锐捷安全专项认证课程-使用Router与Switch安全网络.ppt

1、使用Router与Switch安全网络,学习目标,通过本章的学习，希望您能够： 安全化Router与Switch 安全管理Router与Switch 使用Router增强网络安全性 使用Switch增强网络安全性,本章内容,安全化Router与Switch 安全管理Router与Switch 使用Router增强网络安全性 使用Switch增强网络安全性,课程议题,交换机/路由器的管理方式,路由器的管理方式,带外管理 通过带外对路由器进行管理(PC 与路由器直接相连) 带内管理 通过Telnet 对路由器进行远程管理 通过Web 对路由器进行远程管理 通过SNMP 工作站对路由器进行远程管理,

2、Console口及配置线缆,RJ45-DB9转换器反转线缆,DB9-RJ45线缆,Console口(RJ45),AUX口（连接拨号网络 ）,带外路由器配置,连线 利用配置线将主机的COM口和路由器的console口相连 打开超级终端 从开始-程序-附件-通讯-超级终端打开超级终端程序 配置超级终端 为连接命名 选择合适的COM口 配置正确的参数,TELNET管理路由器,在主机DOS命令行下输入： telnet ip address（路由器管理IP）,TELNET管理路由器续,输入telnet密码和特权密码即可进入到路由器的配置界面,基于WEB的管理,在web页面中输入路由器的管理IP可以进入路

3、由器的web管理页面,基于WEB的管理,在web页面下对路由器进行管理,基于SNMP协议的管理,课程议题,路由器的基本配置,路由器配置模式,课程议题,交换机的基本配置,交换机配置命令模式,EXEC模式： 用户模式switch 交换机信息的查看，简单测试命令 特权模式switch# 查看、管理交换机配置信息，测试、调试 配置模式： 全局配置模式switch(config)# 配置交换机的整体参数 接口配置模式switch(config-if)# 配置交换机的接口参数,交换机配置命令模式,进入全局配置模式 Switch#configure terminal Switch(config)#exit

4、Switch# 进入接口配置模式 Switch(config)#interface fastethernet 0/1 Switch(config-if)#exit Switch(config)# 从子模式下直接返回特权模式 Switch(config-if)#end Switch#,命令行其他功能,获得帮助 switch#? switch#show ? 命令简写 全写：switch# configure terminal 简写：Switch# config 使用历史命令 Switch# (向上键) Switch# (向下键),课程议题,安全化Router与Switch,传统网络设备的安全问题,

5、Router与Switch的安全问题 运行多种服务 允许对所有流量进行转发 出厂默认配置,禁用未使用的服务,禁用DHCP中继服务,no service dhcp,Router(config)#,限制DNS查询,no ip domain-lookup,Router(config)#,禁止DNS查询,ip host name ip-address,配置静态主机映射条目,禁用未使用的服务（续）,禁用ICMP不可达消息 防止DoS攻击,no ip unreachables,Router(config-if)#,禁用HTTP服务,no ip http server / no enable service

6、s web-server,Router/Switch(config)#,禁用ICMP掩码应答 防止攻击者获得网络拓扑,no ip mask-reply,Router(config-if)#,禁用未使用的服务（续）,禁用SNMP服务,no snmp-server / no enable services snmp-agent,Router/Switch(config)#,禁用IP源路由选择 禁止发送者控制报文的路径,no ip source-route,Router(config)#,关闭未使用的接口,shutdown,Router(config-if)#,禁用未使用的服务（续）,禁用ARP P

7、roxy,no ip proxy-arp,Router(config-if)#,课程议题,安全管理Router与Switch,控制Console与VTY线路访问,line console 0 line vty begin end,Router(config)#,进入Console或VTY线路,exec-timeout minutes seconds,Router(config-line)#,配置登录连接超时,login local,配置密码认证或本地数据库用户认证,password password,配置密码认证的密码,配置VTY线路访问限制,line vty begin end,Router

8、(config)#,进入VTY线路,access-class acl-number in,Router(config-line)#,配置访问限制,service tcp-keepalives-in seconds,Router(config)#,配置失效TCP连接检测,配置其它访问控制,enable password | secret level level password,Router(config)#,配置特权访问密码,username username privilege level password password,Router(config)#,配置本地用户数据库,banner

9、motd banner,Router(config)#,配置标识 谁是拥有者并有权使用 未授权的访问是非法的 用户的操作将被监控 非法行为将被起诉,使用进行SSH安全访问,enable services ssh-server,Switch(config)#,启用SSH,Secure Shell Client/Server 对流量进行加密（Telnet无加密） 支持RSA认证 TCP 22 SFTP,ip ssh version 1 | 2,Switch(config)#,配置SSH版本,使用SNMP进行管理,Simple Network Management Protocol Agent&NM

10、S SNMP v1/v2/v3 MIB 只读/读写/Trap UDP 161/162,配置SNMP v1/v2,snmp-server community string view viewname ro | rw acl-number,Router(config)#,配置团体名,snmp-server host ip-address traps version 1 | 2 string notification-type,Router(config)#,配置NMS,snmp-server enable traps notification-type,Router(config)#,配置系统产生

11、Trap消息,配置SNMP v3,snmp-server group name v3 auth | noauth | priv read readview write writeview,Router(config)#,配置用户组,snmp-server user username groupname v3 encrypted auth md5 | sha password priv des56 password,Router(config)#,配置用户,snmp-server host ip-address trap version 3 auth | noauth | priv commun

12、ity-string,Router(config)#,配置NMS,使用Syslog日志,Syslog Client/Server 日志消息目的地 Console VTY Logging buffer Logging file Syslog server 日志安全级别,Syslog日志格式,配置日志,logging ip-address,Router(config)#,配置Syslog服务器,logging trap level,Router(config)#,配置发送到Syslog服务器的日志级别,service timestamps log | debug uptime | datetime

13、,Router(config)#,配置日志时间戳,配置日志（续）,service sequence-numbers,Router(config)#,配置在日志信息中添加序号,logging buffered buffer-size | level ,Router(config)#,配置将日志发送到日志缓冲区,logging file flash:filename max-file-size level,Router(config)#,配置将日志记录到日志文件,配置日志（续）,show logging,Router#,显示日志配置参数、统计信息以及日志缓冲区中的信息,clear logging,

14、Router#,清除日志缓冲区中的信息,logging on,Router(config)#,启用日志,安全网络管理最佳实践方式,使用安全的登录机制 使用SSH，不使用Telnet 使用SFTP或FTP，不使用TFTP 使用HTTPS，不使用HTTP 使用SNMPv3，不使用SNMP v1/v2c 对所有的操作和时间进行详细的日志记录 将所有设备的配置文件进行安全的、统一的管理,课程议题,使用Router增强网络安全性,访问控制列表,访问控制列表（ACL）的类型 标准ACL，扩展ACL 标准ACL 仅对源地址信息进行过滤 access-list 1 permit 0.0.0.

15、255 扩展ACL 可对源地址、目的地址、源端口、目的端口、协议、IP优先级、ToS等进行过滤 access-list 100 permit tcp 55 any eq 21 ACL部署 标准ACL：路由信息过滤、发布、访问线路控制 扩展ACL：报文过滤 详细的语句放在前面，默认的deny any,使用ACL进行Internet入口过滤,Bogon地址过滤,使用ACL进行Internet入口过滤（续）,RFC2827过滤,使用Router阻止Smurf和Fraggle攻击,使用Router防止ICMP不可达DoS攻击,ip icmp rate-limit unr

16、eachables milliseconds,Router(config)#,ICMP不可达报文限速,使用CAR减缓泛洪DoS攻击,rate-limit input | output access-group number bps burst-normal burst-max conform-action transmit exceed-action drop,Router(config-if)#,配置CAR (Committed Access Rate),使用ACL阻止DDoS攻击,Trinoo /dittrich/misc/trinoo.

17、analysis,使用ACL阻止DDoS攻击（续）,Stacheldraht /dittrich/misc/stacheldraht.analysis,使用ACL阻止DDoS攻击（续）,Trinity ,使用ACL阻止特洛伊木马,Netbus,使用ACL阻止特洛伊木马（续）,SubSeven,使用ACL阻止特洛伊木马（续）,Back Orifice & Back Orifice 2K,使用ACL阻止特洛伊木马（续）,Hack-a-Tack 特洛伊木马监听端口列表 ,配置路由协议安全-RIPv2,配置RIP验证,key chain name,R

18、outer(config)#,配置密钥链,key key-id,Router(config-keychain)#,配置密钥ID,key-string key,Router(config-keychian-key)#,配置密钥,配置路由协议安全-RIPv2（续）,ip rip authentication mode text | md5,Router(config-if)#,配置验证方式,ip rip authentication key-chain name,Router(config-if)#,配置验证使用的密钥链,配置路由协议安全-RIPv2（续）,配置路由协议安全-OSPF,配置OSPF

19、验证,area area-id authentication message-digest,Router(config-router)#,配置区域验证类型,ip ospf authentication message-digest | null,Router(config-if)#,配置接口验证类型,ip ospf authentication-key key,Router(config-if)#,配置明文验证密钥,ip ospf message-digest-key key-id md5 key,Router(config-if)#,配置MD5验证密钥,配置路由协议安全-OSPF（续）,课程

20、议题,使用Switch增强网络安全性,PortFast,STP的缺陷 收敛速度慢 端口需要经过多个状态才能转发数据 PortFast 加快生成树收敛速度 端口直接过渡到Forwarding状态 在连接终端系统的端口启用PortFast 不要在交换机上行链路上使用PortFast 当PortFast端口收到BPDU后，将丢弃PortFast状态，改为正常的STP操作（防止环路）,配置PortFast,启用PortFast,spanning-tree portfast,Switch(config-if)#,默认情况下，关闭PortFast功能,禁用PortFast,spanning-tree po

21、rtfast disable,Switch(config-if)#,为所有端口启用PortFast,spanning-tree portfast default,Switch(config)#,配置此命令后，需要在Trunk端口明确禁用PortFast,PortFast配置示例,查看PortFast状态,查看PortFast状态,show spanning-tree interface interface,Switch#,查看PortFast状态示例,STP安全特性BPDU Guard,BPDU Guard 当启用了PortFast特性的接口收到BPDU时，接口将进入“err-disable”

22、状态 增强STP稳定性和安全性,配置BPDU Guard,全局启用BPDU Guard,spanning-tree portfast bpduguard default,Switch(config)#,默认情况下，关闭BPDU Guard功能 配置此命令后，所有启用了PortFast的端口都将启用BPDU Guard 当端口收到BPDU报文后，进入“err-disabled”状态,基于端口启用BPDU Guard,spanning-tree bpduguard enable | disable ,Switch(config-if)#,配置此命令后，只要端口收到BPDU报文后，就进入“err-d

23、isabled”状态,BPDU Guard配置示例,查看BPDU Guard状态,查看BPDU Guard状态,show spanning-tree interface interface,Switch#,查看BPDU Guard状态示例,STP安全特性BPDU Filter,BPDU Filter 启用BPDU Filter的端口将不向外发送BPDU报文 避免终端系统接收多余的BPDU报文,配置BPDU Filter,全局启用BPDU Filter,spanning-tree portfast bpdufilter default,Switch(config)#,默认情况下，关闭BPDU F

24、ilter功能 配置此命令后，所有启用了PortFast的端口都将启用BPDU Filter 当端口收到BPDU报文后，放弃BPDU Filter状态,基于端口启用BPDU Filter,spanning-tree bpdufilter enable | disable ,Switch(config-if)#,配置此命令后，端口不但不发送BPDU报文，而且丢弃收到的BPDU报文,BPDU Filter配置示例,查看BPDU Filter状态,查看BPDU Filter状态,show spanning-tree interface interface,Switch#,查看BPDU Filter状

25、态示例,MAC地址过滤,mac access-list extended name | access-list-number ,Switch(config)#,配置MAC访问控制列表, permit | deny any | host source-mac-address any | host destination-mac-address ethernet-type time-range time-range-name ,Switch(config-ext-macl)#,配置访问规则,mac access-group name | access-list-number in | out ,S

26、witch(config-if)#,在接口应用MAC访问控制列表,MAC地址过滤（续）,保护端口,保护端口的作用 阻塞端口之间的通信 交换机本地特性 保护端口的操作 保护端口之间的通信被阻塞 广播、组播、单播 保护端口之间通信需要通过L3设备 保护端口与非保护端口之间的通信正常 当聚合端口配置为保护端口，所有成员端口也被设为保护端口,配置保护端口,配置保护端口,switchport protected,Switch(config-if)#,保护端口配置示例,查看保护端口状态,查看保护端口配置信息,show interface switchport,Switch#,查看保护端口示例,广播风暴控制

27、,配置风暴控制,启用风暴控制,storm-control unicast | multicast | broadcast ,Switch(config-if)#,默认情况下，关闭风暴控制功能 unicast表示限制未知目的MAC地址的单播帧 multicast表示限制未知目的MAC地址的组播帧 broadcast表示限制广播帧,配置检测阈值,storm-control unicast | multicast | broadcast level level | kbps | pps pps ,Switch(config-if)#,风暴控制配置示例,查看风暴控制状态,查看风暴控制配置信息,show

28、 storm-control interface ,Switch#,查看风暴控制示例,系统保护,系统保护可以识别的攻击 目的IP地址不断变化的扫描 浪费带宽资源 对网络中不存在的IP发送大量报文 消耗交换机CPU资源 系统保护的作用 防止扫描攻击 保护交换机系统资源 工作在物理端口,配置系统保护,启用系统保护,system-guard enable,Switch(config-if)#,默认情况下，关闭系统保护功能,配置IP扫描检测,system-guard scan-dest-ip-attack-packets pps,Switch(config-if)#,默认情况下，pps为10，即每秒1

29、0个不同目的IP地址的扫描,配置对不存在IP发送大量报文的检测,system-guard same-dest-ip-attack-packets pps,Switch(config-if)#,默认情况下，pps为20，即每秒20个发往不存在IP的攻击,配置系统保护（续）,配置隔离时间,system-guard isolate-time seconds,Switch(config-if)#,默认情况下，对发动攻击的IP隔离120秒,配置最大隔离数目,system-guard detect-maxnum number,Switch(config)#,默认情况下，pps为10，即每秒10个不同目的I

30、P地址的扫描,配置排除隔离地址,system-guard exception-ip network/mask-length,Switch(config)#,系统保护配置示例,查看系统保护状态,查看系统保护配置信息,show system-guard interface interface ,Switch#,查看系统保护正在监控的IP信息,show system-guard detect-ip interface interface ,Switch#,查看被隔离的IP地址,show system-guard isolate-ip interface interface ,Switch#,查看系统

31、保护状态（续）,查看被排除隔离的IP信息,show system-guard exception-ip,Switch#,清除隔离状态,clear system-guard interface interface ,Switch#,默认情况下，被隔离IP只有到隔离时间到期后才会解除隔离状态,查看系统保护状态示例,端口安全,工作在交换机二层端口上的一个安全特性 端口安全的作用 只允许特定的MAC地址接入到网络中 限制交换机端口接入设备的数量 工作机制 安全端口将检查接收帧的源MAC地址与端口的安全地址数 如果源MAC地址在安全地址表中不存在，并且没有超过最大安全地址数，则将其添加到安全地址表 如果

32、源MAC地址在安全地址表不存在，则直接转发帧,端口安全的限制,配置端口安全的限制 安全端口必须是Access端口 安全端口不能是聚合（Aggregate Port）,配置端口安全,启用端口安全,switchport port-security,Switch(config-if)#,配置最大安全地址数,switchport port-security maximum number,Switch(config-if)#,配置静态安全MAC地址,switchport port-security mac-address mac-address,Switch(config-if)#,默认情况下，最大安全

33、MAC地址数为128个,配置端口安全（续）,配置安全地址老化时间,switchport port-security aging time time | static ,Switch(config-if)#,配置违规操作,switchport port-security violation protect | restrict | shutdown ,Switch(config-if)#,默认情况下，自动学习到的和手工配置的安全地址都不会老化 static关键字表示老化时间也将会应用到手工配置的安全地址，默认不应用到手工配置的安全地址,protect表示丢弃接收到的帧（MAC地址不在安全地址表中

34、） restric表示丢弃接收到的帧（MAC地址不在安全地址表中），并发送一个SNMP Trap报文 shutdown表示丢弃接收到的帧（MAC地址不在安全地址表中），发送一个SNMP Trap报文 ,并且关闭端口，进入 “err-disabled”状态,配置端口安全（续）,手工恢复端口状态,errdisable recovery,Switch(config)#,配置状态自动恢复等待时间,errdisable recovery interval time,Switch(config)#,当端口进入“err-disabled”状态后，必须手工恢复到UP状态,端口安全配置示例,查看端口安全状态,查

35、看端口安全状态,show port-security,Switch#,查看端口安全状态示例,ARP检查,ARP检查 防止ARP欺骗 基于端口安全 检查ARP报文中的IP地址是否合法，若不合法，则丢弃报文,配置ARP检查,手工恢复端口状态,port-security arp-check,Switch(config)#,启用端口安全,switchport port-security,Switch(config-if)#,默认情况下，关闭ARP检查功能,配置安全IP地址,switchport port-security mac-address mac-address ip-address ip-ad

36、dress,Switch(config-if)#,这里配置的ip-address为端口所接入设备的真实IP地址,ARP检查配置示例,查看ARP检查状态,查看ARP检查状态,show port-security arp-check,Switch#,查看ARP检查示例,DHCP Snooping,DHCP Snooping的作用 过滤伪（非法）DHCP服务器发送的DHCP报文 DHCP Snooping的工作机制 信任（Trust）端口 允许所有DHCP报文通过 非信任（Untrust）端口 只允许DHCP Discovery、DHCP Request报文通过，过滤DHCP Offer报文 建立D

37、HCP监听数据库 包含客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息,DHCP Snooping的部署,信任（Trust）端口 用于连接合法的DHCP服务器和上行链路端口 非信任（Untrust）端口 用于连接DHCP客户端和其它接入端口,配置DHCP Snooping,启用DHCP Snooping,ip dhcp snooping,Switch(config)#,配置端口为信任端口,ip dhcp snooping trust,Switch(config-if)#,默认情况下，关闭DHCP Snooping,默认情况下，所有端口都为Untrust端口,配置DHCP

38、 Snooping（续）,手工配置DHCP Snooping表项,ip dhcp snooping binding mac-address vlan vlan-id ip ip-address interface interface,Switch(config)#,将DHCP Snooping数据库写入到Flash文件,ip dhcp snooping database write-to-flash,Switch(config)#,默认情况下，关闭DHCP Snooping,DHCP监听数据库的信息是动态的，通过写入Flash，可以避免由于系统的重新启动导致数据库中的信息丢失,配置DHCP S

39、nooping（续）,配置自动写入DHCP Snooping绑定信息,ip dhcp snooping database write-delay seconds,Switch(config)#,配置验证Untrust端口检查DHCP报文的源MAC地址,ip dhcp snooping verify mac-address,Switch(config)#,默认情况下，不检查DHCP报文的源MAC地址 可以避免攻击者发送伪造源MAC地址的DHCP报文，导致DHCP DoS攻击,DHCP Snooping配置示例,查看DHCP Snooping状态,查看DHCP Snooping配置信息,show ip dhcp snoopin