锐捷安全专项认证课程-使用Router与Switch安全网络

使用Router与Switch安全网络学习目标通过本章的学习，希望您能够：安全化Router与Switch安全管理Router与Switch使用Router增强网络安全性使用Switch增强网络安全性本章内容安全化Router与Switch安全管理Router与Switch使用Router增强网络安全性使用Switch增强网络安全性课程议题交换机/路由器的管理方式路由器的管理方式带外管理通过带外对路由器进行管理(PC与路由器直接相连)带内管理通过Telnet对路由器进行远程管理通过Web对路由器进行远程管理通过SNMP工作站对路由器进行远程管理Console口及配置线缆RJ45-DB9转换器＋反转线缆DB9-RJ45线缆Console口(RJ45)AUX口（连接拨号网络）带外路由器配置连线利用配置线将主机的COM口和路由器的console口相连打开超级终端从开始-〉程序-〉附件-〉通讯-〉超级终端打开超级终端程序配置超级终端为连接命名选择合适的COM口配置正确的参数TELNET管理路由器在主机DOS命令行下输入：telnetipaddress（路由器管理IP）TELNET管理路由器续输入telnet密码和特权密码即可进入到路由器的配置界面基于WEB的管理在web页面中输入路由器的管理IP可以进入路由器的web管理页面基于WEB的管理在web页面下对路由器进行管理基于SNMP协议的管理课程议题路由器的基本配置路由器配置模式配置模式提示符进入命令用户模式Router特权模式Router#enable全局模式Router(config)#configureterminal线路配置模式Router(config-line)#vty04路由配置模式Router(config-router)#routerrip接口配置模式Router(config-if)#Interfacef1/1课程议题交换机的基本配置交换机配置命令模式EXEC模式：用户模式switch交换机信息的查看，简单测试命令特权模式switch#查看、管理交换机配置信息，测试、调试配置模式：全局配置模式switch(config)#配置交换机的整体参数接口配置模式switch(config-if)#配置交换机的接口参数交换机配置命令模式进入全局配置模式Switch#configureterminalSwitch(config)#exitSwitch#进入接口配置模式Switch(config)#interfacefastethernet0/1Switch(config-if)#exitSwitch(config)#从子模式下直接返回特权模式Switch(config-if)#endSwitch#命令行其他功能获得帮助switch#?switch#show?命令简写全写：switch#configureterminal简写：Switch#config使用历史命令Switch#(向上键)Switch#(向下键)课程议题安全化Router与Switch传统网络设备的安全问题Router与Switch的安全问题运行多种服务允许对所有流量进行转发出厂默认配置禁用未使用的服务禁用DHCP中继服务noservicedhcpRouter(config)#限制DNS查询noipdomain-lookupRouter(config)#禁止DNS查询iphostnameip-address配置静态主机映射条目禁用未使用的服务（续）禁用ICMP不可达消息防止DoS攻击noipunreachablesRouter(config-if)#禁用HTTP服务noiphttpserver/noenableservicesweb-serverRouter/Switch(config)#禁用ICMP掩码应答防止攻击者获得网络拓扑noipmask-replyRouter(config-if)#禁用未使用的服务（续）禁用SNMP服务nosnmp-server/noenableservicessnmp-agentRouter/Switch(config)#禁用IP源路由选择禁止发送者控制报文的路径noipsource-routeRouter(config)#关闭未使用的接口shutdownRouter(config-if)#禁用未使用的服务（续）禁用ARPProxynoipproxy-arpRouter(config-if)#课程议题安全管理Router与Switch控制Console与VTY线路访问lineconsole0linevtybegin[end]Router(config)#进入Console或VTY线路exec-timeoutminutessecondsRouter(config-line)#配置登录连接超时login[local]配置密码认证或本地数据库用户认证passwordpassword配置密码认证的密码配置VTY线路访问限制linevtybegin[end]Router(config)#进入VTY线路access-classacl-numberinRouter(config-line)#配置访问限制servicetcp-keepalives-insecondsRouter(config)#配置失效TCP连接检测配置其它访问控制enable{password|secret}[levellevel]passwordRouter(config)#配置特权访问密码usernameusername[privilegelevel]passwordpasswordRouter(config)#配置本地用户数据库bannermotdbannerRouter(config)#配置标识谁是拥有者并有权使用未授权的访问是非法的用户的操作将被监控非法行为将被起诉使用进行SSH安全访问enableservicesssh-serverSwitch(config)#启用SSHSecureShellClient/Server对流量进行加密（Telnet无加密）支持RSA认证TCP22SFTPipsshversion{1|2}Switch(config)#配置SSH版本使用SNMP进行管理SimpleNetworkManagementProtocolAgent&NMSSNMPv1/v2/v3MIB只读/读写/TrapUDP161/162配置SNMPv1/v2snmp-servercommunitystring[viewviewname][ro|rw][acl-number]Router(config)#配置团体名snmp-serverhostip-addresstrapsversion{1|2}string[notification-type]Router(config)#配置NMSsnmp-serverenabletraps[notification-type]Router(config)#配置系统产生Trap消息配置SNMPv3snmp-servergroupnamev3{auth|noauth|priv}[readreadview][writewriteview]Router(config)#配置用户组snmp-serveruserusernamegroupnamev3[encrypted][auth{md5|sha}password][privdes56password]Router(config)#配置用户snmp-serverhostip-addresstrapversion3{auth|noauth|priv}community-stringRouter(config)#配置NMS使用Syslog日志SyslogClient/Server日志消息目的地ConsoleVTYLoggingbufferLoggingfileSyslogserver日志安全级别Syslog日志格式000012007-02-142910:20:59Red-Giant:%7:%LINKCHANGED:InterfaceSerial0/0,changedstatetoup序号时间戳日志名称及级别日志信息配置日志loggingip-addressRouter(config)#配置Syslog服务器loggingtraplevelRouter(config)#配置发送到Syslog服务器的日志级别servicetimestamps{log|debug}[uptime|datetime]Router(config)#配置日志时间戳配置日志（续）servicesequence-numbersRouter(config)#配置在日志信息中添加序号loggingbuffered[buffer-size|level]Router(config)#配置将日志发送到日志缓冲区loggingfileflash:filename[max-file-size][level]Router(config)#配置将日志记录到日志文件配置日志（续）showloggingRouter#显示日志配置参数、统计信息以及日志缓冲区中的信息clearloggingRouter#清除日志缓冲区中的信息loggingonRouter(config)#启用日志安全网络管理最佳实践方式使用安全的登录机制使用SSH，不使用Telnet使用SFTP或FTP，不使用TFTP使用HTTPS，不使用HTTP使用SNMPv3，不使用SNMPv1/v2c对所有的操作和时间进行详细的日志记录将所有设备的配置文件进行安全的、统一的管理课程议题使用Router增强网络安全性访问控制列表访问控制列表（ACL）的类型标准ACL，扩展ACL标准ACL仅对源地址信息进行过滤access-list1permit10.1.1.00.0.0.255扩展ACL可对源地址、目的地址、源端口、目的端口、协议、IP优先级、ToS等进行过滤access-list100permittcp10.1.1.00.0.0.255anyeq21ACL部署标准ACL：路由信息过滤、发布、访问线路控制扩展ACL：报文过滤详细的语句放在前面，默认的denyany使用ACL进行Internet入口过滤Bogon地址过滤使用ACL进行Internet入口过滤（续）RFC2827过滤使用Router阻止Smurf和Fraggle攻击使用Router防止ICMP不可达DoS攻击ipicmprate-limitunreachablesmillisecondsRouter(config)#ICMP不可达报文限速使用CAR减缓泛洪DoS攻击rate-limit{input|output}access-groupnumberbpsburst-normalburst-maxconform-actiontransmitexceed-actiondropRouter(config-if)#配置CAR(CommittedAccessRate)使用ACL阻止DDoS攻击Trinoo使用ACL阻止DDoS攻击（续）Stacheldraht使用ACL阻止DDoS攻击（续）Trinity使用ACL阻止特洛伊木马Netbus使用ACL阻止