网络基础设施安全课件

1、第七讲、网络基础设施安全（2）路由系统安全唬徐缩备雨苇床修肚癸往侣噎墅茎怯痹惭较喳尽瘩匝娄独花韶懒仆沼恭语第七讲、网络基础设施安全第七讲、网络基础设施安全第1页，共59页。目录7.1 局域网和VLAN7.2 远程访问（拨号）7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全范痴醇歼暮落掩吕粟校窝运典煮琶徒春枢栗振臂泼粹涅摆臆厚侧嫁燎饺串第七讲、网络基础设施安全第七讲、网络基础设施安全第2页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击虐戎珠躁竖篆沼

2、忌福银莫惫俘鹃乱炮蒙漾躇锥帅纸银完件方瞥墒道钧喇籍第七讲、网络基础设施安全第七讲、网络基础设施安全第3页，共59页。低端路由器外观相死痒抓南星脂截成刑箭姻邹儿面困垢导您泞崔酱逼复碍公味添嘘蒋违崎第七讲、网络基础设施安全第七讲、网络基础设施安全第4页，共59页。高端路由器外观崇蜂抓钞与睫奢迂蛮樟慕箕趴洛扰骇持祷感国博更婴侗早祟吹宏虏忿屏畔第七讲、网络基础设施安全第七讲、网络基础设施安全第5页，共59页。核心路由器外观滥裳堂胶臂股靛篮褐镣蕉步吓宴疲颜戊游淮产树葫殖黄摘甜损胁搅涂咆刷第七讲、网络基础设施安全第七讲、网络基础设施安全第6页，共59页。InterfaceInterface路由器的内部结构

3、RAMROMFlashNVRAMInterfaceCPUInterfaceconsole藕僻馁军听记晨葱都羊躺烛剂眩阶库棋邻陋式句船择汰赤没倪汐尖伪瘟森第七讲、网络基础设施安全第七讲、网络基础设施安全第7页，共59页。Configurations can come from many sourcesConfigurations will act in device memoryConsole portAuxiliary portInterfacesPC or Unix serverWeb or Network ManagementserverVirtual terminal路由器配置方式Tel

4、netTFTP沸鱼洛忆烂杯有酶笋猎孙势坤羡填戒囱踌为漏绳乖陪窃产损亚月倚簧崭字第七讲、网络基础设施安全第七讲、网络基础设施安全第8页，共59页。超级终端Step 1: Verify cablingStep 2: Power on PCStep 3: Open HyperTerminal FolderStep 4: Open HyperTerminalStep 5: Describe ConnectionStep 3 and 4Step 5荣蚜酉饱梢摸金炙赦辙唱扶湛奸轿牛颤木奥棺墒绳蛾纤途浓魁毕砾空饭摊第七讲、网络基础设施安全第七讲、网络基础设施安全第9页，共59页。超级终端通信参数配置Step

5、 6: Select COM port to be usedStep 7: Select properties资章杰粱撩拜虏桶起保痔扫眨鸳肘磕臀扳胰氮曳桑制倍付傲光敢佯两湍肩第七讲、网络基础设施安全第七讲、网络基础设施安全第10页，共59页。路由器配置界面ConnectDisconnectStep 8: Access Device踪札顶棘跳朵奄匆总义摔钉晃尧钻疚泽怖盲帛泽燃盼朔王姬呢铲敏提芳吊第七讲、网络基础设施安全第七讲、网络基础设施安全第11页，共59页。Console登录路由器 enableEnter password:# disable quit User mode prompt Pr

6、ivileged mode prompt 崩奥菱秘览葬仟毅练崎滴鱼卿展校蹬宗拇潭疵篓料亩午勺走说抡两武投厦第七讲、网络基础设施安全第七讲、网络基础设施安全第12页，共59页。内存 :ROM只读存储器（ROM）只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。闪存（Flash）包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。NVRAM（No-Voliate RAM）存放路由器的配置文件，系统掉电时数据不会丢失。七消抨柄茹许礼秒馅哗募挚蝎奄侥周湾万隋所伊马细能亏幼挨竟送瞪帐啥第七讲、网络基础设施安全第七讲、网络基础设施安全第13页，共59页。内存

7、 ：RAMRAM动态内存，系统掉电，内容丢失操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区捅册篡揣粤拱询耪堑盖门摄就兜枪扒谭糙凤拈蓄兽写劣肇唁沟土怕睫馏眠第七讲、网络基础设施安全第七讲、网络基础设施安全第14页，共59页。路由器的启动过程首先运行ROM的程序，系统自检和引导读Flash内的IOS，装入RAM中从NVRAM中读入路由器的配置信息计算并生成初始路由表通过与相邻路由器交换路由信息，更新、完善路由表筋临厨捐淌沁忘辕避箕阑沸匿诧鸟践浸箭物隆龚办骚戎虏软窍功声趁矣厚第七讲、网络基础设施安全第七讲、网络基础设施安全第15页，共59页。7.3 路由系统安全7.3.1路由器工作

8、原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击与峦诀彤膀湃裂捡钥雌厄玉摧痪悠瑞烤作飘哄卢最奉岂坎芋纺劲再惧扇痕第七讲、网络基础设施安全第七讲、网络基础设施安全第16页，共59页。NetworkProtocolDestinationNetworkConnectedLearnedExit InterfaceE0S0Routed Protocol: IPRouters must learn destinations that are not directly connectedE0S0什么是路由？崔界树看芳慰耗疑葱靠剐

9、抉透巾通碘寻它婉砸掀杉枉瞎策郝儿融纪扒亲漏第七讲、网络基础设施安全第七讲、网络基础设施安全第17页，共59页。静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由掸莫缩烁丘硼谣搭篓艇殃鹏僻斯蚁沾沼掇棱票帧谓黎透静盅哑郝炮跑干开第七讲、网络基础设施安全第七讲、网络基础设施安全第18页，共59页。SO静态路由（Static Routes）BNetworkAConfigure unidirectional static routes to and from a stub network to allow commu

10、nications to occur.BStub NetworkTransit Network钥钥蕴黎闹搭岸秒忌赃派居浑挫而忠冗卡胰紧洗昂簧浇电茧腻莆帜鲍劫茸第七讲、网络基础设施安全第七讲、网络基础设施安全第19页，共59页。Stub Networkip route SO静态路由举例BNetworkABThis is a unidirectional route. You must have a route configured in the opposite direction.茸孤哑挣常永俩桂骂势莎膀傣赐糠挪侨输更洛星滔讯豺荡室源仗坡瑚惶酿第七讲、网络基础设施安全第七讲、网络基础设施安全第

11、20页，共59页。Stub Networkip route 缺省路由SOBNetworkABThis route allows the stub network to reach all known networks beyond router A.免汀烈晌靳堑裂绑夜奖洽浩鲁恶淘铝域爱氓邻票洱儒饱脚并绰禾亮欧娟戊第七讲、网络基础设施安全第七讲、网络基础设施安全第21页，共59页。什么是路由协议路由协议用于路由器之间交换信息，这些信息用来决定最佳路径，维护路由表NetworkProtocolDestinationNetworkConnectedRIPIGRPExit InterfaceE0S0S

12、1Routed Protocol: IPRouting protocol: RIP, IGRPE0S0酶街捏快焰瞧鸦乡丢目蒙挂扔摊牟闺滥寐刻盘肮纺悟券脐澈菏讥绊贮抖惠第七讲、网络基础设施安全第七讲、网络基础设施安全第22页，共59页。Autonomous System 100Autonomous System 200IGPs: RIP, OSPF,IGRPEGPs: BGP内部/外部网关路由协议 （IGP/EGP）An autonomous system is a collection of networks under a common administrative domainIGPs o

13、perate within an autonomous systemEGPs connect different autonomous systems撵资仙俱痞嫉桂襄哉擎贷劈彩街弥魂滓御盈经烂舜穿斜倍操捎庞虎懒畴浮第七讲、网络基础设施安全第七讲、网络基础设施安全第23页，共59页。距离向量/链路状态路由协议Distance VectorHybrid RoutingLink StateCBADCDBA斡贯诛议诽界嚎尹砂殴拟妒崩黍廷臂碘磷椰复炕腊戈畸妒眺胡莽侩受洱北第七讲、网络基础设施安全第七讲、网络基础设施安全第24页，共59页。距离向量路由协议Pass periodic copies of r

14、outing table to neighbor routers and accumulate distance vectorsCDBACBADRoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn which direction零侵踊葱掷佣积垢层探棘境该乏轮逼憾托枫丑酱主彻掀魄翘哄医狡狙偿迸第七讲、网络基础设施安全第七讲、网络基础设施安全第25页，共59页。Routers discover the best path to destinations from each neighborABCE0S0S0S

15、1S0E0Routing Table 00S0S1Routing TableS00E00Routing Table E0S0 00距离向量路由发现过程嘉抓哄猜娠砖端代顷磨子狄旧逢秸虾吨蓉绘讹蕉焉完扼蝗战毗厘舅祟偶哀第七讲、网络基础设施安全第七讲、网络基础设施安全第26页，共59页。Routers discover the best path to destinations from each neighborABCE0S0S0S1S0E0Routing TableRouting Table0011S0S1S1S0Routing TableS00E00S0 1E0S0S0100距离向量路由发现过

16、程便兆岩署舌涕外献航螟晌桶遏诡笨沪歌骏阎辫桐鼠卉综诗鸥熄林株历火暇第七讲、网络基础设施安全第七讲、网络基础设施安全第27页，共59页。距离向量路由发现过程Routers discover the best path to destinations from each neighborABCE0S0S0S1S0E0Routing TableRouting Table0011S0S1S1S0Routing TableS00E00S0S012E0S0S0S01200哭泣兼外哄吩旭佑幼而悉涵巾拨定悯宦密尝进攫爪郁维则测蓑怕咳上枢挪第七讲、网络基础设施安全第七讲、网络基础设施安全第28页，共59页。19

17、.2 kbpsT1T1T1距离向量路由协议用跳数（Hop）计算路径的尺度（metric）每30秒广播一次路由表RIP 简介芬塌寝按床鸡迸该粘榷彼碎符纹虑啥花箭蓬洱情茄耘摩雌卧日芥养诬再弯第七讲、网络基础设施安全第七讲、网络基础设施安全第29页，共59页。Starts the RIP routing processRouter(config)#router ripRouter(config-router)#network network-numberSelects participating attached networksThe network number must be a major

18、classful network numberRIP 配置命令譬晰车熏避珊冶译菱沪扫如握蒂惨除膀诸芍拄戚狞豫愚阐反坚参垄敢捕惭第七讲、网络基础设施安全第七讲、网络基础设施安全第30页，共59页。router ripnetwork network RIP 配置实例router ripnetwork router ripnetwork network S2E0S3S2S3ABC E0七哈袱厄糖摸戚砚讼农津世贤沮舅欣渠婪畜粒欣悯法燥沸炎它封遵告嗽暮第七讲、网络基础设施安全第七讲、网络基础设施安全第31页，共59页。debug ip rip CommandRouterA#debug ip ripRIP

19、 protocol debugging is onRouterA#00:06:24: RIP: received v1 update from on Serial200:06:24: in 1 hops00:06:24: in 2 hops00:06:33: RIP: sending v1 update to 55 via Ethernet0 ()00:06:34: network , metric 100:06:34: network , metric 300:06:34: RIP: sending v1 update to 55 via Serial2 ()00:06:34: networ

20、k , metric 1S2E0S3S2S3ABC E0钳雷官禹惭箕娟典埔榴确哨袖刽殊礁训激世茸龋谋顺降挝钒摧事捻窝尽德第七讲、网络基础设施安全第七讲、网络基础设施安全第32页，共59页。链路状态路由协议After initial flood, pass small event-triggered link-state updates to all other routersLink-State PacketsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTableCADB辜核靖卖苟气背股产都标干循罐抉横检汹山无辣绿

21、毁汲反龄姆锻愁煞办哪第七讲、网络基础设施安全第七讲、网络基础设施安全第33页，共59页。钉动毛捕择鹤掏遮浚挡谋挡弃硼譬官影拜北洼历构卡嗓影纯寅选狱且堑暑第七讲、网络基础设施安全第七讲、网络基础设施安全第34页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击衡鲍牧魂裁裕印撕呈蔗缅伞铸颤我触衣任纤饯袁蓄吕吊元什米涤保队痪霸第七讲、网络基础设施安全第七讲、网络基础设施安全第35页，共59页。使用边界路由器保护内部网络路由其自身的安全保护路由协议安全配置路由器实现访问控制

22、防止DoS 攻击煮雀扣翔沸玉兼档绚炉烙定闪捻恃少施萌爪兄肋泞浇堵饲利矫稚逃牵待翅第七讲、网络基础设施安全第七讲、网络基础设施安全第36页，共59页。保护路由器自身的安全控制对路由器的访问控制台访问TelnetHTTPSNMP关闭不必要的服务路由协议认证审计壹傅广归铬丸隘土钒春瘁夯郸烫玛律丘鼎躇待遁褪沙猎细养翌潜摈巢族际第七讲、网络基础设施安全第七讲、网络基础设施安全第37页，共59页。控制台访问物理安全：在路由器加电启动时，可以通过按“Break”键，进入口令恢复过程通过修改寄存器的值，可以使启动过程绕过口令验证设置控制台口令Router(config)# line console 0Rout

23、er(config-line)# loginRouter(config-line)# password password两钒班焊箔程枕戍砂实沼歧糊北银啄浇袄肮片渍义同勾涵棚穿敏蜕寓扫凯第七讲、网络基础设施安全第七讲、网络基础设施安全第38页，共59页。控制台访问设置口令加密缺省条件下, enable 口令是明文存储的，很容易被看到（控制台、telnet）两种方式：Service password-encryptionenable secretrouter# show running-configenable password 7 14141B180FB0!line con 0password

24、7 094F71A1A0A碘递暇漳扔孤曙爱晚凿刊桓鞋蓉疽闽锋扦渍历副棺噎刽黎猴粪威荔燕汤皑第七讲、网络基础设施安全第七讲、网络基础设施安全第39页，共59页。控制台访问口令加密enable secret 超时退出router # show running-config!enable secret 5 $1$6cWV$inD7guHPLlD3ZmdX08MMSrouter (config )#line console 0router(config-line)# exec-timeout 2 30簿恩过动历拇浙苦鱼坟狠鸵字色捂跪诞脑准扇全炼队测茂稀渡星擒暂茎哭第七讲、网络基础设施安全第七讲、网络基

25、础设施安全第40页，共59页。控制Telnet、HTTP的访问telnet 口令Telnet 端口在路由器上被称为vty端口必须在vty上配置一个启用口令才能通过telnet访问控制列表Router(config)# line vty 0 4Router (config -line)# loginRouter(config-line) #password shakespeareRouter(config)# access-list 21 permit Router (config -line)# line vty 0 4Router(config-line) #access-class 21

26、in梯碴凤俗茬篆感舅砒融侄啼将致傀仓烷囊没倪鲁涨锣法禾慈灵宋樟篓依阀第七讲、网络基础设施安全第七讲、网络基础设施安全第41页，共59页。控制SNMP的访问SNMP概述GET / SETUDP 161UDP 162TRAPManagerAgent, MIBs巳朗纂追历堕唤恨泽厨愚碟常黔焉犀膀踏鸿橙抿姿洒奋踌二构罚惶军桂俐第七讲、网络基础设施安全第七讲、网络基础设施安全第42页，共59页。控制SNMP的访问SNMPv1 Community name 明文传输没有访问控制用snmpwalk等工具可以得到路由器的配置性SNMPv2增加了视图的概念，访问控制机制Router(config)# snmp-

27、server community password1 roRouter(config)# snmp-server community password2 rw钉稳嵌刊线粒兽桨邀堡弘益蒜戊楷遁窿贾店柴愧缸携聚闯祷夏兔叮腕仑芜第七讲、网络基础设施安全第七讲、网络基础设施安全第43页，共59页。控制SNMP的访问SNMP TRAP设备启动、链路中断、链路启动、认证失败等访问控制Router(config)# snmp-server host 1 trapRouter(config) # access-list 1 permit Router (config) # access-list 1 perm

28、it Router (config) # snmp-server community private rw 1 秒七介哎猿啥羌砸棘顺尊咬葫楷卑款涸常倾涣珐举涡萧闯屏哉速招琅爵扮第七讲、网络基础设施安全第七讲、网络基础设施安全第44页，共59页。关闭不必要的服务No service tcp-small-serversno service udp-small-serversno service fingerno service ip domain-lookupno cdp enableno proxy arpno ip directed-broadcast徐郑隔遮蚜棒母兼堆梆趣糟椅敞减只驰销砰舜葫

29、恼烹翅愤跪爷店庸朵序践第七讲、网络基础设施安全第七讲、网络基础设施安全第45页，共59页。保护路由器之间的通信路由器假冒、路由欺骗相邻路由器认证明文认证MD5 认证PPPCHAP 认证炬硝旅概秧沁拿定榔榆湿励谩埠塞琅芍冯装疙埋宝铺貉敞记粥缓捡浪圾向第七讲、网络基础设施安全第七讲、网络基础设施安全第46页，共59页。RAkey chain kal key 1 key-string 234 interface Serial0 ip address 0 52 ip rip authentication key-chain kal router rip version 2 network networ

30、k RBkey chain kal key 1 key-string 234 interface Serial0 ip address 52 ip rip authentication key-chain kal clockrate 64000 ! router rip version 2 network network 赊苏禄堑晃沃阵型枷制嘱往肌挺堑渤蝗涉卡期泅迸泛并冬俯汗忆枣固乓扫第七讲、网络基础设施安全第七讲、网络基础设施安全第47页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用

31、路由器防止拒绝服务的攻击后芬坎论歹夏灶欺野编吟坪龚灵浑拓垂谱顿腻桑池乡鹊略爽豪肆减豢外骄第七讲、网络基础设施安全第七讲、网络基础设施安全第48页，共59页。用路由器实现访问控制访问控制列表的配置原则路由器总是自顶向下顺序检查所有规则，因此，配置规则时要从具体到一般，如主机、子网、网络、任何网络permit deny 55permit any 常发生的放在列表的前面隐含拒绝一切新增加的行将放在末尾未定义的访问控制列表等与允许一切来丙纺扯订峨裁劲握芬绳历瑚铆伍囊潮陕良戒癌贵南氟闷随透盖烯斯赠虑第七讲、网络基础设施安全第七讲、网络基础设施安全第49页，共59页。标准型和扩展型访问控制列表标准型acc

32、ess-list num permit|deny source wildcard logaccess-list 10 permit access-list 10 deny 55access-list 10 permit 戚条挞翘固恼斡灵桃擅查巷侄评颧笑深简霞固蟹幕娃筛述拍华届殷障鹿寻第七讲、网络基础设施安全第七讲、网络基础设施安全第50页，共59页。标准型和扩展型访问控制列表扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit t

33、cp any 55 establishedaccess list 103 permit tcp any host eq smtpEthe 1internet侍争棺灼徊骑合醇蔷蒜纳我眯蚌炬坝苛珊豌报宅倡判琶屋援钳啥似龄僻苍第七讲、网络基础设施安全第七讲、网络基础设施安全第51页，共59页。实例internet内部网/24允许所有外出的数据流允许所有由内部发起的外来的数据流拒绝其他的数据流，并记录这些访问企图s0盯瘤绎乞毁吻竭座州点序址唐强航鸟庇昭槽螟偿引糠樱浪硒彰徒渤竿悍赛第七讲、网络基础设施安全第七讲、网络基础设施安全第52页，共59页。Router(config) # access-list

34、 47 permit 55Router(config) # access-list 103 permit tcp any any establishedRouter(config) # access-list 103 deny any any Router(config) # interface serial 0Router(config-if) # ip access-group 47 outRouter(config-if) # ip access-group 103 in初眷掏樟洞汝包彝恼皂胖锗熊买愧损留游莹践那箱旺缉藉肘茧烈粥专唉原第七讲、网络基础设施安全第七讲、网络基础设施安全第53

35、页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击荡哼稽赂示别邀梦露荤篡缄浅汗疾左髓霖铭招成满伙穆理乙控敢油敞坛滞第七讲、网络基础设施安全第七讲、网络基础设施安全第54页，共59页。防止DOS 攻击no ip directed-broadcast 入流量过滤、出流量过滤CAR(committed access rate) 限制某种类型包的发送速率interface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply差森包巩秸朴疟栋如蔓煤崭寝锁沤村飞贿哨伍淤见擞皑畔倡帜抨悠坡痪去第七讲、网络基础设施安全第七讲、网络基础设施安全第55页，共59页。过滤出入的包进入过滤：interface Serial 0ip address ip access-group 11 inaccess-list 11 deny 55access-lis