-网络设备安全.ppt

网络安全问题 事发的5月18日22时左右，域名解析服务器DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击，导致DNSPod的6台解析服务器开始失效，大量网站开始间歇性无法访问。 从2009年5月19日21：06开始，江苏、安徽、广西、海南、甘肃、浙江 等6个省份的中国电信网络用户发现无法登录网络，与此同时，电信的客服部门源源不断地开始接到客户的投诉。 5月20日下午，根据工业和信息化部通信保障局发布的公告，确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。 1.1.1 网络的概念 1.1.2 通信协议的概念 通信协议是为使计算机之间能够正确通信，而制定的通信规则、约定和标准。 在开始通信之前需要确定的事情： 通信的发送方、接收方 一致的通信方法 相同的语言 注意传递的速度和时间 证实或确认要求 网络通信协议的问题：计算机间通信仅靠一个通信协议无法完成！！！ 解决方法：网络分层 各层内使用自己的通信协议完成层内通信； 各层间通过接口提供服务； 各层可以采用最适合的技术来实现； 各层内部的变化不影响其他层。 1.1.3 网络体系结构 1.1.4 TCP/IP网络中数据传输过程 1.2.1 交换机 交换机可以将 LAN 细分为多个单独的冲突域，其每个端口都代表一个单独的冲突域，为该端口连接的节点提供完全的介质带宽。 交换机的分类 按是否可配置分类 按端口速率分类 10Mbps、100Mbps、1000Mbps 按是否可物理扩展分类 按转发方式分类 按照工作层次分类： 二层交换机 三层交换机 1.2.2 路由器 路由器是专门用于路由的计算机 为数据报文选择到达目的地址的最佳路径 将数据报文转发到正确的输出端口 路由器工作在网络层，实现不同网段之间的通信。 路由器核心：路由表 目的地址、子网掩码 下一跳地址、输出端口 注意：路由器的路由描述方式是局部的 路由器和三层交换机的比较 第 3 层交换机可以像专用路由器一样在不同的 LAN 网段之间路由数据包。 专用路由器在支持WAN接口卡 (WIC)方面更加灵活，这使得它成为用于连接 WAN的首选设备，而且有时是唯一的选择。 第3层交换机不能完全取代网络中的路由器。 1.2.3 典型网络拓扑结构 在汇聚层交换机上进行VLAN的创建，并在接入层交换机上通过将接入端口指定到相应的VLAN中来按部门划分广播域，由汇聚层交换机实现其下的接入层各VLAN之间的路由。在汇聚层交换机和核心层交换机之间运行动态路由选择协议，由核心层交换机实现整个局域网的路由。 对于带宽需求较高的部分，在接入层交换机和汇聚层交换机之间进行链路聚合。 对网络可用性要求较高的部分，进行设备和链路的冗余，保障可用性的同时，通过负载均衡提高网络通信效率。 1.3.1 网络设备自身安全保障 禁止不必要的网络服务 禁止HTTP服务 禁止DNS服务 禁止IP源路由选择 禁止ICMP重定向 禁止ARP代理服务 禁止直接广播 禁止CDP 禁止SNMP协议服务 关闭不使用的接口或端口 使用SSH代替Telnet进行设备远程访问管理 严格控制远程访问用户的权限 对于远程访问进行严格的限制 交换机管理VLAN与业务VLAN相独立 1.3.2 交换机数据安全 静态配置端口类型，避免DTP协商导致的VLAN跳跃攻击 对于Trunk链路，明确配置其能传输的VLAN数据。 对于CISCO交换机，尽量不要使用VTP协议功能。 1.3.3 路由协议安全 RIP协议安全 配置抑制接口 配置MD5认证 OSPF协议安全 配置MD5认证 1.3.4 局域网安全 AAA认证 Authentication：认证，对访问网络的用户的身份进行认证，判断访问者是否为合法的用户； Authorization：授权，为认证通过的不同用户赋予不同的权限，限制用户可以访问的资源和使用的服务； Accounting：计费，用来记录用户的操作和使用的网络资源，包括使用的服务类型、起始时间和数据流量等，在计费的同时对网络安全情况进行监控。 IEEE 802.1x技术 在以太网接入设备的端口一级对所接入的设备进行认证和控制。在应用了IEEE 802.1x的交换机端口上，如果该端口连接的终端设备能够通过认证，就可以访问网络中的资源；而如果不能通过认证，则无法访问网络中的资源。 端口安全技术 基于MAC地址对网络接入进行控制的安全机制，它通过定义各种端口安全模式，让网络设备的端口学习到该端口下的合法的终端MAC地址； 通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问； 通过检测从端口发出的数据帧中的目的MAC地址地址来控制对非授权设备的访问。 端口安全模式 n