CISP网络与通信安全.pptVIP

VPN网络架构 告 电 安全隧道 公共网络 FR/DDN/X.25 分支机构子网 分支机构子网 管理中心子网 VPN网关 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 NEsec300 FW 2 0 3 5 9 6 8 ? 告 警 内网接口 外网接口 电 源 VPN网关 VPN网关 NEsec300 CA 警 内网接口 外网接口 源 认证服务器 管理器 VPN的特点 解决了企业进行远程通讯必须购置专用远程访问服务器，必须使用租用线路的高成本、低扩展性的问题。 将远程网络主干的通讯的软硬件维护的任务交给ISP管理，大大减少企业为了管理网络所投入的人力和物力，减少了企业的管理成本。 利用点对点等隧道协议（PPP）以及第二层隧道协议（L2TP）可以实现多点建立VPN，使得用户可以开通多个VPN，以便同时访问Internet和企业网络。 采用Microsoft的点对点加密协议（MPPE）以及安全IP标准（IPsec）和密匙可以实现VPN的安全策略。 问题？ Title 版本： 编号： 日期：2003年 中国信息安全产品测评认证中心（CNITSEC） * * 保密和完整是针对数据, 可用和可控是针对服务. 保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。　　完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。　　可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；　　可控性：对信息的传播及内容具有控制能力 * * * * * * * * * * * * * * * * * * * * * * 版本历史： Cisco路由交换安全配置 禁用简单网络管理协议 no snmp-server enable 使用SNMPv3加强安全特性 snmp-server enable traps snmp auth md5 使用强的SNMPv1通讯关键字 snmp-server communityname 以上三者不可同时使用，如果必要使用SNMP 安全性123 Cisco路由交换安全配置 认证与日志管理 logging 设置与不同的服务相关联 logging 的不同级别 使用AAA加强设备访问控制 AAA概念 日志管理 logging on logging server Cisco路由交换安全配置 禁用IP Unreachable报文 禁用ICMP Redirect报文 no ip redirect 禁用定向广播 no ip directed-broadcast 禁用ARP代理 no ip proxy-arp 使用IP验证 Ip verify unicast reverse-path 禁用IP源路由选项 no ip source-route Cisco路由交换安全配置 启用TCP截获特性防止DoS攻击 创建截获访问控制列表 起用TCP截获特性 设置门限制 设置丢弃模式 Cisco路由交换安全配置 使用访问控制列表限制访问地址 使用访问控制列表限定访问端口 使用访问控制列表过滤特定类型数据包 使用访问控制列表限定数据流量 使用访问控制列表保护内部网络 第五章 对网络威胁采取的策略 拒绝服务攻击的防御策略 第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持的SYN半连接数，这个值=SYN攻击的频度 x SYN Timeout，所以通过缩短从接收到SYN报文到确定这个报文无效并丢弃该连接的时间，例如设置为20秒以下（过低的SYN Timeout设置可能会影响客户的正常访问），可以成倍的降低服务器的负荷.第二种方法是设置SYN Cookie，就是给每一个请求连接的IP地址分配一个Cookie，如果短时间内连续受到某个IP的重复SYN报文，就认定是受到了攻击，以后从这个IP地址来的包会被一概丢弃。 Syn Flood 解决办法 动态分析受到攻击时在线分析TCP SYN报文的所有细节。如源地址、IP首部中的标识、TCP首部中的序列号、TTL值等，特别是TTL值，如果大量的攻击包似乎来自不同的IP但是TTL值却相同，往往能推断出攻击者与目标之间的路由器距离，至少也可以通过过滤特定TTL值的报文降低被攻击系统的负荷（在这种情况下TTL值与攻击报文不同的用户就可以恢复正常访问）网络设备配合 Syn Flood 其它办法 Syn Flood 其