网络设备安全概述

网络设备安全目录1.1网络基础1.2典型网络设备1.3网络设备安全网络安全问题事发的5月18日22时左右，域名解析服务器DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击，导致DNSPod的6台解析服务器开始失效，大量网站开始间歇性无法访问。从2009年5月19日21：06开始，江苏、安徽、广西、海南、甘肃、浙江等6个省份的中国电信网络用户发现无法登录网络，与此同时，电信的客服部门源源不断地开始接到客户的投诉。5月20日下午，根据工业和信息化部通信保障局发布的公告，确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。网络为何如此脆弱？如何保障网络的安全？1.1网络基础1.1.1网络的概念计算机网络是通过通信线路和通信设备将多个具有独立功能的计算机系统连接起来，按照网络通信协议实现资源共享和信息传递的系统。1.1.2通信协议的概念通信协议是为使计算机之间能够正确通信，而制定的通信规则、约定和标准。在开始通信之前需要确定的事情：通信的发送方、接收方一致的通信方法相同的语言注意传递的速度和时间证实或确认要求语义发送方、接收方语法双方一致同意的通信方法通信语言和语法时序传递的速度和时间证实或确认要求通信协议网络通信协议的问题：计算机间通信仅靠一个通信协议无法完成！！！解决方法：网络分层各层内使用自己的通信协议完成层内通信；各层间通过接口提供服务；各层可以采用最适合的技术来实现；各层内部的变化不影响其他层。定义传输介质、信号波形（电压、电流）等，实现比特流传输。定义差错控制、流量控制机制如何在通信网络间选择路由端到端可靠数据传输建立维护通信双方的会话连接信息表示方法（数据格式）为应用提供网络通信服务1.1.3网络体系结构按照TCP/IP模型搭建计计算机网络络时，在计算机上上需要安装装配置的组组件。3.计算机上安安装的网卡卡（或者其它它通信接口口）、网线。2.计算机上的的TCP/IP通信程序，，一般随操作作系统安装装，但需要要用户配置用用于网络路路由的地址址。1.计算机上的的网络应用用程序，例如IE浏览器、QQ程序这是计算机机使用TCP/IP模型进行通通信的标志志THIHAH数据1.1.4TCP/IP网络中数据据传输过程程计算机A计算机B电子邮件数数据数据AHTHOH数据AHIHTH数据AH数据段数据包数据帧比特流封装/重组1.2典型网络设设备使用TCP/IP模型通信的的网络设备备路由器企业级的二二层交换机机桌面二层交交换机计算机A计算机B计算机A计算机B计算机A与计算机B之间间通通信信的的数数据据传传输输过过程程1.2.1交换换机机交换换机机可以以将将LAN细细分分为为多多个个单单独独的的冲冲突突域域，，其其每每个个端端口口都都代代表表一一个个单单独独的的冲冲突突域域，，为为该该端端口口连连接接的的节节点点提提供供完完全全的的介介质质带带宽宽。。交换换机机的的工工作作原原理理选择择性性转转发发以太太网网LAN交换换机机采采用用五五种种基基本本操操作作来来实实现现其其用用途途：：获取取过期期泛洪洪选择择性性转转发发过滤滤1交换换机机的的分分类类按是是否否可可配配置置分分类类按端端口口速速率率分分类类10Mbps、、100Mbps、、1000Mbps按是是否否可可物物理理扩扩展展分分类类按转转发发方方式式分分类类按照照工工作作层层次次分分类类：：二层层交交换换机机三层层交交换换机机VLAN的概概念念3rdFloor2ndFloor1stFloor计算算机机系系邮政政系系金融融系系AVLAN=ABroadcastDomain=LogicalNetwork(Subnet)VLAN10VLAN20VLAN30物理理拓拓扑扑逻辑辑拓拓扑扑（（3台交交换换机机））三个个广广播播域域一个个广广播播域域1.2.2路由由器器路由由器器是是专专门门用用于于路路由由的的计计算算机机为数据报报文选择择到达目目的地址址的最佳佳路径将数据报报文转发发到正确确的输出出端口路由器工工作在网网络层，，实现不不同网段段之间的的通信。。路由器核核心：路路由表目的地址址、子网网掩码下一跳地地址、输输出端口口注意：路路由器的的路由描描述方式式是局部部的RTB#showiproute--------outputomitted--------/24issubnetted,1subnetsR[120/1]via,00:00:25,Serial0/1/24issubnetted,1subnetsCisdirectlyconnected,Serial0/1/24issubnetted,1subnetsCisdirectlyconnected,Serial0/0/24issubnetted,1subnetsO[110/65]via,00:00:13,Serial0/0[RTB]displayiprouting-tableRoutingTables:PublicDestinations:10Routes:10Destination/MaskProtoPreCostNextHopInterface/24RIP100S2/0/24Direct00S2/0/32Direct00S2/0/32Direct00InLoop0/24Direct00S1/0/32Direct00InLoop0/32Direct00S1/0/24OSPF101563S1/0/8Direct00InLoop0/32Direct00InLoop0路由器和和三层交交换机的的比较第3层交换机机可以像像专用路路由器一一样在不不同的LAN网段之间间路由数数据包。。专用路由由器在支支持WAN接口口卡(WIC)方面面更加灵灵活，这使得得它成为为用于连接WAN的首选设设备，而且有有时是唯唯一的选选择。第3层交换机机不能完完全取代代网络中中的路由由器。1.2.3典型网络络拓扑结结构在汇聚层层交换机机上进行行VLAN的创建，，并在接接入层交交换机上上通过将将接入端端口指定定到相应应的VLAN中来按部部门划分分广播域域，由汇汇聚层交交换机实实现其下下的接入入层各VLAN之间的路路由。在在汇聚层层交换机机和核心心层交换换机之间间运行动动态路由由选择协协议，由由核心层层交换机机实现整整个局域域网的路路由。对于带宽宽需求较较高的部部分，在在接入层层交换机机和汇聚聚层交换换机之间间进行链链路聚合合。对网络可可用性要要求较高高的部分分，进行行设备和和链路的的冗余，，保障可可用性的的同时，，通过负负载均衡衡提高网网络通信信效率。。1.3网络设备备安全1.3.1网络设备备自身安安全保障障禁止不必必要的网网络服务务禁止HTTP服务禁止DNS服务禁止IP源路由选选择禁止ICMP重定向禁止ARP代理服务务禁止直接接广播禁止CDP禁止SNMP协议服务务关闭不使使用的接接口或端端口使用SSH代替Telnet进行设备备远程访访问管理理严格控制制远程访访问用户户的权限限对于远程程访问进进行严格格的限制制交换机管管理VLAN与业务VLAN相独立1.3.2交换机数数据安全全静态配置置端口类类型，避避免DTP协商导致致的VLAN跳跃攻击击对于Trunk链路，明明确配置置其能传传输的VLAN数据。对于CISCO交换机，，尽量不不要使用用VTP协议功能能。1.3.3路由协议议安全RIP协议安全全配置抑制制接口配置MD5认证OSPF协议安全全配置MD5认证1.3.4局域网安安全AAA认证Authentication：认证，，对访问问网络的的用户的的身份进进行认证证，判断断访问者者是否为为合法的的用户；；Authorization：授权，，为认证证通过的的不同用用户赋予予不同的的权限，，限制用用户可以以访问的的资源和和使用的的服务；；Accounting：计费，，用来记记录用户户的操作作和使用用的网络络资源，，包括使使用的服服务类型型、起始始时间和和数据流流量等，，在计费费的同时时对网络络安全情情况进行行监控。。IEEE802.1x技术在以太网网接入设设备的端端口一级级对所接接入的设设备进行行认证和和控制。。在应用用了IEEE802.1x的交换机机端口上上，如果果该端口口连接的的终端设设备能够够通过认认证，就就可以访访问网络络中的资资源；而而如果不不能通过过认证，，则无法法访问网网络中的的资源。。端口安全全技术基于MAC地址对网网络接入入进行控控制的安安全机制制，它通通过定义义各种端端口安全全模式，，让网络络设备的的端口学学习到该该端口下下的合法法的终端端MAC地址；通过检测测端口收收到的数数据帧中中的源MAC地址来控控制非授授权设备备对网络络的访问问；通过检测测从端口口发出的的数据帧帧中的目目的MAC地址地址址来控制制对非授授权设备备的访问问。端口安全全模式noRestrictions模式autolearn模式secure模式端口绑定定技术将用户的的IP地址和MAC地址绑定定到指定定的交换换机端口口上，使使交换机机只对从从相应端端口收到到的指定定IP地址和指指定MAC地址的数数据报文文进行转转发，从从而实现现对端口口转发的的报文进进行过滤滤控制，，增强端端口的安安全性，，实现IP源防护（（IPSourceGuard，IPSG）功能。。交换机上上支持IP、MAC、IP+MAC、IP+VLAN、MAC+VLAN、IP+MAC+VLAN等六种绑绑定表项项的组合合，因此此它既支支持