{安全生产管理}安全管理路由器和交换机.pdfVIP

{安全生产管理}安全管理 路由器和交换机 在 网 络 上 用 明 文 传 送 数 据 、 用 户 帐 号和 用 户 口 令 ， 很 容 易 受 到 中 间 人 （man-in-the-middle ）攻击方式的攻击。就是存在另一个人或者一台机器冒充真正的 服务器接收用户传给服务器的数据，然后再冒充用户把数据传给真正的服务器。 而SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。透过 SSH 可以对所有传输的数据进 行加密，也能够防止 DNS 欺骗和 IP 欺骗。 SSH 之另一项优点为其传输的数据是经过压缩的，所以可以加快传输的速度。SSH 有很 多功能，它既可以代替Telnet ，又可以为FTP 、POP 、甚至为PPP 提供一个安全的 “通 道”。 1.3.2SSH 基本结构 SSH 协议框架中最主要的部分是三个协议：  传输层协议（TheTransportLayerProtocol ）：传输层协议提供服务器认证， 数据机密性，信息完整性等的支持。  用户认证协议（TheUserAuthenticationProtocol ）：用户认证协议为服务器 提供客户端的身份鉴别。  连接协议（TheConnectionProtocol ）：连接协议将加密的信息隧道复用成若 干个逻辑通道，提供给更高层的应用协议使用。 同时还有为许多高层的网络安全应用协议提供扩展的支持。 各种高层应用协议可以相对地独立于 SSH 基本体系之外，并依靠这个基本框架，通过连 接协议使用 SSH 的安全机制。 1.3.3SSH 安全验证 在客户端来看，SSH 提供两种级别的安全验证。 第一种级别（基于密码的安全验证），知道帐号和密码，就可以登录到远程主机，并且 所有传输的数据都会被加密。但是，可能会有别的服务器在冒充真正的服务器，无法避 免被“中间人”攻击。 第二种级别（基于密匙的安全验证），需要依靠密匙，也就是你必须为自己创建一对密 匙，并把公有密匙放在需要访问的服务器上。客户端软件会向服务器发出请求，请求用 你的密匙进行安全验证。服务器收到请求之后，先在你在该服务器的用户根目录下寻找 你的公有密匙，然后把它和你发送过来的公有密匙进行比较。如果两个密匙一致，服务 器就用公有密匙加密“质询”（challenge）并把它发送给客户端软件。从而避免被“中 间人”攻击。 在服务器端，SSH 也提供安全验证。在第一种方案中，主机将自己的公用密钥分发给相 关的客户端，客户端在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自 己的私有密钥来解密数据，从而实现主机密钥认证，确定客户端的可靠身份。在第二种 方案中，存在一个密钥认证中心，所有提供服务的主机都将自己的公开密钥提交给认证 中心，而任何作为客户端的主机则只要保存一份认证中心的公开密钥就可以了。在这种 模式下，客户端必须访问认证中心然后才能访问服务器主机。 1.4 实施过程指导 1.4.1 控制 console 和 vty 访问 第一步：配置访问控制列表 Switch(config)#access-list10permithost Router(config)#access-list10permithost 第二步：控制 console 访问 Switch(config)#enablesecrectlevel15ruijie Switch(config)#lineconsole0 Switch(config-line)#login Switch(config-line)#passwordstar Switch(config-line)#exit Switch(config)# Router(config)#enablesecrectlevel15ruijie Router(config)#lineconsole0 Router(config-line)#login Router(config-line)#passwordstar Router(config-line)#exi