通信網(wǎng)絡(luò)安全與防護(hù)-第三章-網(wǎng)絡(luò)設(shè)備安全

第三章網(wǎng)絡(luò)設(shè)備安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第1頁。3.1物理安全3.2路由器的安全技術(shù)3.3交換機(jī)的安全技術(shù)3.4服務(wù)器與操作系統(tǒng)安全主要內(nèi)容通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第2頁。網(wǎng)絡(luò)中大量的信息資源和信息服務(wù)是通過路由器、交換機(jī)、無線接入器等網(wǎng)絡(luò)設(shè)備提供給用戶的，而這些設(shè)備中存在的漏洞造成了極大的網(wǎng)絡(luò)安全隱患。網(wǎng)絡(luò)設(shè)備包括主機(jī)(服務(wù)器、工作站、PC)和網(wǎng)絡(luò)設(shè)施(交換機(jī)、路由器等)。網(wǎng)絡(luò)設(shè)備的安全始終是通信網(wǎng)絡(luò)安全的一個(gè)重要方面。網(wǎng)絡(luò)設(shè)備的安全問題除了一般意義的技術(shù)安全之外，還應(yīng)該包括網(wǎng)絡(luò)設(shè)備的物理安全，諸如人為損壞以及網(wǎng)絡(luò)設(shè)備防斷電、防雷擊、防靜電、防灰塵、防電磁干擾、防潮散熱等環(huán)境安全問題。通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第3頁。

物理安全是整個(gè)通信網(wǎng)絡(luò)系統(tǒng)安全的前提，是保護(hù)通信網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤或人為損壞導(dǎo)致被破壞的過程。3.1物理安全物理安全機(jī)房安全技術(shù)硬件設(shè)備安全電源系統(tǒng)安全通信線路安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第4頁。一、機(jī)房安全技術(shù)3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第5頁。一、機(jī)房安全技術(shù)3.1物理安全1.機(jī)房的安全要求

減少無關(guān)人員進(jìn)入機(jī)房的機(jī)會；

選址時(shí)應(yīng)避免靠近公共區(qū)域，避免窗戶鄰街；

機(jī)房最好不要安排在底層或頂層；

在較大的樓層內(nèi)，機(jī)房應(yīng)靠近樓層的一邊安排；

保證所有進(jìn)出機(jī)房的人都在管理人員的監(jiān)控之下。2.機(jī)房的防盜要求

對機(jī)房內(nèi)重要的設(shè)備和存儲媒體應(yīng)采取嚴(yán)格的防盜措施。主要包括：

光纖電纜防盜系統(tǒng)；

特殊標(biāo)簽防盜系統(tǒng)；

視頻監(jiān)視防盜系統(tǒng)。通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第6頁。

3.機(jī)房的三度要求（溫度、濕度和潔凈度）一、機(jī)房安全技術(shù)3.1物理安全（1）溫度的影響（2）濕度的影響（3）灰塵的影響通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第7頁。4.防靜電措施一、機(jī)房安全技術(shù)3.1物理安全機(jī)房的內(nèi)裝修材料采用乙烯材料；機(jī)房內(nèi)安裝防靜電地板，并將地板和設(shè)備接地；機(jī)房內(nèi)的重要操作臺應(yīng)有接地平板；工作人員的服裝和鞋最好用低阻值的材料制作；機(jī)房內(nèi)應(yīng)保持一定濕度。通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第8頁。5.接地與防雷一、機(jī)房安全技術(shù)3.1物理安全接地與防雷是保護(hù)通信網(wǎng)絡(luò)系統(tǒng)和工作場所安全的重要安全措施。接地是指整個(gè)通信網(wǎng)絡(luò)系統(tǒng)中各處電位均以大地電位為零參考電位。地線種類可分為：保護(hù)地、直流地、屏蔽地、靜電地、雷擊地。通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第9頁。5.接地與防雷一、機(jī)房安全技術(shù)3.1物理安全防雷，是指通過組成攔截、疏導(dǎo)最后泄放入地的一體化系統(tǒng)方式以防止由直擊雷或雷電的電磁脈沖對建筑物本身或其內(nèi)部設(shè)備造成損害的防護(hù)技術(shù)。機(jī)房外部防雷應(yīng)使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道；機(jī)房內(nèi)部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護(hù)等技術(shù)措施以及攔截、屏蔽、均壓、分流、接地等方法，達(dá)到防雷的目的；機(jī)房的設(shè)備本身也應(yīng)有避雷裝置和設(shè)施。通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第10頁。機(jī)房內(nèi)應(yīng)有火災(zāi)、水災(zāi)自動報(bào)警系統(tǒng)；機(jī)房上層有用水設(shè)施須加防水層；機(jī)房內(nèi)應(yīng)放置適用于通信機(jī)房的滅火器，并建立應(yīng)急計(jì)劃和防火制度等。與機(jī)房安全相關(guān)的國家標(biāo)準(zhǔn)主要有：GB/T2887-2011《計(jì)算機(jī)場地通用規(guī)范》GB50174-2008《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》GB/T9361-2011《計(jì)算站場地安全要求》6.機(jī)房的防火、防水措施一、機(jī)房安全技術(shù)3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第11頁。二、通信線路安全3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第12頁。

通信線路是信息傳輸?shù)耐ǖ?，會受到搭線竊聽、中斷或干擾的攻擊。二、通信線路安全3.1物理安全電纜加壓技術(shù)電纜屏蔽光纖通信技術(shù)通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第13頁。電纜加壓技術(shù)電纜兩端加壓，連接監(jiān)視器，如果監(jiān)測到變化，則啟動報(bào)警器。加壓電纜是屏蔽在波紋鋁鋼包皮中，幾乎沒有電磁輻射，對利用電磁感應(yīng)的竊聽行為有一定的抵抗力。2.電纜屏蔽技術(shù)降低電磁感應(yīng)，提高抗干擾能力。屏蔽式雙絞線的抗干擾能力更強(qiáng)，對于干擾嚴(yán)重的區(qū)域應(yīng)使用屏蔽式雙絞線，還可將其放在金屬管內(nèi)以增強(qiáng)抗干擾能力。14二、通信線路安全3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第14頁。3.光纖通信技術(shù)光纖的“天然”保密性？15二、通信線路安全3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第15頁。二、通信線路安全3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第16頁。光纖竊聽方法：1）光纖彎曲法2）V型槽切口法3）散射法4）光束分離法5）漸近耦合法3.光纖通信技術(shù)二、通信線路安全3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第17頁。1.硬件設(shè)備的維護(hù)和管理三、硬件設(shè)備安全3.1物理安全（1）硬件設(shè)備的使用管理嚴(yán)格按硬件設(shè)備的操作使用規(guī)程進(jìn)行操作；建立設(shè)備使用情況日志，并登記使用過程；建立硬件設(shè)備故障情況登記表；堅(jiān)持對設(shè)備進(jìn)行例行維護(hù)和保養(yǎng)，并指定專人負(fù)責(zé)。（2）常用硬件設(shè)備的維護(hù)和保養(yǎng)定期檢查線纜連接的緊固性；定期清除表面及內(nèi)部灰塵；定期檢查供電系統(tǒng)的各種保護(hù)裝置及地線是否正常。通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第18頁。三、硬件設(shè)備安全3.1物理安全（1）電磁兼容和電磁輻射（2）電磁輻射防護(hù)的措施2.電磁兼容和電磁輻射的防護(hù)采用各種電磁屏蔽措施干擾的防護(hù)措施3.信息存儲媒體的安全管理通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第19頁。四、電源系統(tǒng)安全20風(fēng)險(xiǎn)：因電源系統(tǒng)電壓波動、浪涌電流和突然斷電等導(dǎo)致計(jì)算機(jī)系統(tǒng)存儲信息丟失、設(shè)備損壞。供電連續(xù)性、可靠性、穩(wěn)定性和抗干擾性等指標(biāo)。機(jī)房的供配電系統(tǒng)設(shè)計(jì)要求：滿足設(shè)備自身運(yùn)轉(zhuǎn)和網(wǎng)絡(luò)應(yīng)用的要求，保證網(wǎng)絡(luò)系統(tǒng)運(yùn)行的可靠性，保證設(shè)備的設(shè)計(jì)壽命，保證信息安全，保證機(jī)房人員的工作環(huán)境。3.1物理安全通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第20頁。一、路由器存在的安全問題及對策3.2路由器的安全技術(shù)身份問題、漏洞問題、訪問控制問題、路由協(xié)議問題、配置管理問題等端口登錄口令：可以登錄到路由器，一般只能查看部分信息特權(quán)用戶口令：可以使用全部的查看、配置和管理命令。1.路由器口令的設(shè)置通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第21頁。1.路由器口令的設(shè)置一、路由器存在的安全問題及對策3.2路由器的安全技術(shù)口令加密設(shè)置端口登錄口令加密特權(quán)用戶口令防止口令修復(fù)通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第22頁。一、路由器存在的安全問題及對策3.2路由器的安全技術(shù)2.網(wǎng)絡(luò)服務(wù)的安全設(shè)置禁止HTTP服務(wù)禁止一些默認(rèn)狀態(tài)下開啟的服務(wù)如：思科發(fā)現(xiàn)協(xié)議CDP（CiscoDiscoveryProtocol）是用來獲取相鄰設(shè)備的協(xié)議地址以及發(fā)現(xiàn)這些設(shè)備的平臺，就是說當(dāng)思科的設(shè)備連接到一起時(shí)，不需要額外的配置，用showcdpneighbor就可以查看到鄰居的狀態(tài)。關(guān)閉其他一些易受攻擊的端口服務(wù)Noipunreachables//防smurf攻擊通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第23頁。一、路由器存在的安全問題及對策3.2路由器的安全技術(shù)3.保護(hù)內(nèi)部網(wǎng)絡(luò)lP地址利用路由器的網(wǎng)絡(luò)地址轉(zhuǎn)換隱藏內(nèi)部地址利用地址解析協(xié)議防止盜用內(nèi)部IP地址通過ARP可以固定地將IP地址綁定在某一MAC上通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第24頁。4.利用訪問控制列表有效防范網(wǎng)絡(luò)攻擊

訪問控制列表ACL使用包過濾技術(shù)，在路由器上讀取第三層及第四層數(shù)據(jù)包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到訪問控制的目的。一、路由器存在的安全問題及對策3.2路由器的安全技術(shù)利用ACL禁止ping相關(guān)接口利用ACL防止IP地址欺騙利用ACL防止SYN攻擊利用ACL防范網(wǎng)絡(luò)病毒攻擊通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第25頁。5.防止包嗅探使用SSH或支持Kerberos的Telnet，或使用IPSec加密路由器所有的管理流6.校驗(yàn)數(shù)據(jù)流路徑的合法性一、路由器存在的安全問題及對策3.2路由器的安全技術(shù)使用RPF（Reversepathforwarding）反相路徑轉(zhuǎn)發(fā)7.為路由器間的協(xié)議交換增加認(rèn)證功能，提高網(wǎng)絡(luò)安全性8.使用安全的SNMP管理方案通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第26頁。二、路由器的安全配置3.2路由器的安全技術(shù)1.路由器口令安全配置2.路由器網(wǎng)絡(luò)服務(wù)的安全設(shè)置3.保護(hù)內(nèi)部網(wǎng)絡(luò)IP地址的配置4.利用ACL防范網(wǎng)絡(luò)攻擊的配置5.利用ACL防范病毒攻擊的配置6.利用ACL對HTTP服務(wù)進(jìn)行服務(wù)控制及權(quán)限管理Router(config)#access-list1permit30Router(config)#iphttpaccess-classlRouter(config)#iphttpauthenticationaaa通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第27頁。一、交換機(jī)存在的安全問題及對策3.3交換機(jī)的安全技術(shù)2.利用虛擬局域網(wǎng)技術(shù)限制局域網(wǎng)廣播及ARP攻擊范圍1.利用交換機(jī)端口安全技術(shù)限制端口接入的隨意性3.強(qiáng)化Trunk端口設(shè)置避免利用封裝協(xié)議缺陷實(shí)行VLAN

的跳躍攻擊4.使用交換機(jī)包過濾技術(shù)增加網(wǎng)絡(luò)交換的安全性5.使用交換機(jī)的安全網(wǎng)管6.使用交換機(jī)集成的入侵檢測技術(shù)7.使用交換機(jī)集成的用戶認(rèn)證技術(shù)通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第28頁。二、交換機(jī)的安全配置3.3交換機(jī)的安全技術(shù)路由器登錄口令、加密等安全措施也適用于交換機(jī)打開端口的端口安全功能，命令如下。Switch(config-if)#switchportport-security設(shè)置端口上安全地址的最大個(gè)數(shù)，命令如下。Switch(config-if)#switchportport-secruitymaximum1配置處理違例的方式，命令如下。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第29頁。一、Windows操作系統(tǒng)安全3.4服務(wù)器與操作系統(tǒng)安全限制用戶數(shù)量。去掉所有的測試賬戶、共享賬號和普通部門賬號等。用戶組策略設(shè)置相應(yīng)權(quán)限、并且經(jīng)常檢查系統(tǒng)的賬號，刪除已經(jīng)不適用的賬號。管理員賬號設(shè)置:更改默認(rèn)名稱、陷井帳號安全登錄口令設(shè)置屏幕保護(hù)／屏幕鎖定口令安全文件管理安裝防病毒軟件通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第30頁。一、Windows操作系統(tǒng)安全3.4服務(wù)器與操作系統(tǒng)安全備份盤的安全禁止不必要的服務(wù)使用IPSec來控制端口訪問定期查看日志經(jīng)常訪問微軟升級程序站點(diǎn)，了解補(bǔ)丁的最新發(fā)布情況通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第31頁。二、Web服務(wù)器的安全3.4服務(wù)器與操作系統(tǒng)安全1.明確安全需求（1）主機(jī)系統(tǒng)的安全需求：確保主機(jī)系統(tǒng)的認(rèn)證機(jī)制，嚴(yán)密地設(shè)置及管理訪問口令，是主機(jī)系統(tǒng)抵御威脅的有力保障。（2）web服務(wù)器的安全需求選擇合適的程序，該類型web服務(wù)器的漏洞最少；對服務(wù)器的管理操作只能由授權(quán)用戶執(zhí)行；拒絕通過Web訪問web服務(wù)器上不公開的內(nèi)容；能夠禁止內(nèi)嵌在操作系統(tǒng)或web服務(wù)器軟件中的不必要的網(wǎng)絡(luò)服務(wù)；有能力控制對各種形式的執(zhí)行程序的訪問；能對某些Web操作進(jìn)行日志記錄，以便于入侵檢測和入侵企圖分析；具有適當(dāng)?shù)娜蒎e(cuò)功能。通信網(wǎng)絡(luò)安全與防護(hù)-第三章--網(wǎng)絡(luò)設(shè)備安全全文共34頁，當(dāng)前為第32頁。二、Web服務(wù)器的安全3.4服務(wù)器與操作系統(tǒng)安全2.