1、信息安全,沈阳航空航天大学,E-Mail:LS,主讲:李顺,,第7章网络设备安全,E-Mail:LS,,第7章网络设备安全,7.1 网络设备安全概述 设备的安全始终是信息网络安全的一个重要方面,攻击者往往通过控制网络中的设备来 破坏系统和信息,或扩大已有的破坏。只有网络中的所有结点都安全了,才能说整个网络状况是安全的。 网络设备包括主机(服务器、工作站、PC)和网络设施(交换机、路由器等)。 一般来说,一次网络攻击的成功与否取决于 3个因素:攻击者的能力(Capability);攻击 者的动机(Motivation)和攻击者的机会(Opportunity)。普通用户是无法削弱攻击者的能力和动机
2、这两个因素的,但是管理员可以尽量减少他们的攻击机会。,E-Mail:LS,E-Mail:LS,,7.1 网络设备安全概述,这些设备的安全脆弱性包括以下方面:(1)提供不必要的网络服务,提高了攻击者的攻击机会(2)存在不安全的配置,带来不必要的安全隐患(3)不适当的访问控制(4)存在系统软件上的安全漏洞(5)物理上没有得到安全存放,容易遭受邻近攻击(Close-in Attack),E-Mail:LS,E-Mail:LS,,7.1 网络设备安全概述,针对这些安全弱点,可提出如下的设备安全加固技术建议:1.禁用不必要的网络服务2.修改不安全的配置3.利用最小权限原则严格对设备的访问控制4.及时对系
3、统进行软件升级5.提供符合 IPP 要求的物理保护环境,E-Mail:LS,E-Mail:LS,,第7章网络设备安全,7.2 交换机安全防范技术 利用交换机的流量控制功能,可以把流经端口的异常流量限制在一定的范围内。 7.2.1流量控制技术1.广播风暴控制技术(1)广播风暴抑制比(2)为VLAN指定广播风暴抑制比2.MAC地址控制技术(1)MAC地址与端口绑定(2)通过MAC地址来限制端口流量(3)根据MAC地址来拒绝流量3.配置802.1X身份认证,E-Mail:LS,E-Mail:LS,,7.2 交换机安全防范技术,7.2.2 访问控制列表技术ACL主要具3个方面的功能:(1)限制网络流量
4、(2)提供网络访问的基本安全手段(3)在交换机接口处,决定哪种类型的通信流量被转发,哪种通信类型的流量被阻塞ACL的访问规则主要有3种:(1)标准访问控制列表(2)扩展访问控制列表(3)基于端口和VLAN的访问控制列表,可对交换机的具体对应端口或整个VLAN进行访问控制,E-Mail:LS,E-Mail:LS,,7.2 交换机安全防范技术,1.利用标准ACL控制网络访问2.利用扩展ACL控制网络访问3.基于端口和VLAN的ACL访问控制4.显示访问控制列表,E-Mail:LS,E-Mail:LS,,第7章网络设备安全,7.3 网络服务和路由协议安全7.3.1 网络服务安全配置1. 禁用不需要的
5、服务(1) 禁止 CDP 协议(2) 禁止其他的 TCP、UDP Small 服务。(3) 禁止 Finger 服务(4) 建议禁止 http server 服务 (5) 禁止 bootp server 服务(6) 禁止代理 ARP 服务(7) 过滤进来的 ICMP 的重定向消息(8) 建议禁止 SNMP 协议服务(9) 如果没必要则禁止 WINS 和 DNS 服务 (10) 明确禁止不使用的端口,E-Mail:LS,E-Mail:LS,,7.3 网络服务和路由协议安全,7.3.2路由协议安全配置1IP 协议安全配置(1) 禁止 IP 源路由(2) 禁止 IP 直接广播(3) 禁止超网路由2. OSPF 动态路由协议安全配置3. 启用 OSPF 路由协议的认证4RIP 协议的认证5. 启用 passive-interface 命令6. 控制网络的垃圾信息流7. 启用逆向路径转发8IP 欺骗的简单防护,E-Mail:LS,E-Mail:LS,,7.3 网络服务和路由协议安全,9ICMP 协议的安全配置10. 防范分布式拒绝服务攻击7.3.3路由器其他安全配置1. 使用 SSH 远程登录2. 及时升级 IOS 软件3. 网络运行监视(1) 配置日志服务器配置 NTP 服务器,E-Mail:LS,E-Mail:LS,Thank You !,LS,
