企业网络安全

思科网络技术学院理事会.–Chapter42思科网络技术学院理事会.目标说明如何消除企业网络的安全威胁配置基本的路由器安全功能禁用未使用的路由器服务和接口使用CiscoSDM管理CiscoIOS设备3思科网络技术学院理事会.目录4.1网络安全简介4.2保护Cisco路由器4.3保护路由器网络服务4.4使用CiscoSDM4.5保护路由器管理思科网络技术学院理事会.为什么网络安全如此重要?如果网络安全受到危害，可能会导致非常严重的后果，例如隐私丧失、信息失窃，有的甚至需要追究法津责任。6思科网络技术学院理事会.随着时间的推移，攻击者的方法和工具不断改进，他们不再需要精深的知识即可进行攻击。4.1.1为什么网络安全如此重要?7思科网络技术学院理事会.网络安全的术语白帽客(Whitehat):指那些寻找系统或网络漏洞，然后向系统所有者报告以便其修复漏洞的个人。从理论上来说，他们并不是滥用计算机系统。,黑客(Hacker):一般术语，历史上用于形容计算机编程专家。黑帽客(Blackhat):用于形容那些为牟取个人利益或经济利益，利用计算机系统知识侵入非授权使用的系统或网络的群体。骇客(Cracker):用于更为准确地形容非法访问网络资源的恶意群体的术语。电话飞客(Phreaker):指利用电话网络执行非法功能的个人。垃圾邮件发送者(Spammer):指发送大量未经请求的电子邮件消息的个人。垃圾邮件发送者通常利用病毒控制家用计算机，并利用它们发送大量消息。网络钓鱼者(Phisher):指使用电子邮件或其它手段哄骗其他人提供敏感信息（例如信用卡号码或密码）的个人。4.1.1为什么网络安全如此重要?8思科网络技术学院理事会.内部人员滥用网络访问权限拒绝服务未经授权访问信息滥用无线网络系统渗透密码嗅探网站篡改计算机犯罪的类型4.1.1为什么网络安全如此重要?9思科网络技术学院理事会.常见安全威胁讨论网络安全性时，人们往往会谈到三个术语：漏洞、威胁和攻击。漏洞（或称缺陷）主要包括三种类型：1.技术缺陷2.配置缺陷3.安全策略缺陷11思科网络技术学院理事会.讨论网络安全性时，人们往往会谈到三个术语：漏洞、威胁和攻击.漏洞（或称缺陷）主要包括:4.1.2常见安全威胁12思科网络技术学院理事会.对物理基础架构的威胁物理威胁分为四类：1.硬件威胁.2.环境威胁3.电气威胁4.维护威胁4.1.2常见安全威胁13思科网络技术学院理事会.网络受到的威胁:无组织威胁有组织威胁外部威胁内部威胁4.1.2常见安全威胁14思科网络技术学院理事会.社会工程:入侵者通过欺骗组织成员获得有价值信息被称为社会工程.网络钓鱼即是社会工程攻击的一种类型，它包括使用电子邮件或其它类型的信息诱骗他人提供敏感信息4.1.2常见安全威胁15思科网络技术学院理事会.网络攻击的类型攻击主要分为四种类型16思科网络技术学院理事会.常规防范技术主机和服务器安全性入侵检测和防御17思科网络技术学院理事会.常见安全设备和应用程序4.1.4常规防范技术18思科网络技术学院理事会.网络安全轮“安全轮”提倡持续地执行测试和应用更新的安全措施。19思科网络技术学院理事会.什么是安全策略?安全策略是一组指导原则，其目的是为保护网络免受来自企业内部和外部的攻击.4.1.6企业安全策略20思科网络技术学院理事会.安全策略的作用全面的安全策略应具备以下基本功能:4.1.6企业安全策略21思科网络技术学院理事会.安全策略的组成以下是组织采用的一些常规安全策略:权限和范围声明合理使用规定(AUP)标识和身份验证策略Internet访问策略园区访问策略远程访问策略事件处理程序4.1.6企业安全策略思科网络技术学院理事会.路由器安全问题路由器在网络安全中的作用24思科网络技术学院理事会.保护你的网络4.2.1路由器安全问题物理安全随时更新路由器IOS备份路由器配置和IOS加固路由器以避免未使用端口和服务遭到滥用25思科网络技术学院理事会.配置基本的路由器安全功能4.2.2对路由器应用CiscoIOS安全功能本章讨论前四个步骤。访问控制列表(ACL)将在下一章介绍，这是一项重要的技术，必须加以配置以控制和过滤网络流量。26思科网络技术学院理事会.管理路由器安全配置路由器密码PassphraseExamplesCiscoIOSSoftwareRelease12.3(1)andlaterallowadministratorstosettheminimumcharacterlengthforallrouterpasswords.27思科网络技术学院理事会.保护对路由器的远程管理访问配置路由器口令PreventingLoginsonUnusedLinesR1(config)#lineaux0R1(config-line)#nopasswordR1(config-line)#login%Logindisableonline65,until'password'issetR1(config-line)#exitR1(config)#ControlIncomingVTYAccessR1(config)#linevty04R1(config-line)#notransportinputR1(config-line)#transportinputtelnetsshR1(config-line)#exit28思科网络技术学院理事会.(config)#linevty04R1(config-line)#exec-timeout3R1(config-line)#exitR1(config)#servicetcp-keepalives-inEnsuresatleastoneVTYlineisavailabletotheadministratorR1(config)#linevty04R1(config-line)#loginR1(config-line)#passwordcisco123R1(config-line)#access-class12inR1(config)#access-list12permithost192.168.1.24.2.4保护对路由器的远程管理访问配置路由器口令29思科网络技术学院理事会.设置路由器参数Router(config)#hostnameR2Step2:设置域名R2(config)#ipdomain-namecisco.comStep3:生成非对称密钥R2(config)#cryptokeygeneratersaStep4:配置本地身份验证和vtyR2(config)#usernamestudentsecretciscoR2(config)#linevty04R2(config-line)#transportinputsshR2(config-line)#loginlocalStep5:配置SSH超时(可选)R2(config)#ipsshtime-out15R2(config)#ipsshauthentication-retries24.2.4保护对路由器的远程管理访问30思科网络技术学院理事会.应用SSH客户端访问设备4.2.4保护对路由器的远程管理访问31思科网络技术学院理事会.记录路由器活动配置路由器日志R2(config)#logging172.31.10.1R2(config)#servicetimestamps?debugTimestampdebugmessageslogTimestamplogmessagescrR2(config)#servicetimestamps172.31.10.1日志记录主机有以下特点:·专门用于储存日志·连接在受保护的网络或专用路由器上思科网络技术学院理事会.易受攻击的路由器服务和接口易受攻击的路由器服务Cisco路由器支持第2、3、4和7层上的大量网络服务。34思科网络技术学院理事会.易受攻击的路由器服务和接口!---IP和网络服务部分nocdprunnoipsource-routenoipclasslessnoservicetcp-small-serversnoserviceudp-small-serversnoipfingernoservicefingernoipbootpservernoiphttpservernoipname-server!---启动控制部分nobootnetworknoserviceconfig!---SNMP部分(完全禁用SNMP)!创建完全限制访问列表noaccess-list70access-list70denyany!使SNMP为只读并受制于访问列表snmp-servercommunityaqiytjl726540942ro11!禁用SNMP陷阱和系统关闭功能nosnmp-serverenabletrapsnosnmp-serversystem-shutdownnosnmp-servertrap-auth!完全关闭SNMPnosnmp-server!---接口定义的服务部分interfaceeth0/0noipproxy-arpnoipdirected-broadcastnoipunreachablenoipredirectnoiphttpservernoipname-server4.3.1易受攻击的路由器服务和接口35思科网络技术学院理事会.SNMP,NTP,和DNS漏洞希望在CiscoIOS命令中使用域名，则需要使用