第7章网络设备安全.pptVIP

第 7 章 网络设备安全 本章以思科公司的系列路由器交换机为例，对常用的网络设备及防火墙产品的安全特性进行了全面的介绍，讨论了常用网络设备的安全防范技术和配置方法，并介绍了网络设备安全审核的一个小工具——网络设备配置剖析器Nipper。 7.1 网络设备安全概述 设备的安全始终是信息网络安全的一个重要方面，攻击者往往通过控制网络中设备来破坏系统和信息，或扩大已有的破坏。只有网络中所有结点都安全了，才能说整个网络状况是安全的。 网络设备包括主机（服务器、工作站、PC）和网络设施（交换机、路由器等）。 对网络设备进行安全加固的目的是减少攻击者的攻击机会。 如果设备本身存在安全上的脆弱性，往往会成为攻击目标。 设备的安全脆弱性包括： （1）提供不必要的网络服务，提高了攻击者的攻击机会 （2）存在不安全的配置，带来不必要的安全隐患 （3）不适当的访问控制 （4）存在系统软件上的安全漏洞 （5）物理上没有安全存放，遭受临近攻击（close-in attack） 针对上述安全弱点，可提出如下的设备安全加固技术建议： 1. 禁用不必要的网络服务 2. 修改不安全的配置 3. 利用最小权限原则严格对设备的访问控制 4. 及时对系统进行软件升级 5. 提供符合IPP要求的物理保护环境 7.2交换机安全防范技术 交换机作为局域网信息交换的主要设备，特别是核心交换机和汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。 利用交换机的流量控制功能，可以把流经端口的异常流量限制在一定的范围内。 7.2.1 流量控制技术 流量控制技术把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能，能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。不过，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的范围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。 1. 广播风暴控制技术 网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。 （1）广播风暴抑制比 在CISCO catalyst switch以太网端口配置模式下使用以下命令限制端口上允许通过的广播流量的大小： int XX storm-control broadcast level 20.00 switch#sh storm Interface Filter State Level Current --------- ------------- ------- ------- Fa1/0/1 Forwarding 20.00% 0.00% （2）为VLAN指定广播风暴抑制比 也可以使用上面的命令设置VLAN允许通过的广播流量的大小。默认情况下，系统所有VLAN不做广播风暴抑制，即broadcast level值为100%。 2. MAC地址控制技术 可以通过MAC地址绑定来控制网络的流量，来抑制MAC攻击。网卡的MAC地址通常是唯一确定的，采用IP－MAC地址解析技术来防止IP地址的盗用，建立一个IP地址与MAC地址的对应表，然后查询此表，只有IP-MAC地址对合法注册的机器才能得到正确的ARP应答。 （1）MAC地址与端口绑定。 Switch#conf t Switch(config)#int f0/1 Switch(config-if)#switchport mode access ! 指定端口模式。 Switch(config-if)#switchport port-security mac-address 00-90-F5-10-79-C1 ! 配置MAC地址。 Switch(config-if)#switchport port-security maximum 1 ! 限制此端口允许通过的MAC地址数为1。 Switch(config-if)#switchport port-security violation shutdown ! 当发现与上述配置不符时，端口down掉。 （2）通过MAC地址