网络安全运行与维护配套资源72 提高企业网间路由系统安全保障.pptVIP

《网络安全运行与维护》 模块七 网络互联系统安全运行与维护能力 总体概述 为有效地利用公司带宽，并对员工进行上网行为的控制，实现办公网的安全管理与维护，公司希望采取以下措施保障公司网络安全。 在接入交换机上配置接入安全策略，提高网络接入安全 在汇聚层交换机上配置安全策略，提高网络抗攻击能力 对办公区用户群进行访问控制，提高办公区网络访问安全 生产网络 办公网络 能力单元2 提高企业网间路由系统安全 任务描述 随着拓维公司业务拓展的需要，除在天津开设分公司外，还相继在上海、南京、广州等地都开设了分公司，各分公司的办公网络通过Internet和北京总部网络连通，实现全公司通过网络协同办公。 由于公司的业务数据在通过Internet传输时，可能导致泄密，给公司信息带来安全隐患，因此，公司希望通过实施路由加密认证技术和VPN私有专用网安全技术，保障全公司网络通信安全。 任务分析 路由器可能会接收非法路由选择更新消息，该更新消息可能来自网络攻击者或路由器故障，网络攻击者可能试图破坏网络，或试图通过欺骗路由器来捕获路由器中通信的数据包。 针对拓维公司的网络运行现状，公司决定对全公司的办公网络进行改造，增加安全机制以保证公司网络之间的通信安全。在边界路由器上，通过实施路由安全认证技术、访问控制技术、接入认证技术和VPN技术，实现低代价、跨地域的安全访问，确保内部网络的访问安全。 ① 建立相应的安全认证准入机制，保证公司访问外网的带宽能够得到合理使用 ② 开启路由协议的认证功能，保证路由器在获取和更新路由表时，能有一个有效且合理的信息来源 ③ 在接入路由器上实施VPN安全，既保证网络的接入安全，还可以降低网络改造的费用，使办公网改造低成本接入。 相关知识 1．RIPv2认证安全 通常情况下RIPv1报文为广播报文，而其第二代的版本RIPv2报文则为组播报文，组播地址为224.0.0.9。RIPv2 是无类路由协议，它会在路由更新中包含子网掩码，因此 RIPv2 对当今路由环境的适应性更强，其增强功能包括：路由更新中包含下一跳地址，使用组播地址发送更新，可选择使用检验功能。 RIPv2通过更改RIP消息中第一个路由条目的字段来支持认证，并提供了MD5认证来代替简单口令认证。 相关知识 2．OSPF邻居身份验证安全 （1）OSPF协议介绍 OSPF是在单一自治系统内决策的路由协议，与RIP动态路由协议不同的是，OSPF是链路状态路由协议。OSPF协议通过路由器之间通告的网络接口状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表。 （2）OSPF协议路由验证 在OSPF路由协议中，所有的路由信息交换都必须经过验证，从而保证路由通信的安全。OSPF路由协议支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息，而且OSPF对不同的区域可以定义不同的验证方式，提高网络的安全。 拓扑结构 操作步骤 〖步骤1〗网络拓扑搭建 第1步：配置计算机的IP地址及网关信息 第2步：配置路由器的接口IP地址 ① 配置RA的F0/0、F0/1和F0/2接口的IP地址 ② 配置RB的F0/1和F0/2接口的IP地址 ③ 配置RC的F0/1和F0/2接口的IP地址 ④ 配置RD的F0/1和F0/2接口的IP地址 操作步骤 〖步骤1〗网络拓扑搭建 第3步：配置路由器的OSPF路由协议 ① 配置RA的OSPF路由协议，并将所有直连网络加入区域0 RA(config)#router ospf 10 RA(config-router)#network 192.168.3.0 0.0.0.255 area 0 RA(config-router)#network 192.168.5.0 0.0.0.255 area 0 RA(config-router)#network 172.16.1.0 0.0.0.255 area 0 操作步骤 〖步骤1〗网络拓扑搭建 第3步：配置路由器的OSPF路由协议 ② 配置RB的OSPF路由协议，并将所有直连网络加入区域0 ③ 配置RC的OSPF路由协议，并将所有直连网络加入区域0 ④ 配置RD的OSPF路由协议，并将所有直连网络加入区域0 第4步：测试配置结果 操作步骤 〖步骤2〗配置接入路由的设备安全 在公司的网络拓扑上，路由器RA和RB分别是总公司和外地分公司网络的骨干路由器，在网络中具有最高安全级别比。为保护骨干设备安全，需要设置密码验证登录，而且为了实现全网远程管理需要，还需要配置SSH加密验证登录，实现远程登录安全。 操作步骤 〖步骤2〗配置接入路由的设备安全 第1步：配置路由器的enable密码 R(config)#enable secret level 15 ruijie 第2步