路由安全.pptVIP

路由安全 路由安全 一、园区网分级模型以及网络安全设计 二、路由器的概念以及路由协议简介 三、CISCO路由器IOS安全优化 园区网分级模型 园区网分级模型 一、接入层：网络的接入层是最终用户被许可接入网络的点。该分层的能够通过过滤或访问控制列表提供对用户流量的进一步控制。 二、分布层：网络的分布层是网络接入层和核心层之间的分界点。 三、核心层：核心层的主要目的是尽可能快地交换数据。 网络安全设计 网络设计 网络安全设计 网络安全设计 四、数据的保密性和完整性 数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据，而数据完整性指确保数据在传输过程中未被改动。 五、安全监测 为检验安全基础设施的有效性，应经常进行定期的安全审查，包括新系统安装检查，发现恶意入侵行为，出现的特殊问题(拒绝业务攻击)以及对安全策略是否全面遵守等方面。 六、策略管理 网络安全设计 设备安全保护 对设备本身的安全保护建议作如下考虑 1. 用户口令的认证，可通过Cisco设备本地认证或Radius, TACACS 2. 用户级别的划分，将可进入到设备的管理用户分为多个级别，对不同级别的用户具有不通的访问权限。 3. 设置log记录，对网络设备的任何有效配置和改动均需要相应的记录。 4. 采用对常见的安全攻击手段的自动防护 Internet/Extranet接入的安全设计 由于Internet/Extranet接入点是企业公用计算机互联网网络与Internet外部网络的连接处，该点承受着多种可能的对内部网络的攻击威胁，针对这种情况，采用目前常用的设计方法，通过 安全隔离设备，将网络隔离安全等级不同的区域。 网络安全设计 安全监测/探测 在网络的关键位置和网管中心配置安全监测/探测设备，当黑客攻破网络安全屏障时，安全监测/探测系统可以立即发现并报警，并采取相应的措施。同时在正常情况下，可以采取主动的方式对网络的安全漏洞进行主动的检测。 内部局域网的安全性保证 一般来说，局域网中在安全方面的基本功能是VLAN（虚拟局域网）的划分和子网之间的基于包过滤的隔离 。 网络安全设计 数据安全保证 在网络网络中，需要对不同安全等级的数据采取不同的安全保证策略。5个安全等级的定义如下： 1、安全等级一级为数据发送和接收端应有包过滤器（二层和三层）对数据包进行检验，在数据包传输中应有128位数据加密并保证传输中数据的完整性、可靠性和真实性； 2、安全等级二级为数据发送和接收端应有包过滤器（三层）对数据包进行检验，在数据包传输中应有64位数据加密并保证传输中数据的完整性、可靠性和真实性； 3、安全等级三级为数据发送和接收端应有包过滤器（三层）对数据包进行检验，在数据包传输中应有64位数据加密； 4、安全等级四级为数据发送和接收端应有包过滤器（三层）对数据包进行检验； 5、安全等级五级为普通数据传输，无任何要求。 网络安全设计 安全策略管理 安全策略管理可 对 智 能 网 络 体 系 进 行 有 效 管 理 ， 可 满 足 大 多 数 的 重 要 安 全 需 求 ， 让 网 络 管 理 员 从 繁 重 的 设 置 网 络 的 工 作 中 解 脱 出 来 ， 把 时 间 和 精 力 用 于 其 它 的 问 题 之 上 。 网络安全设计 网络安全设计 Full Mesh Design 网络安全设计 Partial Mesh Design 网络安全设计 Redundancy Mission-critical applications often require the provision of redundant media LAN Redundant links between switches Spanning tree (802.1d) for loop avoidance WAN Backup links 网络安全设计 Redundancy—WAN Backup Links 路由器的概念 路由器是一种用于网络互联的专用计算机设备，在网络建设中具有不可替代的作用。路由器工作在OSI七层模型的第三层网络层，它的主要任务是为收到的报文寻找正确的路径，并把它们转发出去。它在网络中的作用类似于邮局。 路由器的生产厂家有CISCO 、JUNIPER、NORTEL、RIVERSTONE、INTEL等 路由器协议 默认路由 静态路由 动态路由 路由协议 动态路由 EGP IGP 外部网关协议