第七讲、网络基础设施安全摘要.pptVIP

第七讲、网络基础设施安全 （2）路由系统安全 目录 7.1 局域网和VLAN 7.2 远程访问（拨号） 7.3 路由系统安全 7.4 网络管理系统安全 7.5 域名系统安全 7.3 路由系统安全 7.3.1路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击 低端路由器外观 高端路由器外观 核心路由器外观 路由器的内部结构 路由器配置方式 超级终端 超级终端通信参数配置 路由器配置界面 登录路由器 内存 :ROM 只读存储器（ROM） 只读存储器，存放引导程序和IOS的一个最小子集，相当于PC的BIOS。 闪存（Flash） 包含压缩的IOS和微代码，是一种可擦写、可编程的ROM，系统掉电时数据不会丢失。 NVRAM（No-Voliate RAM） 存放路由器的配置文件，系统掉电时数据不会丢失。 内存 ：RAM RAM 动态内存，系统掉电，内容丢失 操作系统运行的空间 路由器的启动过程 首先运行ROM的程序，系统自检和引导 读Flash内的IOS，装入RAM中 从NVRAM中读入路由器的配置信息 计算并生成初始路由表 通过与相邻路由器交换路由信息，更新、完善路由表 7.3 路由系统安全 7.3.1路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击 动态路由和静态路由 静态路由（Static Routes） 静态路由举例 缺省路由 什么是路由协议 路由协议用于路由器之间交换信息，这些信息用来决定最佳路径，维护路由表 内部/外部网关路由协议 （IGP/EGP） 距离向量/链路状态路由协议 距离向量路由协议 Pass periodic copies of routing table to neighbor routers and accumulate distance vectors 距离向量—路由发现过程 Routers discover the best path to destinations from each neighbor 距离向量—路由发现过程 Routers discover the best path to destinations from each neighbor 距离向量—路由发现过程 Routers discover the best path to destinations from each neighbor RIP 简介 距离向量路由协议 用跳数（Hop）计算路径的尺度（metric） 每30秒广播一次路由表 RIP 配置命令 Starts the RIP routing process RIP 配置实例 debug ip rip Command 链路状态路由协议 After initial flood, pass small event-triggered link-state updates to all other routers 7.3 路由系统安全 7.3.1路由器工作原理简介 7.3.2路由协议及安全特性 7.3.3路由器自身的安全防护 7.3.4访问控制列表 7.3.5 使用路由器防止拒绝服务的攻击 使用边界路由器保护内部网络 路由其自身的安全保护 路由协议安全配置 路由器实现访问控制 防止DoS 攻击 保护路由器自身的安全 控制对路由器的访问 控制台访问 Telnet HTTP SNMP 关闭不必要的服务 路由协议认证 审计 控制台访问 物理安全： 在路由器加电启动时，可以通过按“Break”键，进入口令恢复过程 通过修改寄存器的值，可以使启动过程绕过口令验证 设置控制台口令 控制台访问 设置口令加密 缺省条件下, enable 口令是明文存储的，很容易被看到（控制台、telnet） 两种方式： Service password-encryption enable secret 控制台访问 口令加密 enable secret 超时退出 控制Telnet、HTTP的访问 telnet 口令 Telnet 端口在路由器上被称为vty端口 必须在vty上配置一个启用口令才能通过telnet访问 控制列表 控制SNMP的访问 SNMP概述 控制SNMP的访问 SNMPv1 Community name 明文传输 没有访问控制 用snmpwalk等工具可以得到路由器的配置性 SNMPv2 增加了视图的概念，访问控制机制 控制SNMP的访问 SNMP TRAP 设备启动、链路中断、链路启动、认证失败等 访问控制 关闭不必要的服务 No service tcp