网络财大安全方案.docxVIP

基于NBR2000的网络安全解决方案1.建立可行的安全策略a.确保设备的物理安全(防止未经授权的用户对设备进行访问)b.确保需要保护的网络资源(比如PC/router/网络中传输的数据等等)c.确定安全隐患存在的位置d.限制访问网络的范围(可以使用ACL做一些过滤)e.需要对各种可能出现的问题做一个假设(ping 0f death)g.要对实施安全策略付出的代价进行评估h.需要确保不受人为因素的干扰2．实施网络安全方案a.可以对物理设备设置加密口令例如：(1)在全局配置下开启enable密码，使用命令enable secret hdcy(2).在远程登陆时强制用户输入口令才允许使用该设备使用命令：line vty 0 4 Password hdcyLogin/使用AAA进行认证b.解决局域网内可能出现的攻击问题对于锐捷的NBR2000系列的设备，支持抗内外网攻击功能，可以通过设置安全等级，以及安全等级限速的问题，可以使用命令：在全局配置下security anti-wan-attack level low|mediun|high设置安全等级，通过使用security anti-wan-attack parameter low|medium|high num(8000-200000000)bps 来设置不同的安全等级下的限速参数。可以通过使用命令show security 来显示不同的安全等级下的安全参数。针对目前网络上经常采用的ping 和 web 攻击的行为，不通过ACL来禁止内外网ping或者web访问，NBR2000使得我们在保护网络安全方面更加方便。可以通过使用security deny lan-ping 命令来禁止pc ping NBR2000以及使用命令security deny wan-ping 来禁止外网pc ping NBR ,这样可以保证网络不受ping of death 的攻击。NBR2000还提供了禁止内网PC或者外网PC通过web界面来访问NBR2000，这样也可以避免木马或者病毒程序通过网页的形式进行传播，可以使用命令security deny lan-web/security deny wan-web 来保证内网pc 通过web 的形式来访问NBR或者保证外网pc 通过web 来访问NBR设备。局域网是最容易受到攻击的网络，面对这样的问题，锐捷的NBR2000提出了ARP攻击功能。ARP攻击是非常强大的，ARP攻击可以导致瞬间掉线和大面积断网，我们可以通过限制ARP动态学习功能、增加可信任的ARP表项来防止路由器遇到攻击，另外可以使用ARP欺骗源定位功能，可以使我们方便定位网络中ARP攻击的主机。可信任ARP表项是一类特殊的表项，可信任ARP表项是锐捷公司专问提出的，由RGOS内部特有机制将动态ARP转化过来的，它同时具有静态和动态ARP两者的特征。可以使用接口命令arp trust-monitor enable将动态arp 转化为可信任arp 机制，可以配置可信任arp超时时间，通过使用arp trust-monitor timeout seconds 。要使能arp欺骗嫌疑定位功能，可以在全局配置模式下使用命令arp attacker-detect enable ，开户该功能后，NBR2000通过分析路由器接收到的arp报文，记录网络上有arp欺骗嫌疑的主机，用户可以通过命令查看所有arp嫌疑主机的ip/mac/欺骗等级、欺骗类型等信息，从而找出网络存在的问题，进而解决问题。可以通过命令 show arp arp-attacker low /show arp arp-attacker middle/show arp arp-attacker high/show arp arp-attacker all 来查看所有的arp欺骗嫌疑表项。锐捷NBR2000还可以对机器狗病毒进行防御，机器狗病毒主要对网吧的网络环境影响最大，主要是能过在传输过程中对已知类型病毒变种进行阻断，阻止病毒的下载感染，nbr2000能动态检测出带病毒的网站，阻断后续用户对这些网站的访问，同时试图记录访问带有病毒的网站的PC，方便检查和后续的杀毒。可以在NBR2000设备上通过使用命令security anti-igm-dog alarm|block forever来指定机器狗病毒防御策略，只警告或者警告的同时永久禁止对带毒网站的访问。我们还可以通过show security anti-igm-dog suspicion查看当前记录的带毒网站ip和试图访问带毒网站的内网pc ip .设备本身不提供带毒功能。C．可以通过使用acl或者防火墙来对数据流量进行过滤，从而保证网络内部的安全 ACL(访问控制列表):ACL有时也