1-网络设备安全解读.pptVIP

网络安全问题 事发的5月18日22时左右，域名解析服务器DNSPod主站及多个DNS服务器遭受超过10G流量的恶意攻击，导致DNSPod的6台解析服务器开始失效，大量网站开始间歇性无法访问。 从2009年5月19日21：06开始，江苏、安徽、广西、海南、甘肃、浙江 等6个省份的中国电信网络用户发现无法登录网络，与此同时，电信的客服部门源源不断地开始接到客户的投诉。 5月20日下午，根据工业和信息化部通信保障局发布的公告，确认该事件原因是暴风网站域名解析系统受到网络攻击出现故障，导致电信运营企业的递归域名解析服务器收到大量异常请求而引发拥塞。 1.1.1 网络的概念 1.1.2 通信协议的概念 通信协议是为使计算机之间能够正确通信，而制定的通信规则、约定和标准。 在开始通信之前需要确定的事情： 通信的发送方、接收方 一致的通信方法 相同的语言 注意传递的速度和时间 证实或确认要求 网络通信协议的问题：计算机间通信仅靠一个通信协议无法完成！！！ 1.1.3 网络体系结构 网络功能分层： 各层内使用自己的通信协议完成层内通信； 各层间通过接口提供服务； 各层可以采用最适合的技术来实现； 各层内部的变化不影响其他层。 OSI模型与TCP/IP模型 1.1.4 TCP/IP网络中数据传输过程 1.2.1 交换机 交换机可以将 LAN 细分为多个单独的冲突域，其每个端口都代表一个单独的冲突域，为该端口连接的节点提供完全的介质带宽。 交换机的分类 按是否可配置分类 按端口速率分类 10Mbps、100Mbps、1000Mbps 按是否可物理扩展分类 按转发方式分类 存储转发交换 存储转发交换 存储转发交换 存储转发交换 存储转发交换 存储转发交换 直通交换 直通交换 直通交换 按照工作层次分类： 二层交换机 三层交换机 1.2.2 路由器 路由器是专门用于路由的计算机 为数据报文选择到达目的地址的最佳路径 将数据报文转发到正确的输出端口 路由器工作在网络层，实现不同网段之间的通信。 路由器核心：路由表 目的地址、子网掩码 下一跳地址、输出端口 注意：路由器的路由描述方式是局部的 路由器和三层交换机的比较 第 3 层交换机可以像专用路由器一样在不同的 LAN 网段之间路由数据包。 专用路由器在支持WAN接口卡 (WIC)方面更加灵活，这使得它成为用于连接 WAN的首选设备，而且有时是唯一的选择。 第3层交换机不能完全取代网络中的路由器。 1.2.3 典型网络拓扑结构 在汇聚层交换机上进行VLAN的创建，并在接入层交换机上通过将接入端口指定到相应的VLAN中来按部门划分广播域，由汇聚层交换机实现其下的接入层各VLAN之间的路由。在汇聚层交换机和核心层交换机之间运行动态路由选择协议，由核心层交换机实现整个局域网的路由。 对于带宽需求较高的部分，在接入层交换机和汇聚层交换机之间进行链路聚合。 对网络可用性要求较高的部分，进行设备和链路的冗余，保障可用性的同时，通过负载均衡提高网络通信效率。 1.3.1 网络设备自身安全保障 禁止不必要的网络服务 禁止HTTP服务 禁止DNS服务 禁止IP源路由选择 禁止ICMP重定向 禁止ARP代理服务 禁止直接广播 禁止CDP 禁止SNMP协议服务 关闭不使用的接口或端口 [H3C]interface Ethernet 1/0/15 [H3C-Ethernet1/0/15]shutdown 使用SSH代替Telnet进行设备远程访问管理 [H3C]undo telnet server enable [H3C]ssh server enable [H3C]public-key local create dsa [H3C]user-interface vty 0 4 [H3C-ui-vty0-4]protocol inbound ssh 严格控制远程访问用户的权限 [H3C-luser-abc]authorization-attribute level 1 对于远程访问进行严格的限制 [RTB]firewall enable [RTB]acl number 2001 [RTB-acl-basic-2001]rule permit source 0 [RTB-acl-basic-2001]rule deny [RTB-acl-basic-2001]quit [RTB]user-interface vty 0 4 [RTB-ui-vty0-4]acl 2001 inbound 交换机管理VLAN与业务VLAN相独立 [H3C]management-vlan 99 1.3.2 交换机数据安全 静态配置端口类型，避免DTP协商导致的VLAN跳跃攻击 [H3C]interface e1/0/1 [H3C-