网络与信息安全.pptx

上传人:夺命阿水 文档编号:379574 上传时间:2023-05-05 格式:PPTX 页数:41 大小:2.06MB
返回 下载 相关 举报
网络与信息安全.pptx_第1页
第1页 / 共41页
网络与信息安全.pptx_第2页
第2页 / 共41页
网络与信息安全.pptx_第3页
第3页 / 共41页
网络与信息安全.pptx_第4页
第4页 / 共41页
网络与信息安全.pptx_第5页
第5页 / 共41页
点击查看更多>>
资源描述

《网络与信息安全.pptx》由会员分享,可在线阅读,更多相关《网络与信息安全.pptx(41页珍藏版)》请在课桌文档上搜索。

1、2023/5/5,网络(wnglu)与信息安全,第一页,共41页。,课程内容,网络协议与安全威胁网络安全控制(kngzh)交换机设备安全配置路由器设备安全配置,第二页,共41页。,第一(dy)部分网络协议与安全威胁,第三页,共41页。,四层协议(xiy),链路层,设驱动(q dn)备程序及接口卡,网络层,传输层,应用层,IP、ICMP、IGMP,TCP、UDP,Mail、FTP、HTTP、Telnet,第四页,共41页。,工作(gngzu)模式,链路层,网络层,传输层,应用层,邮寄(yuj)物品,邮寄类型(lixng)和申请,邮件封装,邮寄线路,第五页,共41页。,四层协议(xiy)与网络攻击

2、,链路层,网络层,传输层,应用层,网络窃听(qi tn)攻击,地址(dzh)欺骗攻击,拒绝服务攻击,信息扫描攻击,服务系统攻击,第六页,共41页。,第二部分(b fen)网络安全控制,第七页,共41页。,OSI网络参考模型网络组成(z chn)结构,网络系统,L3L2L1,L7L6L5L4L3L2L1,L3L2L1,路由器,资源(zyun)子网,通信线路,主机(zhj),通信子网,主机,网络系统,通信线路,L1L2L3,L1L2L3,L4L5L6L7,网络通信 子系统,WAN,LAN,第八页,共41页。,OSI网络(wnglu)参考模型通信模式,上层用户:上层协议站,是通信的信源和信宿;通信功

3、能:为实现通信所能提供的特定操作和控制机制,如数据传送、流量控制、差错控制、应答机制、数据包的拆分与重组等;通信服务:是通信功能的外部表现,为上层用户提供通信支持(zhch);通信介质:本层以下所有协议层,是本层以下通信结构的抽象表示;通信子系统通过本层的通信功能和下层的通信服务,实现本层不同通信实体之间的通信,并为上层协议提供通信服务。,通信(tng xn)介质,协议站1,协议站2,上层用户1,上层用户2,通信服务,访问,通信协议,通信功能,通信子系统,下层通信服务,通信实体1,通信实体2,第九页,共41页。,理论依据,互联基础设施(j ch sh sh)域,支撑(zh chng)基础设施域

4、,局域计算(j sun)接入域,局域计算服务域,服务和管理对象,检测和响应、KMI、应急和恢复,处理计算存储,本地接入远程接入,第十页,共41页。,理论依据,美国总统关键基础设施保护委员会关于加强(jiqing)SCADA网络的21条建议美国国家安全局IATFDMTF的分布式管理方法和模型软件行为学,第十一页,共41页。,安全域综述(zngsh)概念&理解,一般常常理解的安全域(网络安全域)是指同一系统内有相同的安全保护需求,相互信任,并具有相同的安全访问控制和边界控制策略的子网或网络,且相同的网络安全域共享一样的安全策略。如果(rgu)理解广义的安全域概念则是,具有相同业务要求和安全要求的I

5、T系统要素的集合。这些IT系统要素包括:网络区域主机和系统人和组织物理环境策略和流程业务和使命等,第十二页,共41页。,安全域综述(zngsh)安全域的意义,基于网络和系统进行安全检查和评估的基础安全域的分割是抗渗透的防护方式基于网络和系统进行安全建设(jinsh)的部署依据安全域边界是灾难发生时的抑制点,防止影响的扩散,第十三页,共41页。,安全区域(qy)的划分原则,需求牵引:业务层面的需求(不同业务、不同部门的安全等级需求不同)以及网络结构层面的需求(安全域在逻辑上可以和网络层次结构对应);与现有网络结构,网络拓扑紧密结合,尽量不大规模的影响网络布局(考虑到用户需求和成本等因素)与业务需

6、求一致性原则,安全域的范围,边界的界定不能导致业务与实际分离;统一安全策略:安全域的最重要的一个特征是安全策略的一致性,所以划分安全域的的前提是具备自上而下(纵向的),自内而外(横向(hn xin)的)的宏观上的安全策略规划;部署实施方便:最少化安全设备原则,合理的安全域划分可以减少冗余设备,精简开支;等级保护的需要;为集中化的安全管理服务。,第十四页,共41页。,安全控制,接入区域(qy),逻辑隔离,业务处理(chl)区域,业务(yw)终端区域,业务处理区域,横向骨干,接入区域,逻辑隔离,业务处理区域,业务终端区域,业务处理区域,核心数据区域,纵向骨干,第十五页,共41页。,安全(nqun)

7、边界,安全边界将需要保护的资源、可能的风险和保障的需求结合起来可以在通信路径上完成访问控制的授权、范围、期限。安全边界的设计(shj)良好的清晰度以便进行审查和测试具备简洁性以便能够迅速自动化执行减轻维护人员的工作量具备现实性以便采用成熟的技术和产品安全边界可采用的安全技术包括隔离、监控、检测、评估、审计、加密等。,第十六页,共41页。,可作为(zuwi)安全边界的设备,交换机路由器防火墙入侵(rqn)检测网关VPNEtc.,第十七页,共41页。,第三部分交换机设备安全(nqun)配置,第十八页,共41页。,配置(pizh)内容,关闭不必要的设备服务使用强口令或密码加强设备访问的认证与授权升级

8、设备固件(jin)或OS使用访问控制列表限制访问使用访问控制表限制数据包类型,第十九页,共41页。,交换机-针对(zhndu)CDP攻击,第二十页,共41页。,交换机-针对(zhndu)STP攻击,说明Spanning Tree Protocol防止交换网络产生回路Root BridgeBPDU-bridge ID,path cost,interface攻击强制接管root bridge,导致网络逻辑结构改变,在重新生成STP时,可以导致某些端口暂时(znsh)失效,可以监听大部份网络流量。BPDU Flood:消耗带宽,拒绝服务对策对User-End端口,禁止发送BPDU,第二十一页,共41

9、页。,交换机-针对(zhndu)VTP攻击,作用Vlan Trunking Protocol统一了整个网络的VLAN配置和管理可以将VLAN配置信息传递到其它交换机动态添加删除VLAN准确跟踪和监测VLAN变化模式Server,Client,Transparent脆弱性Domain:只有属于(shy)同一个Domain的交换机才能交换Vlan信息 set vtp domain netpowerPassword:同一domain可以相互通过经MD5加密的password验证,但password设置非必需的,如果未设置password,可能构造VTP帧,添加或者删除Vlan。对策设置passwor

10、d尽量将交换机的vtp设置为Transparent模式:set vtp domain netpower mode transparent password sercetvty,第二十二页,共41页。,第四部分路由器设备(shbi)安全配置,第二十三页,共41页。,配置(pizh)内容,关闭不必要的设备服务使用强口令或密码加强设备访问的认证(rnzhng)与授权升级设备固件或OS使用访问控制列表限制访问使用访问控制表限制数据包类型,第二十四页,共41页。,路由器-发现(fxin)路由,通过tracertroute命令最后一个(y)路由容易成为DoS攻击目标,第二十五页,共41页。,路由器-猜测(

11、cic)路由器类型,端口扫描操作系统堆栈指纹登陆旗标(banner)其它特征(tzhng):如Cisco路由器1999端口的ack分组信息,会有cisco字样提示,第二十六页,共41页。,路由器-缺省帐号(zhn ho),第二十七页,共41页。,路由器-密码(m m),Cisco路由器的密码(m m)弱加密MD5加密Enable secret 5,第二十八页,共41页。,路由器-SNMP,SNMP版本 SNMPv1,SNMPv2,SNMPv3Snmp AgentMIB轮循(Polling-only)和中断(zhngdun)(Interupt-base)Snmp网管软件禁用简单网络管理协议no

12、snmp-server enable使用SNMPv3加强安全特性snmp-server enable traps snmp auth md5使用强的SNMPv1通讯关键字snmp-server communityname,第二十九页,共41页。,保证(bozhng)路由器密码安全,使用(shyng)加密的强密码service password-encryptionenable secret pa55w0rd使用(shyng)分级密码策略enable secret 6 pa55wordprivilege exec 6 show使用(shyng)用户密码策略user name password p

13、ass privilege exec 6 show控制网络线路访问access-list 8 permit 192.168.0.10access-list 8 permit*.*.*.*access-list 8 deny anyline vty 0 4access-class 8 in设置网络连接超时Exec-timeout 5 0,第三十页,共41页。,Cisco路由器安全(nqun)配置,降低路由器遭受应用层攻击1 禁止CDP(Cisco Discovery Protocol)。如:Router(Config)#no cdp run Router(Config-if)#no cdp en

14、able2 禁止其他的TCP、UDP Small服务。Router(Config)#no service tcp-small-servers Router(Config)#no service udp-samll-servers3 禁止Finger服务。Router(Config)#no ip finger Router(Config)#no service finger4 建议禁止HTTP服务。Router(Config)#no ip http server 如果启用了HTTP服务则需要对其进行安全(nqun)配置:设置用户名和密码;采用访问列表进行控制。,第三十一页,共41页。,Cisco

15、路由器安全(nqun)配置,5 禁止BOOTp服务(fw)。Router(Config)#no ip bootp server6 禁止IP Source Routing。Router(Config)#no ip source-route7 建议如果不需要ARP-Proxy服务(fw)则禁止它,路由器默认识开启的。Router(Config)#no ip proxy-arp Router(Config-if)#no ip proxy-arp8禁止IP Directed Broadcast。Router(Config)#no ip directed-broadcast,第三十二页,共41页。,Ci

16、sco路由器安全(nqun)配置,9 禁止ICMP协议的IP Unreachables,Redirects,Mask Replies。Router(Config-if)#no ip unreacheables Router(Config-if)#no ip redirects Router(Config-if)#no ip mask-reply10 建议禁止SNMP协议服务。在禁止时必须(bx)删除一些SNMP服务的默认配置。如:Router(Config)#no snmp-server community public Ro Router(Config)#no snmp-server com

17、munity admin RW11 如果没必要则禁止WINS和DNS服务。Router(Config)#no ip domain-lookup 如果需要则需要配置:Router(Config)#hostname Router Router(Config)#ip name-server 219.150.32.xxx12 明确禁止不使用的端口。如:Router(Config)#interface eth0/3 Router(Config)#shutdown,第三十三页,共41页。,Cisco路由器安全(nqun)配置,认证与日志管理(gunl)使用AAA加强设备访问控制日志管理(gunl)logg

18、ing onlogging buffered 36000,第三十四页,共41页。,Cisco路由器安全(nqun)配置,禁用(jn yn)IP Unreachable报文禁用(jn yn)ICMP Redirect报文no ip redirect禁用(jn yn)定向广播no ip directed-broadcast禁用(jn yn)ARP代理no ip proxy-arp使用IP验证Ip verify unicast reverse-path禁用(jn yn)IP源路由选项no ip source-route,第三十五页,共41页。,Cisco路由器安全(nqun)配置,启用TCP截获特性

19、防止DoS攻击创建截获访问控制列表起用(qyng)TCP截获特性设置截获模式设置门限制设置丢弃模式,第三十六页,共41页。,Cisco路由器安全(nqun)配置,使用访问控制列表限制访问地址使用访问控制列表限定访问端口使用访问控制列表过滤(gul)特定类型数据包使用访问控制列表限定数据流量使用访问控制列表保护内部网络,第三十七页,共41页。,DDoS预防(yfng)方法,限制(xinzh)ICMP数据包出站速率Interface xxRete-limit output access-group 102 256000 8000 8000 conform-action transmit excee

20、d-action dropAccess-list 102 permit icmp any any echoAccess-list 102 permit icmp any any echo-reply,第三十八页,共41页。,DDoS预防(yfng)方法,限制(xinzh)SYN数据包连接速率Interface xxRete-limit input access-group 103 8000 8000 8000 conform-action transmit exceed-action dropAccess-list 103 deny tcp any host xx.xx.xx.xx estab

21、lished Access-list 103 permit tcp any host xx.xx.xx.xx,第三十九页,共41页。,DDoS预防(yfng)方法,RFC1918约定(yudng)过滤Interface xxIp access-group 101 inAccess-list 101 deny ip 10.0.0.0 0.255.255.255 anyAccess-list 101 deny ip 172.16.0.0 0.0.255.255 anyAccess-list 101 deny ip 192.168.0.0 0.0.0.255 anyAccess-list 101 permit ip any any,第四十页,共41页。,DDoS预防(yfng)方法,验证单点传送反向(fn xin)路径检查数据包地返回路径是否使用与到达相同接口,以缓解某些欺骗数据包需要路由CEF(快速向前传输)特性在存在非对称路径时不适合,第四十一页,共41页。,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号