4.2 實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問(wèn)

模塊四—網(wǎng)絡(luò)安全設(shè)計(jì)—實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問(wèn)02.目錄CONTENTS認(rèn)識(shí)網(wǎng)絡(luò)系統(tǒng)安全01.保護(hù)介入層網(wǎng)絡(luò)訪問(wèn)安全03.監(jiān)控網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài)04.實(shí)施網(wǎng)絡(luò)資源的訪問(wèn)控制05.保護(hù)網(wǎng)絡(luò)邊界安全06.部署入侵檢測(cè)和防護(hù)系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.實(shí)施網(wǎng)絡(luò)設(shè)備的安全訪問(wèn)02.課前評(píng)估1．帶內(nèi)管理與帶外管理的區(qū)別是什么？2．列舉常見的密碼安全策略。3．計(jì)算機(jī)的COM端口與交換機(jī)的Console端口連接應(yīng)使用（）線。4．使用遠(yuǎn)程登錄方式配置交換機(jī)，必須進(jìn)行的是（）。A．IP地址配置 B．主機(jī)地址配置C．服務(wù)器配置

D．網(wǎng)絡(luò)地址配置本節(jié)討論路由器的交互式訪問(wèn)、口令保護(hù)和路由協(xié)議認(rèn)證等安全機(jī)制，這些安全機(jī)制緩解了路由器因自身安全問(wèn)題而給整個(gè)網(wǎng)絡(luò)帶來(lái)的漏洞和風(fēng)險(xiǎn)。交換機(jī)作為網(wǎng)絡(luò)環(huán)境中重要的轉(zhuǎn)發(fā)設(shè)備，一般都嵌入了各種安全模塊，實(shí)現(xiàn)了相當(dāng)多的安全機(jī)制，包括各種類型的VLAN技術(shù)、端口安全技術(shù)、802.1X接入認(rèn)證技術(shù)等，有些交換機(jī)還具有防范欺騙攻擊的功能，如DHCPSnooping、源地址防護(hù)和動(dòng)態(tài)ARP檢測(cè)等。最后還介紹了網(wǎng)絡(luò)安全監(jiān)控工具，包括系統(tǒng)日志（Syslog）、網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）和NetFlow等。網(wǎng)絡(luò)設(shè)備安全管理：交換機(jī)或路由器等網(wǎng)絡(luò)設(shè)備的訪問(wèn)方式包括物理訪問(wèn)和邏輯訪問(wèn)兩種方式，可以通過(guò)控制臺(tái)（Console）端口或輔助（Auxiliary）端口來(lái)物理訪問(wèn)CLI，也可以通過(guò)Telnet或SSH連接來(lái)邏輯訪問(wèn)CLI。防止物理路由器被攻擊配置健壯的系統(tǒng)密碼虛擬登錄的安全配置配置健壯的系統(tǒng)訪問(wèn)密碼1）最小長(zhǎng)度：密碼的字符數(shù)越多，猜測(cè)密碼所需的時(shí)間就越長(zhǎng)。2）組合字符：密碼應(yīng)該是大小寫字母、數(shù)字、元字符（符號(hào)和空格）的組合。字符種類和數(shù)量越多，攻擊者需要嘗試的密碼組合就越多。

3）不要使用字典單詞：避免使用字典中出現(xiàn)的單詞，從而減少字典攻擊的成功率。

4）經(jīng)常變更密碼：經(jīng)常變更密碼可以限制密碼被破解后的有用性，從而降低整體損失。配置安全訪問(wèn)端口密碼（1）嚴(yán)格控制Console端口的訪問(wèn)。（2）禁用不需要的Auxiliary端口。（3）設(shè)置使能密碼。（4）加密配置文件中的密碼。（5）設(shè)置密碼最小長(zhǎng)度。（6）創(chuàng)建本地用戶數(shù)據(jù)庫(kù)。遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)設(shè)備的安全配置Telnet的特點(diǎn)（1）所有的用戶名、密碼和數(shù)據(jù)都以明文的方式在公共網(wǎng)絡(luò)中傳輸。（2）用戶使用系統(tǒng)中的一個(gè)賬戶可以獲得更高的權(quán)限。（3）遠(yuǎn)程攻擊者可以使Telnet服務(wù)癱瘓。攻擊者通過(guò)發(fā)起DoS攻擊，比如打開過(guò)多的虛假Telnet會(huì)話，就可以阻止合法用戶使用該服務(wù)。（4）遠(yuǎn)程攻擊者可以找到啟用的用戶賬戶，而該賬戶可能屬于服務(wù)器可信域。遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)設(shè)備的安全配置SSH的特點(diǎn)1）SSH的運(yùn)行過(guò)程。2）配置SSH前的準(zhǔn)備工作。通過(guò)AAA本地認(rèn)證方式使用SSH訪問(wèn)網(wǎng)絡(luò)設(shè)備

AAA（認(rèn)證、授權(quán)、審計(jì)）使用集中部署的標(biāo)準(zhǔn)化方法來(lái)質(zhì)詢用戶的認(rèn)證憑證，審計(jì)用戶在網(wǎng)絡(luò)設(shè)備上的操作行為。(1)網(wǎng)絡(luò)基本配置

按照下圖所示的IP地址，在路由器上完成設(shè)備名稱、接口IP地址和靜態(tài)路由的配置；在PC和AAAServer上配置IP地址參數(shù)；在PC上ping通AAAServer的IP地址，確保網(wǎng)絡(luò)的連通性。通過(guò)AAA本地認(rèn)證方式使用SSH訪問(wèn)網(wǎng)絡(luò)設(shè)備(2)SSH的AAA本地認(rèn)證方式配置(3)配置結(jié)果的驗(yàn)證通過(guò)外部服務(wù)器認(rèn)證方式使用SSH訪問(wèn)網(wǎng)絡(luò)設(shè)備(1)網(wǎng)絡(luò)基本配置

按照下圖所示的IP地址，在路由器上完成設(shè)備名稱、接口IP地址和靜態(tài)路由的配置；在PC和AAAServer上配置IP地址參數(shù)；在PC上ping通AAAServer的IP地址，確保網(wǎng)絡(luò)的連通性。通過(guò)外部服務(wù)器認(rèn)證方式使用SSH訪問(wèn)網(wǎng)絡(luò)設(shè)備(2)外部服務(wù)器認(rèn)證方式配置

設(shè)置客戶端的名稱為R2，客戶端IP地址為192.168.3.1，服務(wù)器類型為Radius，認(rèn)證密鑰為123456，單擊“添加”按鈕即可。添加用戶名為cqcet，密碼為cisco的用戶賬號(hào)，用于設(shè)備登錄的身份認(rèn)證。(3)在路由器R2上配置AAA認(rèn)證服務(wù)。(4)配置結(jié)果的驗(yàn)證。（1）使用遠(yuǎn)程登錄方式配置交換機(jī)，必須進(jìn)行的是（）A．IP地址配置

B．主機(jī)地址配置C．服務(wù)器配置

D．網(wǎng)絡(luò)地址配置（2）下面是路由器帶外登錄方式的有（）。A．通過(guò)Telnet登錄

B．通過(guò)超級(jí)終端登錄C．通過(guò)Web方式登錄D．通過(guò)SNMP方式登錄（3）不是路由器上配置S