1、2003-122003-12TelnetSMTPDNSFTPUDPTCPIP以太网以太网无线网络无线网络令牌网ARPNET应用程序攻击拒绝服务攻击数据监听和窃取硬件设备破坏设备用户名密码级别bay路由器user空用户Manager空管理员bay 350T交换机NetlCs无关管理员bay superStack IIsecuritysecurity管理员3com交换机adminsynnet管理员readsynnet用户writesynnet管理员debugsynnet管理员techtechmonitormonitor用户managermanager管理员securitysecurity管理员ci
2、sco路由器(telnet)c(Cisco 2600s)管理员(telnet)cisco用户enablecisco管理员(telnet)cisco routersshivaroot空管理员Guest空用户Webrampwradmintrancell管理员Motorola CableRoutercablecomrouter管理员SYN(我可以连接吗?)(我可以连接吗?)ACK(可以)(可以)/SYN(请确认!)(请确认!)ACK(确认连接)(确认连接)发起方发起方应答方应答方正常的三次握手建立通讯的过程正常的三次握手建立通讯的过程SYN(我可以连接吗?)(我可以连接吗?)ACK(可以)(可以)/
3、SYN(请确认!)(请确认!)攻击者攻击者受害者受害者伪造地址进行伪造地址进行SYN请求请求为何还为何还没回应没回应就是让就是让你白等你白等不能建立正常的连接不能建立正常的连接以上措施可以保证路由器的密码安全以上措施可以降低路由器遭受应用层攻击的风险以上三者不可同时使用,如果必要使用SNMP安全性123l费用l安全性在 IPSec之前在 IPSec*之后IP 有效载荷IP 头内部受保护的数据有效载荷IP 头IPSec 头线上传输l点对点通信 l对保护工作组通信非常有效LANIP PayloadIP headerIP PayloadIP headerIP headerIPSEC header在
4、IPSec之前在 IPSec*之后l通过WAN把私有地址空间扩展到任意地方l跨WAN保证私有性,完整性和身份验证Internet经过隧道的私有地址可路由的公有地址l通过WAN的安全隧道和通过LAN的安全传输相结合而对LAN和WAN实现一个统一的安全策略l建筑的内外有一致的安全性Internet主机间的传输通过WAN的隧道告电安全隧道公共网络FR/DDN/X.25分支机构子网分支机构子网分支机构子网分支机构子网管理中心子网管理中心子网VPN网关网关NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源NEsec300 FW2035968?告警内网接口外网接口电 源VPN网关网关VPN网关网关NEsec300 CA警内网接口外网接口源认证服务器认证服务器管理器管理器