第一章網(wǎng)絡(luò)設(shè)備安全.ppt

1、網(wǎng)絡(luò)安全管理員,目錄,第一章 網(wǎng)絡(luò)設(shè)備安全 第二章 局域網(wǎng)安全攻防技術(shù) 第三章 網(wǎng)絡(luò)邊界流量控制及入侵防御技術(shù) 第四章 接入安全與準(zhǔn)入技術(shù) 第五章 linux系統(tǒng)安全 第六章 漏洞的利用和木馬,第一章網(wǎng)絡(luò)設(shè)備安全,返回,提綱,1.1局域網(wǎng)設(shè)備安全 交換機設(shè)備安全 交換機設(shè)備用戶訪問控制 其他交換機訪問設(shè)置 服務(wù)器設(shè)備安全 1.2 互聯(lián)網(wǎng)邊界設(shè)備安全 防火墻安全 互聯(lián)網(wǎng)準(zhǔn)入設(shè)備安全,1.1局域網(wǎng)設(shè)備安全,1.1局域網(wǎng)設(shè)備安全設(shè)備物理安全,保證設(shè)備物理安全是一切安全的基礎(chǔ) 設(shè)備機房制定嚴(yán)格的規(guī)章制度 有權(quán)利訪問交換機的用戶使用的訪問方式 機房在建設(shè)時應(yīng)考慮防雷，接地安全,1.1局域網(wǎng)設(shè)備安全交換機

2、設(shè)備安全,構(gòu)建安全的控制臺訪問 交換機中的控制臺訪問設(shè)置。 switch#sh ver DCRS-5526S Device, May 24 2007 12:13:15 HardWare version is 2.00 SoftWare version is DCRS-5526S_ OS version is OS_9 BootRom version is DCRS-5526S_1.3.3 Copyright (C) 2001-2006 by Digital China Networks Limited. All rights reserved. System up

3、 time: 0 days, 0 hours, 0 minutes, 36 seconds.）,1.1局域網(wǎng)設(shè)備安全交換機設(shè)備用戶訪問控制,配置特權(quán)用戶密碼 switch(Config)#enable password level admin 密碼密文顯示 switch(Config)#telnet-user user password 7 passfor,1.1局域網(wǎng)設(shè)備安全其他交換機訪問設(shè)置,telnet登錄設(shè)置 switch(Config)#telnet-user user1 password ? - Hide the password when showing (0/7) Web方式登

4、錄設(shè)置 switch(Config)#ip http server web server is on switch(Config)#web-user web1 password 7 123,1.1局域網(wǎng)設(shè)備安全其他交換機訪問設(shè)置,在瀏覽器地址欄輸入：為交換機配置的IP地址，回車后，可以看到如下界面：,1.1局域網(wǎng)設(shè)備安全web登錄設(shè)置,此處輸入剛才添加的用戶和口令單擊登錄就可以進入了，如圖,1.1局域網(wǎng)設(shè)備安全web登錄設(shè)置,此界面即為web方式管理交換機的主界面,1.1局域網(wǎng)設(shè)備安全服務(wù)器設(shè)備安全,警告標(biāo)語(Warning Banners) SSH訪問 禁用不需要的服務(wù) 終端安全,1.1局域

5、網(wǎng)設(shè)備安全警告標(biāo)語(Warning Banners),警告標(biāo)語用來警告有破壞企圖的使用者消除不良動機，意在防患于未然，通常服務(wù)器可以根據(jù)服務(wù)性質(zhì)設(shè)置警告性的語句。,1.1局域網(wǎng)設(shè)備安全SSH訪問,第一種級別（基于口令的安全驗證）只要知道自己帳號和口令，就可以登錄到遠程主機，所有傳輸?shù)臄?shù)據(jù)都會被加密。 第二種級別（基于密匙的安全驗證）需要依靠密匙，也就是用戶必須為自己創(chuàng)建一對密匙，并把公用密匙放在需要訪問的服務(wù)器上。,1.1局域網(wǎng)設(shè)備安全SSH 主要組成部分,傳輸層協(xié)議 SSH-TRANS 提供了服務(wù)器認(rèn)證，保密性及完整性。 用戶認(rèn)證協(xié)議 SSH-USERAUTH 用于向服務(wù)器提供客戶端用戶鑒別

6、功能。 連接協(xié)議 SSH-CONNECT 將多個加密隧道分成邏輯通道。,1.1局域網(wǎng)設(shè)備安全SSH的組成,服務(wù)端是一個守護進程(deamon)，他在后臺運行并響應(yīng)來自客戶端的連接請求 客戶端可以包含ssh程序以及像scp（遠程拷貝）、slogin（遠程登錄）、sftp（安全文件傳輸）等其他的應(yīng)用程序。,1.1局域網(wǎng)設(shè)備安全SSH所能防范的網(wǎng)絡(luò)攻擊,1.1局域網(wǎng)設(shè)備安全禁用不需要的服務(wù),禁用服務(wù)可以在windows系統(tǒng)中使用如下的方式進行。單擊開始程序管理工具服務(wù)，如下所示為本地服務(wù)的啟動、停止和查看界面。,1.1局域網(wǎng)設(shè)備安全禁用不需要的服務(wù),本例中選擇將已經(jīng)啟動的第三項服務(wù)禁用，過程如下,1

7、.1局域網(wǎng)設(shè)備安全禁用不需要的服務(wù),雙擊選擇的服務(wù)選擇已禁用,1.1局域網(wǎng)設(shè)備安全終端安全,部署防病毒軟件,1.1局域網(wǎng)設(shè)備安全部署防病毒軟件的原則,功能多樣化vs短板效應(yīng) 傳統(tǒng)vs創(chuàng)新 “殺”vs“防” 效率vs安全,1.2互聯(lián)網(wǎng)邊界設(shè)備安全,1.2互聯(lián)網(wǎng)邊界設(shè)備安全互聯(lián)網(wǎng)邊界設(shè)備安全,設(shè)備維護人員都應(yīng)該對設(shè)備的管理制定相應(yīng)的規(guī)章制度。了解相關(guān)條款，明確管理員的責(zé)任和義務(wù)。,1.2互聯(lián)網(wǎng)邊界設(shè)備安全路由設(shè)備安全,一是主機(包括用戶主機和應(yīng)用服務(wù)器等)的安全 二是網(wǎng)絡(luò)自身(主要是網(wǎng)絡(luò)設(shè)備，包括路由器、交換機等)的安全,1.2互聯(lián)網(wǎng)邊界設(shè)備安全關(guān)閉不必要的服務(wù)防止路由器受到不必要的攻擊,可以使用

8、類似以下的命令將設(shè)備中不需要的服務(wù)關(guān)閉（主要是“no”命令的使用）： no service finger no service udp-small-server no service tcp-small-server no ip http server 另外，某些服務(wù)對網(wǎng)絡(luò)的安全運行有很大的幫助，應(yīng)該打開： service tcp-keepalives-in debug datetime msec localtime show-timezone show-timezone,1.2互聯(lián)網(wǎng)邊界設(shè)備安全防火墻安全,防火墻接入安全 防火墻訪問安全 防火墻配置安全,1.2互聯(lián)網(wǎng)邊界設(shè)備安全防火墻接入安全

9、,由于防火墻本身的抗病毒和抗攻擊能力較弱，因此，防火墻與易傳播病毒的網(wǎng)絡(luò)（如外網(wǎng)）之間最好增加一道屏障，如路由器,1.2互聯(lián)網(wǎng)邊界設(shè)備安全防火墻訪問安全,SSH管理訪問 HTTPS管理訪問 SSL介紹,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSH管理訪問,SSH管理訪問 如需使用SSH方式進行設(shè)備管理，一般需要事先在防火墻中進行一些配置，如下（請注意本節(jié)最后部分示意的防火墻版本事項）： DCFW-1800(config)# interface ethernet0/0 DCFW-1800(config-if-eth0/0)# manage ssh DCFW-1800(config-if-eth0/0)# ex

10、it DCFW-1800(config)# ssh port 29 2009-02-10 17:48:37, Event WARNINGMGMT: SSH server port is changed to 29 ssh server work on the port: 29!,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSH管理訪問,在客戶端，可以使用諸如secureCRT這樣的客戶端軟件來實現(xiàn)SSH的訪問，過程如下：,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSH管理訪問,首先打開應(yīng)用程序，界面如下,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSH管理訪問,在主界面中單擊“快速連接”（如圖示），出現(xiàn)如下界面：,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSH

11、管理訪問,注意在此處輸入的信息與防火墻的連接端口地址信息和ssh服務(wù)端口應(yīng)一致。單擊”connect”，站點返回如下,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSH管理訪問,輸入正確的用戶名和口令，單擊”ok”,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSH管理訪問,登錄后，可以看到在界面的最下面，系統(tǒng)提示了使用AES-256加密的SSH連接已經(jīng)建立。,1.2互聯(lián)網(wǎng)邊界設(shè)備安全HTTPS管理訪問,HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer）。 使用端口為“443” 它作用可以分為兩種：建立信息安全通道，保證數(shù)據(jù)傳輸安全；另一

12、種是確認(rèn)網(wǎng)站的真實性。,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSL,SSL協(xié)議提供的服務(wù)主要有： 認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器； 加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??； 維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSL,SSL協(xié)議的工作流程： 服務(wù)器認(rèn)證階段 用戶認(rèn)證階段,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSL 協(xié)議,客戶端和服務(wù)器相互傳送版本號，加密算法的種類，隨機數(shù)。由客戶端發(fā)起。 客戶端驗證服務(wù)器的合法性。 用戶端產(chǎn)生“對稱密碼”，然后用公鑰加密，后將加密的“預(yù)主密碼”傳給服務(wù)器。,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSL 協(xié)議,用戶端產(chǎn)生“對稱密碼”，然后用公鑰加密，后將加密的“預(yù)主密碼”傳給服務(wù)器。 （可選），用戶建立隨機數(shù)對其進行數(shù)據(jù)簽名，將隨機數(shù)和客戶端的證書以及加密過的“預(yù)主密碼”一起傳給服務(wù)器。,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSL 協(xié)議,服務(wù)器檢驗客戶證書和簽名隨機數(shù)的合法性，（客戶端也將通過同樣的方法產(chǎn)生相同的主通訊密碼）。 服務(wù)器和客戶端用相同的“通話密碼”，一個對稱密鑰用于 SSL 協(xié)議的安全數(shù)據(jù)通訊的加解密通訊。,1.2互聯(lián)網(wǎng)邊界設(shè)備安全SSL 協(xié)議,客戶端和服務(wù)器端互相發(fā)出信息，指明后面的數(shù)據(jù)通訊主密碼為對稱密鑰，同時通知服務(wù)器客戶端