网络设备安全概述(PPT 42页)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
33
网络与信息安全从业人员培训
▪ 关闭不使用的接口或端口 ▪ 使用SSH代替Telnet进行设备远程访问管理 ▪ 严格控制远程访问用户的权限 ▪ 对于远程访问进行严格的限制 ▪ 交换机管理VLAN与业务VLAN相独立
34
网络与信息安全从业人员培训
1.3.2 交换机数据安全
▪ 静态配置端口类型,避免DTP协商导致的VLAN跳跃攻击 ▪ 对于Trunk链路,明确配置其能传输的VLAN数据。 ▪ 对于CISCO交换机,尽量不要使用VTP协议功能。
26
▪ 路由器核心:路由表
网络与信息安全从业人员培训
–目的地址、子网掩码
–下一跳地址、输出端口
•注意:路由器的路由描述方式是局部的
RTB#show ip route --------output omitted--------
10.0.0.0/24 is subnetted, 1 subnets R 10.1.1.0 [120/1] via 11.1.1.1, 00:00:25, Serial0/1
网络与信息安全从业人员培训
为应用提供网络通信服务 信息表示方法(数据格式)
建立维护通信双方的会话连接 端到端可靠数据传输 如何在通信网络间选择路由 定义差错控制、流量控制机制 定义传输介质、信号波形(电压、 电流)等,实现比特流传输。
10
网络与信息安全从业人员培训
按照TCP/IP模型搭建计算机网络时, 在计算机上需要安装配置的组件。
1.计算机上的网络应用程序, 例如IE浏览器、QQ程序
2.计算机上的TCP/IP通信程序, 一般随操作系统安装,但需要 用户配置用于网络路由的地址。
3.计算机上安装的网卡 (或者其它通信接口) 、网线。
这是计算机使用TCP/IP模型进行通信的标志
11
网络与信息安全从业人员培训
1.1.4 TCP/IP网络中数据传输过程
网络与信息安全从业人员培训
通信协议
8
网络与信息安全从业人员培训
▪ 网络通信协议的问题:计算机间通信仅靠一个通信协议
无法完成!!! ▪ 解决方法:网络分层
–各层内使用自己的通信协议完成层内通信; –各层间通过接口提供服务; –各层可以采用最适合的技术来实现; –各层内部的变化不影响其他层。
9
1.1.3 网络体系结构
➢获取 ➢过期 ➢泛洪 ➢选择性转发 ➢过滤
1
18
交换机的分类
▪ 按是否可配置分类
网络与信息安全从业人员培训
19
▪ 按端口速率分类
–10Mbps、100Mbps、1000Mbps
▪ 按是否可物理扩展分类
网络与信息安全从业人员培训
20
▪ 按转发方式分类
网络与信息安全从业人员培训
21
▪ 按照工作层次分类:
37
网络与信息安全从业人员培训
▪ IEEE 802.1x技术
–在以太网接入设备的端口一级对所接入的设备进行认证和控制。 在应用了IEEE 802.1x的交换机端口上,如果该端口连接的终端 设备能够通过认证,就可以访问网络中的资源;而如果不能通过 认证,则无法访问网络中的资源。
38
网络与信息安全从业人员培训
13.0.0.0/24 is subnetted, 1 subnets O 13.1.1.0 [110/65] via 12.1.1.2, 00:00:13, Serial0/0
27
[RTB]display ip routing-table
网络与信息安全从业人员培训
Routing Tables: Public
Direct 0 0
11.1.1.1 S2/0
11.1.1.2/32
Direct 0 0
127.0.0.1 InLoop0
12.1.1.0/24
Direct 0 0
12.1.1.1 S1/0
12.1.1.1/32
Direct 0 0
127.0.0.1 InLoop0
12.1.1.2/32
Direct 0 0
▪ 端口安全技术
–基于MAC地址对网络接入进行控制的安全机制,它通过定义各种 端口安全模式,让网络设备的端口学习到该端口下的合法的终端 MAC地址; –通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对 网络的访问; –通过检测从端口发出的数据帧中的目的MAC地址地址来控制对非 授权设备的访问。 –端口安全模式
▪ 从2009年5月19日21:06开始,江苏、安徽、广西、海 南、甘肃、浙江 等6个省份的中国电信网络用户发现无 法登录网络,与此同时,电信的客服部门源源不断地开 始接到客户的投诉。
▪ 5月20日下午,根据工业和信息化部通信保障局发布的公 告,确认该事件原因是暴风网站域名解析系统受到网络 攻击出现故障,导致电信运营企业的递归域名解析服务 器收到大量异常请求而引发拥塞。
计算机A
封装/重组
计算机B
电子邮件数据
AH
数据段
AH
数据包
AH
数据帧 比特流
AH
12
1.2 典型网络设备
13
网络与信息安全从业人员培训
使用TCP/IP模型通信的网络设备
路由器
企业级的二层交换机 桌面二层交换机
14
计算机A
网络与信息安全从业人员培训
计算机B
计算机A
计算机B
计算机A与计算机B之间通信的数据传输过程 15
▪ 通信协议是为使计算机之间能够正确通信,而制定的通 信规则、约定和标准。
▪ 在开始通信之前需要确定的事情:
–通信的发送方、接收方 –一致的通信方法 –相同的语言 –注意传递的速度和时间 –证实或确认要求
7
语义
•发送方、接收方
语法
•双方一致同意的通信方法 •通信语言和语法
时序
•传递的速度和时间 •证实或确认要求
12.1.1.2 S1/0
13.1.1.0/24
OSPF 10 1563 12.1.1.2 S1/0
127.0.0.0/8
Direct 0 0
127.0.0.1 InLoop0
127.0.0.1/32
Direct 0 0
127.0.0.1 InLoop0
28
网络与信息安全从业人员培训
路由器和三层交换机的比较
网络设备安全
1
目录
1.1 网络基础 1.2 典型网络设备 1.3 网络设备安全
网络与信息安全从业人员培训
2
网络安全问题
网络与信息安全从业人员培训
▪ 事发的5月18日22时左右,域名解析服务器DNSPod主站 及多个DNS服务器遭受超过10G流量的恶意攻击,导致 DNSPod的6台解析服务器开始失效,大量网站开始间歇 性无法访问。
41
网络与信息安全从业人员培训
▪ 终端准入控制(End user Admission Domination,EAD)
42
•
39、把生活中的每一天,都当作生命 中的最 后一天 。
•noRestrictions模式 •autolearn模式 •secure模式
39
网络与信息安全从业人员培训
▪ 端口绑定技术
–将用户的IP地址和MAC地址绑定到指定的交换机端口上,使交换 机只对从相应端口收到的指定IP地址和指定MAC地址的数据报文 进行转发,从而实现对端口转发的报文进行过滤控制,增强端口 的安全性,实现IP源防护(IP Source Guard,IPSG)功能。 –交换机上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、 IP+MAC+VLAN等六种绑定表项的组合,因此它既支持IP+MAC 的绑定,也支持单独只绑定IP地址或单独只绑定MAC地址。
3
网络与信息安全从业人员培训
网络为何如此脆弱?
如何保障网络的安全?
4
1.1 网络基础
5
1.1.1 网络的概念
网络与信息安全从业人员培训
▪ 计算机网络是通过通信线路和通信设备将多个具有独立 功能的计算机系统连接起来,按照网络通信协议实现资 源共享和信息传递的系统。
6
网络与信息安全从业人员培训
1.1.2 通信协议的概念
网络与信息安全从业人员培训
1.2ຫໍສະໝຸດ Baidu1 交换机
▪ 交换机可以将 LAN 细分为多个单独的冲突域,其每个端 口都代表一个单独的冲突域,为该端口连接的节点提供 完全的介质带宽。
16
▪ 交换机的工作原理
–选择性转发
网络与信息安全从业人员培训
17
网络与信息安全从业人员培训
▪ 以太网 LAN 交换机采用五种基本操作来实现其用途:
▪ 对网络可用性要求较高的部分,进行设备和链路的冗余, 保障可用性的同时,通过负载均衡提高网络通信效率。
31
1.3 网络设备安全
32
网络与信息安全从业人员培训
1.3.1 网络设备自身安全保障
▪ 禁止不必要的网络服务
–禁止HTTP服务 –禁止DNS服务 –禁止IP源路由选择 –禁止ICMP重定向 –禁止ARP代理服务 –禁止直接广播 –禁止CDP –禁止SNMP协议服务
30
网络与信息安全从业人员培训
▪ 在汇聚层交换机上进行VLAN的创建,并在接入层交换机 上通过将接入端口指定到相应的VLAN中来按部门划分广 播域,由汇聚层交换机实现其下的接入层各VLAN之间的 路由。在汇聚层交换机和核心层交换机之间运行动态路由 选择协议,由核心层交换机实现整个局域网的路由。
▪ 对于带宽需求较高的部分,在接入层交换机和汇聚层交换 机之间进行链路聚合。
40
网络与信息安全从业人员培训
▪ DHCP Snooping技术
–保证客户端从合法的DHCP服务器获取IP地址。 •将连接DHCP服务器的端口指定为信任端口,而将其它的端 口指定为不信任端口来保证客户端从合法的DHCP服务器获取 IP地址。 •在不信任端口上配置DHCP报文限速功能来防范基于DHCP 请求的DoS攻击。
35
1.3.3 路由协议安全
▪ RIP协议安全
–配置抑制接口 –配置MD5认证
▪ OSPF协议安全
–配置MD5认证
网络与信息安全从业人员培训
36
网络与信息安全从业人员培训
1.3.4 局域网安全
▪ AAA认证
–Authentication:认证,对访问网络的用户的身份进行认证,判 断访问者是否为合法的用户; –Authorization:授权,为认证通过的不同用户赋予不同的权限, 限制用户可以访问的资源和使用的服务; –Accounting:计费,用来记录用户的操作和使用的网络资源,包 括使用的服务类型、起始时间和数据流量等,在计费的同时对网 络安全情况进行监控。
物理拓扑 一个广播域
VLAN10 VLAN20 VLAN30
逻辑拓扑(3台交换机)
三个广播域
24
网络与信息安全从业人员培训
1.2.2 路由器
▪ 路由器是专门用于路由的计算机
–为数据报文选择到达目的地址的最佳路径 –将数据报文转发到正确的输出端口
25
网络与信息安全从业人员培训
▪ 路由器工作在网络层,实现不同网段之间的通信。
11.0.0.0/24 is subnetted, 1 subnets C 11.1.1.0 is directly connected, Serial0/1
12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial0/0
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost NextHop Interface
10.1.1.0/24
RIP 100 1
11.1.1.1 S2/0
11.1.1.0/24
Direct 0 0
11.1.1.2 S2/0
11.1.1.1/32
–监听DHCP报文,记录客户端的IP地址与MAC地址。 •监听DHCP-REQUEST报文和从信任端口上收到的DHCPACK报文,记录客户端的MAC地址以及动态获得的IP地址, 并将其保存到DHCP Snooping绑定表中。通过读取DHCP Snooping绑定表中表项的内容可以生成动态端口绑定表项, 从而实现动态IP地址与端口的绑定。
–二层交换机 –三层交换机
网络与信息安全从业人员培训
22
VLAN的概念
网络与信息安全从业人员培训
3rd Floor 2nd Floor
1st Floor
计算机系 邮政系 金融系
A VLAN = A Broadcast Domain = Logical Network (Subnet)
23
网络与信息安全从业人员培训
▪ 第 3 层交换机可以像专用路由器一样在不同的 LAN 网段 之间路由数据包。
▪ 专用路由器在支持WAN接口卡 (WIC)方面更加灵活,这 使得它成为用于连接 WAN的首选设备,而且有时是唯一 的选择。
▪ 第3层交换机不能完全取代网络中的路由器。
29
1.2.3 典型网络拓扑结构
网络与信息安全从业人员培训
网络与信息安全从业人员培训
▪ 关闭不使用的接口或端口 ▪ 使用SSH代替Telnet进行设备远程访问管理 ▪ 严格控制远程访问用户的权限 ▪ 对于远程访问进行严格的限制 ▪ 交换机管理VLAN与业务VLAN相独立
34
网络与信息安全从业人员培训
1.3.2 交换机数据安全
▪ 静态配置端口类型,避免DTP协商导致的VLAN跳跃攻击 ▪ 对于Trunk链路,明确配置其能传输的VLAN数据。 ▪ 对于CISCO交换机,尽量不要使用VTP协议功能。
26
▪ 路由器核心:路由表
网络与信息安全从业人员培训
–目的地址、子网掩码
–下一跳地址、输出端口
•注意:路由器的路由描述方式是局部的
RTB#show ip route --------output omitted--------
10.0.0.0/24 is subnetted, 1 subnets R 10.1.1.0 [120/1] via 11.1.1.1, 00:00:25, Serial0/1
网络与信息安全从业人员培训
为应用提供网络通信服务 信息表示方法(数据格式)
建立维护通信双方的会话连接 端到端可靠数据传输 如何在通信网络间选择路由 定义差错控制、流量控制机制 定义传输介质、信号波形(电压、 电流)等,实现比特流传输。
10
网络与信息安全从业人员培训
按照TCP/IP模型搭建计算机网络时, 在计算机上需要安装配置的组件。
1.计算机上的网络应用程序, 例如IE浏览器、QQ程序
2.计算机上的TCP/IP通信程序, 一般随操作系统安装,但需要 用户配置用于网络路由的地址。
3.计算机上安装的网卡 (或者其它通信接口) 、网线。
这是计算机使用TCP/IP模型进行通信的标志
11
网络与信息安全从业人员培训
1.1.4 TCP/IP网络中数据传输过程
网络与信息安全从业人员培训
通信协议
8
网络与信息安全从业人员培训
▪ 网络通信协议的问题:计算机间通信仅靠一个通信协议
无法完成!!! ▪ 解决方法:网络分层
–各层内使用自己的通信协议完成层内通信; –各层间通过接口提供服务; –各层可以采用最适合的技术来实现; –各层内部的变化不影响其他层。
9
1.1.3 网络体系结构
➢获取 ➢过期 ➢泛洪 ➢选择性转发 ➢过滤
1
18
交换机的分类
▪ 按是否可配置分类
网络与信息安全从业人员培训
19
▪ 按端口速率分类
–10Mbps、100Mbps、1000Mbps
▪ 按是否可物理扩展分类
网络与信息安全从业人员培训
20
▪ 按转发方式分类
网络与信息安全从业人员培训
21
▪ 按照工作层次分类:
37
网络与信息安全从业人员培训
▪ IEEE 802.1x技术
–在以太网接入设备的端口一级对所接入的设备进行认证和控制。 在应用了IEEE 802.1x的交换机端口上,如果该端口连接的终端 设备能够通过认证,就可以访问网络中的资源;而如果不能通过 认证,则无法访问网络中的资源。
38
网络与信息安全从业人员培训
13.0.0.0/24 is subnetted, 1 subnets O 13.1.1.0 [110/65] via 12.1.1.2, 00:00:13, Serial0/0
27
[RTB]display ip routing-table
网络与信息安全从业人员培训
Routing Tables: Public
Direct 0 0
11.1.1.1 S2/0
11.1.1.2/32
Direct 0 0
127.0.0.1 InLoop0
12.1.1.0/24
Direct 0 0
12.1.1.1 S1/0
12.1.1.1/32
Direct 0 0
127.0.0.1 InLoop0
12.1.1.2/32
Direct 0 0
▪ 端口安全技术
–基于MAC地址对网络接入进行控制的安全机制,它通过定义各种 端口安全模式,让网络设备的端口学习到该端口下的合法的终端 MAC地址; –通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对 网络的访问; –通过检测从端口发出的数据帧中的目的MAC地址地址来控制对非 授权设备的访问。 –端口安全模式
▪ 从2009年5月19日21:06开始,江苏、安徽、广西、海 南、甘肃、浙江 等6个省份的中国电信网络用户发现无 法登录网络,与此同时,电信的客服部门源源不断地开 始接到客户的投诉。
▪ 5月20日下午,根据工业和信息化部通信保障局发布的公 告,确认该事件原因是暴风网站域名解析系统受到网络 攻击出现故障,导致电信运营企业的递归域名解析服务 器收到大量异常请求而引发拥塞。
计算机A
封装/重组
计算机B
电子邮件数据
AH
数据段
AH
数据包
AH
数据帧 比特流
AH
12
1.2 典型网络设备
13
网络与信息安全从业人员培训
使用TCP/IP模型通信的网络设备
路由器
企业级的二层交换机 桌面二层交换机
14
计算机A
网络与信息安全从业人员培训
计算机B
计算机A
计算机B
计算机A与计算机B之间通信的数据传输过程 15
▪ 通信协议是为使计算机之间能够正确通信,而制定的通 信规则、约定和标准。
▪ 在开始通信之前需要确定的事情:
–通信的发送方、接收方 –一致的通信方法 –相同的语言 –注意传递的速度和时间 –证实或确认要求
7
语义
•发送方、接收方
语法
•双方一致同意的通信方法 •通信语言和语法
时序
•传递的速度和时间 •证实或确认要求
12.1.1.2 S1/0
13.1.1.0/24
OSPF 10 1563 12.1.1.2 S1/0
127.0.0.0/8
Direct 0 0
127.0.0.1 InLoop0
127.0.0.1/32
Direct 0 0
127.0.0.1 InLoop0
28
网络与信息安全从业人员培训
路由器和三层交换机的比较
网络设备安全
1
目录
1.1 网络基础 1.2 典型网络设备 1.3 网络设备安全
网络与信息安全从业人员培训
2
网络安全问题
网络与信息安全从业人员培训
▪ 事发的5月18日22时左右,域名解析服务器DNSPod主站 及多个DNS服务器遭受超过10G流量的恶意攻击,导致 DNSPod的6台解析服务器开始失效,大量网站开始间歇 性无法访问。
41
网络与信息安全从业人员培训
▪ 终端准入控制(End user Admission Domination,EAD)
42
•
39、把生活中的每一天,都当作生命 中的最 后一天 。
•noRestrictions模式 •autolearn模式 •secure模式
39
网络与信息安全从业人员培训
▪ 端口绑定技术
–将用户的IP地址和MAC地址绑定到指定的交换机端口上,使交换 机只对从相应端口收到的指定IP地址和指定MAC地址的数据报文 进行转发,从而实现对端口转发的报文进行过滤控制,增强端口 的安全性,实现IP源防护(IP Source Guard,IPSG)功能。 –交换机上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、 IP+MAC+VLAN等六种绑定表项的组合,因此它既支持IP+MAC 的绑定,也支持单独只绑定IP地址或单独只绑定MAC地址。
3
网络与信息安全从业人员培训
网络为何如此脆弱?
如何保障网络的安全?
4
1.1 网络基础
5
1.1.1 网络的概念
网络与信息安全从业人员培训
▪ 计算机网络是通过通信线路和通信设备将多个具有独立 功能的计算机系统连接起来,按照网络通信协议实现资 源共享和信息传递的系统。
6
网络与信息安全从业人员培训
1.1.2 通信协议的概念
网络与信息安全从业人员培训
1.2ຫໍສະໝຸດ Baidu1 交换机
▪ 交换机可以将 LAN 细分为多个单独的冲突域,其每个端 口都代表一个单独的冲突域,为该端口连接的节点提供 完全的介质带宽。
16
▪ 交换机的工作原理
–选择性转发
网络与信息安全从业人员培训
17
网络与信息安全从业人员培训
▪ 以太网 LAN 交换机采用五种基本操作来实现其用途:
▪ 对网络可用性要求较高的部分,进行设备和链路的冗余, 保障可用性的同时,通过负载均衡提高网络通信效率。
31
1.3 网络设备安全
32
网络与信息安全从业人员培训
1.3.1 网络设备自身安全保障
▪ 禁止不必要的网络服务
–禁止HTTP服务 –禁止DNS服务 –禁止IP源路由选择 –禁止ICMP重定向 –禁止ARP代理服务 –禁止直接广播 –禁止CDP –禁止SNMP协议服务
30
网络与信息安全从业人员培训
▪ 在汇聚层交换机上进行VLAN的创建,并在接入层交换机 上通过将接入端口指定到相应的VLAN中来按部门划分广 播域,由汇聚层交换机实现其下的接入层各VLAN之间的 路由。在汇聚层交换机和核心层交换机之间运行动态路由 选择协议,由核心层交换机实现整个局域网的路由。
▪ 对于带宽需求较高的部分,在接入层交换机和汇聚层交换 机之间进行链路聚合。
40
网络与信息安全从业人员培训
▪ DHCP Snooping技术
–保证客户端从合法的DHCP服务器获取IP地址。 •将连接DHCP服务器的端口指定为信任端口,而将其它的端 口指定为不信任端口来保证客户端从合法的DHCP服务器获取 IP地址。 •在不信任端口上配置DHCP报文限速功能来防范基于DHCP 请求的DoS攻击。
35
1.3.3 路由协议安全
▪ RIP协议安全
–配置抑制接口 –配置MD5认证
▪ OSPF协议安全
–配置MD5认证
网络与信息安全从业人员培训
36
网络与信息安全从业人员培训
1.3.4 局域网安全
▪ AAA认证
–Authentication:认证,对访问网络的用户的身份进行认证,判 断访问者是否为合法的用户; –Authorization:授权,为认证通过的不同用户赋予不同的权限, 限制用户可以访问的资源和使用的服务; –Accounting:计费,用来记录用户的操作和使用的网络资源,包 括使用的服务类型、起始时间和数据流量等,在计费的同时对网 络安全情况进行监控。
物理拓扑 一个广播域
VLAN10 VLAN20 VLAN30
逻辑拓扑(3台交换机)
三个广播域
24
网络与信息安全从业人员培训
1.2.2 路由器
▪ 路由器是专门用于路由的计算机
–为数据报文选择到达目的地址的最佳路径 –将数据报文转发到正确的输出端口
25
网络与信息安全从业人员培训
▪ 路由器工作在网络层,实现不同网段之间的通信。
11.0.0.0/24 is subnetted, 1 subnets C 11.1.1.0 is directly connected, Serial0/1
12.0.0.0/24 is subnetted, 1 subnets C 12.1.1.0 is directly connected, Serial0/0
Destinations : 10 Routes : 10
Destination/Mask Proto Pre Cost NextHop Interface
10.1.1.0/24
RIP 100 1
11.1.1.1 S2/0
11.1.1.0/24
Direct 0 0
11.1.1.2 S2/0
11.1.1.1/32
–监听DHCP报文,记录客户端的IP地址与MAC地址。 •监听DHCP-REQUEST报文和从信任端口上收到的DHCPACK报文,记录客户端的MAC地址以及动态获得的IP地址, 并将其保存到DHCP Snooping绑定表中。通过读取DHCP Snooping绑定表中表项的内容可以生成动态端口绑定表项, 从而实现动态IP地址与端口的绑定。
–二层交换机 –三层交换机
网络与信息安全从业人员培训
22
VLAN的概念
网络与信息安全从业人员培训
3rd Floor 2nd Floor
1st Floor
计算机系 邮政系 金融系
A VLAN = A Broadcast Domain = Logical Network (Subnet)
23
网络与信息安全从业人员培训
▪ 第 3 层交换机可以像专用路由器一样在不同的 LAN 网段 之间路由数据包。
▪ 专用路由器在支持WAN接口卡 (WIC)方面更加灵活,这 使得它成为用于连接 WAN的首选设备,而且有时是唯一 的选择。
▪ 第3层交换机不能完全取代网络中的路由器。
29
1.2.3 典型网络拓扑结构
网络与信息安全从业人员培训