企业网络安全课件.ppt

企业网络安全,Accessing the WAN Chapter 4,企业网络安全Accessing the WAN Chap,目标,说明如何消除企业网络的安全威胁 配置基本的路由器安全功能禁用未使用的路由器服务和接口 使用 Cisco SDM管理Cisco IOS 设备,目标说明如何消除企业网络的安全威胁,目录,4.1 网络安全简介4.2 保护 Cisco 路由器4.3 保护路由器网络服务4.4 使用 Cisco SDM4.5 保护路由器管理,目录4.1 网络安全简介,4.1网络安全简介,4.1网络安全简介,4.1.1 为什么网络安全如此重要?,如果网络安全受到危害，可能会导致非常严重的后果，例如隐私丧失、信息失窃，有的甚至需要追究法津责任。,4.1.1 为什么网络安全如此重要?如果网络安全受到危害，可,随着时间的推移，攻击者的方法和工具不断改进，他们不再需要精深的知识即可进行攻击。,4.1.1为什么网络安全如此重要?,随着时间的推移，攻击者的方法和工具不断改进，他们不再需要精深,网络安全的术语 白帽客 (White hat):指那些寻找系统或网络漏洞，然后向系统所有者报告以便其修复漏洞的个人。从理论上来说，他们并不是滥用计算机系统。,黑客 (Hacker) : 一般术语，历史上用于形容计算机编程专家。 黑帽客 (Black hat):用于形容那些为牟取个人利益或经济利益，利用计算机系统知识侵入非授权使用的系统或网络的群体。 骇客 (Cracker) :用于更为准确地形容非法访问网络资源的恶意群体的术语。 电话飞客 (Phreaker) :指利用电话网络执行非法功能的个人。垃圾邮件发送者 (Spammer) :指发送大量未经请求的电子邮件消息的个人。垃圾邮件发送者通常利用病毒控制家用计算机，并利用它们发送大量消息。网络钓鱼者 (Phisher) : 指使用电子邮件或其它手段哄骗其他人提供敏感信息（例如信用卡号码或密码）的个人。,4.1.1为什么网络安全如此重要?,网络安全的术语 4.1.1为什么网络安全如此重要?,内部人员滥用网络访问权限拒绝服务未经授权访问信息滥用无线网络系统渗透密码嗅探网站篡改,计算机犯罪的类型,4.1.1为什么网络安全如此重要?,内部人员滥用网络访问权限计算机犯罪的类型4.1.1为什么网络,4.1.1.4开放式网络与封闭式网络,4.1.1.4开放式网络与封闭式网络,4.1.2 常见安全威胁,讨论网络安全性时，人们往往会谈到三个术语：漏洞、威胁和攻击。漏洞（或称缺陷）主要包括三种类型：,1.技术缺陷2.配置缺陷3.安全策略缺陷,4.1.2 常见安全威胁讨论网络安全性时，人们往往会谈到三个,讨论网络安全性时，人们往往会谈到三个术语：漏洞、威胁和攻击. 漏洞（或称缺陷）主要包括:,4.1.2常见安全威胁,讨论网络安全性时，人们往往会谈到三个术语：漏洞、威胁和攻击.,对物理基础架构的威胁物理威胁分为四类： 1.硬件威胁. 2.环境威胁 3.电气威胁 4.维护威胁,4.1.2常见安全威胁,对物理基础架构的威胁4.1.2常见安全威胁,网络受到的威胁:无组织威胁有组织威胁外部威胁内部威胁,4.1.2常见安全威胁,网络受到的威胁:4.1.2常见安全威胁,社会工程:入侵者通过欺骗组织成员获得有价值信息被称为社会工程.,网络钓鱼即是社会工程攻击的一种类型，它包括使用电子邮件或其它类型的信息诱骗他人提供敏感信息,4.1.2常见安全威胁,社会工程:网络钓鱼即是社会工程攻击的一种类型，它包括使用电子,4.1.3 网络攻击的类型,攻击主要分为四种类型,4.1.3 网络攻击的类型攻击主要分为四种类型,4.1.4 常规防范技术,主机和服务器安全性入侵检测和防御,4.1.4 常规防范技术主机和服务器安全性,常见安全设备和应用程序,4.1.4常规防范技术,常见安全设备和应用程序4.1.4常规防范技术,4.1.5 网络安全轮,“安全轮”提倡持续地执行测试和应用更新的安全措施。,4.1.5 网络安全轮“安全轮”提倡持续地执行测试和应用更新,什么是安全策略?安全策略是一组指导原则，其目的是为保护网络免受来自企业内部和外部的攻击.,4.1.6 企业安全策略,什么是安全策略?4.1.6 企业安全策略,安全策略的作用全面的安全策略应具备以下基本功能:,4.1.6企业安全策略,安全策略的作用4.1.6企业安全策略,安全策略的组成以下是组织采用的一些常规安全策略:权限和范围声明合理使用规定 (AUP)标识和身份验证策略Internet 访问策略园区访问策略远程访问策略事件处理程序,4.1.6企业安全策略,安全策略的组成4.1.6企业安全策略,4.2 保护 Cisco 路由器,4.2 保护 Cisco 路由器,4.2.1 路由器安全问题,路由器在网络安全中的作用,4.2.1 路由器安全问题路由器在网络安全中的作用,保护你的网络,4.2.1路由器安全问题,物理安全随时更新路由器 IOS备份路由器配置和 IOS加固路由器以避免未使用端口和服务遭到滥用,保护你的网络4.2.1路由器安全问题物理安全,配置基本的路由器安全功能,4.2.2 对路由器应用 Cisco IOS 安全功能,本章讨论前四个步骤。访问控制列表 (ACL) 将在下一章介绍，这是一项重要的技术，必须加以配置以控制和过滤网络流量。,配置基本的路由器安全功能 4.2.2 对路由器应用 Cisc,4.2.3 管理路由器安全,配置路由器密码,Passphrase Examples,Cisco IOS Software Release 12.3(1) and later allow administrators to set the minimum character length for all router passwords.,4.2.3 管理路由器安全配置路由器密码Passphrase,4.2.4 保护对路由器的远程管理访问,配置路由器口令,Preventing Logins on Unused Lines,R1(config)#line aux 0R1(config-line)#no passwordR1(config-line)#login%Login disable on line 65, until password is setR1(config-line)#exitR1(config)#,Control Incoming VTY Access,R1(config)#line vty 0 4R1(config-line)#no transport inputR1(config-line)#transport input telnet sshR1(config-line)#exit,4.2.4 保护对路由器的远程管理访问配置路由器口令Prev,Additional VTY Security Configurations,R1(config)#line vty 0 4R1(config-line)#exec-timeout 3R1(config-line)#exitR1(config)#service tcp-keepalives-in,Ensures at least one VTY line is available to the administrator,R1(config)#line vty 0 4R1(config-line)#loginR1(config-line)#password cisco123R1(config-line)#access-class 12 inR1(config)#access-list 12 permit host 192.168.1.2,4.2.4保护对路由器的远程管理访问,配置路由器口令,Additional VTY Security Config,配置 SSH 安全功能,Step 1: 设置路由器参数Router(config)#hostname R2Step 2: 设置域名R2(config)#ip domain-name Step 3: 生成非对称密钥R2(config)#crypto key generate rsaStep 4: 配置本地身份验证和 vtyR2(config)#username student secret ciscoR2(config)#line vty 0 4R2(config-line)#transport input sshR2(config-line)#login localStep 5: 配置 SSH 超时 (可选)R2(config)#ip ssh time-out 15R2(config)#ip ssh authentication-retries 2,4.2.4保护对路由器的远程管理访问,配置 SSH 安全功能Step 1: 设置路由器参数4.2.,应用 SSH 客户端访问设备,4.2.4保护对路由器的远程管理访问,应用 SSH 客户端访问设备4.2.4保护对路由器的远程管理,4.2.5 记录路由器活动,配置路由器日志,R2(config)#logging 172.31.10.1R2(config)#service timestamps ?debug Timestamp debug messageslog Timestamp log messagesR2(config)#service timestamps,172.31.10.1,日志记录主机有以下特点: 专门用于储存日志 连接在受保护的网络或专用路由器上,4.2.5 记录路由器活动配置路由器日志 R2(config,4.3 保护路由器网络服务,4.3 保护路由器网络服务,4.3.1易受攻击的路由器服务和接口,易受攻击的路由器服务,Cisco 路由器支持第 2、3、4 和 7 层上的大量网络服务。,4.3.1易受攻击的路由器服务和接口易受攻击的路由器服务Ci,易受攻击的路由器服务和接口,! - IP 和网络服务部分no cdp run no ip source-routeno ip classlessno service tcp-small-serversno service udp-small-serversno ip fingerno service fingerno ip bootp server no ip http server no ip name-server ! - 启动控制部分no boot network no service config ! - SNMP 部分 (完全禁用 SNMP)! 创建完全限制访问列表no access-list 70access-list 70 deny any,! 使SNMP 为只读并受制于访问列表snmp-server community aqiytjl726540942 ro 11! 禁用 SNMP 陷阱和系统关闭功能no snmp-server enable trapsno snmp-server system-shutdownno snmp-server trap-auth! 完全关闭 SNMPno snmp-server,! - 接口定义的服务部分interface eth 0/0no ip proxy-arpno ip directed-broadcastno ip unreachableno ip redirect no ip http server no ip name-server,4.3.1易受攻击的路由器服务和接口,易受攻击的路由器服务和接口! - IP 和网络服务部分!,SNMP, NTP, 和 DNS 漏洞,希望在 Cisco IOS 命令中使用域名，则需要使用全局配置命令 ip name-serveraddresses 明确设置域名服务器的地址. 否则，应该使用命令 no ip domain-lookup 关闭 DNS 域名解析.,4.3.1易受攻击的路由器服务和接口,SNMP, NTP, 和 DNS 漏洞希望在 Cisco I,保护路由协议 - RIPv2,4.3.2 保护路由协议,保护路由协议 - RIPv24.3.2 保护路由协议,保护路由协议 - EIGRP & OSPF,4.3.2.4 Activity of OSPF MD5 Authentication,4.3.2保护路由协议,保护路由协议 - EIGRP & OSPF4.3.2.4,您可以在特权执行模式下使用 auto secure 命令将 AutoSecureone 配置为以下两种模式之一:,R2#auto secure no-interact,4.3.3 使用 Cisco AutoSecure锁定路由器,您可以在特权执行模式下使用 auto secure 命令将,4.4 使用 Cisco SDM,4.4 使用 Cisco SDM,4.4.1 Cisco SDM 概述,什么是Cisco SDM?,Cisco 路由器和安全设备管理器 (SDM) 是一种基于 Web 的设备管理工具，它使用简单，用于在基于 Cisco IOS 软件的路由器上配置 LAN、WAN 和安全功能.,Cisco SDM 的特性,4.4.1 Cisco SDM 概述什么是Cisco SDM,4.4.2 配置路由器以支持 Cisco SDM,使用Cisco SDM配置路由器,4.4.2 配置路由器以支持 Cisco SDM使用Cisc,SDM 启动步骤,4.4.3 启动 Cisco SDM,要启动 Cisco SDM，请使用 HTTPS 协议，并将路由器的 IP 地址输入浏览器中.,Note: 登录步骤的顺序可能会有所不同，这取决于您是从个人计算机上还是直接从 Cisco ISR 路由器上运行 Cisco SDM.,SDM 启动步骤4.4.3 启动 Cisco SDM要启动,Cisco SDM主页概览,4.4.4 Cisco SDM 界面,Note: 菜单栏、工具栏以及当前模式始终会显示在每个屏幕的顶部。而屏幕的其它区域将根据您执行的模式和功能而有所变化。.,Cisco SDM主页概览4.4.4 Cisco SDM 界,4.4.5 Cisco SDM向导,Cisco SDM 提供了大量向导来帮助您配置 Cisco ISR 路由器.,4.4.5 Cisco SDM向导Cisco SDM 提供了,4.4.6使用 Cisco SDM锁定路由器,Cisco SDM 一步锁定向导集成了 Cisco AutoSecure 所能提供的几乎所有安全功能.,别误认为只要执行一步锁定就能保证网络安全。另外，Cisco SDM 并不具备 Cisco AutoSecure 的所有功能,4.4.6使用 Cisco SDM锁定路由器Cisco SD,4.5 保护路由器管理,4.5 保护路由器管理,4.5.1 维护 Cisco IOS 软件映像,维持 Cisco IOS 软件的版本为最新,4.5.1 维护 Cisco IOS 软件映像维持 Cisc,4.5.2 管理Cisco IOS映像,我们看到 show file systems 命令可显示 Cisco 1841 平台上可用的各种文件系统。,可启动的 IOS 位于闪存中，因此 flash 字符旁的井号 (#) 表示它是启动磁盘.,4.5.2 管理Cisco IOS映像我们看到 show f,Cisco IOS 设备提供了一种叫做 Cisco IOS 集成文件系统 (IFS) 的功能。您可以通过此系统创建、浏览和处理 Cisco 设备上的目录。具体目录则取决于平台.,Note:nvram后必须有：.,此图列出了当前默认文件系统的内容.,IOS File,4.5.2管理Cisco IOS映像,Cisco IOS 设备提供了一种叫做 Cisco IOS,Cisco 设备的 URL 前缀,Flash,NVRAM,RAM,TFTP,4.5.2管理Cisco IOS映像,Cisco 设备的 URL 前缀FlashNVRAMRAMT,用于管理配置文件的命令,例R2# copy running-config startup-configR2# copy system:running-config nvram:startup-configR2# copy tftp: startup-configR2# copy tftp: nvram:startup-config,4.5.2管理Cisco IOS映像,用于管理配置文件的命令例4.5.2管理Cisco IOS映像,Cisco IOS 文件命名约定,4.5.2管理Cisco IOS映像,Cisco IOS 文件命名约定4.5.2管理Cisco I,备份 IOS 软件映像,4.5.4 备份和升级 软件映像,备份 IOS 软件映像4.5.4 备份和升级 软件映像,升级 IOS 软件映像,4.5.4.3 Activity of Using a TFTP server to Upgrade IOS Software,4.5.4备份和升级 软件映像,升级 IOS 软件映像4.5.4.3 Activity of,恢复软件映像,4.5.5 恢复软件映像,恢复软件映像4.5.5 恢复软件映像,恢复软件映像,Console connection to R1,4.5.5恢复软件映像,恢复软件映像4.5.5恢复软件映像,Cisco IOS配置故障排除 比较 show 和 debug 命令的不同作用,4.5.6 Cisco IOS 配置故障排除,show 命令列出已配置的参数及它们的值。debug 命令可让您追踪某个过程的执行情况。使用 show 命令来检查配置；使用 debug 命令来确定接口和路由器过程中传递的流量.,Cisco IOS配置故障排除4.5.6 Cisco IOS,使用 debug 命令的注意事项,undebug all 命令关闭所有 debug commands.,4.5.6 Cisco IOS 配置故障排除,使用 debug 命令的注意事项undebug all 命令,恢复路由器口令的方法,4.5.7 恢复丢失的路由器口令,恢复路由器口令的方法4.5.7 恢复丢失的路由器口令,恢复丢失的路由器口令,4.5.7恢复丢失的路由器口令,恢复丢失的路由器口令4.5.7恢复丢失的路由器口令,恢复丢失的路由器口令,4.5.7恢复丢失的路由器口令,恢复丢失的路由器口令4.5.7恢复丢失的路由器口令,企业网络安全课件,