08信息安全知识竞赛培训-网络设备汇.pptVIP

目录 CISCO设备安全设置 JUNIPER设备安全设置 CISCO设备安全设置 CISCO设备通用安全知识 CISCO设备安全设置-访问控制列表 CISCO设备安全设置-路由协议安全 CISCO设备安全设置-网管安全 CISCO设备安全设置-SNMP协议安全 CISCO设备安全设置-HTTP安全 CISCO设备安全设置-日志 CISCO设备安全设置-特定安全配置 CISCO设备安全维护 作为电信行业主流的路由、交换设备，CISCO设备除了能提供强大的数据交换功能外，还可以提供最基础的网络安全防护功能。 由于CISCO设备往往负担着运营商业务、经营等数据，如何保证CISCO设备自身的安全，是网络管理人员首当其冲面临的安全问题。 充分的利用CISCO设备自身的安全特性，合理的使用CISCO设备的安全配置，可保证运营商网络CISCO设备的运行安全。 Cisco设备具有强大的访问控制能力： 可以实现对远程登录并发个数和空闲时长的限制； 支持使用SSH代替Telnet，并提供ACL对用户登陆进行严格控制； 支持AAA认证和授权； 支持SNMP管理认证、限制TRAP主机，修改TRAP端口等； 路由协议的认证支持RIP、OSPF和BGP MD5认证，同时也支持密码明文认证； CISCO设备的数据加密能力主要有： 支持SSH替代Telnet,可以在网络中传递加密的用户名和密码； 对于enable密码，使用加密的enable secret,并且密码可以通过service password-encryption命令，进行密码加密； 提供Cisco加密技术（CET）； IPSec技术实现数据传输的加密技术。 CISCO设备可以提供强大的日志功能： Cisco设备将LOG信息分成八个级别，由低到高分别为debugging、informational、notifications、warnings、errors、critical、alerts、emergencies。 可以设置将一定级别的LOG消息通过SYSLOG、SNMP TRAP传递给异地的LOG SERVER长期保存，并对LOG SERVER的地址可以进行严格控制。 Cisco设备的防攻击能力主要体现如下： 可以通过对Q0S技术的配置，起到自身的防护的能力，它支持排队技术、CAR和GTS等； 结合强大的ACL命令，用于自身以及网络的防攻击，支持标准访问控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、基于时间的访问控制列表、基于上下文的访问控制列表，从而保证了强大的防攻击能力； 支持黑洞路由； 支持源路由检查。 CISCO设备安全设置-访问控制列表 访问控制列表是网络防御的前端，Cisco设备支持两种类型的访问控制列表：标准访问列表（1-99和1300-1999 ）和扩展访问列表（100-199和2000-2699 ）。 对于路由器接口，一个访问表必须在创建之后应用到某个接口上，它才能产生作用。因为通过接口的数据流是双向的，所以访问表要应用到接口的特定方向上，向外的方向或者向内的方向。CISCO设备对于不匹配任何表项的数据包，默认是拒绝其通过的操作。 CISCO设备访问控制列表-应用 Cisco访问控制列表提供如下应用： 标准的访问表：只允许过滤源地址，功能有限。 扩展访问列表：用于扩展报文过滤能力,一个扩展的I P访问表允许用户根据如下内容过滤报文：源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。它的建立也支持编号方式和命名方式。 动态访问表（lock-and-key）：能够创建动态访问表项的访问表。 基于时间的访问表：使用基于时间的访问表可以实现根据一天中的不同时间，或者根据一星期中的不同天，或者二者的结合，来控制对网络资源的访问。Cisco7500系列路由器不支持该功能。 自反访问表：是扩展的IP命名访问表的一个重要的功能特性，自反访问表创建开启表项并用于从路由器的不可信方（某个接口），在正常的操作模式下，这些开启表项并没有启用。 基于上下文的访问控制（ Context-Based Access Control, CBAC）：工作方式类似于自反访问表，它会检查向外的会话，并且创建临时开启表项来允许返回的通信报文；其不同之处在于，自反访问表表与传统的访问表一样，不能检测高于第4层的信息，并且只支持单通道的会话。 CISCO设备访问控制列表-实施原则 只允许合法的网管网段或网管和维护主机地址作为源地址发起对设备的远程连接，如Telnet、SSH、HTTP、SNMP、Syslog等； 只允许需要的协议端口能进入（如OSPF、BGP、RSVP等）； 指定设备自身发包的源地址，如loopback IP；同时只允许在设备间使用这些地址来互相远程登