您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 锐捷安全专项认证课程-使用Router与Switch安全网络
使用Router与Switch安全网络学习目标通过本章的学习,希望您能够:安全化Router与Switch安全管理Router与Switch使用Router增强网络安全性使用Switch增强网络安全性本章内容安全化Router与Switch安全管理Router与Switch使用Router增强网络安全性使用Switch增强网络安全性课程议题交换机/路由器的管理方式路由器的管理方式带外管理通过带外对路由器进行管理(PC与路由器直接相连)带内管理通过Telnet对路由器进行远程管理通过Web对路由器进行远程管理通过SNMP工作站对路由器进行远程管理Console口及配置线缆RJ45-DB9转换器+反转线缆DB9-RJ45线缆Console口(RJ45)AUX口(连接拨号网络)带外路由器配置连线利用配置线将主机的COM口和路由器的console口相连打开超级终端从开始-〉程序-〉附件-〉通讯-〉超级终端打开超级终端程序配置超级终端为连接命名选择合适的COM口配置正确的参数TELNET管理路由器在主机DOS命令行下输入:telnetipaddress(路由器管理IP)TELNET管理路由器续输入telnet密码和特权密码即可进入到路由器的配置界面基于WEB的管理在web页面中输入路由器的管理IP可以进入路由器的web管理页面基于WEB的管理在web页面下对路由器进行管理基于SNMP协议的管理课程议题路由器的基本配置路由器配置模式配置模式提示符进入命令用户模式Router特权模式Router#enable全局模式Router(config)#configureterminal线路配置模式Router(config-line)#vty04路由配置模式Router(config-router)#routerrip接口配置模式Router(config-if)#Interfacef1/1课程议题交换机的基本配置交换机配置命令模式EXEC模式:用户模式switch交换机信息的查看,简单测试命令特权模式switch#查看、管理交换机配置信息,测试、调试配置模式:全局配置模式switch(config)#配置交换机的整体参数接口配置模式switch(config-if)#配置交换机的接口参数交换机配置命令模式进入全局配置模式Switch#configureterminalSwitch(config)#exitSwitch#进入接口配置模式Switch(config)#interfacefastethernet0/1Switch(config-if)#exitSwitch(config)#从子模式下直接返回特权模式Switch(config-if)#endSwitch#命令行其他功能获得帮助switch#?switch#show?命令简写全写:switch#configureterminal简写:Switch#config使用历史命令Switch#(向上键)Switch#(向下键)课程议题安全化Router与Switch传统网络设备的安全问题Router与Switch的安全问题运行多种服务允许对所有流量进行转发出厂默认配置禁用未使用的服务禁用DHCP中继服务noservicedhcpRouter(config)#限制DNS查询noipdomain-lookupRouter(config)#禁止DNS查询iphostnameip-address配置静态主机映射条目禁用未使用的服务(续)禁用ICMP不可达消息防止DoS攻击noipunreachablesRouter(config-if)#禁用HTTP服务noiphttpserver/noenableservicesweb-serverRouter/Switch(config)#禁用ICMP掩码应答防止攻击者获得网络拓扑noipmask-replyRouter(config-if)#禁用未使用的服务(续)禁用SNMP服务nosnmp-server/noenableservicessnmp-agentRouter/Switch(config)#禁用IP源路由选择禁止发送者控制报文的路径noipsource-routeRouter(config)#关闭未使用的接口shutdownRouter(config-if)#禁用未使用的服务(续)禁用ARPProxynoipproxy-arpRouter(config-if)#课程议题安全管理Router与Switch控制Console与VTY线路访问lineconsole0linevtybegin[end]Router(config)#进入Console或VTY线路exec-timeoutminutessecondsRouter(config-line)#配置登录连接超时login[local]配置密码认证或本地数据库用户认证passwordpassword配置密码认证的密码配置VTY线路访问限制linevtybegin[end]Router(config)#进入VTY线路access-classacl-numberinRouter(config-line)#配置访问限制servicetcp-keepalives-insecondsRouter(config)#配置失效TCP连接检测配置其它访问控制enable{password|secret}[levellevel]passwordRouter(config)#配置特权访问密码usernameusername[privilegelevel]passwordpasswordRouter(config)#配置本地用户数据库bannermotdbannerRouter(config)#配置标识谁是拥有者并有权使用未授权的访问是非法的用户的操作将被监控非法行为将被起诉使用进行SSH安全访问enableservicesssh-serverSwitch(config)#启用SSHSecureShellClient/Server对流量进行加密(Telnet无加密)支持RSA认证TCP22SFTPipsshversion{1|2}Switch(config)#配置SSH版本使用SNMP进行管理SimpleNetworkManagementProtocolAgent&NMSSNMPv1/v2/v3MIB只读/读写/TrapUDP161/162配置SNMPv1/v2snmp-servercommunitystring[viewviewname][ro|rw][acl-number]Router(config)#配置团体名snmp-serverhostip-addresstrapsversion{1|2}string[notification-type]Router(config)#配置NMSsnmp-serverenabletraps[notification-type]Router(config)#配置系统产生Trap消息配置SNMPv3snmp-servergroupnamev3{auth|noauth|priv}[readreadview][writewriteview]Router(config)#配置用户组snmp-serveruserusernamegroupnamev3[encrypted][auth{md5|sha}password][privdes56password]Router(config)#配置用户snmp-serverhostip-addresstrapversion3{auth|noauth|priv}community-stringRouter(config)#配置NMS使用Syslog日志SyslogClient/Server日志消息目的地ConsoleVTYLoggingbufferLoggingfileSyslogserver日志安全级别Syslog日志格式000012007-02-142910:20:59Red-Giant:%7:%LINKCHANGED:InterfaceSerial0/0,changedstatetoup序号时间戳日志名称及级别日志信息配置日志loggingip-addressRouter(config)#配置Syslog服务器loggingtraplevelRouter(config)#配置发送到Syslog服务器的日志级别servicetimestamps{log|debug}[uptime|datetime]Router(config)#配置日志时间戳配置日志(续)servicesequence-numbersRouter(config)#配置在日志信息中添加序号loggingbuffered[buffer-size|level]Router(config)#配置将日志发送到日志缓冲区loggingfileflash:filename[max-file-size][level]Router(config)#配置将日志记录到日志文件配置日志(续)showloggingRouter#显示日志配置参数、统计信息以及日志缓冲区中的信息clearloggingRouter#清除日志缓冲区中的信息loggingonRouter(config)#启用日志安全网络管理最佳实践方式使用安全的登录机制使用SSH,不使用Telnet使用SFTP或FTP,不使用TFTP使用HTTPS,不使用HTTP使用SNMPv3,不使用SNMPv1/v2c对所有的操作和时间进行详细的日志记录将所有设备的配置文件进行安全的、统一的管理课程议题使用Router增强网络安全性访问控制列表访问控制列表(ACL)的类型标准ACL,扩展ACL标准ACL仅对源地址信息进行过滤access-list1permit10.1.1.00.0.0.255扩展ACL可对源地址、目的地址、源端口、目的端口、协议、IP优先级、ToS等进行过滤access-list100permittcp10.1.1.00.0.0.255anyeq21ACL部署标准ACL:路由信息过滤、发布、访问线路控制扩展ACL:报文过滤详细的语句放在前面,默认的denyany使用ACL进行Internet入口过滤Bogon地址过滤使用ACL进行Internet入口过滤(续)RFC2827过滤使用Router阻止Smurf和Fraggle攻击使用Router防止ICMP不可达DoS攻击ipicmprate-limitunreachablesmillisecondsRouter(config)#ICMP不可达报文限速使用CAR减缓泛洪DoS攻击rate-limit{input|output}access-groupnumberbpsburst-normalburst-maxconform-actiontransmitexceed-actiondropRouter(config-if)#配置CAR(CommittedAccessRate)使用ACL阻止DDoS攻击Trinoo使用ACL阻止DDoS攻击(续)Stacheldraht使用ACL阻止DDoS攻击(续)Trinity使用ACL阻止特洛伊木马Netbus使用ACL阻止
本文标题:锐捷安全专项认证课程-使用Router与Switch安全网络
链接地址:https://www.777doc.com/doc-1270313 .html