版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
網(wǎng)絡(luò)與通信安全課程內(nèi)容網(wǎng)絡(luò)協(xié)議與安全威脅網(wǎng)絡(luò)安全控制交換機(jī)設(shè)備安全配置路由器設(shè)備安全配置第一部分
網(wǎng)絡(luò)協(xié)議與安全威脅四層協(xié)議鏈路層設(shè)驅(qū)動(dòng)備程序及接口卡網(wǎng)絡(luò)層傳輸層應(yīng)用層IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet工作模式鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層郵寄物品郵寄類型和申請(qǐng)郵件封裝郵寄線路四層協(xié)議與網(wǎng)絡(luò)攻擊鏈路層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)竊聽攻擊地址欺騙攻擊拒絕服務(wù)攻擊信息掃描攻擊服務(wù)系統(tǒng)攻擊第二部分
網(wǎng)絡(luò)安全控制OSI網(wǎng)絡(luò)參考模型網(wǎng)絡(luò)組成結(jié)構(gòu)
網(wǎng)絡(luò)系統(tǒng)L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器
資源子網(wǎng)通信線路主機(jī)
通信子網(wǎng)主機(jī)網(wǎng)絡(luò)系統(tǒng)通信線路L1L2L3L1L2L3L4L5L6L7L4L5L6L7
網(wǎng)絡(luò)通信子系統(tǒng)L4L5L6L7L1L2L3WANLANOSI網(wǎng)絡(luò)參考模型通信模式上層用戶:上層協(xié)議站,是通信的信源和信宿;通信功能:為實(shí)現(xiàn)通信所能提供的特定操作和控制機(jī)制,如數(shù)據(jù)傳送、流量控制、差錯(cuò)控制、應(yīng)答機(jī)制、數(shù)據(jù)包的拆分與重組等;通信服務(wù):是通信功能的外部表現(xiàn),為上層用戶提供通信支持;通信介質(zhì):本層以下所有協(xié)議層,是本層以下通信結(jié)構(gòu)的抽象表示;通信子系統(tǒng)通過本層的通信功能和下層的通信服務(wù),實(shí)現(xiàn)本層不同通信實(shí)體之間的通信,并為上層協(xié)議提供通信服務(wù)。通信介質(zhì)協(xié)議站1協(xié)議站2上層用戶1上層用戶2通信服務(wù)訪問通信協(xié)議通信功能通信子系統(tǒng)下層通信服務(wù)通信實(shí)體1通信實(shí)體2理論依據(jù)互聯(lián)基礎(chǔ)設(shè)施域支撐基礎(chǔ)設(shè)施域局域計(jì)算接入域局域計(jì)算服務(wù)域服務(wù)和管理對(duì)象檢測和響應(yīng)、KMI、應(yīng)急和恢復(fù)處理計(jì)算存儲(chǔ)本地接入遠(yuǎn)程接入理論依據(jù)美國總統(tǒng)關(guān)關(guān)鍵基礎(chǔ)設(shè)設(shè)施保護(hù)委委員會(huì)關(guān)于于加強(qiáng)SCADA網(wǎng)網(wǎng)絡(luò)的21條建議美國國家安安全局IATFDMTF的的分布式管管理方法和和模型軟件行為學(xué)學(xué)…安全域綜述述—概念&理解一般常常理理解的安全全域(網(wǎng)絡(luò)絡(luò)安全域))是指同一一系統(tǒng)內(nèi)有有相同的安安全保護(hù)需需求,相互互信任,并并具有相同同的安全訪訪問控制和和邊界控制制策略的子子網(wǎng)或網(wǎng)絡(luò)絡(luò),且相同同的網(wǎng)絡(luò)安安全域共享享一樣的安安全策略。。如果理解廣廣義的安全全域概念則則是,具有相同業(yè)業(yè)務(wù)要求和和安全要求求的IT系統(tǒng)要素的的集合。這些IT系統(tǒng)要素包包括:網(wǎng)絡(luò)區(qū)域主機(jī)和系統(tǒng)統(tǒng)人和組織物理環(huán)境策略和流程程業(yè)務(wù)和使命命等安全域綜述述—安全域域的意義基于網(wǎng)絡(luò)和和系統(tǒng)進(jìn)行行安全檢查查和評(píng)估的的基礎(chǔ)安全域的分分割是抗?jié)B滲透的防護(hù)護(hù)方式基于網(wǎng)絡(luò)和和系統(tǒng)進(jìn)行行安全建設(shè)設(shè)的部署依依據(jù)安全域邊界界是災(zāi)難發(fā)發(fā)生時(shí)的抑抑制點(diǎn),防防止影響的的擴(kuò)散安全區(qū)域的的劃分原則則需求牽引::業(yè)務(wù)層面面的需求((不同業(yè)務(wù)務(wù)、不同部部門的安全全等級(jí)需求求不同)以以及網(wǎng)絡(luò)結(jié)結(jié)構(gòu)層面的的需求(安安全域在邏邏輯上可以以和網(wǎng)絡(luò)層層次結(jié)構(gòu)對(duì)對(duì)應(yīng));與與現(xiàn)有網(wǎng)絡(luò)絡(luò)結(jié)構(gòu),網(wǎng)網(wǎng)絡(luò)拓?fù)渚o緊密結(jié)合,,盡量不大大規(guī)模的影影響網(wǎng)絡(luò)布布局(考慮慮到用戶需需求和成本本等因素))與業(yè)務(wù)需需求一致性性原則,安安全域的范范圍,邊界界的界定不不能導(dǎo)致業(yè)業(yè)務(wù)與實(shí)際際分離;統(tǒng)一安全策策略:安全全域的最重重要的一個(gè)個(gè)特征是安安全策略的的一致性,,所以劃分分安全域的的的前提是是具備自上上而下(縱縱向的),,自內(nèi)而外外(橫向的的)的宏觀觀上的安全全策略規(guī)劃劃;部署實(shí)施方方便:最少少化安全設(shè)設(shè)備原則,,合理的安安全域劃分分可以減少少冗余設(shè)備備,精簡開開支;等級(jí)保護(hù)的的需要;為集中化的的安全管理理服務(wù)。安全控制接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)區(qū)域業(yè)務(wù)終端區(qū)區(qū)域業(yè)務(wù)處理區(qū)區(qū)域橫向骨干接入?yún)^(qū)域邏輯隔離業(yè)務(wù)處理區(qū)區(qū)域業(yè)務(wù)終端區(qū)區(qū)域業(yè)務(wù)處理區(qū)區(qū)域核心數(shù)據(jù)區(qū)區(qū)域ⅡⅡⅢⅢⅣⅣⅣⅣⅤⅤCCCCCCCCCCCC縱向骨干安全邊界安全邊界將將需要保護(hù)護(hù)的資源、、可能的風(fēng)風(fēng)險(xiǎn)和保障障的需求結(jié)結(jié)合起來可以在通信信路徑上完完成訪問控控制的授權(quán)權(quán)、范圍、、期限。安全邊界的的設(shè)計(jì)良好的清晰晰度以便進(jìn)進(jìn)行審查和和測試具備簡潔性性以便能夠夠迅速自動(dòng)動(dòng)化執(zhí)行減減輕維護(hù)人人員的工作作量具備現(xiàn)實(shí)性性以便采用用成熟的技技術(shù)和產(chǎn)品品安全邊界可可采用的安安全技術(shù)包包括隔離、、監(jiān)控、檢檢測、評(píng)估估、審計(jì)、、加密等。。可作為安全全邊界的設(shè)設(shè)備交換機(jī)路由器防火墻入侵檢測網(wǎng)關(guān)VPNEtc……….第三部分交交換機(jī)設(shè)設(shè)備安全配配置配置內(nèi)容關(guān)閉不必要要的設(shè)備服服務(wù)使用強(qiáng)口令令或密碼加強(qiáng)設(shè)備訪訪問的認(rèn)證證與授權(quán)升級(jí)設(shè)備固固件或OS使用訪問控控制列表限限制訪問使用訪問控控制表限制制數(shù)據(jù)包類類型交換機(jī)-針針對(duì)CDP攻擊交換機(jī)-針針對(duì)STP攻擊說明SpanningTreeProtocol防止交換網(wǎng)網(wǎng)絡(luò)產(chǎn)生回回路RootBridgeBPDU--bridgeID,pathcost,interface攻擊強(qiáng)制接管rootbridge,導(dǎo)致網(wǎng)絡(luò)絡(luò)邏輯結(jié)構(gòu)構(gòu)改變,在在重新生成成STP時(shí),可以導(dǎo)導(dǎo)致某些端端口暫時(shí)失失效,可以以監(jiān)聽大部部份網(wǎng)絡(luò)流流量。BPDUFlood:消耗帶寬寬,拒絕服服務(wù)對(duì)策對(duì)User-End端口,禁止止發(fā)送BPDU交換機(jī)-針針對(duì)VTP攻擊作用VlanTrunkingProtocol統(tǒng)一了整個(gè)個(gè)網(wǎng)絡(luò)的VLAN配置和管理理可以將VLAN配置信息傳傳遞到其它它交換機(jī)動(dòng)態(tài)添加刪刪除VLAN準(zhǔn)確跟蹤和和監(jiān)測VLAN變化模式Server,Client,Transparent脆弱性Domain:只有屬于于同一個(gè)Domain的交換機(jī)才才能交換Vlan信息setvtpdomainnetpowerPassword:同一domain可以相互通通過經(jīng)MD5加密的password驗(yàn)證,但password設(shè)置非必需需的,如果果未設(shè)置password,可能構(gòu)造造VTP幀,添加或或者刪除Vlan。對(duì)策設(shè)置password盡量將交換換機(jī)的vtp設(shè)置為Transparent模式:setvtpdomainnetpowermodetransparentpasswordsercetvty第四部分路路由器設(shè)設(shè)備安全配配置配置內(nèi)容關(guān)閉不必要要的設(shè)備服服務(wù)使用強(qiáng)口令令或密碼加強(qiáng)設(shè)備訪訪問的認(rèn)證證與授權(quán)升級(jí)設(shè)備固固件或OS使用訪問控控制列表限限制訪問使用訪問控控制表限制制數(shù)據(jù)包類類型路由由器器-發(fā)發(fā)現(xiàn)現(xiàn)路路由由通過過tracertroute命命令令最后后一一個(gè)個(gè)路路由由容容易易成成為為DoS攻攻擊擊目目標(biāo)標(biāo)路由由器器-猜猜測測路路由由器器類類型型端口口掃掃描描操作作系系統(tǒng)統(tǒng)堆堆棧棧指指紋紋登陸陸旗旗標(biāo)標(biāo)((banner))其它它特特征征::如如Cisco路路由由器器1999端端口口的的ack分分組組信信息息,,會(huì)會(huì)有有cisco字字樣樣提提示示路由由器器-缺缺省省帳帳號(hào)號(hào)設(shè)備用戶名密碼級(jí)別bay路由器user空用戶
Manager空管理員bay350T交換機(jī)NetlCs無關(guān)管理員baysuperStackIIsecuritysecurity管理員3com交換機(jī)adminsynnet管理員
readsynnet用戶
writesynnet管理員
debugsynnet管理員
techtech
monitormonitor用戶
managermanager管理員
securitysecurity管理員cisco路由器(telnet)c(Cisco2600s)管理員
(telnet)cisco用戶
enablecisco管理員
(telnet)ciscorouters
shivaroot空管理員
Guest空用戶Webrampwradmintrancell管理員MotorolaCableRoutercablecomrouter管理員路由由器器-密密碼碼Cisco路由由器器的的密密碼碼弱加加密密MD5加密密Enablesecret5路由由器器-SNMPSNMP版本本SNMPv1,SNMPv2,SNMPv3SnmpAgentMIB輪循循(Polling-only)和中中斷斷(Interupt-base)Snmp網(wǎng)管管軟軟件件禁用用簡簡單單網(wǎng)網(wǎng)絡(luò)絡(luò)管管理理協(xié)協(xié)議議nosnmp-serverenable使用用SNMPv3加強(qiáng)強(qiáng)安安全全特特性性snmp-serverenabletrapssnmpauthmd5使用用強(qiáng)強(qiáng)的的SNMPv1通訊訊關(guān)關(guān)鍵鍵字字snmp-servercommunityname保證證路路由由器器密密碼碼安安全全使用用加加密密的的強(qiáng)強(qiáng)密密碼碼servicepassword-encryptionenablesecretpa55w0rd使用用分分級(jí)級(jí)密密碼碼策策略略enablesecret6pa55wordprivilegeexec6show使用用用用戶戶密密碼碼策策略略u(píng)sernamepasswordpassprivilegeexec6show控制制網(wǎng)網(wǎng)絡(luò)絡(luò)線線路路訪訪問問access-list8permit0access-list8permit***.***.***.***access-list8denyanylinevty04access-class8in設(shè)置置網(wǎng)網(wǎng)絡(luò)絡(luò)連連接接超超時(shí)時(shí)Exec-timeout50Cisco路路由由器器安安全全配配置置降低低路路由由器器遭遭受受應(yīng)應(yīng)用用層層攻攻擊擊1禁止止CDP(CiscoDiscoveryProtocol)。如如::Router(Config)#nocdprunRouter(Config-if)#nocdpenable2禁止止其其他他的的TCP、UDPSmall服務(wù)務(wù)。。Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers3禁止止Finger服務(wù)務(wù)。。Router(Config)#noipfingerRouter(Config)#noservicefinger4建議禁止止HTTP服務(wù)。Router(Config)#noiphttpserver如果啟用用了HTTP服務(wù)則需需要對(duì)其其進(jìn)行安安全配置置:設(shè)置置用戶名名和密碼碼;采用用訪問列列表進(jìn)行行控制。。Cisco路由由器安全全配置5禁止BOOTp服務(wù)。Router(Config)#noipbootpserver6禁止IPSourceRouting。Router(Config)#noipsource-route7建議如果果不需要要ARP-Proxy服務(wù)則禁禁止它,,路由器器默認(rèn)識(shí)識(shí)開啟的的。Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp8禁止IPDirectedBroadcast。Router(Config)#noipdirected-broadcastCisco路由由器安全全配置9禁止ICMP協(xié)議的IPUnreachables,Redirects,MaskReplies。Router(Config-if)#noipunreacheablesRouter(Config-if)#noipredirectsRouter(Config-if)#noipmask-reply10建議禁止止SNMP協(xié)議服務(wù)務(wù)。在禁禁止時(shí)必必須刪除除一些SNMP服務(wù)的默默認(rèn)配置置。如::Router(Config)#nosnmp-servercommunitypublicRoRouter(Config)#nosnmp-servercommunityadminRW11如果沒必必要?jiǎng)t禁禁止WINS和DNS服務(wù)。Router(Config)#noipdomain-lookup如果需要要?jiǎng)t需要要配置::Router(Config)#hostnameRouterRouter(Config)#ipname-server219.150.32.xxx12明確禁止止不使用用的端口口。如::Router(Config)#interfaceeth0/3Router(Config)#shutdownCisco路由由器安全全配置認(rèn)證與日日志管理理使用AAA加強(qiáng)設(shè)備備訪問控控制日志管理理loggingonloggingbuffered36000Cisco路由由器安全全配置禁用IPUnreachable報(bào)文禁用ICMPRedirect報(bào)文noipredirect禁用定向向廣播noipdirected-broadcast禁用ARP代理noipproxy-arp使用IP驗(yàn)證Ipverifyunicastreverse-path禁用IP源路由選選項(xiàng)noipsource-routeCisco路由由器安全全配置啟用TCP截獲特性性防止DoS攻擊創(chuàng)建截獲獲訪問控控制列表表起用TCP截獲特性性設(shè)置截獲獲模式設(shè)置門限限制設(shè)置丟棄棄模式Cisco路由由器安全全配置使用訪問問控制列列表限制制訪問地地址使用訪問問控制列列表限定定訪問端端口使用訪問問控制列列表過濾濾特定類類型數(shù)據(jù)據(jù)包使用訪問問控制列列表限定定數(shù)據(jù)流流量使用訪問問控制列列表保護(hù)護(hù)內(nèi)部網(wǎng)網(wǎng)絡(luò)DDoS預(yù)防方方法限制ICMP數(shù)據(jù)包出出站速率率InterfacexxRete-limitoutputaccess-group10225600080008000conform-actiontransmitexceed-actiondropAccess-list102permiticmpanyanyechoAccess-list102permiticmpanyanyecho-replyDDoS預(yù)防方方法限制SYN數(shù)據(jù)包連連接速率率InterfacexxRete-limitinputaccess-group103800080008000conform-actiontransmitexceed-actiondropAccess-list103denytcpanyhostxx.xx.xx.xxestablishedAccess-list103permittcpanyhostxx.xx.xx.xxDDoS預(yù)防方方法RFC1918約定過濾濾InterfacexxIpaccess-group101inAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101denyip55anyAccess-list101permitipanyanyDDoS預(yù)防方方法驗(yàn)證單點(diǎn)點(diǎn)傳送反反向路徑徑檢查數(shù)據(jù)據(jù)包地返返回路徑徑是否使使用與到到達(dá)相同同接口,,以緩解解某些欺欺騙數(shù)據(jù)據(jù)包需要路由由CEF(快速速向前傳傳輸)特特性在存在非非對(duì)稱路路徑時(shí)不不適合問題?9、靜夜四四無鄰,,荒居舊舊業(yè)貧。。。12月-2212月-22Tuesday,December20,202210、雨中黃葉樹樹,燈下白頭頭人。。01:21:5601:21:5601:2112/20/20221:21:56AM11、以我獨(dú)沈久久,愧君相見見頻。。12月-2201:21:5601:21Dec-2220-Dec-2212、故故人人江江海海別別,,幾幾度度隔隔山山川川。。。。01:21:5601:21:5601:21Tuesday,December20,202213、乍乍見見翻翻疑疑夢夢,,相相悲悲各各問問年年。。。。12月月-2212月月-2201:21:5801:21:58December20,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā),,舊舊國國見見青青山山。。。。20十十二二月月20221:21:58上上午午01:21:5812月月-2215、比不了得就就不比,得不不到的就不要要。。。十二月221:21上上午12月-2201:21December20,202216、行動(dòng)出成果果,工作出財(cái)財(cái)富。。2022/12/201:21:5901:21:5920December202217、做前,能能夠環(huán)視四四周;做時(shí)時(shí),你只能能或者最好好沿著以腳腳為起點(diǎn)的的射線向前前。。1:22:00上上午1:22上上午01:22:0012月-229、沒有失敗,,只有暫時(shí)停停止成功!。。12月-2212月-22Tuesday,December20,202210、很多事事情努力力了未必必有結(jié)果果,但是是不努力力卻什么么改變也也沒有。。。01:22:0101:22:0101:2212/20/20221:22:02AM11、成功就就是日復(fù)復(fù)一日那那一點(diǎn)點(diǎn)點(diǎn)小小努努力的積積累。。。12月-2201:22:0201:22Dec-2220-Dec-2212、世間成成事,不不求其絕絕對(duì)圓滿滿,留一一份不足足,可得得無限完完美。。。01:22:0201:22:0201:22Tuesday,December20,202213、不知知香積積寺,,數(shù)里里入云云峰。。。12月月-2212月月-2201:22:0201:22:02December20,202214、意志堅(jiān)強(qiáng)強(qiáng)的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。20十二二月20221:22:02上上午01:22:0212月-2215、楚塞塞三湘湘接,,荊門門九派派通。。。。十二月月221:22上上午午12月月-2201:22December20,202216、少年年十五五二十十時(shí),,步行行奪得得胡馬馬騎
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 勞動(dòng)仲裁協(xié)議申請(qǐng)書
- 2023安全生產(chǎn)工作書面協(xié)議書七篇
- 合伙合同合作協(xié)議
- 土地糾紛調(diào)解的協(xié)議書7篇
- 北京房屋出租協(xié)議模板
- 雙方自愿離婚的協(xié)議書8篇
- 舞蹈病病因介紹
- 機(jī)械基礎(chǔ) 課件 模塊八任務(wù)一 軸
- 【中職專用】中職對(duì)口高考-機(jī)電與機(jī)制類專業(yè)-核心課-模擬試卷1(河南適用)(原卷版)
- 重慶2020-2024年中考英語5年真題回-學(xué)生版-專題09 閱讀理解之應(yīng)用文
- 《煤炭企業(yè)發(fā)展的PEST分析報(bào)告(3500字)》
- 2022年08月云南滇中新區(qū)公開招聘聘用制人員60人高頻考點(diǎn)卷叁(3套)答案詳解篇
- 計(jì)算機(jī)常見故障和排除課件
- 培育和踐行社會(huì)主義核心價(jià)值觀概論課件
- 初中數(shù)學(xué)北師大八年級(jí)上冊一次函數(shù)-期末復(fù)習(xí) 一次函數(shù)PPT
- 工裝檢修記錄
- 《財(cái)稅法學(xué)》課程教學(xué)大綱
- 中醫(yī)適宜技術(shù)實(shí)用課件
- 古詩詞誦讀《李憑箜篌引》課件16張 統(tǒng)編版高中語文選擇性必修中冊
- 汪橋污水管網(wǎng)工程監(jiān)理月報(bào)
- 生態(tài)鏈之小米分析報(bào)告
評(píng)論
0/150
提交評(píng)論