版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、网络与通讯平安中国信息平安产品测评认证中心CNITSECCISP-网络与通讯平安培训稿课程内容网络协议与平安要挟网络平安控制交换机设备平安配置路由器设备平安配置第一部分网络协议与平安要挟四层协议链路层设驱动备程序及接口卡网络层传输层运用层IP、ICMP、IGMPTCP、UDPMail、FTP、Telnet任务方式链路层网络层传输层运用层邮寄物品邮寄类型和恳求邮件封装邮寄线路四层协议与网络攻击链路层网络层传输层运用层网络窃听攻击地址欺骗攻击回绝效力攻击信息扫描攻击效力系统攻击第二部分网络平安控制OSI网络参考模型网络组成构造 网络系统L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L
2、2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器 资源子网通讯线路 主机 通讯子网 主机网络系统通讯线路L1L2L3L1L2L3L4L5L6L7L4L5L6L7 网络通讯 子系统L4L5L6L7L1L2L3WANLANOSI网络参考模型通讯方式上层用户:上层协议站,是通讯的信源和信宿;通讯功能:为实现通讯所能提供的特定操作和控制机制,如数据传送、流量控制、过失控制、应对机制、数据包的拆分与重组等; 通讯效力:是通讯功能的外部表现,为上层用户提供通讯支持; 通讯介质:本层以下一切协议层,是本层以下通讯构造的笼统表示;通讯子系统经过本层的通讯功能和下层的通讯效力,实现本层不同通讯实
3、体之间的通讯,并为上层协议提供通讯效力。通讯介质协议站1协议站2上层用户1上层用户2通讯效力访问通讯协议通讯功能通讯子系统下层通讯效力通讯实体1通讯实体2实际根据互联根底设备域支撑根底设备域局域计算接入域局域计算效力域效力和管理对象检测和呼应、KMI、应急和恢复处置计算存储本地接入远程接入实际根据美国总统关键根底设备维护委员会关于加强SCADA网络的21条建议美国国家平安局IATFDMTF的分布式管理方法和模型软件行为学平安域综述概念&了解普通经常了解的平安域网络平安域是指同一系统内有一样的平安维护需求,互置信任,并具有一样的平安访问控制和边境控制战略的子网或网络,且一样的网络平安域共享一样的
4、平安战略。假设了解广义的平安域概念那么是,具有一样业务要求和平安要求的IT系统要素的集合。这些IT系统要素包括:网络区域主机和系统人和组织物理环境战略和流程业务和使命等平安域综述平安域的意义基于网络和系统进展平安检查和评价的根底平安域的分割是抗浸透的防护方式基于网络和系统进展平安建立的部署根据平安域边境是灾难发生时的抑制点,防止影响的分散平安区域的划分原那么需求牵引:业务层面的需求不同业务、不同部门的平安等级需求不同以及网络构造层面的需求平安域在逻辑上可以和网络层次构造对应;与现有网络构造,网络拓扑严密结合,尽量不大规模的影响网络规划思索到用户需求和本钱等要素与业务需求一致性原那么,平安域的范
5、围,边境的界定不能导致业务与实践分别;一致平安战略:平安域的最重要的一个特征是平安战略的一致性,所以划分平安域的的前提是具备自上而下纵向的,自内而外横向的的宏观上的平安战略规划;部署实施方便:最少化平安设备原那么,合理的平安域划分可以减少冗余设备,精简开支;等级维护的需求;为集中化的平安管理效力。平安控制接入区域逻辑隔离业务处置区域业务终端区域业务处置区域横向骨干接入区域逻辑隔离业务处置区域业务终端区域业务处置区域中心数据区域CCCCCCCCCCCC纵向骨干平安边境平安边境将需求维护的资源、能够的风险和保证的需求结合起来可以在通讯途径上完成访问控制的授权、范围、期限。平安边境的设计良好的明晰度
6、以便进展审查和测试具备简约性以便可以迅速自动化执行减轻维护人员的任务量具备现实性以便采用成熟的技术和产品平安边境可采用的平安技术包括隔离、监控、检测、评价、审计、加密等。可作为平安边境的设备交换机路由器防火墙入侵检测网关VPNEtc.第三部分交换机设备平安配置配置内容封锁不用要的设备效力运用强口令或密码加强设备访问的认证与授权晋级设备固件或OS运用访问控制列表限制访问运用访问控制表限制数据包类型交换机-针对CDP攻击阐明Cisco公用协议,用来发现周边相邻的网络设备链路层帧,30s发送一次,目的MAC:01:00:0C:CC:CC:CC可以得到相邻设备称号,操作系统版本,接口数量和类型,接口I
7、P地址等关键信息在一切接口上默许翻开危害任何人可以轻松得到整个网络信息可以被利用发起DoS攻击:phenoelit.de/irpas/对策如不需求,制止CDP制止User-End端口的CDP交换机-针对STP攻击阐明Spanning Tree Protocol防止交换网络产生回路Root BridgeBPDU-bridge ID, path cost, interface攻击强迫接纳root bridge,导致网络逻辑构造改动,在重新生成STP时,可以导致某些端口暂时失效,可以监听大部份网络流量。BPDU Flood:耗费带宽,回绝效力对策对User-End端口,制止发送BPDU交换机-针对V
8、TP攻击作用Vlan Trunking Protocol一致了整个网络的VLAN配置和管理可以将VLAN配置信息传送到其它交换机动态添加删除VLAN准确跟踪和监测VLAN变化方式Server, Client, Transparent脆弱性Domain:只需属于同一个Domain的交换机才干交换Vlan信息 set vtp domain netpowerPassword:同一domain可以相互经过经MD5加密的password验证,但password设置非必需的,假设未设置password,能够构造VTP帧,添加或者删除Vlan。对策设置password尽量将交换机的vtp设置为Transpa
9、rent方式:set vtp domain netpower mode transparent password sercetvty第四部分路由器设备平安配置配置内容封锁不用要的设备效力运用强口令或密码加强设备访问的认证与授权晋级设备固件或OS运用访问控制列表限制访问运用访问控制表限制数据包类型路由器-发现路由经过tracertroute命令最后一个路由容易成为DoS攻击目的路由器-猜测路由器类型端口扫描操作系统堆栈指纹登陆旗标banner其它特征:如Cisco路由器1999端口的ack分组信息,会有cisco字样提示路由器-缺省帐号设备用户名密码级别bay路由器user空用户Manager空
10、管理员bay 350T交换机NetlCs无关管理员bay superStack IIsecuritysecurity管理员3com交换机adminsynnet管理员readsynnet用户writesynnet管理员debugsynnet管理员techtechmonitormonitor用户managermanager管理员securitysecurity管理员cisco路由器(telnet)c(Cisco 2600s)管理员(telnet)cisco用户enablecisco管理员(telnet)cisco routersshivaroot空管理员Guest空用户Webrampwradmin
11、trancell管理员Motorola CableRoutercablecomrouter管理员路由器-密码Cisco路由器的密码弱加密MD5加密Enable secret 5路由器-SNMPSNMP版本 SNMPv1,SNMPv2,SNMPv3Snmp AgentMIB轮循(Polling-only)和中断(Interupt-base)Snmp网管软件禁用简单网络管理协议no snmp-server enable运用SNMPv3加强平安特性snmp-server enable traps snmp auth md5运用强的SNMPv1通讯关键字snmp-server communitynam
12、e保证路由器密码平安运用加密的强密码service password-encryptionenable secret pa55w0rd运用分级密码战略enable secret 6 pa55wordprivilege exec 6 show运用用户密码战略user name password pass privilege exec 6 show控制网络线路访问access-list 8 permit 0access-list 8 permit *.*.*.*access-list 8 deny anyline vty 0 4access-class 8 in设置网络衔接超时Exec-timeo
13、ut 5 0Cisco路由器平安配置降低路由器蒙受运用层攻击1 制止CDP(Cisco Discovery Protocol)。如: Router(Config)#no cdp run Router(Config-if)# no cdp enable2 制止其他的TCP、UDP Small效力。 Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers3 制止Finger效力。 Router(Config)# no ip finger Router(Config)# no
14、service finger4 建议制止HTTP效力。 Router(Config)# no ip server 假设启用了HTTP效力那么需求对其进展平安配置:设置用户名和密码;采用访问列表进展控制。Cisco路由器平安配置5 制止BOOTp效力。 Router(Config)# no ip bootp server6 制止IP Source Routing。 Router(Config)# no ip source-route7 建议假设不需求ARP-Proxy效力那么制止它,路由器默许识开启的。 Router(Config)# no ip proxy-arp Router(Config-
15、if)# no ip proxy-arp8制止IP Directed Broadcast。 Router(Config)# no ip directed-broadcastCisco路由器平安配置9 制止ICMP协议的IP Unreachables, Redirects, Mask Replies。 Router(Config-if)# no ip unreacheables Router(Config-if)# no ip redirects Router(Config-if)# no ip mask-reply10 建议制止SNMP协议效力。在制止时必需删除一些SNMP效力的默许配置。如:
16、 Router(Config)# no snmp-server community public Ro Router(Config)# no snmp-server community admin RW11 假设没必要那么制止WINS和DNS效力。 Router(Config)# no ip domain-lookup 假设需求那么需求配置: Router(Config)# hostname Router Router(Config)# ip name-server 219.150.32.xxx12 明确制止不运用的端口。如: Router(Config)# interface eth0/3
17、Router(Config)# shutdownCisco路由器平安配置认证与日志管理运用AAA加强设备访问控制日志管理logging onlogging buffered 36000Cisco路由器平安配置禁用IP Unreachable报文禁用ICMP Redirect报文no ip redirect禁用定向广播no ip directed-broadcast禁用ARP代理no ip proxy-arp运用IP验证Ip verify unicast reverse-path禁用IP源路由选项no ip source-routeCisco路由器平安配置启用TCP截获特性防止DoS攻击创建截获
18、访问控制列表起用TCP截获特性设置截获方式设置门限制设置丢弃方式Cisco路由器平安配置运用访问控制列表限制访问地址运用访问控制列表限定访问端口运用访问控制列表过滤特定类型数据包运用访问控制列表限定数据流量运用访问控制列表维护内部网络DDoS预防方法限制ICMP数据包出站速率Interface xxRete-limit output access-group 102 256000 8000 8000 conform-action transmit exceed-action dropAccess-list 102 permit icmp any any echoAccess-list 102 permit icmp any any echo-replyDDoS预防方法限制SYN数据包衔接速率Interface xxRete-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action dropAccess-list 103 deny tcp any host xx.xx.xx.xx established Access-l
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 天燃气安装合同模板
- 培训学校合同模板6
- 出国旅游合同模板
- 低温储罐移位合同范例
- 大面积写字楼租赁合同范例
- 加工安装服务合同范例
- 2024年年小麦购买居间协议
- 交换空间合同范例
- 国企转让合同模板
- 关于房产赠与合同模板
- 厨房员工绩效考核方案
- 新高考数学全国卷1第20题说题课件
- 新湘科版小学三年级科学上册-全册教案
- 礼仪与教化介绍ppt
- 2023飞轮储能技术在新能源一次调频上的应用
- 北师大版2023-2024五年级数学上册期中测试卷
- 青少年社会工作方法青少年社会工作课件
- 全球航路的开辟(共31张)
- 上海市徐汇区2022年高考一模英语听力试题及原文带答案
- 初中数学华东师大版七年级上册整式的加减课件
- 6.2-质量管理体系要求-“6.2 质量目标及其实现的策划”条文理解与实施指导材(雷泽佳编制-2023)
评论
0/150
提交评论