10-3 网络安全监控.pptx

项目10

网络安全管理技术

网络安全监控

03.

系统日志

日志记录是发现网络事件和执行排错的一项重要工具。正确的日志记录，能够反应多台设备事件之间的关联，是建立安全网络的重要一环。如果没有合适的时间戳，系统日志消息就无法在排除故障中发挥作用。

网络时间协议

时间是一个非常重要的元素，使用NTP来同步时间，使产生信息和时间戳的事件能够相互建立关联，如果没有合适的时间戳，系统日志消息就无法在排除故障中发挥作用。NTP使用权威时间源的层次结构，使网络上的设备之间可以共享时间信息，并且共享一致时间信息的设备消息可以提交到系统日志服务器上，NTP通常侦听在UDP的123端口。

简单网络管理协议

SNMP（SimpleNetworkManagementProtocol，简单网络管理协议）的前身是简单网关监控协议（SGMP），用来对通信线路进行管理。SNMP由一组网络管理的标准组成，包含一个应用层协议、数据库模型和一组资料物件，该协议用以监测连接到网络上的设备是否有任何引起管理上关注的情况。SNMP是广泛用作网络管理的协议，直到第3版都还没有真正的安全选项。

SNMPv2认证是由简单的文本字符串组成的，并且在设备之间以明文且未加密的形式进行通信。Read-Only（只读）字符串能满足多数案例的需求。要想以安全的方式使用SNMP，就要使用SNMPv3和加密密码，并使用ACL来限制可信工作站和可信子网，执行如下命令：

R1(config)#snmp-servercommunitycrnet@aia!nf0RW10

R1(config)#snmp-servercommunitybjcrnetRO10

//设置SNMP只读或读写串口令，10为Access-list号

R1(config)#access-list10permit210.82.8.650.0.0.0

R1(config)#access-list10permit210.82.8.690.0.0.0

//只让210.82.8.65和210.82.8.69两台主机可以通过SNMP采集路由器数据

NetFlow

NetFlow是思科开发的一种协议，为IP应用提供高效的一系列重要服务，包括网络流量统计、基于利用率的网络账单、网络规划、安全、拒绝服务监控功能和网络监控，可提供有关网络用户、应用程序、高峰使用时间以及流量路由的重要信息。

NetFlow不像完整的数据包捕获一样捕获数据包的全部内容，而是记录有关数据包流的信息。例如，在Wireshark中可以查看完整的数据包捕获，而NetFlow收集元数据或有关流的数据，而不是数据流本身，将高速缓存中的流量进行归纳总结，以图形化更为直观的方式在管理终端上显示出来。

使用SNMP管理网络设备

采用如图所示的网络拓扑结构，通过在路由器R2上配置读写权限的共同体命令，能够查询路由器接口fa0/0的MAC地址和关闭该接口。具体操作过程如下。

使用SNMP管理网络设备

1．配置读写共同体

执行如下命令：

R2(config)#snmp-servercommunitycqcetrw//在R2上配置读写共同体cqcet

2．配置终端管理程序

启动PC桌面下的MIBBrowser程序，单击Advanced按钮，输入被管理设备的IP地址，读写权限共同体cqcet，版本选v3，单击OK按钮。

使用SNMP管理网络设备

3．查询路由器接口的MAC地址

查询路由器R2接口fa0/0接口的MAC地址，在SNMPMIBS栏展开被管理对象节点，确定被管理对象，在Operation下拉菜单中选择get选项，单击GO按钮，在ResultTable栏中出现路由器接口的MAC地址，路由器总共有三个接口：两个物理接口fa0/0和fa0/1和一个VLAN1接口，其中两个物理接口的MAC地址，可以通过路由器接口配置界面获得。

使用SNMP管理网络设备

4．关闭路由器接口

在Operation下拉菜单中选择set选项，单击GO按钮，弹出SNMPSet配置界面，在OID框中输入fa0/0接口对象对应的OID，DataType选择为Integer，Value值填写为2，表示关闭接口操作，然后单击OK按钮。

使用端口镜像来监控网络流量

1．端口分析器的概念

交换机总是尽可能地将数据帧直接转发至目的地，除非目的MAC地址不明确，或是广播或组播MAC地址时，数据帧才会被交换机泛洪至VLAN内的所有交换机的端口，由此可见，并不能简单地把网络协议分析仪连接到交换机来监控感兴趣的数据流。

交换机能够使用端口分析器（SPAN）特性，把一个或多个端口/VLAN（镜像源）的数据流“镜像”（复制）到特定的目的端口。

使用端口镜像来监控网络流量

2．端口分析器的