3网络与信息安全

《3网络与信息安全》由会员分享，可在线阅读，更多相关《3网络与信息安全（42页珍藏版）》请在装配图网上搜索。

1、网络与通信安全网络与通信安全中国信息安全产品测评认证中心（中国信息安全产品测评认证中心（中国信息安全产品测评认证中心（中国信息安全产品测评认证中心（CNITSECCNITSECCNITSECCNITSEC）CISP-CISP-CISP-CISP-网络与通信安全（培训稿）网络与通信安全（培训稿）网络与通信安全（培训稿）网络与通信安全（培训稿）课程内容n n网络协议与安全威胁网络协议与安全威胁n n网络安全控制网络安全控制n n交换机设备安全配置交换机设备安全配置n n路由器设备安全配置路由器设备安全配置2 2第一部分网络协议与安全威胁3 3四层协议链路层设驱动备程序及接口卡网络层传输层应用层IP

2、、ICMP、IGMPTCP、UDPMail、FTP、HTTP、Telnet4 4工作模式链路层网络层传输层应用层邮寄物品邮寄类型和申请邮件封装邮寄线路5 5四层协议与网络攻击链路层网络层传输层应用层网络窃听攻击地址欺骗攻击拒绝服务攻击信息扫描攻击服务系统攻击6 6第二部分网络安全控制7 7OSI网络参考模型网络组成结构 网络系统L3L2L1L7L6L5L4L3L2L1L7L6L5L4L3L2L1L3L2L1L7L6L5L4L3L2L1L3L2L1路由器 资源子网通信线路 主机 通信子网 主机网络系统通信线路L1L2L3L1L2L3L4L5L6L7L4L5L6L7 网络通信 子系统L4L5L6L

3、7L1L2L3WANLAN8 8OSI网络参考模型通信模式n n上层用户：上层协议站，是通信的信源和信宿；上层用户：上层协议站，是通信的信源和信宿；上层用户：上层协议站，是通信的信源和信宿；上层用户：上层协议站，是通信的信源和信宿；n n通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、通信功能：为实现通信所能提供的特定操作和控制机制，如数据传送、流量控制、差错控制、应答机制、数据包的拆分与重组等；流量控制、差错控制、应答机制、数据包的拆分与重组等；流量控制、

4、差错控制、应答机制、数据包的拆分与重组等；流量控制、差错控制、应答机制、数据包的拆分与重组等；n n通信服务：是通信功能的外部表现，为上层用户提供通信支持；通信服务：是通信功能的外部表现，为上层用户提供通信支持；通信服务：是通信功能的外部表现，为上层用户提供通信支持；通信服务：是通信功能的外部表现，为上层用户提供通信支持；n n通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示；通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示；通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示；通信介质：本层以下所有协议层，是本层以下通信结构的抽象表示；n n通信子系统通过本层的通信

5、功能和下层的通信服务，实现本层不同通信通信子系统通过本层的通信功能和下层的通信服务，实现本层不同通信通信子系统通过本层的通信功能和下层的通信服务，实现本层不同通信通信子系统通过本层的通信功能和下层的通信服务，实现本层不同通信实体之间的通信，并为上层协议提供通信服务。实体之间的通信，并为上层协议提供通信服务。实体之间的通信，并为上层协议提供通信服务。实体之间的通信，并为上层协议提供通信服务。通信介质协议站1协议站2上层用户1上层用户2通信服务访问通信协议通信功能通信子系统下层通信服务通信实体1通信实体29 9理论依据互联基础设施域互联基础设施域支撑基础设施域支撑基础设施域局域计算局域计算接入域接

6、入域局域计算局域计算服务域服务域服务和管理对象服务和管理对象检测和响应、KMI、应急和恢复处理计算存储本地接入远程接入1010理论依据n n美国总统关键基美国总统关键基础设施保护委员础设施保护委员会关于加强会关于加强SCADA网络的网络的21条建议条建议n n美国国家安全局美国国家安全局IATFn nDMTF的分布式的分布式管理方法和模型管理方法和模型n n软件行为学软件行为学n n1111安全域综述概念&理解n n一般常常理解的安全域（网络安全域）是指同一系统一般常常理解的安全域（网络安全域）是指同一系统一般常常理解的安全域（网络安全域）是指同一系统一般常常理解的安全域（网络安全域）是指同一

7、系统内有相同的安全保护需求，相互信任，并具有相同的内有相同的安全保护需求，相互信任，并具有相同的内有相同的安全保护需求，相互信任，并具有相同的内有相同的安全保护需求，相互信任，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同安全访问控制和边界控制策略的子网或网络，且相同安全访问控制和边界控制策略的子网或网络，且相同安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。的网络安全域共享一样的安全策略。的网络安全域共享一样的安全策略。的网络安全域共享一样的安全策略。n n如果理解广义的安全域概念则是，如果理解广义的安全域概念则是，如果理解广义的安全域概念则是，如果

8、理解广义的安全域概念则是，具有相同业务要求和安全要求的具有相同业务要求和安全要求的具有相同业务要求和安全要求的具有相同业务要求和安全要求的ITIT系统要素的集合。系统要素的集合。系统要素的集合。系统要素的集合。n n这些这些这些这些ITIT系统要素包括：系统要素包括：系统要素包括：系统要素包括：网络区域网络区域网络区域网络区域 主机和系统主机和系统主机和系统主机和系统 人和组织人和组织人和组织人和组织 物理环境物理环境物理环境物理环境 策略和流程策略和流程策略和流程策略和流程 业务和使命等业务和使命等业务和使命等业务和使命等1212安全域综述安全域的意义n n基于网络和系统进行安全检查和评估的

9、基于网络和系统进行安全检查和评估的基础基础n n安全域的分割是抗渗透的防护方式安全域的分割是抗渗透的防护方式n n基于网络和系统进行安全建设的部署依基于网络和系统进行安全建设的部署依据据n n安全域边界是灾难发生时的抑制点，防安全域边界是灾难发生时的抑制点，防止影响的扩散止影响的扩散1313安全区域的划分原则n n需求牵引：业务层面的需求（不同业务、不同部门的安全等级需需求牵引：业务层面的需求（不同业务、不同部门的安全等级需需求牵引：业务层面的需求（不同业务、不同部门的安全等级需需求牵引：业务层面的需求（不同业务、不同部门的安全等级需求不同）以及网络结构层面的需求（安全域在逻辑上可以和网络求不

10、同）以及网络结构层面的需求（安全域在逻辑上可以和网络求不同）以及网络结构层面的需求（安全域在逻辑上可以和网络求不同）以及网络结构层面的需求（安全域在逻辑上可以和网络层次结构对应）；与现有网络结构，网络拓扑紧密结合，尽量不层次结构对应）；与现有网络结构，网络拓扑紧密结合，尽量不层次结构对应）；与现有网络结构，网络拓扑紧密结合，尽量不层次结构对应）；与现有网络结构，网络拓扑紧密结合，尽量不大规模的影响网络布局（考虑到用户需求和成本等因素）与业务大规模的影响网络布局（考虑到用户需求和成本等因素）与业务大规模的影响网络布局（考虑到用户需求和成本等因素）与业务大规模的影响网络布局（考虑到用户需求和成本等

11、因素）与业务需求一致性原则，安全域的范围，边界的界定不能导致业务与实需求一致性原则，安全域的范围，边界的界定不能导致业务与实需求一致性原则，安全域的范围，边界的界定不能导致业务与实需求一致性原则，安全域的范围，边界的界定不能导致业务与实际分离；际分离；际分离；际分离；n n统一安全策略：安全域的最重要的一个特征是安全策略的一致性，统一安全策略：安全域的最重要的一个特征是安全策略的一致性，统一安全策略：安全域的最重要的一个特征是安全策略的一致性，统一安全策略：安全域的最重要的一个特征是安全策略的一致性，所以划分安全域的的前提是具备自上而下（纵向的），自内而外所以划分安全域的的前提是具备自上而下（

12、纵向的），自内而外所以划分安全域的的前提是具备自上而下（纵向的），自内而外所以划分安全域的的前提是具备自上而下（纵向的），自内而外（横向的）的宏观上的安全策略规划；（横向的）的宏观上的安全策略规划；（横向的）的宏观上的安全策略规划；（横向的）的宏观上的安全策略规划；n n部署实施方便：最少化安全设备原则，合理的安全域划分可以减部署实施方便：最少化安全设备原则，合理的安全域划分可以减部署实施方便：最少化安全设备原则，合理的安全域划分可以减部署实施方便：最少化安全设备原则，合理的安全域划分可以减少冗余设备，精简开支；少冗余设备，精简开支；少冗余设备，精简开支；少冗余设备，精简开支；n n等级保护的

13、需要；等级保护的需要；等级保护的需要；等级保护的需要；n n为集中化的安全管理服务。为集中化的安全管理服务。为集中化的安全管理服务。为集中化的安全管理服务。1414安全控制接入区域逻辑隔离业务处理区域业务终端区域业务处理区域横向骨干接入区域逻辑隔离业务处理区域业务终端区域业务处理区域核心数据区域CCCCCCCCCCCC纵向骨干1515安全边界n n安全边界将需要保护的资源、可能的风险和保安全边界将需要保护的资源、可能的风险和保安全边界将需要保护的资源、可能的风险和保安全边界将需要保护的资源、可能的风险和保障的需求结合起来障的需求结合起来障的需求结合起来障的需求结合起来n n可以在通信路径上完成

14、访问控制的授权、范围、可以在通信路径上完成访问控制的授权、范围、可以在通信路径上完成访问控制的授权、范围、可以在通信路径上完成访问控制的授权、范围、期限。期限。期限。期限。n n安全边界的设计安全边界的设计安全边界的设计安全边界的设计 良好的清晰度以便进行审查和测试良好的清晰度以便进行审查和测试良好的清晰度以便进行审查和测试良好的清晰度以便进行审查和测试 具备简洁性以便能够迅速自动化执行减轻维护人员具备简洁性以便能够迅速自动化执行减轻维护人员具备简洁性以便能够迅速自动化执行减轻维护人员具备简洁性以便能够迅速自动化执行减轻维护人员的工作量的工作量的工作量的工作量 具备现实性以便采用成熟的技术和产

15、品具备现实性以便采用成熟的技术和产品具备现实性以便采用成熟的技术和产品具备现实性以便采用成熟的技术和产品n n安全边界可采用的安全技术包括隔离、监控、安全边界可采用的安全技术包括隔离、监控、安全边界可采用的安全技术包括隔离、监控、安全边界可采用的安全技术包括隔离、监控、检测、评估、审计、加密等。检测、评估、审计、加密等。检测、评估、审计、加密等。检测、评估、审计、加密等。1616可作为安全边界的设备n n交换机交换机n n路由器路由器n n防火墙防火墙n n入侵检测入侵检测n n网关网关n nVPNn nEtc.1717第三部分交换机设备安全配置1818配置内容n n关闭不必要的设备服务关闭不

16、必要的设备服务n n使用强口令或密码使用强口令或密码n n加强设备访问的认证与授权加强设备访问的认证与授权n n升级设备固件或升级设备固件或OSn n使用访问控制列表限制访问使用访问控制列表限制访问n n使用访问控制表限制数据包类型使用访问控制表限制数据包类型1919交换机-针对CDP攻击n n说明说明说明说明 CiscoCisco专用协议，用来发现周边相邻的网络设备专用协议，用来发现周边相邻的网络设备专用协议，用来发现周边相邻的网络设备专用协议，用来发现周边相邻的网络设备 链路层帧，链路层帧，链路层帧，链路层帧，30s30s发送一次，目标发送一次，目标发送一次，目标发送一次，目标MACMAC

17、：01:00:0C:CC:CC:CC01:00:0C:CC:CC:CC 可以得到相邻设备名称，操作系统版本，接口数量和类型，可以得到相邻设备名称，操作系统版本，接口数量和类型，可以得到相邻设备名称，操作系统版本，接口数量和类型，可以得到相邻设备名称，操作系统版本，接口数量和类型，接口接口接口接口IPIP地址等关键信息地址等关键信息地址等关键信息地址等关键信息 在所有接口上默认打开在所有接口上默认打开在所有接口上默认打开在所有接口上默认打开n n危害危害危害危害 任何人可以轻松得到整个网络信息任何人可以轻松得到整个网络信息任何人可以轻松得到整个网络信息任何人可以轻松得到整个网络信息 可以被利用发

18、起可以被利用发起可以被利用发起可以被利用发起DoSDoS攻击：攻击：攻击：攻击：n n对策对策对策对策 如不需要，禁止如不需要，禁止如不需要，禁止如不需要，禁止CDPCDP 禁止禁止禁止禁止User-EndUser-End端口的端口的端口的端口的CDPCDP2020交换机-针对STP攻击n n说明说明说明说明 Spanning Tree ProtocolSpanning Tree Protocol 防止交换网络产生回路防止交换网络产生回路防止交换网络产生回路防止交换网络产生回路 Root BridgeRoot Bridge BPDU-bridge ID,path cost,interfaceB

19、PDU-bridge ID,path cost,interfacen n攻击攻击攻击攻击 强制接管强制接管强制接管强制接管root bridgeroot bridge，导致网络逻辑结构改变，在，导致网络逻辑结构改变，在，导致网络逻辑结构改变，在，导致网络逻辑结构改变，在重新生成重新生成重新生成重新生成STPSTP时，可以导致某些端口暂时失效，可时，可以导致某些端口暂时失效，可时，可以导致某些端口暂时失效，可时，可以导致某些端口暂时失效，可以监听大部份网络流量。以监听大部份网络流量。以监听大部份网络流量。以监听大部份网络流量。BPDU FloodBPDU Flood：消耗带宽，拒绝服务：消耗带宽

20、，拒绝服务：消耗带宽，拒绝服务：消耗带宽，拒绝服务n n对策对策对策对策 对对对对User-EndUser-End端口，禁止发送端口，禁止发送端口，禁止发送端口，禁止发送BPDUBPDU2121交换机-针对VTP攻击n n作用作用作用作用 Vlan Trunking ProtocolVlan Trunking Protocol 统一了整个网络的统一了整个网络的统一了整个网络的统一了整个网络的VLANVLAN配置和管理配置和管理配置和管理配置和管理 可以将可以将可以将可以将VLANVLAN配置信息传递到其它交换机配置信息传递到其它交换机配置信息传递到其它交换机配置信息传递到其它交换机 动态添加删

21、除动态添加删除动态添加删除动态添加删除VLANVLAN 准确跟踪和监测准确跟踪和监测准确跟踪和监测准确跟踪和监测VLANVLAN变化变化变化变化n n模式模式模式模式 Server,Client,TransparentServer,Client,Transparentn n脆弱性脆弱性脆弱性脆弱性 DomainDomain：只有属于同一个：只有属于同一个：只有属于同一个：只有属于同一个DomainDomain的交换机才能交换的交换机才能交换的交换机才能交换的交换机才能交换VlanVlan信息信息信息信息 set vtp domain netpowerset vtp domain netpowe

22、r PasswordPassword：同一：同一：同一：同一domaindomain可以相互通过经可以相互通过经可以相互通过经可以相互通过经MD5MD5加密的加密的加密的加密的passwordpassword验证，但验证，但验证，但验证，但passwordpassword设置非必需的，如果未设置设置非必需的，如果未设置设置非必需的，如果未设置设置非必需的，如果未设置passwordpassword，可能构造，可能构造，可能构造，可能构造VTPVTP帧，添加或者删除帧，添加或者删除帧，添加或者删除帧，添加或者删除VlanVlan。n n对策对策对策对策 设置设置设置设置passwordpassw

23、ord 尽量将交换机的尽量将交换机的尽量将交换机的尽量将交换机的vtpvtp设置为设置为设置为设置为TransparentTransparent模式：模式：模式：模式：set vtp set vtp domain netpower mode transparent password domain netpower mode transparent password sercetvtysercetvty2222第四部分路由器设备安全配置2323配置内容n n关闭不必要的设备服务关闭不必要的设备服务n n使用强口令或密码使用强口令或密码n n加强设备访问的认证与授权加强设备访问的认证与授权n n升

24、级设备固件或升级设备固件或OSn n使用访问控制列表限制访问使用访问控制列表限制访问n n使用访问控制表限制数据包类型使用访问控制表限制数据包类型2424路由器-发现路由n n通过通过tracertroute命令命令n n最后一个路由容易成为最后一个路由容易成为DoS攻击目标攻击目标2525路由器-猜测路由器类型n n端口扫描端口扫描n n操作系统堆栈指纹操作系统堆栈指纹n n登陆旗标（登陆旗标（banner）n n其它特征：如其它特征：如Cisco路由器路由器1999端口的端口的ack分组信息，会有分组信息，会有cisco字样提示字样提示2626路由器-缺省帐号2727路由器-密码n nCi

25、sco路由器的密码路由器的密码弱加密弱加密弱加密弱加密MD5MD5加密加密加密加密 Enable secret 5Enable secret 52828路由器-SNMPn nSNMPSNMPn n版本版本版本版本 SNMPv1,SNMPv2,SNMPv3SNMPv1,SNMPv2,SNMPv3n nSnmp AgentSnmp Agentn nMIBMIBn n轮循轮循轮循轮循(Polling-only)(Polling-only)和中断和中断和中断和中断(Interupt-base)(Interupt-base)n nSnmpSnmp网管软件网管软件网管软件网管软件 禁用简单网络管理协议禁用

26、简单网络管理协议禁用简单网络管理协议禁用简单网络管理协议 no snmp-server enableno snmp-server enable 使用使用使用使用SNMPv3SNMPv3加强安全特性加强安全特性加强安全特性加强安全特性 snmp-server enable traps snmp auth md5snmp-server enable traps snmp auth md5 使用强的使用强的使用强的使用强的SNMPv1SNMPv1通讯关键字通讯关键字通讯关键字通讯关键字 snmp-server communitynamesnmp-server communityname2929保证路

27、由器密码安全n n使用加密的强密码使用加密的强密码使用加密的强密码使用加密的强密码 service password-encryptionservice password-encryption enable secret pa55w0rdenable secret pa55w0rdn n使用分级密码策略使用分级密码策略使用分级密码策略使用分级密码策略 enable secret 6 pa55wordenable secret 6 pa55word privilege exec 6 showprivilege exec 6 shown n使用用户密码策略使用用户密码策略使用用户密码策略使用用户密

28、码策略 user name password pass privilege exec 6 showuser name password pass privilege exec 6 shown n控制网络线路访问控制网络线路访问控制网络线路访问控制网络线路访问 access-list 8 permit 192.168.0.10access-list 8 permit 192.168.0.10 access-list 8 permit*.*.*.*access-list 8 permit*.*.*.*access-list 8 deny anyaccess-list 8 deny any line

29、 vty 0 4line vty 0 4 access-class 8 inaccess-class 8 inn n设置网络连接超时设置网络连接超时设置网络连接超时设置网络连接超时 Exec-timeout 5 0Exec-timeout 5 03030Cisco路由器安全配置n n降低路由器遭受应用层攻击降低路由器遭受应用层攻击降低路由器遭受应用层攻击降低路由器遭受应用层攻击 1 1 禁止禁止禁止禁止CDP(Cisco Discovery Protocol)CDP(Cisco Discovery Protocol)。如：。如：。如：。如：Router(Config)#no cdp run R

30、outer(Config)#no cdp run Router(Config-if)#no cdp enable Router(Config-if)#no cdp enable 2 2 禁止其他的禁止其他的禁止其他的禁止其他的TCPTCP、UDP SmallUDP Small服务。服务。服务。服务。Router(Config)#no service tcp-small-serversRouter(Config)#no service tcp-small-servers Router(Config)#no service udp-samll-servers Router(Config)#no s

31、ervice udp-samll-servers 3 3 禁止禁止禁止禁止FingerFinger服务。服务。服务。服务。Router(Config)#no ip fingerRouter(Config)#no ip finger Router(Config)#no service finger Router(Config)#no service finger 4 4 建议禁止建议禁止建议禁止建议禁止HTTPHTTP服务。服务。服务。服务。Router(Config)#no ip http server Router(Config)#no ip http server 如果启用了如果启用了如果

32、启用了如果启用了HTTPHTTP服务则需要对其进行安全配置：设置用户服务则需要对其进行安全配置：设置用户服务则需要对其进行安全配置：设置用户服务则需要对其进行安全配置：设置用户名和密码；采用访问列表进行控制。名和密码；采用访问列表进行控制。名和密码；采用访问列表进行控制。名和密码；采用访问列表进行控制。3131Cisco路由器安全配置5 5 禁止禁止禁止禁止BOOTpBOOTp服务。服务。服务。服务。Router(Config)#no ip bootp serverRouter(Config)#no ip bootp server6 6 禁止禁止禁止禁止IP Source RoutingIP

33、Source Routing。Router(Config)#no ip source-routeRouter(Config)#no ip source-route7 7 建议如果不需要建议如果不需要建议如果不需要建议如果不需要ARP-ProxyARP-Proxy服务则禁止它，服务则禁止它，服务则禁止它，服务则禁止它，路由器默认识开启的。路由器默认识开启的。路由器默认识开启的。路由器默认识开启的。Router(Config)#no ip proxy-arpRouter(Config)#no ip proxy-arp Router(Config-if)#no ip proxy-arp Router

34、(Config-if)#no ip proxy-arp8 8禁止禁止禁止禁止IP Directed BroadcastIP Directed Broadcast。Router(Config)#no ip directed-broadcastRouter(Config)#no ip directed-broadcast3232Cisco路由器安全配置 9 9 禁止禁止禁止禁止ICMPICMP协议的协议的协议的协议的IP Unreachables,Redirects,Mask IP Unreachables,Redirects,Mask RepliesReplies。Router(Config-i

35、f)#no ip unreacheablesRouter(Config-if)#no ip unreacheables Router(Config-if)#no ip redirects Router(Config-if)#no ip redirects Router(Config-if)#no ip mask-reply Router(Config-if)#no ip mask-reply 10 10 建议禁止建议禁止建议禁止建议禁止SNMPSNMP协议服务。在禁止时必须删除一些协议服务。在禁止时必须删除一些协议服务。在禁止时必须删除一些协议服务。在禁止时必须删除一些SNMPSNMP服务的默

36、认配置。如：服务的默认配置。如：服务的默认配置。如：服务的默认配置。如：Router(Config)#no snmp-server community public RoRouter(Config)#no snmp-server community public Ro Router(Config)#no snmp-server community admin RW Router(Config)#no snmp-server community admin RW 11 11 如果没必要则禁止如果没必要则禁止如果没必要则禁止如果没必要则禁止WINSWINS和和和和DNSDNS服务。服务。服务。服务

37、。Router(Config)#no ip domain-lookupRouter(Config)#no ip domain-lookup 如果需要则需要配置：如果需要则需要配置：如果需要则需要配置：如果需要则需要配置：Router(Config)#hostname RouterRouter(Config)#hostname Router Router(Config)#ip name-server 219.150.32.xxx Router(Config)#ip name-server 219.150.32.xxx 12 12 明确禁止不使用的端口。如：明确禁止不使用的端口。如：明确禁止不使用

38、的端口。如：明确禁止不使用的端口。如：Router(Config)#interface eth0/3Router(Config)#interface eth0/3 Router(Config)#shutdown Router(Config)#shutdown3333Cisco路由器安全配置n n认证与日志管理认证与日志管理n n使用使用AAA加强设备访问控制加强设备访问控制n n日志管理日志管理logging onlogging onlogging buffered 36000logging buffered 360003434Cisco路由器安全配置n n禁用禁用禁用禁用IP Unreach

39、ableIP Unreachable报文报文报文报文n n禁用禁用禁用禁用ICMP RedirectICMP Redirect报文报文报文报文 no ip redirectno ip redirectn n禁用定向广播禁用定向广播禁用定向广播禁用定向广播 no ip directed-broadcastno ip directed-broadcastn n禁用禁用禁用禁用ARPARP代理代理代理代理 no ip proxy-arpno ip proxy-arpn n使用使用使用使用IPIP验证验证验证验证 Ip verify unicast reverse-pathIp verify unic

40、ast reverse-pathn n禁用禁用禁用禁用IPIP源路由选项源路由选项源路由选项源路由选项 no ip source-routeno ip source-route3535Cisco路由器安全配置n n启用启用TCP截获特性防止截获特性防止DoS攻击攻击创建截获访问控制列表创建截获访问控制列表创建截获访问控制列表创建截获访问控制列表起用起用起用起用TCPTCP截获特性截获特性截获特性截获特性设置截获模式设置截获模式设置截获模式设置截获模式设置门限制设置门限制设置门限制设置门限制设置丢弃模式设置丢弃模式设置丢弃模式设置丢弃模式3636Cisco路由器安全配置n n使用访问控制列表限制

41、访问地址使用访问控制列表限制访问地址n n使用访问控制列表限定访问端口使用访问控制列表限定访问端口n n使用访问控制列表过滤特定类型数据包使用访问控制列表过滤特定类型数据包n n使用访问控制列表限定数据流量使用访问控制列表限定数据流量n n使用访问控制列表保护内部网络使用访问控制列表保护内部网络3737DDoS预防方法n n限制限制ICMP数据包出站速率数据包出站速率Interface xxInterface xxRete-limit output access-group 102 Rete-limit output access-group 102 256000 8000 8000 conf

42、orm-action 256000 8000 8000 conform-action transmit exceed-action droptransmit exceed-action dropAccess-list 102 permit icmp any any Access-list 102 permit icmp any any echoechoAccess-list 102 permit icmp any any Access-list 102 permit icmp any any echo-replyecho-reply3838DDoS预防方法n n限制限制SYN数据包连接速率数据

43、包连接速率Interface xxInterface xxRete-limit input access-group 103 8000 Rete-limit input access-group 103 8000 8000 8000 conform-action transmit 8000 8000 conform-action transmit exceed-action dropexceed-action dropAccess-list 103 deny tcp any host Access-list 103 deny tcp any host xx.xx.xx.xx establish

44、ed xx.xx.xx.xx established Access-list 103 permit tcp any host Access-list 103 permit tcp any host xx.xx.xx.xxxx.xx.xx.xx3939DDoS预防方法n nRFC1918约定过滤约定过滤Interface xxInterface xxIp access-group 101 inIp access-group 101 inAccess-list 101 deny ip 10.0.0.0 Access-list 101 deny ip 10.0.0.0 0.255.255.255 a

45、ny0.255.255.255 anyAccess-list 101 deny ip 172.16.0.0 Access-list 101 deny ip 172.16.0.0 0.0.255.255 any0.0.255.255 anyAccess-list 101 deny ip 192.168.0.0 Access-list 101 deny ip 192.168.0.0 0.0.0.255 any0.0.0.255 anyAccess-list 101 permit ip any anyAccess-list 101 permit ip any any4040DDoS预防方法n n验证单点传送反向路径验证单点传送反向路径n n检查数据包地返回路径是否使用与到达检查数据包地返回路径是否使用与到达相同接口，以缓解某些欺骗数据包相同接口，以缓解某些欺骗数据包n n需要路由需要路由CEF（快速向前传输）特性（快速向前传输）特性n n在存在非对称路径时不适合在存在非对称路径时不适合4141问题？4242