网络与信息安全.pptx

《网络与信息安全.pptx》由会员分享，可在线阅读，更多相关《网络与信息安全.pptx（41页珍藏版）》请在第壹文秘上搜索。

1、2023-5-5网络网络(wnglu)与信息安与信息安全全第一页，共41页。第二页，共41页。第一(dy)部分网络协议与安全威胁第三页，共41页。链路层设驱动(q dn)备程序及接口卡网络层传输层应用层IP、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet第四页，共41页。链路层网络层传输层应用层邮寄(yuj)物品邮寄类型(lixng)和申请邮件封装邮寄线路第五页，共41页。链路层网络层传输层应用层网络窃听(qi tn)攻击地址(dzh)欺骗攻击拒绝服务攻击信息扫描攻击服务系统攻击第六页，共41页。第二部分(b fen)网络安全控制第七页，共41页。 网络系统L3L2L

2、1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器 资源(zyun)子网通信线路 主机(zhj) 通信子网 主机网络系统通信线路L1L2L3L1L2L3L4L5L6L7L4L5L6L7 网络通信 子系统L4L5L6L7L1L2L3WANLAN第八页，共41页。n上层用户：上层协议站，是通信的信源和信宿；上层用户：上层协议站，是通信的信源和信宿；n通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、流量通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、流量控制、差错控制、应答机制、数据包的拆分与重组等；控制、

3、差错控制、应答机制、数据包的拆分与重组等； n通信服务：是通信功能的外部表现，为上层用户提供通信支持通信服务：是通信功能的外部表现，为上层用户提供通信支持(zhch)； n通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示；通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示；n通信子系统通过本层的通信功能和下层的通信服务，实现本层不同通信实体通信子系统通过本层的通信功能和下层的通信服务，实现本层不同通信实体之间的通信，并为上层协议提供通信服务。之间的通信，并为上层协议提供通信服务。通信(tng xn)介质协议站1协议站2上层用户1上层用户2通信服务访问通信协议通信功能通信子系统

4、下层通信服务通信实体1通信实体2第九页，共41页。互联基础设施互联基础设施(j ch sh sh)域域支撑支撑(zh chng)基础设施域基础设施域局域计算局域计算(j sun)接入域接入域局域计算局域计算服务域服务域服务和管理对象服务和管理对象检测和响应、KMI、应急和恢复处理计算存储本地接入远程接入第十页，共41页。nn第十一页，共41页。n一般常常理解的安全域（网络安全域）是指同一系统内有相一般常常理解的安全域（网络安全域）是指同一系统内有相同的安全保护需求，相互信任，并具有相同的安全访问控制同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全

5、域共享一和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。样的安全策略。n如果如果(rgu)理解广义的安全域概念则是，理解广义的安全域概念则是，n具有相同业务要求和安全要求的具有相同业务要求和安全要求的IT系统要素的集合。系统要素的集合。n这些这些IT系统要素包括：系统要素包括：n网络区域网络区域n主机和系统主机和系统n人和组织人和组织n物理环境物理环境n策略和流程策略和流程n业务和使命等业务和使命等第十二页，共41页。第十三页，共41页。n需求牵引：业务层面的需求（不同业务、不同部门的安全等级需求不同）需求牵引：业务层面的需求（不同业务、不同部门的安全等级需求不同）以及网络结

6、构层面的需求（安全域在逻辑上可以和网络层次结构对应）；以及网络结构层面的需求（安全域在逻辑上可以和网络层次结构对应）；与现有网络结构，网络拓扑紧密结合，尽量不大规模的影响网络布局与现有网络结构，网络拓扑紧密结合，尽量不大规模的影响网络布局（考虑到用户需求和成本等因素）与业务需求一致性原则，安全域的范（考虑到用户需求和成本等因素）与业务需求一致性原则，安全域的范围，边界的界定不能导致业务与实际分离；围，边界的界定不能导致业务与实际分离；n统一安全策略：安全域的最重要的一个特征是安全策略的一致性，所以统一安全策略：安全域的最重要的一个特征是安全策略的一致性，所以划分安全域的的前提是具备自上而下（纵

7、向的），自内而外（横向划分安全域的的前提是具备自上而下（纵向的），自内而外（横向(hn xin)的）的宏观上的安全策略规划；的）的宏观上的安全策略规划；n部署实施方便：最少化安全设备原则，合理的安全域划分可以减少冗余部署实施方便：最少化安全设备原则，合理的安全域划分可以减少冗余设备，精简开支；设备，精简开支；n等级保护的需要；等级保护的需要；n为集中化的安全管理服务。为集中化的安全管理服务。第十四页，共41页。接入区域(qy)逻辑隔离业务处理(chl)区域业务(yw)终端区域业务处理区域横向骨干接入区域逻辑隔离业务处理区域业务终端区域业务处理区域核心数据区域CCCCCCCCCCCC纵向骨干第十

8、五页，共41页。n安全边界将需要保护的资源、可能的风险和保安全边界将需要保护的资源、可能的风险和保障的需求结合起来障的需求结合起来n可以在通信路径上完成访问控制的授权、范围、可以在通信路径上完成访问控制的授权、范围、期限。期限。n安全边界的设计安全边界的设计(shj)n良好的清晰度以便进行审查和测试良好的清晰度以便进行审查和测试n具备简洁性以便能够迅速自动化执行减轻维护具备简洁性以便能够迅速自动化执行减轻维护人员的工作量人员的工作量n具备现实性以便采用成熟的技术和产品具备现实性以便采用成熟的技术和产品n安全边界可采用的安全技术包括隔离、监控、安全边界可采用的安全技术包括隔离、监控、检测、评估、

9、审计、加密等。检测、评估、审计、加密等。第十六页，共41页。第十七页，共41页。第三部分交换机设备安全(nqun)配置第十八页，共41页。第十九页，共41页。第二十页，共41页。n说明说明nSpanning Tree Protocoln防止交换网络产生回路防止交换网络产生回路nRoot BridgenBPDU-bridge ID, path cost, interfacen攻击攻击n强制接管强制接管root bridge，导致网络逻辑结构改变，导致网络逻辑结构改变，在重新生成在重新生成STP时，可以导致某些端口暂时时，可以导致某些端口暂时(znsh)失效，可以监听大部份网络流量。失效，可以监听

10、大部份网络流量。nBPDU Flood：消耗带宽，拒绝服务：消耗带宽，拒绝服务n对策对策n对对User-End端口，禁止发送端口，禁止发送BPDU第二十一页，共41页。n作用作用nVlan Trunking Protocoln统一了整个网络的统一了整个网络的VLAN配置和管理配置和管理n可以将可以将VLAN配置信息传递到其它交换机配置信息传递到其它交换机n动态添加删除动态添加删除VLANn准确跟踪和监测准确跟踪和监测VLAN变化变化n模式模式nServer, Client, Transparentn脆弱性脆弱性nDomain：只有属于：只有属于(shy)同一个同一个Domain的交换机才的交换

11、机才能交换能交换Vlan信息信息 set vtp domain netpowernPassword：同一：同一domain可以相互通过经可以相互通过经MD5加密的加密的password验证，但验证，但password设置非必需的，如果未设设置非必需的，如果未设置置password，可能构造，可能构造VTP帧，添加或者删除帧，添加或者删除Vlan。n对策对策n设置设置passwordn尽量将交换机的尽量将交换机的vtp设置为设置为Transparent模式：模式：set vtp domain netpower mode transparent password sercetvty第二十二页，共4

12、1页。第四部分路由器设备(shbi)安全配置第二十三页，共41页。第二十四页，共41页。第二十五页，共41页。第二十六页，共41页。设备用户名密码级别baybay路由器路由器useruser空空用户用户ManagerManager空空管理员管理员bay 350Tbay 350T交换机交换机NetlCsNetlCs无关无关管理员管理员bay superStack IIbay superStack IIsecuritysecuritysecuritysecurity管理员管理员3com3com交换机交换机adminadminsynnetsynnet管理员管理员readreadsynnetsynne

13、t用户用户writewritesynnetsynnet管理员管理员debugdebugsynnetsynnet管理员管理员techtechtechtechmonitormonitormonitormonitor用户用户managermanagermanagermanager管理员管理员securitysecuritysecuritysecurity管理员管理员ciscocisco路由器路由器(telnet)(telnet)c(Cisco 2600s)c(Cisco 2600s)管理员管理员(telnet)(telnet)ciscocisco用户用户enableenableciscocisco管

14、理员管理员(telnet)(telnet)cisco routerscisco routersshivashivarootroot空空管理员管理员第二十七页，共41页。nCisco路由器的密码路由器的密码(m m)n弱加密弱加密nMD5加密加密nEnable secret 5第二十八页，共41页。nSNMPn版本版本 SNMPv1,SNMPv2,SNMPv3nSnmp AgentnMIBn轮循轮循(Polling-only)和中断和中断(zhngdun)(Interupt-base)nSnmp网管软件网管软件n禁用简单网络管理协议禁用简单网络管理协议nno snmp-server enable

15、n使用使用SNMPv3加强安全特性加强安全特性nsnmp-server enable traps snmp auth md5n使用强的使用强的SNMPv1通讯关键字通讯关键字nsnmp-server communityname第二十九页，共41页。n使用使用(shyng)加密的强密码加密的强密码nservice password-encryptionnenable secret pa55w0rdn使用使用(shyng)分级密码策略分级密码策略nenable secret 6 pa55wordnprivilege exec 6 shown使用使用(shyng)用户密码策略用户密码策略nuser

16、name password pass privilege exec 6 shown控制网络线路访问控制网络线路访问naccess-list 8 permit 192.168.0.10naccess-list 8 permit *.*.*.*naccess-list 8 deny anynline vty 0 4naccess-class 8 inn设置网络连接超时设置网络连接超时nExec-timeout 5 0第三十页，共41页。n降低路由器遭受应用层攻击降低路由器遭受应用层攻击n1 禁止禁止CDP(Cisco Discovery Protocol)。如：。如：n Router(Config)#no cdp run n Router(Config-if)# no cdp enablen2 禁止其他的禁止其他的TCP、UDP Small服务。服务。n Router(Config)# no service tcp-small-serversn Router(Config)# no service udp-samll-serversn3 禁止禁止Finger服务。服务。n Router(C