网络基础设施安全课件.ppt

上传人（卖家）：三亚风情

文档编号：3280963

上传时间：2022-08-16

格式：PPT

页数：59

大小：1.20MB

文档加载中……请稍候！
如果长时间未打开，您也可以点击刷新试试。

下载文档到电脑，查找使用更方便

28 文币

交易提醒：下载本文档，相应价格的文币将全额进入上传人（卖家）的账号。立即下载优惠套餐（点此详情）

【下载声明】
1. 本站全部试题类文档，若标题没写含答案，则无答案；标题注明含答案的文档，主观题也可能无答案。请谨慎下单，一旦售出，不予退换。
2. 本站全部PPT文档均不含视频和音频，PPT中出现的音频或视频标识（或文字）仅表示流程，实际无音频或视频文件。请谨慎下单，一旦售出，不予退换。
3. 本页资料《网络基础设施安全课件.ppt》由用户（三亚风情）主动上传，其收益全归该用户。163文库仅提供信息存储空间，仅对该用户上传内容的表现方式做保护处理，对上传内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知163文库（点击联系客服），我们立即给予删除！
4. 请根据预览情况，自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明，都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器，压缩文件请下载最新的WinRAR软件解压。

配套讲稿：: 如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
特殊限制：: 部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。
关键词：: 网络基础设施安全课件

资源描述：: 1、第七讲、网络基础设施安全（2）路由系统安全第1页，共59页。目录7.1 局域网和VLAN7.2 远程访问（拨号）7.3 路由系统安全7.4 网络管理系统安全7.5 域名系统安全第2页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第3页，共59页。低端路由器外观第4页，共59页。高端路由器外观第5页，共59页。核心路由器外观第6页，共59页。InterfaceInterface路由器的内部结构RAMROMFlashNVRAMInterfaceCPUInterfac
2、econsole第7页，共59页。Configurations can come from many sources Configurations will act in device memoryConsole portAuxiliary portInterfacesPC or Unix serverWeb or Network ManagementserverVirtual terminal路由器配置方式TelnetTFTP第8页，共59页。超级终端Step 1:Verify cablingStep 2:Power on PCStep 3:Open HyperTerminal Folder
3、Step 4:Open HyperTerminalStep 5:Describe ConnectionStep 3 and 4Step 5第9页，共59页。超级终端通信参数配置Step 6:Select COM port to be usedStep 7:Select properties第10页，共59页。路由器配置界面ConnectDisconnectStep 8:Access Device第11页，共59页。Console登录路由器 enableEnter password:#disable quit User mode prompt Privileged mode prompt 第12
4、页，共59页。内存:ROM 只读存储器（ROM）只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。闪存（Flash）包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。NVRAM（No-Voliate RAM）存放路由器的配置文件，系统掉电时数据不会丢失。第13页，共59页。内存：RAM RAM 动态内存，系统掉电，内容丢失操作系统运行的空间命令解释器操作系统进程活动配置文件路由表缓冲区第14页，共59页。路由器的启动过程首先运行ROM的程序，系统自检和引导读Flash内的IOS，装入RAM中从NVRAM中读入路由器的配置信息计算并生成
5、初始路由表通过与相邻路由器交换路由信息，更新、完善路由表第15页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第16页，共59页。NetworkProtocolDestinationNetworkConnectedLearned10.120.2.0172.16.1.0Exit InterfaceE0S0Routed Protocol:IP Routers must learn destinations that are not directly connect
6、ed172.16.1.010.120.2.0E0S0什么是路由？第17页，共59页。静态路由网络管理员手工输入不适合大规模网络环境动态路由通过路由器之间的路由协议动态获取可以随着网络拓扑结构的变化而变化。动态路由和静态路由第18页，共59页。172.16.2.1SO静态路由（Static Routes）172.16.1.0B172.16.2.2NetworkAConfigure unidirectional static routes to and from a stub network to allow communications to occur.BStub NetworkTransit
7、 Network第19页，共59页。Stub Networkip route 172.16.1.0 255.255.255.0 172.16.2.1172.16.2.1SO静态路由举例172.16.1.0B172.16.2.2NetworkABThis is a unidirectional route.You must have a route configured in the opposite direction.第20页，共59页。Stub Networkip route 0.0.0.0 0.0.0.0 172.16.2.2缺省路由172.16.2.1SO172.16.1.0B172.
8、16.2.2NetworkABThis route allows the stub network to reach all known networks beyond router A.第21页，共59页。什么是路由协议路由协议用于路由器之间交换信息，这些信息用来决定最佳路径，维护路由表NetworkProtocolDestinationNetworkConnectedRIPIGRP10.120.2.0172.16.2.0172.17.3.0Exit InterfaceE0S0S1Routed Protocol:IPRouting protocol:RIP,IGRP172.17.3.0172
9、.16.1.010.120.2.0E0S0第22页，共59页。Autonomous System 100Autonomous System 200IGPs:RIP,OSPF,IGRPEGPs:BGP内部/外部网关路由协议（IGP/EGP）An autonomous system is a collection of networks under a common administrative domain IGPs operate within an autonomous system EGPs connect different autonomous systems第23页，共59页。距离向
10、量/链路状态路由协议Distance VectorHybrid RoutingLink State第24页，共59页。距离向量路由协议Pass periodic copies of routing table to neighbor routers and accumulate distance vectorsRoutingTableRoutingTableRoutingTableRoutingTableDistanceHow farVectorIn which direction第25页，共59页。Routers discover the best path to destinations
11、from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Table10.2.0.010.3.0.0 00S0S1Routing Table10.3.0.0S0010.4.0.0E00Routing Table10.1.0.010.2.0.0 E0S0 00距离向量路由发现过程第26页，共59页。Routers discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0R
12、outing Table10.1.0.010.2.0.010.3.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S0 1E0S0S0100距离向量路由发现过程第27页，共59页。距离向量路由发现过程Routers discover the best path to destinations from each neighbor10.1.0.010.2.0.010.3.0.010.4.0.0E0S0S0S1S0E0Routing Tabl
13、e10.1.0.010.2.0.010.3.0.010.4.0.0Routing Table10.2.0.010.3.0.010.4.0.010.1.0.00011S0S1S1S0Routing Table10.3.0.0S0010.4.0.0E0010.2.0.0S010.1.0.0S012E0S0S0S01200第28页，共59页。19.2 kbpsT1T1T1 距离向量路由协议用跳数（Hop）计算路径的尺度（metric）每30秒广播一次路由表RIP 简介第29页，共59页。Starts the RIP routing processRouter(config)#router ripR
14、outer(config-router)#network network-number Selects participating attached networks The network number must be a major classful network numberRIP 配置命令第30页，共59页。2.3.0.0router ripnetwork 172.16.0.0network 10.0.0.0RIP 配置实例router ripnetwork 10.0.0.02.3.0.0router ripnetwork 192.168.1.0network 10.0.0.0172
15、.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2.3172.16.1.0ABC192.168.1.0 E0第31页，共59页。debug ip rip CommandRouterA#debug ip ripRIP protocol debugging is onRouterA#00:06:24:RIP:received v1 update from 10.1.1.2 on Serial200:06:24:10.2.2.0 in 1 hops00:06:24:192.168.1.0 in 2 hops00:06:33:RIP:s
16、ending v1 update to 255.255.255.255 via Ethernet0(172.16.1.1)00:06:34:network 10.0.0.0,metric 100:06:34:network 192.168.1.0,metric 300:06:34:RIP:sending v1 update to 255.255.255.255 via Serial2(10.1.1.1)00:06:34:network 172.16.0.0,metric 1172.16.1.1S2E0S3192.168.1.110.1.1.110.2.2.210.1.1.2S2S310.2.2
17、.3172.16.1.0ABC192.168.1.0 E0第32页，共59页。链路状态路由协议After initial flood,pass small event-triggered link-state updates to all other routersLink-State PacketsSPFAlgorithmTopologicalDatabaseShortest Path First TreeRoutingTable第33页，共59页。第34页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制
18、列表7.3.5 使用路由器防止拒绝服务的攻击第35页，共59页。使用边界路由器保护内部网络路由其自身的安全保护路由协议安全配置路由器实现访问控制防止DoS 攻击第36页，共59页。保护路由器自身的安全控制对路由器的访问控制台访问 Telnet HTTP SNMP 关闭不必要的服务路由协议认证审计第37页，共59页。控制台访问物理安全：在路由器加电启动时，可以通过按“Break”键，进入口令恢复过程通过修改寄存器的值，可以使启动过程绕过口令验证设置控制台口令Router(config)#line console 0Router(config-line)#loginRoute
19、r(config-line)#password password第38页，共59页。控制台访问设置口令加密缺省条件下,enable 口令是明文存储的，很容易被看到（控制台、telnet）两种方式：Service password-encryption enable secretrouter#show running-configenable password 7 14141B180FB0!line con 0password 7 094F71A1A0A第39页，共59页。控制台访问口令加密 enable secret 超时退出router#show running-config!enab
20、le secret 5$1$6cWV$inD7guHPLlD3ZmdX08MMSrouter(config)#line console 0router(config-line)#exec-timeout 2 30第40页，共59页。控制Telnet、HTTP的访问 telnet 口令 Telnet 端口在路由器上被称为vty端口必须在vty上配置一个启用口令才能通过telnet访问控制列表Router(config)#line vty 0 4Router(config-line)#loginRouter(config-line)#password shakespeareRouter(con
21、fig)#access-list 21 permit 10.1.1.4 Router(config-line)#line vty 0 4Router(config-line)#access-class 21 in第41页，共59页。控制SNMP的访问 SNMP概述GET/SETUDP 161UDP 162TRAPManagerAgent,MIBs第42页，共59页。控制SNMP的访问 SNMPv1 Community name 明文传输没有访问控制用snmpwalk等工具可以得到路由器的配置性 SNMPv2 增加了视图的概念，访问控制机制Router(config)#snmp-server
22、 community password1 roRouter(config)#snmp-server community password2 rw第43页，共59页。控制SNMP的访问 SNMP TRAP 设备启动、链路中断、链路启动、认证失败等访问控制Router(config)#snmp-server host 10.11.1.11 trapRouter(config)#access-list 1 permit 10.1.1.4Router(config)#access-list 1 permit 10.1.1.5Router(config)#snmp-server community p
23、rivate rw 1 第44页，共59页。关闭不必要的服务 No service tcp-small-servers no service udp-small-servers no service finger no service ip domain-lookup no cdp enable no proxy arp no ip directed-broadcast第45页，共59页。保护路由器之间的通信路由器假冒、路由欺骗相邻路由器认证明文认证 MD5 认证PPPCHAP 认证认证第46页，共59页。RAkey chain kal key chain kal key 1 key 1
24、 key-string 234 key-string 234 interface Serial0 ip address 141.108.0.10 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal router rip version 2 network 141.108.0.0 network 70.0.0.0 RBkey chain kal key chain kal key 1 key 1 key-string 234 key-string 234 interface
25、 Serial0 ip address 141.108.0.9 255.255.255.252 ip rip authentication key-chain kal ip rip authentication key-chain kal clockrate 64000!router rip version 2 network 141.108.0.0 network 80.0.0.0第47页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第48页，共59页。用路由
26、器实现访问控制访问控制列表的配置原则路由器总是自顶向下顺序检查所有规则，因此，配置规则时要从具体到一般，如主机、子网、网络、任何网络 permit 192.168.2.1 deny 192.168.2.0 0.0.0.255 permit any 常发生的放在列表的前面隐含拒绝一切新增加的行将放在末尾未定义的访问控制列表等与允许一切第49页，共59页。标准型和扩展型访问控制列表标准型 access-list num permit|deny source wildcard logaccess-list 10 permit 10.1.1.3 access-list 10 deny 10
27、.1.1.3 0.0.0.255access-list 10 permit 10.1.1.3第50页，共59页。标准型和扩展型访问控制列表扩展型访问控制列表access-list num permit|deny proc src dst interface eth 1ip access-group 103 inaccess-list 103 permit tcp any 172.16.1.0 0.0.255.255 establishedaccess list 103 permit tcp any host 172.16.1.3 eq smtp172.16.1.0Ethe 1internet
28、第51页，共59页。实例internet内部网内部网10.1.2.0/24允许所有外出的数据流允许所有外出的数据流允许所有由内部发起的外允许所有由内部发起的外来的数据流来的数据流拒绝其他的数据流，并记录这些访问企图拒绝其他的数据流，并记录这些访问企图s0第52页，共59页。Router(config)#access-list 47 permit 10.1.2.0 0.0.0.255Router(config)#access-list 103 permit tcp any any establishedRouter(config)#access-list 103 deny any any Rou
29、ter(config)#interface serial 0Router(config-if)#ip access-group 47 outRouter(config-if)#ip access-group 103 in第53页，共59页。7.3 路由系统安全7.3.1路由器工作原理简介7.3.2路由协议及安全特性7.3.3路由器自身的安全防护7.3.4访问控制列表7.3.5 使用路由器防止拒绝服务的攻击第54页，共59页。防止DOS 攻击 no ip directed-broadcast 入流量过滤、出流量过滤 CAR(committed access rate)限制某种类型包的发送速率in
30、terface serial 0rate-limit output access-group 105 1540000 512000 786000 conform-action transmit exceed-action dropaccess-list 105 permit icmp any any echo-reply第55页，共59页。过滤出入的包进入过滤：interface Serial 0ip address 10.80.71.1 255.255.255.0ip access-group 11 inaccess-list 11 deny 192.168.0.0 0.0.255.255a
31、ccess-list 11 deny 172.16.0.0 0.15.255.255access-list 11 deny 10.0.0.0 0.255.255.255access-list 11 deny access-list 11 permit any离开过滤：interface Ethernet 0ip address 10.80.71.1 255.255.255.0ip access-group 12 inaccess-list 12 permit ip verify unicast reverse-path外部网络s0eth0内部网络第56页，共59页。TCP 拦截限制 SYN
32、攻击internet客户机请求被拦截和验客户机请求被拦截和验证证与客户机建与客户机建立连接立连接有效连接被交换，数有效连接被交换，数据被传递据被传递ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp any x.x.x.0 0.0.0.255第57页，共59页
33、。TCP 拦截限制 SYN 攻击TCPClientTCPCollapsarSYNSEQ#=100ACK#=0SYN/ACKSEQ#=1000ACK#=101ACKSEQ#=101ACK#=1001TCPSYNSEQ#=80000ACK#=0SYN/ACKSEQ#=200ACK#=80001ACKSEQ#=80001ACK#=201ServerPSHSEQ#=101ACK#=1001PSHSEQ#=80001ACK#=201ACKSEQ#=201ACK#=8010ACKSEQ#=1001ACK#=110Hash(src ip/port,dst ip/port)存入内存中的Hash表Hash(s
34、rc ip/port,dst ip/port)查内存中的Hash表9 byte9 byte第58页，共59页。TCP 拦截限制 SYN 攻击 Can do as much good as bad If enabled:process switching and not“full”CEF anymore The“destination”host must send a RST(no silent drops)or youll DoS yourself Same is true if you use“blackholed”routes(route to Null0)ip tcp intercept list 100ip tcp intercept connection-timeout 60ip tcp intercept watch-timeout 10ip tcp intercept one-minute low 1500ip tcp intercept one-minute high 6000access-list 100 permit tcp any x.x.x.0 0.0.0.255第59页，共59页。

展开阅读全文

163文库所有资源均是用户自行上传分享，仅供网友学习交流，未经上传用户书面授权，请勿作他用。

关于本文

本文标题：网络基础设施安全课件.ppt
链接地址：https://www.163wenku.com/p-3280963.html

三亚风情

内容提供者

实名认证

联系作者