m13 维护和管理网络互联系统安全.pptVIP

M7-1 Linux系统WEB服务安装与配置 M13-2 提高企业网络互联系统安全运行与管理维护能力 网络安全运行与维护 《网络安全运行与维护》 模块十三 网络互联系统安全运行与维护能力 第*页 1 2 3 4 5 任务描述 任务分析 相关知识 任务实施 任务评价 6 任务总结 任务描述 针对上述的企业现状要实现总公司与分公司之间的安全，低代价通信。本任务主要是通过在边界路由器上进行访问控制、准入认证、启用VPN功能等实现安全的低代价的跨地域内网访问。 第*页 任务分析 为了满足公司发展的需要。需要为网络建立相应的准入机制以保证公司的访问外网的带宽能够得到合理的使用。需要增加路由协议认证，保证路由协议更新时得到一个安全的正确的消息内容。 SSH保护远程登录服务 防止恶意用户通过捕获网络数据的方式截获管理员管理数据，并从中破译管理密码达到恶意入侵网络设备的目的。 第*页 任务分析 路由协议认证保证路由表的安全可靠 通过开启路由协议的认证功能来保证路由器在获取和更新路由表时能有一个有效且合理的信息来源。 配置ACL 通过配置ACL来实现各部门之间的有效安全访问。用来避免没有权限和身份不正确的用户访问网络中的各种资源。 AAA、RADIUS确定访问人员的权限和计费 通过配置AAA及RADIUS等服务来实现部门员工登录的身份及权限的认证。保证合法的用户获得合适的权限访问合适的服务。 第*页 相关知识 SSH SSH是英文Secure Shell的简写形式。SSH连接所提供的功能类似于一个Telnet连接，与Telnet不同的是基于该连接所有的传输都是加密的。当用户通过一个不能保证安全的网络环境远程登录到路由器时，SSH特性可以提供安全的信息保障和强大的认证功能，以保护路由器不受诸如 IP地址欺诈、明文密码截取等攻击。 基于SSH连接安全性的考虑，禁止使用无认证方式登录。因此在用户登录认证时，所使用的登录认证方式必须设置密码；（Telnet可以设置无认证登录） 第*页 相关知识 SSH 每次输入的用户名(Username)与密码(Password)长度必须大于零。如果当前认证方式不需要用户名时，用户名可以任意输入，但是输入长度必须大于零。 缺省情况下，SSH SERVER处于关闭状态。打开SSH，只需要进入到全局配置模式下，生成公共密钥，使SSH SERVER的状态成为ENABLE 第*页 相关知识 RADIUS服务器认证 利用RADIUS服务器对用户登陆时的用户名和密码进行控制，这样路由器不再用本地保存的密码信息进行认证，而是将加密后的用户信息发送到RADIUS服务器上进行验证，服务器统一配置用户的用户名、用户密码、共享密码和访问策略等信息，便于管理和控制用户访问，提高用户信息的安全性。 网络设备支持基于本地数据库的身份认证系统，主要用于AAA模式下，通过方法列表中的本地认证；以及非AAA模式下，线路登录管理中的本地登录认证 第*页 相关知识 ACL技术 ACL是一种应用在交换机与路由器上的技术，其主要目的是对网络数据通信进行过滤，从而实现各种访问控制需求。ACL技术通过数据包中的五元组（源IP地址、目标IP地址、协议号、源端口号、目标端口号）来区分特定的数据流，并对匹配预设规则的数据采取相应的措施，允许（permit）或拒绝（deny）数据通过，从而实现对网络的安全控制 第*页 相关知识 DHCP监听 DHCP监听（DHCP Snooping）是交换机中的一种安全特性，它能够通过过滤网络中接入的伪DHCP（非法的、不可信的）服务器发送的DHCP报文增强网络安全性。DHCP监听还可以检查DHCP客户端发送的DHCP报文的合法性，防止DHCP DoS攻击 第*页 相关知识 STP STP是在网络中避免第二层桥接环路，并给交换网络提供了冗余性。虽然STP已经在网络中得到了广泛的部署，但它自身也存在着一些限制，其中最为突出的就是收敛速度慢，通常要花费至少30s的时间进行收敛，才能使网络拓扑达到稳定状态。但是对于现在的网络，显然30s的时间就太漫长了，例如某些路由协议，如OSPF、IS-IS等，都可以在短短的几秒内就完成收敛，显然STP的过长的收敛时间已经不能满足现在网络的需求，以及现代网络中的高可用性（HA）标准。 为了克服STP的这些限制，一些STP的增强和安全机制被开发了出来，包括快速端口（PortFast）、BPDU防护（BPDU Guard）和BPDU过滤（BPDU Filter） 第*页 任务实施—搭建网络环境 第*页 任务实施—安全管理和维护路由设备 第一步：创建路由器RA和RB的管理密码 由于路由器RA和RB在网络中的安全级别比较高所以在这里不仅设置了密码验证登录，而且针对远程teln