1、思科网络技术学院理事会.http:/1企业网络安全企业网络安全Accessing the WAN Chapter 42思科网络技术学院理事会.http:/目标目标说明如何消除企业网络的安全威胁 配置基本的路由器安全功能禁用未使用的路由器服务和接口 使用 Cisco SDM管理Cisco IOS 设备 3思科网络技术学院理事会.http:/目录目录 4.1 网络安全简介 4.2 保护 Cisco 路由器 4.3 保护路由器网络服务 4.4 使用 Cisco SDM 4.5 保护路由器管理思科网络技术学院理事会.http:/44.1网络安全简介5思科网络技术学院理事会.http:/4.1.1 为什
2、么网络安全如此重要为什么网络安全如此重要?如果网络安全受到危害,可能会导致非常严重的后果,例如隐私丧失、信息失窃,有的甚至需要追究法津责任。6思科网络技术学院理事会.http:/ 随着时间的推移,攻击者的方法和工具不断改进,他们不再需要精深的知识即可进行攻击。4.1.1为什么网络安全如此重要为什么网络安全如此重要?7思科网络技术学院理事会.http:/网络安全的术语 白帽客白帽客(White hat):指那些寻找系统或网络漏洞,然后向系统所有者报告以便其修复漏洞的个人。从理论上来说,他们并不是滥用计算机系统。,黑客黑客(Hacker):一般术语,历史上用于形容计算机编程专家。黑帽客黑帽客(Bl
3、ack hat):用于形容那些为牟取个人利益或经济利益,利用计算机系统知识侵入非授权使用的系统或网络的群体。骇客骇客(Cracker):用于更为准确地形容非法访问网络资源的恶意群体的术语。电话飞客电话飞客(Phreaker):指利用电话网络执行非法功能的个人。垃圾邮件发送者垃圾邮件发送者(Spammer):指发送大量未经请求的电子邮件消息的个人。垃圾邮件发送者通常利用病毒控制家用计算机,并利用它们发送大量消息。网络钓鱼者网络钓鱼者(Phisher):指使用电子邮件或其它手段哄骗其他人提供敏感信息(例如信用卡号码或密码)的个人。4.1.1为什么网络安全如此重要为什么网络安全如此重要?8思科网络技
4、术学院理事会.http:/ 内部人员滥用网络访问权限 拒绝服务 未经授权访问信息 滥用无线网络 系统渗透 密码嗅探 网站篡改计算机犯罪的类型计算机犯罪的类型4.1.1为什么网络安全如此重要为什么网络安全如此重要?9思科网络技术学院理事会.http:/4.1.1.4开放式网络与封闭式网络开放式网络与封闭式网络10思科网络技术学院理事会.http:/4.1.2 常见安全威胁常见安全威胁 讨论网络安全性时,人们往往会谈到三个术语:漏洞、威胁和攻击。漏洞(或称缺陷)主要包括三种类型:1.技术缺陷2.配置缺陷3.安全策略缺陷11思科网络技术学院理事会.http:/ 讨论网络安全性时,人们往往会谈到三个术
5、语:漏洞、威胁和攻击.漏洞(或称缺陷)主要包括:4.1.2常见安全威胁常见安全威胁12思科网络技术学院理事会.http:/ 对物理基础架构的威胁物理威胁分为四类:1.硬件威胁硬件威胁.2.环境威胁环境威胁 3.电气威胁电气威胁 4.维护威胁维护威胁4.1.2常见安全威胁常见安全威胁13思科网络技术学院理事会.http:/ 网络受到的威胁:无组织威胁无组织威胁有组织威胁有组织威胁外部威胁外部威胁内部威胁内部威胁4.1.2常见安全威胁常见安全威胁14思科网络技术学院理事会.http:/ 社会工程:入侵者通过欺骗组织成员获得有价值信息被称为社入侵者通过欺骗组织成员获得有价值信息被称为社会工程会工程.
6、网络钓鱼即是社会工程攻网络钓鱼即是社会工程攻击的一种类型,它包括使击的一种类型,它包括使用电子邮件或其它类型的用电子邮件或其它类型的信息诱骗他人提供敏感信信息诱骗他人提供敏感信息息4.1.2常见安全威胁常见安全威胁15思科网络技术学院理事会.http:/4.1.3 网络攻击的类型网络攻击的类型 攻击主要分为四种类型16思科网络技术学院理事会.http:/4.1.4 常常规规防范技防范技术术 主机和服务器安全性主机和服务器安全性 入侵检测和防御入侵检测和防御17思科网络技术学院理事会.http:/ 常见安全设备和应用程序常见安全设备和应用程序4.1.4常常规规防范技防范技术术18思科网络技术学院
7、理事会.http:/4.1.5 网络安全轮网络安全轮“安全轮”提倡持续地执行测试和应用更新的安全措施。19思科网络技术学院理事会.http:/ 什么是安全策略?安全策略是一组指导原则,其目的是为保护网络免受来自企业内部和外部的攻击.4.1.6 企业安全策略企业安全策略20思科网络技术学院理事会.http:/ 安全策略的作用全面的安全策略应具备以下基本功能:4.1.6企业安全策略企业安全策略21思科网络技术学院理事会.http:/ 安全策略的组成以下是组织采用的一些常规安全策略:权限和范围声明权限和范围声明 合理使用规定合理使用规定(AUP)标识和身份验证策略标识和身份验证策略 Internet
8、 访问策略访问策略 园区访问策略园区访问策略 远程访问策略远程访问策略 事件处理程序事件处理程序4.1.6企业安全策略企业安全策略思科网络技术学院理事会.http:/224.2 保护保护 Cisco 路由器路由器23思科网络技术学院理事会.http:/4.2.1 路由器安全问题路由器安全问题 路由器在网络安全中的作用24思科网络技术学院理事会.http:/ 保护你的网络4.2.1路由器安全问题路由器安全问题 物理安全 随时更新路由器 IOS 备份路由器配置和 IOS 加固路由器以避免未使用端口和服务遭到滥用25思科网络技术学院理事会.http:/ 配置基本的路由器安全功能 4.2.2 对对路由
9、器路由器应应用用 Cisco IOS 安全功能安全功能本章讨论前四个步骤。访问控制列表(ACL)将在下一章介绍,这是一项重要的技术,必须加以配置以控制和过滤网络流量。26思科网络技术学院理事会.http:/4.2.3 管理路由器安全管理路由器安全 配置路由器密码Passphrase ExamplesCisco IOS Software Release 12.3(1)and later allow administrators to set the minimum character length for all router passwords.27思科网络技术学院理事会.http:/4.2.
10、4 保护对路由器的远程管理访问保护对路由器的远程管理访问 配置路由器口令Preventing Logins on Unused LinesR1(config)#line aux 0R1(config-line)#no passwordR1(config-line)#login%Login disable on line 65,until password is setR1(config-line)#exitR1(config)#Control Incoming VTY AccessR1(config)#line vty 0 4R1(config-line)#no transport input
11、R1(config-line)#transport input telnet sshR1(config-line)#exit28思科网络技术学院理事会.http:/Additional VTY Security ConfigurationsR1(config)#line vty 0 4R1(config-line)#exec-timeout 3R1(config-line)#exitR1(config)#service tcp-keepalives-inEnsures at least one VTY line is available to the administratorR1(confi
12、g)#line vty 0 4R1(config-line)#loginR1(config-line)#password cisco123R1(config-line)#access-class 12 inR1(config)#access-list 12 permit host 192.168.1.24.2.4保护对路由器的远程管理访问保护对路由器的远程管理访问 配置路由器口令29思科网络技术学院理事会.http:/配置配置 SSH 安全功能安全功能Step 1:设置路由器参数设置路由器参数Router(config)#hostname R2Step 2:设置域名设置域名R2(config)
13、#ip domain-name Step 3:生成非对称密钥生成非对称密钥R2(config)#crypto key generate rsaStep 4:配置本地身份验证和配置本地身份验证和 vtyR2(config)#username student secret ciscoR2(config)#line vty 0 4R2(config-line)#transport input sshR2(config-line)#login localStep 5:配置配置 SSH 超时超时(可选可选)R2(config)#ip ssh time-out 15R2(config)#ip ssh au
14、thentication-retries 24.2.4保护对路由器的远程管理访问保护对路由器的远程管理访问30思科网络技术学院理事会.http:/ 应用 SSH 客户端访问设备4.2.4保护对路由器的远程管理访问保护对路由器的远程管理访问31思科网络技术学院理事会.http:/4.2.5 记录路由器活动记录路由器活动 配置路由器日志 R2(config)#logging 172.31.10.1R2(config)#service timestamps?debug Timestamp debug messageslog Timestamp log messagesR2(config)#servi
15、ce timestamps172.31.10.1日志记录主机有以下特点日志记录主机有以下特点:专门用于储存日志 连接在受保护的网络或专用路由器上思科网络技术学院理事会.http:/324.3 保护路由器网络服务保护路由器网络服务33思科网络技术学院理事会.http:/4.3.1易受攻击的路由器服务和接口易受攻击的路由器服务和接口 易受攻击的路由器服务Cisco 路由器支持第路由器支持第 2、3、4 和和 7 层上的大量网络服层上的大量网络服务务。34思科网络技术学院理事会.http:/ 易受攻击的路由器服务和接口!-IP 和网络服务部分和网络服务部分no cdp run no ip sourc
16、e-routeno ip classlessno service tcp-small-serversno service udp-small-serversno ip fingerno service fingerno ip bootp server no ip http server no ip name-server!-启动控制部分启动控制部分no boot network no service config!-SNMP 部分部分(完全禁用完全禁用 SNMP)!创建完全限制访问列表创建完全限制访问列表no access-list 70access-list 70 deny any!使使SN
17、MP 为只读并受制于访问列表为只读并受制于访问列表snmp-server community aqiytjl726540942 ro 11!禁用禁用 SNMP 陷阱和系统关闭功能陷阱和系统关闭功能no snmp-server enable trapsno snmp-server system-shutdownno snmp-server trap-auth!完全关闭完全关闭 SNMPno snmp-server!-接口定义的服务部分接口定义的服务部分interface eth 0/0no ip proxy-arpno ip directed-broadcastno ip unreachable
18、no ip redirect no ip http server no ip name-server4.3.1易受攻击的路由器服务和接口易受攻击的路由器服务和接口35思科网络技术学院理事会.http:/ SNMP,NTP,和 DNS 漏洞希望在 Cisco IOS 命令中使用域名,则需要使用全局配置命令 ip name-serveraddresses 明确设置域名服务器的地址.否则,应该使用命令 no ip domain-lookup 关闭 DNS 域名解析.4.3.1易受攻击的路由器服务和接口易受攻击的路由器服务和接口36思科网络技术学院理事会.http:/ 保护路由协议-RIPv24.3.
19、2 保护路由协议保护路由协议 37思科网络技术学院理事会.http:/ 保护路由协议-EIGRP&OSPF4.3.2.4 Activity of OSPF MD5 Authentication4.3.2保护路由协议保护路由协议 38思科网络技术学院理事会.http:/您可以在特权执行模式下使用 auto secure 命令将 AutoSecureone 配置为以下两种模式之一:R2#auto secure no-interact4.3.3 使用 Cisco AutoSecure锁定路由器思科网络技术学院理事会.http:/394.4 使用使用 Cisco SDM40思科网络技术学院理事会.ht
20、tp:/4.4.1 Cisco SDM 概述概述 什么是Cisco SDM?Cisco 路由器和安全设备管理器(SDM)是一种基于 Web 的设备管理工具,它使用简单,用于在基于 Cisco IOS 软件的路由器上配置 LAN、WAN 和安全功能.Cisco SDM 的特性的特性41思科网络技术学院理事会.http:/4.4.2 配置路由器以支持配置路由器以支持 Cisco SDM 使用Cisco SDM配置路由器 42思科网络技术学院理事会.http:/ SDM 启动步骤4.4.3 启动启动 Cisco SDM要启动要启动 Cisco SDM,请,请使用使用 HTTPS 协议,并将协议,并将
21、路由器的路由器的 IP 地址输入浏地址输入浏览器中览器中.Note:登录步骤的顺序可能会有所不同,这取决于您是从个人计算机上还是直接从 Cisco ISR 路由器上运行 Cisco SDM.43思科网络技术学院理事会.http:/ Cisco SDM主页概览4.4.4 Cisco SDM 界面界面Note:菜单栏、工具栏以及当前模式始终会显示在每个屏幕的顶部。而屏幕的其它区域将根据您执行的模式和功能而有所变化。.44思科网络技术学院理事会.http:/4.4.5 Cisco SDM向导向导 Cisco SDM 提供了大量向导来帮助您配置 Cisco ISR 路由器.45思科网络技术学院理事会.
22、http:/4.4.6使用 Cisco SDM锁定路由器Cisco SDM 一步锁定向导集成了 Cisco AutoSecure 所能提供的几乎所有安全功能.别误认为只要执行一步锁定就能保证网络安全。另外,Cisco SDM 并不具备 Cisco AutoSecure 的所有功能思科网络技术学院理事会.http:/464.5 保护路由器管理保护路由器管理47思科网络技术学院理事会.http:/4.5.1 维护维护 Cisco IOS 软件映像软件映像 维持 Cisco IOS 软件的版本为最新48思科网络技术学院理事会.http:/4.5.2 管理管理Cisco IOS映像映像 我们看到 sh
23、ow file systems 命令可显示 Cisco 1841 平台上可用的各种文件系统。可启动的 IOS 位于闪存中,因此 flash 字符旁的井号(#)表示它是启动磁盘.49思科网络技术学院理事会.http:/ Cisco IOS 设备提供了一种叫做 Cisco IOS 集成文件系统(IFS)的功能。您可以通过此系统创建、浏览和处理 Cisco 设备上的目录。具体目录则取决于平台.Note:nvram后必须有:.此图列出了当前默认文件系统的内容.IOS File4.5.2管理管理Cisco IOS映像映像50思科网络技术学院理事会.http:/ Cisco 设备的 URL 前缀Flash
24、NVRAMRAMTFTP4.5.2管理管理Cisco IOS映像映像51思科网络技术学院理事会.http:/ 用于管理配置文件的命令例例R2#copy running-config startup-configR2#copy system:running-config nvram:startup-configR2#copy tftp:startup-configR2#copy tftp:nvram:startup-config4.5.2管理管理Cisco IOS映像映像52思科网络技术学院理事会.http:/ Cisco IOS 文件命名约定4.5.2管理管理Cisco IOS映像映像53思科
25、网络技术学院理事会.http:/ 备份 IOS 软件映像4.5.4 备份和升级备份和升级 软件映像软件映像54思科网络技术学院理事会.http:/ 升级 IOS 软件映像4.5.4.3 Activity of Using a TFTP server to Upgrade IOS Software 4.5.4备份和升级备份和升级 软件映像软件映像55思科网络技术学院理事会.http:/ 恢复软件映像4.5.5 恢复软件映像恢复软件映像56思科网络技术学院理事会.http:/ 恢复软件映像Console connection to R14.5.5恢复软件映像恢复软件映像57思科网络技术学院理事会.
26、http:/ Cisco IOS配置故障排除 比较 show 和 debug 命令的不同作用4.5.6 Cisco IOS 配置故障排除配置故障排除show 命令列出已配置的参数及它们的值。debug 命令可让您追踪某个过程的执行情况。使用 show 命令来检查配置;使用 debug 命令来确定接口和路由器过程中传递的流量.58思科网络技术学院理事会.http:/ 使用 debug 命令的注意事项undebug all 命令关闭所有 debug commands.4.5.6 Cisco IOS 配置故障排除配置故障排除59思科网络技术学院理事会.http:/ 恢复路由器口令的方法4.5.7 恢复丢失的路由器口令恢复丢失的路由器口令60思科网络技术学院理事会.http:/ 恢复丢失的路由器口令4.5.7恢复丢失的路由器口令恢复丢失的路由器口令61思科网络技术学院理事会.http:/ 恢复丢失的路由器口令4.5.7恢复丢失的路由器口令恢复丢失的路由器口令62思科网络技术学院理事会.http:/
