cisco 路由器安全管理.ppt

路由器基本配置 实验目标 ?? 掌握路由器几种常用配置方法； ?? 掌握采用Console线缆配置路由器的方法； ?? 掌握采用telnet方式配置路由器的方法； ?? 熟悉路由器不同的命令行操作模式以及各种模式之间的切换； ?? 掌握路由器的基本配置命令； ?? 实验背景 ?? 你是某公司新进的网管，公司要求你熟悉网络产品，首先要求 你登录路由器，了解、掌握路由器的命令行操作； ?? 作为网络管理员，你第一次在设备机房对路由器进行了初次配 置后，希望以后在办公室或出差时也可以对设备进行远程管 理，现要在路由器上做适当配置 技术原理 ?? 路由器的管理方式基本分为两种：带内管理和带外管理。通过路由器的Console口管理路由器属于带外管理，不占用路由器的网络接口，其特点是需要使用配置线缆，近距离配置。第一次配置时必须利用Console端口进行配置。 路由器基本配置 ?? 实验步骤 ?? 新建packet tracer 拓扑图（如图） ?? （1）用标准console线缆用于连接计算机的串口和路由器的 console上。在计算机上启用超级终端，并配置超级终端的的参 数，使计算机与路由器通过console口建立连接； ?? （2）配置路由器的管理IP地址，并为telnet用户配置用户名和 登陆口令。配置计算机的IP地址（与路由器管理IP地址在同一 个网段），通过网线将计算机和路由器相连，通过计算机telnet 到路由器上进行查看配置； ?? （3）更改路由器的主机名； ?? （4）擦除配置信息、保存配置信息、显示配置信息； ?? （5）显示当前配置信息； ?? （6）显示历史命令。 交换机的Telnet远程登陆配置 ?? 实验目标 ?? 掌握采用telnet方式配置交换机的方法。 ?? 实验背景 ?? 第一次在设备机房对交换机进行了初次配置后，你希望以后在办公室或出差时也可以对设备进行远程管理，现要在交换机上做适当配置。 技术原理 ?? 配置交换机的管理IP地址(计算机的IP地址与交换机管理IP地址在同 一个网段)； ?? 为telnet用户配置用户名和登陆口令： ?? 交换机、路由器中有很多密码，设置好这些密码可以有效地提高设备的安全 性。 ?? switch(config)#enable password　设置进入特权模式进的密码； ?? switch(config-line)　可以设置通过console端口连接设备及telnet远程登录时 所需要的密码。 ?? Switch(config)#line console 0 ?? Switch(config-line)#password 5ijsj ?? Switch(config)#login ?? Switch(config)#line vty 0 4 ?? Switch(config-line)#password 5ijsj ?? Switch(config)#login 1）设置安全的口令 2）关闭Ping命令测试。 Smurf攻击 3）关闭虚拟服务器。 4）关闭IP源路由 5）MAC地址控制 6）确定数据包过滤的需求 确定数据包过滤实际上就是封锁端口 （7）保证路由器的物理安全防止未经允许的用户将嗅探设备放在内部网络中 （8）审阅安全记录 访问控制列表 访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝 访问控制列表不但可以起到控制网络流量、流向的作用，而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡，路由器上的访问控制列表成为保护内网安全的有效手段。 4.3 路由器的安全管理 4.3.1 本地登录认证 图4-23 配置本地登录认证 4.3 路由器的安全管理 4.3.1 本地登录认证 图4-24 本地登录认证 4.3.2 访问类语句 图4-25 限制对路由器的管理性访问 4.3.2 访问类语句 图4-26 进行VTY访问控制 4.3.3 HTTP/HTTPS 1．HTTP管理方式 图4-29 HTTP访问本地认证配置 图4-31 限制HTTP访问位置 图4-33 关闭路由器上的HTTP服务 4.3.3 HTTP/HTTPS 2．HTTPS管理方式 图4-34 配置路由器支持HTTPS访问方式 4.3.4 SSH 图4-39 配置路由器上的SSH服务的步骤 4.3.4 SSH 2．SSH客户端