3網絡與信息安全課件

網絡與通信安全網絡與通信安全課程內容網絡協(xié)議與安全威脅網絡安全控制交換機設備安全配置路由器設備安全配置課程內容網絡協(xié)議與安全威脅2第一部分

網絡協(xié)議與安全威脅第一部分

網絡協(xié)議與安全威脅3四層協(xié)議鏈路層設驅動備程序及接口卡網絡層傳輸層應用層IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet四層協(xié)議鏈路層設驅動備程序及接口卡網絡層傳輸層應用層IP、I4工作模式鏈路層網絡層傳輸層應用層郵寄物品郵寄類型和申請郵件封裝郵寄線路工作模式鏈路層網絡層傳輸層應用層郵寄物品郵寄類型和申請郵件封5四層協(xié)議與網絡攻擊鏈路層網絡層傳輸層應用層網絡竊聽攻擊地址欺騙攻擊拒絕服務攻擊信息掃描攻擊服務系統(tǒng)攻擊四層協(xié)議與網絡攻擊鏈路層網絡層傳輸層應用層網絡竊聽攻擊地址欺6第二部分

網絡安全控制第二部分

網絡安全控制7OSI網絡參考模型網絡組成結構

網絡系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器

資源子網通信線路主機

通信子網主機網絡系統(tǒng)通信線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7

網絡通信子系統(tǒng)L4L5L6L7L1L2L3WANLANOSI網絡參考模型網絡組成結構網絡系統(tǒng)L3L7L7L3L78OSI網絡參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源和信宿；通信功能：為實現(xiàn)通信所能提供的特定操作和控制機制，如數(shù)據傳送、流量控制、差錯控制、應答機制、數(shù)據包的拆分與重組等；通信服務：是通信功能的外部表現(xiàn)，為上層用戶提供通信支持；通信介質：本層以下所有協(xié)議層，是本層以下通信結構的抽象表示；通信子系統(tǒng)通過本層的通信功能和下層的通信服務，實現(xiàn)本層不同通信實體之間的通信，并為上層協(xié)議提供通信服務。通信介質協(xié)議站1協(xié)議站2上層用戶1上層用戶2通信服務訪問通信協(xié)議通信功能通信子系統(tǒng)下層通信服務通信實體1通信實體2OSI網絡參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源9理論依據互聯(lián)基礎設施域支撐基礎設施域局域計算接入域局域計算服務域服務和管理對象檢測和響應、KMI、應急和恢復處理計算存儲本地接入遠程接入理論依據互聯(lián)基礎設施域支撐基礎設施域局域計算局域計算服務和管10理論依據美國總統(tǒng)關鍵基礎設施保護委員會關于加強SCADA網絡的21條建議美國國家安全局IATFDMTF的分布式管理方法和模型軟件行為學…理論依據美國總統(tǒng)關鍵基礎設施保護委員會關于加強SCADA網絡11安全域綜述—概念&理解一般常常理解的安全域（網絡安全域）是指同一系統(tǒng)內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網或網絡，且相同的網絡安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務要求和安全要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網絡區(qū)域主機和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務和使命等安全域綜述—概念&理解一般常常理解的安全域（網絡安全域）是指12安全域綜述—安全域的意義基于網絡和系統(tǒng)進行安全檢查和評估的基礎安全域的分割是抗?jié)B透的防護方式基于網絡和系統(tǒng)進行安全建設的部署依據安全域邊界是災難發(fā)生時的抑制點，防止影響的擴散安全域綜述—安全域的意義基于網絡和系統(tǒng)進行安全檢查和評估的基13安全區(qū)域的劃分原則需求牽引：業(yè)務層面的需求（不同業(yè)務、不同部門的安全等級需求不同）以及網絡結構層面的需求（安全域在邏輯上可以和網絡層次結構對應）；與現(xiàn)有網絡結構，網絡拓撲緊密結合，盡量不大規(guī)模的影響網絡布局（考慮到用戶需求和成本等因素）與業(yè)務需求一致性原則，安全域的范圍，邊界的界定不能導致業(yè)務與實際分離；統(tǒng)一安全策略：安全域的最重要的一個特征是安全策略的一致性，所以劃分安全域的的前提是具備自上而下（縱向的），自內而外（橫向的）的宏觀上的安全策略規(guī)劃；部署實施方便：最少化安全設備原則，合理的安全域劃分可以減少冗余設備，精簡開支；等級保護的需要；為集中化的安全管理服務。安全區(qū)域的劃分原則需求牽引：業(yè)務層面的需求（不同業(yè)務、不同部14安全控制接入區(qū)域邏輯隔離業(yè)務處理區(qū)域業(yè)務終端區(qū)域業(yè)務處理區(qū)域橫向骨干接入區(qū)域邏輯隔離業(yè)務處理區(qū)域業(yè)務終端區(qū)域業(yè)務處理區(qū)域核心數(shù)據區(qū)域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC縱向骨干安全控制接入區(qū)域邏業(yè)務處理區(qū)域業(yè)務終端區(qū)域業(yè)務處理區(qū)域橫向骨15安全邊界安全邊界將需要保護的資源、可能的風險和保障的需求結合起來可以在通信路徑上完成訪問控制的授權、范圍、期限。安全邊界的設計良好的清晰度以便進行審查和測試具備簡潔性以便能夠迅速自動化執(zhí)行減輕維護人員的工作量具備現(xiàn)實性以便采用成熟的技術和產品安全邊界可采用的安全技術包括隔離、監(jiān)控、檢測、評估、審計、加密等。安全邊界安全邊界將需要保護的資源、可能的風險和保障的需求結合16可作為安全邊界的設備交換機路由器防火墻入侵檢測網關VPNEtc…….可作為安全邊界的設備交換機17第三部分

交換機設備安全配置第三部分

交換機設備安全配置18配置內容關閉不必要的設備服務使用強口令或密碼加強設備訪問的認證與授權升級設備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據包類型配置內容關閉不必要的設備服務19交換機-針對CDP攻擊交換機-針對CDP攻擊20交換機-針對STP攻擊說明SpanningTreeProtocol防止交換網絡產生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強制接管rootbridge，導致網絡邏輯結構改變，在重新生成STP時，可以導致某些端口暫時失效，可以監(jiān)聽大部份網絡流量。BPDUFlood：消耗帶寬，拒絕服務對策對User-End端口，禁止發(fā)送BPDU交換機-針對STP攻擊說明21交換機-針對VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個網絡的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機動態(tài)添加刪除VLAN準確跟蹤和監(jiān)測VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個Domain的交換機才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過經MD5加密的password驗證，但password設置非必需的，如果未設置password，可能構造VTP幀，添加或者刪除Vlan。對策設置password盡量將交換機的vtp設置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty交換機-針對VTP攻擊作用22第四部分

路由器設備安全配置第四部分

路由器設備安全配置23配置內容關閉不必要的設備服務使用強口令或密碼加強設備訪問的認證與授權升級設備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據包類型配置內容關閉不必要的設備服務24路由器-發(fā)現(xiàn)路由通過tracertroute命令最后一個路由容易成為DoS攻擊目標路由器-發(fā)現(xiàn)路由通過tracertroute命令25路由器-猜測路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會有cisco字樣提示路由器-猜測路由器類型端口掃描26路由器-缺省帳號設備用戶名密碼級別bay路由器user空用戶

Manager空管理員bay350T交換機NetlCs無關管理員baysuperStackIIsecuritysecurity管理員3com交換機adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-缺省帳號設備用戶名密碼級別bay路由器user空用戶27路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5路由器-密碼Cisco路由器的密碼28路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)Snmp網管軟件禁用簡單網絡管理協(xié)議nosnmp-serverenable使用SNMPv3加強安全特性snmp-serverenabletrapssnmpauthmd5使用強的SNMPv1通訊關鍵字snmp-servercommunityname路由器-SNMPSNMP29保證路由器密碼安全使用加密的強密碼servicepassword-encryptionenablesecretpa55w0rd使用分級密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略usernamepasswordpassprivilegeexec6show控制網絡線路訪問access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設置網絡連接超時Exec-timeout50保證路由器密碼安全使用加密的強密碼30Cisco路由器安全配置降低路由器遭受應用層攻擊1禁止CDP(CiscoDiscoveryProtocol)。如：

Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止其他的TCP、UDPSmall服務。

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止Finger服務。

Router(Config)#noipfingerRouter(Config)#noservicefinger4建議禁止HTTP服務。

Router(Config)#noiphttpserver如果啟用了HTTP服務則需要對其進行安全配置：設置用戶名和密碼；采用訪問列表進行控制。Cisco路由器安全配置降低路由器遭受應用層攻擊31Cisco路由器安全配置5禁止BOOTp服務。

Router(Config)#noipbootpserver6禁止IPSourceRouting。

Router(Config)#noipsource-route7建議如果不需要ARP-Proxy服務則禁止它，路由器默認識開啟的。

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcastCisco路由器安全配置5禁止BOOTp服務。32Cisco路由器安全配置9禁止ICMP協(xié)議的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply10建議禁止SNMP協(xié)議服務。在禁止時必須刪除一些SNMP服務的默認配置。如：

Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRW11如果沒必要則禁止WINS和DNS服務。

Router(Config)#noipdomain-lookup

如果需要則需要配置：

Router(Config)#hostnameRouterRouter(Config)#ipname-server219.150.32.xxx12明確禁止不使用的端口。如：

Router(Config)#interfaceeth0/3Router(Config)#shutdownCisco路由器安全配置9禁止ICMP協(xié)議的IPUnre33Cisco路由器安全配置認證與日志管理使用AAA加強設備訪問控制日志管理loggingonloggingbuffered36000Cisco路由器安全配置認證與日志管理34Cisco路由器安全配置禁用IPUnreachable報文禁用ICMPRedirect報文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗證Ipverifyunicastreverse-path禁用IP源路由選項noipsource-routeCisco路由器安全配置禁用IPUnreachable報文35Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問控制列表起用TCP截獲特性設置截獲模式設置門限制設置丟棄模式Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊36Cisco路由器安全配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數(shù)據包使用訪問控制列表限定數(shù)據流量使用訪問控制列表保護內部網絡Cisco路由器安全配置使用訪問控制列表限制訪問地址37DDoS預防方法限制ICMP數(shù)據包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預防方法限制ICMP數(shù)據包出站速率38DDoS預防方法限制SYN數(shù)據包連接速率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xxDDoS預防方法限制SYN數(shù)據包連接速率39DDoS預防方法RFC1918約定過濾InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預防方法RFC1918約定過濾40DDoS預防方法驗證單點傳送反向路徑檢查數(shù)據包地返回路徑是否使用與到達相同接口，以緩解某些欺騙數(shù)據包需要路由CEF（快速向前傳輸）特性在存在非對稱路徑時不適合DDoS預防方法驗證單點傳送反向路徑41問題？問題？421、有時候讀書是一種巧妙地避開思考的方法。12月-2212月-22Saturday,December10,20222、閱讀一切好書如同和過去最杰出的人談話。11:37:0111:37:0111:3712/10/202211:37:01AM3、越是沒有本領的就越加自命不凡。12月-2211:37:0111:37Dec-2210-Dec-224、越是無能的人，越喜歡挑剔別人的錯兒。11:37:0111:37:0111:37Saturday,December10,20225、知人者智，自知者明。勝人者有力，自勝者強。12月-2212月-2211:37:0111:37:01December10,20226、意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。10十二月202211:37:01上午11:37:0112月-227、最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。。十二月2211:37上午12月-2211:37December10,20228、業(yè)余生活要有意義，不要越軌。2022/12/1011:37:0111:37:0110December20229、一個人即使已登上頂峰，也仍要自強不息。11:37:01上午11:37上午11:37:0112月-2210、你要做多大的事情，就該承受多大的壓力。12/10/202211:37:01AM11:37:0110-12月-2211、自己要先看得起自己，別人才會看得起你。12/10/202211:37AM12/10/202211:37AM12月-2212月-2212、這一秒不放棄，下一秒就會有希望。10-Dec-2210December202212月-2213、無論才能知識多么卓著，如果缺乏熱情，則無異紙上畫餅充饑，無補于事。Saturday,December10,202210-Dec-2212月-2214、我只是自己不放過自己而已，現(xiàn)在我不會再逼自己眷戀了。12月-2211:37:0110December202211:37謝謝大家1、有時候讀書是一種巧妙地避開思考的方法。12月-2212月43網絡與通信安全網絡與通信安全課程內容網絡協(xié)議與安全威脅網絡安全控制交換機設備安全配置路由器設備安全配置課程內容網絡協(xié)議與安全威脅45第一部分

網絡協(xié)議與安全威脅第一部分

網絡協(xié)議與安全威脅46四層協(xié)議鏈路層設驅動備程序及接口卡網絡層傳輸層應用層IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet四層協(xié)議鏈路層設驅動備程序及接口卡網絡層傳輸層應用層IP、I47工作模式鏈路層網絡層傳輸層應用層郵寄物品郵寄類型和申請郵件封裝郵寄線路工作模式鏈路層網絡層傳輸層應用層郵寄物品郵寄類型和申請郵件封48四層協(xié)議與網絡攻擊鏈路層網絡層傳輸層應用層網絡竊聽攻擊地址欺騙攻擊拒絕服務攻擊信息掃描攻擊服務系統(tǒng)攻擊四層協(xié)議與網絡攻擊鏈路層網絡層傳輸層應用層網絡竊聽攻擊地址欺49第二部分

網絡安全控制第二部分

網絡安全控制50OSI網絡參考模型網絡組成結構

網絡系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器

資源子網通信線路主機

通信子網主機網絡系統(tǒng)通信線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7

網絡通信子系統(tǒng)L4L5L6L7L1L2L3WANLANOSI網絡參考模型網絡組成結構網絡系統(tǒng)L3L7L7L3L751OSI網絡參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源和信宿；通信功能：為實現(xiàn)通信所能提供的特定操作和控制機制，如數(shù)據傳送、流量控制、差錯控制、應答機制、數(shù)據包的拆分與重組等；通信服務：是通信功能的外部表現(xiàn)，為上層用戶提供通信支持；通信介質：本層以下所有協(xié)議層，是本層以下通信結構的抽象表示；通信子系統(tǒng)通過本層的通信功能和下層的通信服務，實現(xiàn)本層不同通信實體之間的通信，并為上層協(xié)議提供通信服務。通信介質協(xié)議站1協(xié)議站2上層用戶1上層用戶2通信服務訪問通信協(xié)議通信功能通信子系統(tǒng)下層通信服務通信實體1通信實體2OSI網絡參考模型通信模式上層用戶：上層協(xié)議站，是通信的信源52理論依據互聯(lián)基礎設施域支撐基礎設施域局域計算接入域局域計算服務域服務和管理對象檢測和響應、KMI、應急和恢復處理計算存儲本地接入遠程接入理論依據互聯(lián)基礎設施域支撐基礎設施域局域計算局域計算服務和管53理論依據美國總統(tǒng)關鍵基礎設施保護委員會關于加強SCADA網絡的21條建議美國國家安全局IATFDMTF的分布式管理方法和模型軟件行為學…理論依據美國總統(tǒng)關鍵基礎設施保護委員會關于加強SCADA網絡54安全域綜述—概念&理解一般常常理解的安全域（網絡安全域）是指同一系統(tǒng)內有相同的安全保護需求，相互信任，并具有相同的安全訪問控制和邊界控制策略的子網或網絡，且相同的網絡安全域共享一樣的安全策略。如果理解廣義的安全域概念則是，具有相同業(yè)務要求和安全要求的IT系統(tǒng)要素的集合。這些IT系統(tǒng)要素包括：網絡區(qū)域主機和系統(tǒng)人和組織物理環(huán)境策略和流程業(yè)務和使命等安全域綜述—概念&理解一般常常理解的安全域（網絡安全域）是指55安全域綜述—安全域的意義基于網絡和系統(tǒng)進行安全檢查和評估的基礎安全域的分割是抗?jié)B透的防護方式基于網絡和系統(tǒng)進行安全建設的部署依據安全域邊界是災難發(fā)生時的抑制點，防止影響的擴散安全域綜述—安全域的意義基于網絡和系統(tǒng)進行安全檢查和評估的基56安全區(qū)域的劃分原則需求牽引：業(yè)務層面的需求（不同業(yè)務、不同部門的安全等級需求不同）以及網絡結構層面的需求（安全域在邏輯上可以和網絡層次結構對應）；與現(xiàn)有網絡結構，網絡拓撲緊密結合，盡量不大規(guī)模的影響網絡布局（考慮到用戶需求和成本等因素）與業(yè)務需求一致性原則，安全域的范圍，邊界的界定不能導致業(yè)務與實際分離；統(tǒng)一安全策略：安全域的最重要的一個特征是安全策略的一致性，所以劃分安全域的的前提是具備自上而下（縱向的），自內而外（橫向的）的宏觀上的安全策略規(guī)劃；部署實施方便：最少化安全設備原則，合理的安全域劃分可以減少冗余設備，精簡開支；等級保護的需要；為集中化的安全管理服務。安全區(qū)域的劃分原則需求牽引：業(yè)務層面的需求（不同業(yè)務、不同部57安全控制接入區(qū)域邏輯隔離業(yè)務處理區(qū)域業(yè)務終端區(qū)域業(yè)務處理區(qū)域橫向骨干接入區(qū)域邏輯隔離業(yè)務處理區(qū)域業(yè)務終端區(qū)域業(yè)務處理區(qū)域核心數(shù)據區(qū)域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC縱向骨干安全控制接入區(qū)域邏業(yè)務處理區(qū)域業(yè)務終端區(qū)域業(yè)務處理區(qū)域橫向骨58安全邊界安全邊界將需要保護的資源、可能的風險和保障的需求結合起來可以在通信路徑上完成訪問控制的授權、范圍、期限。安全邊界的設計良好的清晰度以便進行審查和測試具備簡潔性以便能夠迅速自動化執(zhí)行減輕維護人員的工作量具備現(xiàn)實性以便采用成熟的技術和產品安全邊界可采用的安全技術包括隔離、監(jiān)控、檢測、評估、審計、加密等。安全邊界安全邊界將需要保護的資源、可能的風險和保障的需求結合59可作為安全邊界的設備交換機路由器防火墻入侵檢測網關VPNEtc…….可作為安全邊界的設備交換機60第三部分

交換機設備安全配置第三部分

交換機設備安全配置61配置內容關閉不必要的設備服務使用強口令或密碼加強設備訪問的認證與授權升級設備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據包類型配置內容關閉不必要的設備服務62交換機-針對CDP攻擊交換機-針對CDP攻擊63交換機-針對STP攻擊說明SpanningTreeProtocol防止交換網絡產生回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強制接管rootbridge，導致網絡邏輯結構改變，在重新生成STP時，可以導致某些端口暫時失效，可以監(jiān)聽大部份網絡流量。BPDUFlood：消耗帶寬，拒絕服務對策對User-End端口，禁止發(fā)送BPDU交換機-針對STP攻擊說明64交換機-針對VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個網絡的VLAN配置和管理可以將VLAN配置信息傳遞到其它交換機動態(tài)添加刪除VLAN準確跟蹤和監(jiān)測VLAN變化模式Server,Client,Transparent脆弱性Domain：只有屬于同一個Domain的交換機才能交換Vlan信息setvtpdomainnetpowerPassword：同一domain可以相互通過經MD5加密的password驗證，但password設置非必需的，如果未設置password，可能構造VTP幀，添加或者刪除Vlan。對策設置password盡量將交換機的vtp設置為Transparent模式：setvtpdomainnetpowermodetransparentpasswordsercetvty交換機-針對VTP攻擊作用65第四部分

路由器設備安全配置第四部分

路由器設備安全配置66配置內容關閉不必要的設備服務使用強口令或密碼加強設備訪問的認證與授權升級設備固件或OS使用訪問控制列表限制訪問使用訪問控制表限制數(shù)據包類型配置內容關閉不必要的設備服務67路由器-發(fā)現(xiàn)路由通過tracertroute命令最后一個路由容易成為DoS攻擊目標路由器-發(fā)現(xiàn)路由通過tracertroute命令68路由器-猜測路由器類型端口掃描操作系統(tǒng)堆棧指紋登陸旗標（banner）其它特征：如Cisco路由器1999端口的ack分組信息，會有cisco字樣提示路由器-猜測路由器類型端口掃描69路由器-缺省帳號設備用戶名密碼級別bay路由器user空用戶

Manager空管理員bay350T交換機NetlCs無關管理員baysuperStackIIsecuritysecurity管理員3com交換機adminsynnet管理員

readsynnet用戶

writesynnet管理員

debugsynnet管理員

techtech

monitormonitor用戶

managermanager管理員

securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員

(telnet)cisco用戶

enablecisco管理員

(telnet)ciscorouters

shivaroot空管理員

Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由器-缺省帳號設備用戶名密碼級別bay路由器user空用戶70路由器-密碼Cisco路由器的密碼弱加密MD5加密Enablesecret5路由器-密碼Cisco路由器的密碼71路由器-SNMPSNMP版本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循(Polling-only)和中斷(Interupt-base)Snmp網管軟件禁用簡單網絡管理協(xié)議nosnmp-serverenable使用SNMPv3加強安全特性snmp-serverenabletrapssnmpauthmd5使用強的SNMPv1通訊關鍵字snmp-servercommunityname路由器-SNMPSNMP72保證路由器密碼安全使用加密的強密碼servicepassword-encryptionenablesecretpa55w0rd使用分級密碼策略enablesecret6pa55wordprivilegeexec6show使用用戶密碼策略usernamepasswordpassprivilegeexec6show控制網絡線路訪問access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設置網絡連接超時Exec-timeout50保證路由器密碼安全使用加密的強密碼73Cisco路由器安全配置降低路由器遭受應用層攻擊1禁止CDP(CiscoDiscoveryProtocol)。如：

Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止其他的TCP、UDPSmall服務。

Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止Finger服務。

Router(Config)#noipfingerRouter(Config)#noservicefinger4建議禁止HTTP服務。

Router(Config)#noiphttpserver如果啟用了HTTP服務則需要對其進行安全配置：設置用戶名和密碼；采用訪問列表進行控制。Cisco路由器安全配置降低路由器遭受應用層攻擊74Cisco路由器安全配置5禁止BOOTp服務。

Router(Config)#noipbootpserver6禁止IPSourceRouting。

Router(Config)#noipsource-route7建議如果不需要ARP-Proxy服務則禁止它，路由器默認識開啟的。

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。

Router(Config)#noipdirected-broadcastCisco路由器安全配置5禁止BOOTp服務。75Cisco路由器安全配置9禁止ICMP協(xié)議的IPUnreachables,Redirects,MaskReplies。

Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply10建議禁止SNMP協(xié)議服務。在禁止時必須刪除一些SNMP服務的默認配置。如：

Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRW11如果沒必要則禁止WINS和DNS服務。

Router(Config)#noipdomain-lookup

如果需要則需要配置：

Router(Config)#hostnameRouterRouter(Config)#ipname-server219.150.32.xxx12明確禁止不使用的端口。如：

Router(Config)#interfaceeth0/3Router(Config)#shutdownCisco路由器安全配置9禁止ICMP協(xié)議的IPUnre76Cisco路由器安全配置認證與日志管理使用AAA加強設備訪問控制日志管理loggingonloggingbuffered36000Cisco路由器安全配置認證與日志管理77Cisco路由器安全配置禁用IPUnreachable報文禁用ICMPRedirect報文noipredirect禁用定向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗證Ipverifyunicastreverse-path禁用IP源路由選項noipsource-routeCisco路由器安全配置禁用IPUnreachable報文78Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊創(chuàng)建截獲訪問控制列表起用TCP截獲特性設置截獲模式設置門限制設置丟棄模式Cisco路由器安全配置啟用TCP截獲特性防止DoS攻擊79Cisco路由器安全配置使用訪問控制列表限制訪問地址使用訪問控制列表限定訪問端口使用訪問控制列表過濾特定類型數(shù)據包使用訪問控制列表限定數(shù)據流量使用訪問控制列表保護內部網絡Cisco路由器安全配置使用訪問控制列表限制訪問地址80DDoS預防方法限制ICMP數(shù)據包出站速率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess