通信網絡安全與防護-第三章-網絡設備安全

第三章網絡設備安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第1頁。3.1物理安全3.2路由器的安全技術3.3交換機的安全技術3.4服務器與操作系統(tǒng)安全主要內容通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第2頁。網絡中大量的信息資源和信息服務是通過路由器、交換機、無線接入器等網絡設備提供給用戶的，而這些設備中存在的漏洞造成了極大的網絡安全隱患。網絡設備包括主機(服務器、工作站、PC)和網絡設施(交換機、路由器等)。網絡設備的安全始終是通信網絡安全的一個重要方面。網絡設備的安全問題除了一般意義的技術安全之外，還應該包括網絡設備的物理安全，諸如人為損壞以及網絡設備防斷電、防雷擊、防靜電、防灰塵、防電磁干擾、防潮散熱等環(huán)境安全問題。通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第3頁。

物理安全是整個通信網絡系統(tǒng)安全的前提，是保護通信網絡設備、設施及其他媒介免遭地震、水災、火災等環(huán)境事故、人為操作失誤或人為損壞導致被破壞的過程。3.1物理安全物理安全機房安全技術硬件設備安全電源系統(tǒng)安全通信線路安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第4頁。一、機房安全技術3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第5頁。一、機房安全技術3.1物理安全1.機房的安全要求

減少無關人員進入機房的機會；

選址時應避免靠近公共區(qū)域，避免窗戶鄰街；

機房最好不要安排在底層或頂層；

在較大的樓層內，機房應靠近樓層的一邊安排；

保證所有進出機房的人都在管理人員的監(jiān)控之下。2.機房的防盜要求

對機房內重要的設備和存儲媒體應采取嚴格的防盜措施。主要包括：

光纖電纜防盜系統(tǒng)；

特殊標簽防盜系統(tǒng)；

視頻監(jiān)視防盜系統(tǒng)。通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第6頁。

3.機房的三度要求（溫度、濕度和潔凈度）一、機房安全技術3.1物理安全（1）溫度的影響（2）濕度的影響（3）灰塵的影響通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第7頁。4.防靜電措施一、機房安全技術3.1物理安全機房的內裝修材料采用乙烯材料；機房內安裝防靜電地板，并將地板和設備接地；機房內的重要操作臺應有接地平板；工作人員的服裝和鞋最好用低阻值的材料制作；機房內應保持一定濕度。通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第8頁。5.接地與防雷一、機房安全技術3.1物理安全接地與防雷是保護通信網絡系統(tǒng)和工作場所安全的重要安全措施。接地是指整個通信網絡系統(tǒng)中各處電位均以大地電位為零參考電位。地線種類可分為：保護地、直流地、屏蔽地、靜電地、雷擊地。通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第9頁。5.接地與防雷一、機房安全技術3.1物理安全防雷，是指通過組成攔截、疏導最后泄放入地的一體化系統(tǒng)方式以防止由直擊雷或雷電的電磁脈沖對建筑物本身或其內部設備造成損害的防護技術。機房外部防雷應使用接閃器、引下線和接地裝置，吸引雷電流，并為其泄放提供一條低阻值通道；機房內部防雷主要采取屏蔽、等電位連接、合理布線或防閃器、過電壓保護等技術措施以及攔截、屏蔽、均壓、分流、接地等方法，達到防雷的目的；機房的設備本身也應有避雷裝置和設施。通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第10頁。機房內應有火災、水災自動報警系統(tǒng)；機房上層有用水設施須加防水層；機房內應放置適用于通信機房的滅火器，并建立應急計劃和防火制度等。與機房安全相關的國家標準主要有：GB/T2887-2011《計算機場地通用規(guī)范》GB50174-2008《電子信息系統(tǒng)機房設計規(guī)范》GB/T9361-2011《計算站場地安全要求》6.機房的防火、防水措施一、機房安全技術3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第11頁。二、通信線路安全3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第12頁。

通信線路是信息傳輸的通道，會受到搭線竊聽、中斷或干擾的攻擊。二、通信線路安全3.1物理安全電纜加壓技術電纜屏蔽光纖通信技術通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第13頁。電纜加壓技術電纜兩端加壓，連接監(jiān)視器，如果監(jiān)測到變化，則啟動報警器。加壓電纜是屏蔽在波紋鋁鋼包皮中，幾乎沒有電磁輻射，對利用電磁感應的竊聽行為有一定的抵抗力。2.電纜屏蔽技術降低電磁感應，提高抗干擾能力。屏蔽式雙絞線的抗干擾能力更強，對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，還可將其放在金屬管內以增強抗干擾能力。14二、通信線路安全3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第14頁。3.光纖通信技術光纖的“天然”保密性？15二、通信線路安全3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第15頁。二、通信線路安全3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第16頁。光纖竊聽方法：1）光纖彎曲法2）V型槽切口法3）散射法4）光束分離法5）漸近耦合法3.光纖通信技術二、通信線路安全3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第17頁。1.硬件設備的維護和管理三、硬件設備安全3.1物理安全（1）硬件設備的使用管理嚴格按硬件設備的操作使用規(guī)程進行操作；建立設備使用情況日志，并登記使用過程；建立硬件設備故障情況登記表；堅持對設備進行例行維護和保養(yǎng)，并指定專人負責。（2）常用硬件設備的維護和保養(yǎng)定期檢查線纜連接的緊固性；定期清除表面及內部灰塵；定期檢查供電系統(tǒng)的各種保護裝置及地線是否正常。通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第18頁。三、硬件設備安全3.1物理安全（1）電磁兼容和電磁輻射（2）電磁輻射防護的措施2.電磁兼容和電磁輻射的防護采用各種電磁屏蔽措施干擾的防護措施3.信息存儲媒體的安全管理通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第19頁。四、電源系統(tǒng)安全20風險：因電源系統(tǒng)電壓波動、浪涌電流和突然斷電等導致計算機系統(tǒng)存儲信息丟失、設備損壞。供電連續(xù)性、可靠性、穩(wěn)定性和抗干擾性等指標。機房的供配電系統(tǒng)設計要求：滿足設備自身運轉和網絡應用的要求，保證網絡系統(tǒng)運行的可靠性，保證設備的設計壽命，保證信息安全，保證機房人員的工作環(huán)境。3.1物理安全通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第20頁。一、路由器存在的安全問題及對策3.2路由器的安全技術身份問題、漏洞問題、訪問控制問題、路由協議問題、配置管理問題等端口登錄口令：可以登錄到路由器，一般只能查看部分信息特權用戶口令：可以使用全部的查看、配置和管理命令。1.路由器口令的設置通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第21頁。1.路由器口令的設置一、路由器存在的安全問題及對策3.2路由器的安全技術口令加密設置端口登錄口令加密特權用戶口令防止口令修復通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第22頁。一、路由器存在的安全問題及對策3.2路由器的安全技術2.網絡服務的安全設置禁止HTTP服務禁止一些默認狀態(tài)下開啟的服務如：思科發(fā)現協議CDP（CiscoDiscoveryProtocol）是用來獲取相鄰設備的協議地址以及發(fā)現這些設備的平臺，就是說當思科的設備連接到一起時，不需要額外的配置，用showcdpneighbor就可以查看到鄰居的狀態(tài)。關閉其他一些易受攻擊的端口服務Noipunreachables//防smurf攻擊通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第23頁。一、路由器存在的安全問題及對策3.2路由器的安全技術3.保護內部網絡lP地址利用路由器的網絡地址轉換隱藏內部地址利用地址解析協議防止盜用內部IP地址通過ARP可以固定地將IP地址綁定在某一MAC上通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第24頁。4.利用訪問控制列表有效防范網絡攻擊

訪問控制列表ACL使用包過濾技術，在路由器上讀取第三層及第四層數據包頭中的信息如源地址、目的地址、源端口、目的端口等，根據預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。一、路由器存在的安全問題及對策3.2路由器的安全技術利用ACL禁止ping相關接口利用ACL防止IP地址欺騙利用ACL防止SYN攻擊利用ACL防范網絡病毒攻擊通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第25頁。5.防止包嗅探使用SSH或支持Kerberos的Telnet，或使用IPSec加密路由器所有的管理流6.校驗數據流路徑的合法性一、路由器存在的安全問題及對策3.2路由器的安全技術使用RPF（Reversepathforwarding）反相路徑轉發(fā)7.為路由器間的協議交換增加認證功能，提高網絡安全性8.使用安全的SNMP管理方案通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第26頁。二、路由器的安全配置3.2路由器的安全技術1.路由器口令安全配置2.路由器網絡服務的安全設置3.保護內部網絡IP地址的配置4.利用ACL防范網絡攻擊的配置5.利用ACL防范病毒攻擊的配置6.利用ACL對HTTP服務進行服務控制及權限管理Router(config)#access-list1permit30Router(config)#iphttpaccess-classlRouter(config)#iphttpauthenticationaaa通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第27頁。一、交換機存在的安全問題及對策3.3交換機的安全技術2.利用虛擬局域網技術限制局域網廣播及ARP攻擊范圍1.利用交換機端口安全技術限制端口接入的隨意性3.強化Trunk端口設置避免利用封裝協議缺陷實行VLAN

的跳躍攻擊4.使用交換機包過濾技術增加網絡交換的安全性5.使用交換機的安全網管6.使用交換機集成的入侵檢測技術7.使用交換機集成的用戶認證技術通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第28頁。二、交換機的安全配置3.3交換機的安全技術路由器登錄口令、加密等安全措施也適用于交換機打開端口的端口安全功能，命令如下。Switch(config-if)#switchportport-security設置端口上安全地址的最大個數，命令如下。Switch(config-if)#switchportport-secruitymaximum1配置處理違例的方式，命令如下。Switch(config-if)#switchportport-securityviolation{protect|restrict|shutdown}通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第29頁。一、Windows操作系統(tǒng)安全3.4服務器與操作系統(tǒng)安全限制用戶數量。去掉所有的測試賬戶、共享賬號和普通部門賬號等。用戶組策略設置相應權限、并且經常檢查系統(tǒng)的賬號，刪除已經不適用的賬號。管理員賬號設置:更改默認名稱、陷井帳號安全登錄口令設置屏幕保護／屏幕鎖定口令安全文件管理安裝防病毒軟件通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第30頁。一、Windows操作系統(tǒng)安全3.4服務器與操作系統(tǒng)安全備份盤的安全禁止不必要的服務使用IPSec來控制端口訪問定期查看日志經常訪問微軟升級程序站點，了解補丁的最新發(fā)布情況通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第31頁。二、Web服務器的安全3.4服務器與操作系統(tǒng)安全1.明確安全需求（1）主機系統(tǒng)的安全需求：確保主機系統(tǒng)的認證機制，嚴密地設置及管理訪問口令，是主機系統(tǒng)抵御威脅的有力保障。（2）web服務器的安全需求選擇合適的程序，該類型web服務器的漏洞最少；對服務器的管理操作只能由授權用戶執(zhí)行；拒絕通過Web訪問web服務器上不公開的內容；能夠禁止內嵌在操作系統(tǒng)或web服務器軟件中的不必要的網絡服務；有能力控制對各種形式的執(zhí)行程序的訪問；能對某些Web操作進行日志記錄，以便于入侵檢測和入侵企圖分析；具有適當的容錯功能。通信網絡安全與防護-第三章--網絡設備安全全文共34頁，當前為第32頁。二、Web服務器的安全3.4服務器與操作系統(tǒng)安全2.