yùn)行著的。而"-P0"選項允許在掃描之前不進(jìn)行ping，即可進(jìn)行掃描。2023/2/525計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)端口掃描的防范:

由于對目標(biāo)主機(jī)進(jìn)行端口掃描非常簡單和方便，作為系統(tǒng)管理員或普通的用戶都需要時刻關(guān)注所管理的機(jī)器的端口狀況，要最大限度隱藏端口狀況，減少不必要的安全漏洞。防范主機(jī)端口的非法掃描，可以從兩個方面下手解決，一個是主機(jī)級的防范，一個是網(wǎng)絡(luò)級的防范。對于主機(jī)級的防范，又可以從下面兩個方面著手。（1）關(guān)閉閑置和有潛在危險的端口。（2）對無法關(guān)閉的端口進(jìn)行監(jiān)控。2023/2/526計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.3.2網(wǎng)絡(luò)監(jiān)聽原理及其工具網(wǎng)絡(luò)監(jiān)聽工具又被稱為嗅探器（Sniffer），它是一種利用計算機(jī)網(wǎng)絡(luò)接口截獲目的計算機(jī)的數(shù)據(jù)報文的技術(shù)，其目的就是截獲通信的內(nèi)容，其手段是對協(xié)議進(jìn)行分析。網(wǎng)絡(luò)監(jiān)聽對于安全的威脅來自于其被動性和非干繞性，它往往讓網(wǎng)絡(luò)信息泄密變得不容易發(fā)現(xiàn)。監(jiān)聽器工作在網(wǎng)絡(luò)的底層，在某個廣播域中進(jìn)行數(shù)據(jù)包監(jiān)聽，它將網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)記錄下來，可以利用這些記錄分析流量，查找網(wǎng)絡(luò)漏洞，檢測網(wǎng)絡(luò)性能，以便找出網(wǎng)絡(luò)中可能存在的安全問題很多黑客入侵時都把局域網(wǎng)掃描和監(jiān)聽作為實(shí)施入侵的最基本步驟和手段，試圖用這種方法獲取用戶的密碼等信息。對入侵活動和其它網(wǎng)絡(luò)犯罪進(jìn)行偵查、取證時，也可以使用網(wǎng)絡(luò)監(jiān)聽技術(shù)來獲取必要的信息。2023/2/527計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)Sniffer軟件本身處于數(shù)據(jù)鏈路層之上，同物理層和數(shù)據(jù)鏈路層無關(guān)，因此Sniffer軟件可以運(yùn)行在各種數(shù)據(jù)鏈路層的協(xié)議和物理傳輸介質(zhì)上。

sniffer在以太網(wǎng)下的工作原理2023/2/528計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)Sniffer硬件通常稱為協(xié)議分析儀Sniffer分為硬件和軟件兩種。2023/2/529計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)sniffer軟件Windows系統(tǒng)下的：SnifferPro和EtherPeekNXSolaris下的NfswatchUnix/Linux下的Tcpdump和sniffit等2023/2/530計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)1.SnifferPro的使用與說明2.Tcpdump的使用與說明2023/2/531計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)4．網(wǎng)絡(luò)監(jiān)聽的檢測與防范簡單的現(xiàn)象判斷：較高的通訊丟包率

通過一些管理軟件，可以看到數(shù)據(jù)包傳送情況，最簡單是ping命令，它會告訴用戶掉了百分之多少的數(shù)據(jù)包。如果網(wǎng)絡(luò)結(jié)構(gòu)正常，在排除病毒的影響外，如果有20％～30％數(shù)據(jù)包丟失，以致數(shù)據(jù)包無法順暢的到達(dá)目的地，網(wǎng)絡(luò)被監(jiān)聽的可能性較大，可能是由于嗅探器攔截數(shù)據(jù)包而導(dǎo)致。網(wǎng)絡(luò)帶寬出現(xiàn)異常

通過某些帶寬控制器，可以實(shí)時看到目前網(wǎng)絡(luò)帶寬的分布情況，如果某臺機(jī)器長時間的占用了較大的帶寬，這臺機(jī)器就有可能在實(shí)施網(wǎng)絡(luò)監(jiān)聽。由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，如果某臺機(jī)器服務(wù)性能下降，也應(yīng)該可以察覺出網(wǎng)絡(luò)通訊速度的變化。2023/2/532計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)防范措施:

（a）采用安全的拓?fù)浣Y(jié)構(gòu)。

（b）采用用加密技術(shù)。

（c）用靜態(tài)的ARP或者IP-MAC對應(yīng)表代替動態(tài)的ARP或者IP-MAC對應(yīng)表。(d)重視重點(diǎn)區(qū)域的安全防范2023/2/533計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4路由器安全策略3.4.1路由器訪問安全配置secret命令設(shè)置密碼，該加密機(jī)制是IOS采用MD5散列算法進(jìn)行加密。Router（config-t）#enablesecretRouter（config-t）#noenablepasswordRouter（config-t）#servicepassword-encryptionRouter（config-t）#linevty04Router（config-line）#exec-timeout100或者使用基于用戶名和口令的強(qiáng)認(rèn)證方法。

Router（config-t）#usernameadminpass5434535e2Router（config-t）#aaanew-modelRouter（config-t）#radius-serverhostkeykey-stringRouter（config-t）#aaaauthenticationloginnetadmingroupradiuslocalRouter（config-t）#linevty04Router（config-line）#loginauthennetadmin2023/2/534計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.2路由器服務(wù)安全管理1．更新路由器操作系統(tǒng)2.修改默認(rèn)的口令3．關(guān)閉CDP服務(wù)4．禁用HTTP設(shè)置和SNMP5．VTY的服務(wù)控制6．其它需要關(guān)閉的服務(wù)7．封鎖ICMP（互聯(lián)網(wǎng)控制消息協(xié)議）ping請求8．禁用來自互聯(lián)網(wǎng)的telnet命令9．禁用IP定向廣播10．禁用IP路由和IP重新定向11．包過濾12．審查安全記錄2023/2/535計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.3其它相關(guān)安全問題1．系統(tǒng)漏洞問題路由器自己的操作系統(tǒng)即網(wǎng)絡(luò)操作系統(tǒng)（IOS）也會出現(xiàn)漏洞及安全隱患，需要管理員及時關(guān)注產(chǎn)品信息打上安全補(bǔ)丁，同時認(rèn)真嚴(yán)格的為IOS作安全備份。2．訪問控制問題要做好以下兩個方面的限制，一是限制物理訪問，二是限制邏輯訪問。3．路由協(xié)議問題在路由協(xié)議方面，要避免使用路由信息協(xié)議（RIP），因為RIP很容易被欺騙從而接受不合法的路由更新。最好是各個分支機(jī)構(gòu)都統(tǒng)一配置，使用開放最短路徑優(yōu)先協(xié)議（OSPF）。4．配置管理問題要有控制存放、檢索及更新路由器配置的配置管理策略，將配置備份文檔妥善保存在安全服務(wù)器上，以防新配置遇到問題時方便更換、重裝或恢復(fù)到原先的配置。2023/2/536計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.4訪問控制列表的制定

1．標(biāo)準(zhǔn)ACL通過使用IP包中的源IP地址進(jìn)行過濾，一個標(biāo)準(zhǔn)訪問控制列表的基本配置語如下所示。access-listaccess-list-number{deny|permit}source[source-wildcard]2．?dāng)U展ACL擴(kuò)展訪問列表能夠?qū)?shù)據(jù)包的源地址、目的地址和端口等項目進(jìn)行檢查，它比標(biāo)準(zhǔn)ACL具有更多的匹配選項，功能更加強(qiáng)大和細(xì)化，可以針對包括協(xié)議類型、源地址、目的地址，源端口、目的端口和TCP連接等進(jìn)行過濾，表號范圍是100~199或2000~2699。Router#configuretRoute（config）#ipaccess-listextended101Route（config-ext-nacl）#permittcpanyhostestablishedlogRoute（config-ext-nacl）#permittcpanyhosteqwwwlogRoute（config-ext-nacl）#permittcpanyhosteqftplogRoute（config-ext-nacl）#permittcpanyhostlog

2023/2/537計算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)3.4.5使用路由器ACL保護(hù)網(wǎng)絡(luò)1．過濾TCP協(xié)議access-list100permittcpany0.0.0255eq23access-list100permittcpany55eq25access-list100permittcpany55eq110access-list100permittcpany55eq80access-list100permittcpanyanyestablishedinterfaceserial0ipaccess-group100in

2．過濾UDP協(xié)議

IP地址為45，假設(shè)端口為137，根據(jù)客戶機(jī)的端口號是在1023以上隨機(jī)選擇的這樣一個規(guī)則，使用如下命令來抵制利用Netbios漏洞發(fā)起的攻擊。access-list100permitudp450.0.00eq137anygt10233．過濾ICMP協(xié)議interfaceserial0ipaccess-group100inipaccess-group101outaccess-list100permiticmpany55echo-replyaccess-list100permiticmpany55packet-too-bigaccess-list100permiticmpany55ttl-exceededaccess-list101permiticmp55anyecho-replyaccess-list101permiticmp55anypacket-too-bigaccess-list101permitip55any