路由器交换机安全ppt课件.pptVIP

第5章 路由器交换机安全 网络安全基础 课程安排 路由器交换机安全 4课时 路由器安全优化 交换机安全 网络访问控制与802.1x认证 学习目标 在完成本章的学习后，您将能够： 了解路由器安全优化 了解交换机的安全策略 目录大纲 路由器安全优化 交换机安全 网络访问控制与802.1x认证 路由器安全概要 路由器（Router）是因特网上最为重要的设备之一，正是遍布世界各 地的数以万计的路由器构成了因特网这个在人们的身边日夜不停地运转的巨型信息网络的“桥梁”。在因特网上，路由器扮演着转发数据包“驿站”的角色，对于黑客来说，利用路由器的漏洞发起攻击通常是一件比较容易的事情，攻击路由器会浪费CPU周期，误导信息流量，使网络陷于瘫痪，通常好的路由器本身会采取一个好的安全机制来保护自己，但是仅此一点是远远不够的，保护路由器安全还需要网管员在配置和管理路由器过程中采取相应的安全措施。 1 路由器安全优化 路由器的安全初始化 当谈到配置一台新的Cisco路由器，多数配置依赖于路由器的类型以及它将服务的用途。然而，以下是Cisco路由器上的安全初试配置。 在路由器上配置一个本地登录帐户和加密口令。Router(config)# username root secret My$Password  1 路由器安全优化 配置了用户名后，必须启用使用该用户名来认证登陆连接。 Router(config)# line con 0Router(config-line)# login localRouter(config)# line aux 0Router(config-line)# login localRouter(config)# line vty 0 4Router(config-line)# login local 1 路由器安全优化 在路由器上设置一个主机名来区分设备的功能和位置：Router(config)# hostname 3640_GW_jsb 1 路由器安全优化 在路由器上配置一个域名 Router-Branch-23(config)# ip domain name 为进入特权模式设置口令Router(config)# enable secret My$Password 加密路由器所有未加密的口令　　Router(config)# service password-encryption 禁用Web服务Cisco路由器还在缺省情况下启用了Web服务，它是一个安全风险，最好将它关闭。举例如下：Router(config)# no ip http server 1 路由器安全优化 路由器安全概要 禁用DNS查找，防止路由器把错误的命令当作域名解析.Router(config)# no ip domain-lookup 或者，正确配置DNS指向一台真实的DNS服务器Router(config)# ip name-server 配置命令别名，可以把命令变成缩写形式Router(config)# alias exec s sh run 现在可以输入s，而不必输入完整的show running-configuration命令。 1 路由器安全优化 路由器安全优化要点 前面提到路由器是网络系统的主要设备，也是网络安全的前沿关口。如果路由器连自身的安全都没有保障，整个网络也就毫无安全可言。因此在网络安全管理上，必须对路由器进行合理规划、配置，采取必要的安全保护措施，避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。 1.路由器的物理安全防范。路由器控制端口是具有特殊权限的端口，如果攻击者物理接触路由器后，断电重启，实施“密码修复流程”，进而登录路由器，就可以完全控制路由器。 　　 2.保护路由器口令。在备份的路由器配置文件中，密码即使是用加密的形式存放，密码明文仍存在被破解的可能。一旦密码泄漏，网络也就毫无安全可言。 1 路由器安全优化 1. 为进入特权模式设置口令 设置进入特权模式的口令enable secret命令。这个命令用MD5加密方法加密口令，所以提示符不以明文显示。举例如下：Router(config)# enable secret My$Password 1 路由器安全优化 2.加密路由器口令Cisco路由器缺省情况下在配置中不加密口令。可以使用以下命令加密所有明文口令：Router(config)# service password-encryption 1 路由