网络设备安全技术

《网络设备安全技术》由会员分享，可在线阅读，更多相关《网络设备安全技术（95页珍藏版）》请在装配图网上搜索。

1、 网 络 设 备 安 全 技 术 网络设备安全技术 网络设备面临的安全威胁 路由器的安全技术 交换机的安全技术 无线局域网接入器的安全技术 小结 习题与思考题 网 络 设 备 安 全 技 术 网络设备面临的安全威胁 .1 主要网络设备简介从网络安全的角度考虑本章只对路由器、交换机、无线局域网接入器作简单介绍。1. 路由器路由器工作在网络层，是互联网的关键设备，用于连接不同的网络。主要功能包括IP数据包的转发、路由的计算和更新、ICMP消息的处理、网络管理四个方面。同时还具有数据包过虑、网络地址转换的功能，能够完 成防火墙的部分功能，但这对路由器的性能提出了较高的要求。 网 络 设 备 安 全

2、技 术 有的路由器还支持虚拟私有专线连接，它适用于企业的总部与分部之间信息的连接，提供数据加密传输、数据可靠性验证、用户身份认证等一系列的安全防范措施，使用户能在现有设备的基础上通过Internet安全传输数据。2. 交换机交换机一般工作在数据链路层，是智能化的转发设备，能够为每个端口提供独立的高带宽。主要功能包括分隔冲突域、提供端口的冗余备份、端口的链路汇聚、虚拟局域网、组播技术。有的交换机还具有三层交换功能、结合管理软件的用户认证功能、网络服务质量 (Quality of Service，简称 QoS) 功能、MAC地址和IP地址过滤功能。 网 络 设 备 安 全 技 术 3. 无线局域网

3、接入器无线网络作为有线网络的补充，扩大了有线网络的覆盖范围和接入的灵活度，使移动用户和布线困难的位置可以轻松接入网络，可以为用户提供无线漫游接入和移动办公。无线网桥是无线网络的接入设备，在安全方面一般支持64-bit或128-bit WEP(Wired Equivalent Protocol，有线等效保密)加密，提供MAC地址过滤和SSID(Service Set Identifier，服务识别码)隐藏功能。 网 络 设 备 安 全 技 术 .2 网络设备面临的安全威胁目前的网络设备从管理方面可以分为以下三类。 不需要也不允许用户进行配置和管理的设备，如集线器。 网络设备支持通过特殊的端口与计

4、算机串口、并口或USB口连接，通过计算机中超级终端或网络设备自带的管理软件进行配置和管理的设备，如通过串口管理的交换机。 网 络 设 备 安 全 技 术 网络设备支持通过网络进行管理。即允许网络设备通过特殊的端口与计算机串口、并口或USB口连接，进行网络设备的配置和管理；还允许为网络设备设置IP地址，用户可以通过telnet命令、网管软件或Web等方式对网络设备进行配置和管理，如可网管交换机、路由器等。前两类网络设备不能通过网络进行管理，一般设备本身不会遭到入侵攻击。第三类网络设备如果设置不当、网络设备中的软件有漏洞都可能引起网络设备被攻击。网络设备面临的安全威胁主要有以下六个方面。 网 络

5、设 备 安 全 技 术 1. 人为设置错误在网络设备配置和管理中，人为设置错误会给网络设备甚至整个网络带来严重的安全问题。常见的人为设置错误主要有以下三种。(1)网络设备管理的密码设置为缺省密码而不更改甚至不设密码在可网管的网络设备中，都使用密码来验证登录到网络设备上的用户的合法性和权限。密码在网络设备上有两种保存方式，一种是明码的文本，可以通过查看配置文件直接看到密码，另一种是经过加密的，不能通过查看配置文件而直接识别出来。 网 络 设 备 安 全 技 术 网络设备有的有缺省密码，有的密码为空，用户在配置网络设备时首先将密码修改为复杂的密码，并使用加密存放或使用TACACS+或RADIUS认

6、证服务器。一旦入侵者通过了网络设备的密码验证，该网络设备的控制权就被入侵者控制了，将威胁网络设备及网络的安全。(2)不对远程管理等进行适当的控制 对于网络设备的管理，通常使用图形界面的网管软件、telnet命令、浏览器等方式，方便地对网络设备进行远程管理，用户要对这些远程管理进行适当的限制。 网 络 设 备 安 全 技 术 (3)网络设备的配置错误如果网络设备的配置错误将无法达到预期的目的，会威胁网络的安全。如路由器中的访问控制配置错误、无线局域网接入器广播服务识别码等。2. 网络设备上运行的软件存在漏洞必须对在设备上运行的软件的缺陷给予充分的注意。当接到软件缺陷报告时需要迅速进行版本升级等措

7、施，并对网络设备上的软件和配置文件作备份。3. 泄漏路由设备位置和网络拓扑攻击者利用tracert命令和SNMP(简单网络管理协议)很容易确定网络路由设备位置和网络拓扑结构。如用tracert 命令可以查看经过的路由。 网 络 设 备 安 全 技 术 4. 拒绝服务攻击的目标拒绝服务攻击服务器会使服务器无法提供服务，而攻击网络设备，特别是局域网出口的路由器，将影响整个网络的应用。在局域网出口的路由器上采取防止拒绝服务攻击的配置，可以有效的保护路由器及整个网络的安全。5. 攻击者的攻击跳板攻击者入侵网络设备后可以再通过该网络设备攻击内部网络。如入侵网络设备后使用telnet、ping等命令入侵内

8、部网络。6. 交换机端口监听 在使用集线器的网络中网络很容易被监听，在使用交换机的网络中使用一些工具也可以捕获交换机环境下的敏感数据。 网 络 设 备 安 全 技 术 路由器的安全技术 .1 路由器具有的安全特征针对网络存在的各种安全隐患，安全路由器通常具有如下安全特性。1. 可靠性与线路安全对于路由器来说，可靠性主要体现在接口故障和网络流量增大两种情况下，因此，线路和接口的备份是路由器不可缺少的。当主接口出现故障时，备份接口自动投入工作，保证网络的正常运行；当网络流量增大时，备份接口又可承担 负载分担的任务。如使用电话拨号上网方式的备份。 网 络 设 备 安 全 技 术 2 .身份认证路由器

9、中的身份认证主要包括访问路由器时的身份认证、对端路由器的身份认证和路由信息的身份认证。3. 访问控制(1)对于路由器的访问控制，需要进行口令的分级保护。(2)基于IP地址的访问控制。(3)基于用户的访问控制。 (4)基于时间的访问控制。 网 络 设 备 安 全 技 术 4. 信息隐藏与对端通信时，不一定需要用真实身份进行通信。通过地址转换，可以做到隐藏内网地址、只以公共地址的方式访问外部网络。除了由内部网络首先发起的连接，网外用户不能通过地址转换直接访问内网资源。5. 数据加密为了避免因为数据窃听而造成的信息泄漏，要对所传输的信息进行加密，只有与之通信的对端才能对此密文进行解密。通过对路由器所

10、发送的报文进行加密，即使在Internet上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。 网 络 设 备 安 全 技 术 6. 攻击探测和防范路由器作为一个内部网络对外的接口设备，是攻击者进入内部网络的第一个目标。如果路由器不提供攻击检测、防范或者配置不当将成为攻击者进入内部网络的一个桥梁。在路由器上提供攻击检测和对路由器进行必要的安全配置，可以防止一部分的网络攻击。 7. 安全管理 内部网络与外部网络之间的每一个数据报文都会通过路由器，在路由器上进行报文的审计可以提供网络运行的必要信息，有助于分析网络的运行情况。 网 络 设 备 安 全 技 术 各路由器厂商提供了不同的解决方

11、案，所采用的安全技术包括包过滤技术、地址转换、VPN(Virtual Private Network，虚拟专用网)技术、加密与密钥交换技术和安全管理等。.2 路由器口令的安全路由器的口令分为端口登录口令、特权用户口令。使用端口登录口令可以登录到路由器，一般只能查看部分信息，而使用特权用户口令登录可以使用全部的查看、配置和管理命令。特权用户口令只能用于使用端口登录口令登录路由器后进入特权模式，不能用于端口登录。 网 络 设 备 安 全 技 术 1. 口令加密 在路由器默认配置中，口令是以纯文本形式存放的，不利于对保护路由器的安全。在Cisco路由器上可以对口令加密，这样访问路由器的其他人就不能看

12、到这些口令。命令如下。Router (config)# service password-encryption其中Router (config)#为命令提示符，service password-encryption为口令加密服务命令。 口令加密服务将加密所有现存的和在以后配置的口令。建议在Cisco网络设备配置中使用这项服务。 网 络 设 备 安 全 技 术 2. 端口登录口令 路由器一般有Consle(控制台端口)、Aux(辅助端口)和Ethernet口可以登录到路由器，这为网络管理员对路由器进行管理提供了很大的方便，同时也给攻击者提供了可乘之机。因此，首先应该给相应的端口加上口令。要注意口

13、令的长度以及数字、字母、符号是否相混合，以防止攻击者利用口令或默认口令进行攻击。不同的端口可以建立不同的认证方法。下面以Cisco路由器为例简单说明路由器口令的设置。 网 络 设 备 安 全 技 术 Router (config)#line vty 0 4Router (config-line)#loginRouter (config-line)#exec-timeout 2 30Router (config-line)#password abc111Router (config-line)#exitRouter (config)-#line aux 0Router (config-line)

14、#loginRouter (config-line)#exec-timeout 2 30Router (config-line)#password abc222Router (config-line)#exitRouter (config)#line con 0Router (config-line)#exec-timeout 2 30Router (config-line)#password abc333Router (config-line)#exit 网 络 设 备 安 全 技 术 这样用户只有输入相应端口的口令才能从路由器的Consle、Aux或Ethernet口登录路由器。下面分别对

15、配置中的命令进行说明。line vty 0 4命令用来保护在网络中用来进行telnet访问的虚拟终端行。由于路由器访问有不止一个vty行，所以在vty关键字后面有两个数字。在Cisco路由器上默认的行数为五行。line vty 0 4为所有终端行设置一个口令。line aux和line con分别用来保护从Aux口和Consle口访问路由器的安全。login命令用来启动登录的口令检查。 网 络 设 备 安 全 技 术 exec-timeout命令用来设置通话超时时间，上面配置中的exec-timeout 2 30设置为两分三十秒钟内没有输入，将自动关闭与路由器连接的对话，防止网络管理员登录路由

16、器后离开终端时被非法用户修改路由器的配置。password命令用来设置端口口令，上面配置中的password abc333设置为从line con 0端口登录路由器时需要的口令。更好的登录口令处理方法是将这些口令保存在TACACS+或RADIUS认证服务器上，在路由器上配置使用认证服务器对用户和密码进行认证，这种认证的安全性 更高。 网 络 设 备 安 全 技 术 3. 特权用户口令特权用户口令的设置可以使用enable password命令和enable secret命令。一般不用enable password命令，该命令设置的口令可以通过软件破解，存在安全漏洞。enable secret采

17、用MD5散列算法对口令进行加密，具体配置如下。Router #conf termRouter (config)#enable secret cba123在执行了这一步后查看路由器配置，将看到无论是否开启了口令加密服务，特权用户口令都自动被加密了。 网 络 设 备 安 全 技 术 4. 修改简单网络管理协议密码字简单网络管理协议(Simple Network Management Protocol，SNMP)是由互联网工程任务组定义的一套网络管理协议。利用SNMP，一个管理工作站可以远程管理所有支持这种协议的网络设备，包括监视网络状态、修改网络设备配置、接收网络事件警告等。使用该协议要提供密码字

18、，在CISCO路由器中有个默认的密码字，用户在使用路由器时要修改这个密码字，具体配置如下。 网 络 设 备 安 全 技 术 Router #conf termRouter (config)#snmp-server community read123 RORouter (config)#snmp-server community write123 RWsnmp-server community read123 RO为设置只读密码字为read123，snmp-server community write123 RW为设置可写密码字为write123。 网 络 设 备 安 全 技 术 5. 防止口令

19、修复要注意路由器的物理安全，不要让管理员以外的人员随便接近路由器。如果攻击者从物理上接触路由器后，可以通过口令修复的方法清除口令，进而登录路由器，就可以完全控制路由器。在实际应用中使用口令基础上，还可以采取将不使用的端口禁用、权限分级策略、控制连接的并发数目、采用访问列表严格控制访问的地址、采用AAA设置用户等方法，来加强路由器访问控制的安全。 网 络 设 备 安 全 技 术 .3 路由器网络服务的安全为了方便用户的应用和管理，在路由器上提供了一些网络服务，但是由于一些路由器上的软件的漏洞、配置错误等原因，有些服务可能会影响路由器和网络的安全，因此从网络安全角度应该禁止那些不必要的网络服务。在

20、Cisco路由器上常见的网络服务及禁止方法如下。1.禁止HTTP服务使用Web界面来控制管理路由器，为初学者提供了方便，但存在安全隐患，使用下面的命令可以禁止 HTTP服务。 网 络 设 备 安 全 技 术 Router(Config)# no ip http server如果必须使用HTTP服务来管理路由器，最好是配合访问控制列表和AAA认证来做。严格过滤允许的IP地址。建议没有特殊需要，就关闭HTTP服务。 2.禁止CDP(Cisco Discovery Protocol，Cisco发现协议)该协议存在于Cisco 11.0以后的版本中，都是默认启动的。在OSI二层(链路层)协议的基础上可

21、发现对端路由器的设备平台、操作系统版本、端口、IP地址等重要信息。可禁止其运行，加强安全性，命令如下。 网 络 设 备 安 全 技 术 Router(Config)#no cdp run 管理员也可以指定禁止某端口的CDP，比如为了让路由器内部网络使用CDP，而禁止路由器对外网的CDP应答，命令如下。Router(Config)# interface Serial 0Router(Config-if)# no cdp enable3.禁止其他的TCP、UDP Small服务Router(Config)# no service tcp-small-serversRouter(Config)# n

22、o service udp-samll-servers 网 络 设 备 安 全 技 术 4.禁止Finger服务Router(Config)# no ip fingerRouter(Config)# no service finger5.禁止BOOTP服务Router(Config)# no ip bootp server 6.禁止从网络启动和自动从网络下载初始配置文件Router(Config)# no boot network Router(Config)# no servic config 网 络 设 备 安 全 技 术 7.禁止IP Source Routing Router(Conf

23、ig)# no ip source-route 8.禁止 ARP-Proxy服务，路由器默认是开启的 Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp 9.禁止IP Directed Broadcast Router(Config)# no ip directed-broadcast 10.禁止IP Classless Router(Config)# no ip classless 网 络 设 备 安 全 技 术 11.禁止ICMP协议的IP Unreachables，Redirects，Mask Replie

24、sRouter(Config-if)# no ip unreacheablesRouter(Config-if)# no ip redirectsRouter(Config-if)# no ip mask-reply12.禁止SNMP协议服务Router(Config)# no snmp-server community public RoRouter(Config)# no snmp-server community admin RWRouter(Config)# no snmp-server enable trapsRouter(Config)# no snmp-server system

25、-shutdownRouter(Config)# no snmp-server trap-anth Router(Config)# no snmp-serverRouter(Config)# end 网 络 设 备 安 全 技 术 13.禁止DNS服务Router(Config)# no ip domain-lookup 14.禁止不使用的端口Router(Config)# interface Serial 1Router(Config-if)# shutdown 网 络 设 备 安 全 技 术 .4 访问控制列表访问控制列表(Access Control List，ACL)是路由器接口的指令

26、列表，用来控制端口进出的数据包。访问列表(access-list)是一系列允许和拒绝条件的集合，当数据包经过路由器某一个端口时，在访问列表对其进行处理时，访问列表中的语句按照由上而下的顺序依次对数据包进行处理，直到出现匹配的情况，根据控制情况决定路由器接收或拒收该数据包，因此访问列表中语句的顺序非常重要。至于是接收还是拒绝，由源地址、目的地址、协议、端口号、时间等的特定条件来决定。 网 络 设 备 安 全 技 术 使用访问控制列表的目的是通过访问列表过滤进入和发出信息包的请求，保护路由器和网络的安全，并能优化网络的流量。访问控制列表适用于所有的被路由支持的协议，如IP、IPX、AppleTal

27、k等。访问控制列表的定义基于每一种协议，如果路由器接口配置成为支持三种协议(IP、AppleTalk以及IPX)的情况，那么，用户必须分别定义三种ACL来分别控制这三种协议的数据包。 网 络 设 备 安 全 技 术 1. 访问控制列表作用(1) 访问控制列表可以根据需要限制网络流量、提高网络性能。如访问控制列表可以根据数据包的协议，指定某种类型的数据包的优先级，在同等情况下路由器优先处理优先级高的数据包，丢弃那些不必要的数据包。使用不同的队列可以限制网络流量，减少网络拥塞。(2) 访问控制列表提供对通信流量的控制手段。如访问控制列表可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的

28、通信流量。 (3) 访问控制列表是提供网络安全访问的基本手段。如允许局域网中的主机A访问Internet，而拒绝局域网中的主 机B访问Internet。 网 络 设 备 安 全 技 术 (4) 访问控制列表可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。如允许所有Web通信流量，而拒绝所有的Telnet通信流量。 2. 访问控制列表分类访问列表分为标准访问列表和扩展访问列表。标准的访问列表只允许过滤源地址，且功能十分有限。扩展的访问列表允许过滤源地址、目的地址和上层应用数据。Cisco路由器从IOS 12.0开始增加基于时间的访问列表，可以根据一天中的不同时间或者根据一星期中的不同日期

29、来控制网络数据包的转发。 网 络 设 备 安 全 技 术 基于时间的访问列表是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理、更有效地控制网络。在使用基于时间的访问列表时需要先定义一个时间范围，然后在原来访问列表的基础上应用。3. 访问控制列表的配置命令在Cisco路由器中设置访问控制列表的具体命令及格式如下。(1)创建标准IP访问列表 access-list listnumber1 permit | deny source-addr source-mask 网 络 设 备 安 全 技 术 标准IP访问列表命令中的关键字和参数含义如下：listnumber1 是1到99之间的一

30、个数值，表示规则是标准访问列表规则。 permit允许满足条件的数据包通过。 deny禁止满足条件的数据包通过。 source-addr 为发送数据包的主机地址。 source-mask 发送数据包的主机的通配符掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 网 络 设 备 安 全 技 术 例1 允许源IP地址202.1118.0网络中除202.1118.9外计算机访问Internet。标准IP访问列表中的access-list语句如下：access-list 1 deny host 202.1118.9access-list 1 permit 202.1118.0 0.

31、0.0.255这里使用了一个通配符掩码0.0.0.255。因为C类IP地址的最后一组数字代表主机，把它们都置1即允许网络上的每一台主机访问。 网 络 设 备 安 全 技 术 关键字“host”代表通配符掩码0.0.0.0，此外关键字“any”可以作为源地址的缩写，并代表通配符掩码0.0.0.0 255.255.255.255。在默认情况下，除非明确规定允许通过，访问列表总是阻止或拒绝一切数据包的通过，即实际上在每个访问列表的最后，都隐含有一条“deny any”的语句。如果将上面的语句写为：access-list 1 permit 202.1118.0 0.0.0.255access-list

32、 1 deny host 202.1118.9 网 络 设 备 安 全 技 术 那么源IP地址为202.1118.9的计算机也能访问Internet，因为202.1118.9在202.1118.0的网段内，与第一条语句匹配，将不再检查后面的语句，因此在设置访问控制列表时语句的顺序非常重要。设置错误将不能起到控制作用，一般在设置完访问控制后要进行相应的测试。(2)创建扩展IP访问列表 access-list listnumber2 permit | deny protocol source-addr source-mask operator port1 port2 dest-addr dest-

33、mask operator port1port2log 扩展IP访问列表命令中的关键字和参数含义入下：listnumber2 是100到199之间的一个数值，表示规则 是扩展访问列表规则。 网 络 设 备 安 全 技 术 permit允许满足条件的数据包通过。 deny禁止满足条件的数据包通过。 protocol 为协议类型，它支持ICMP、TCP、UDP等协议，此时没有端口比较的概念，为IP时有特殊含义，代表所有的IP协议。 source-addr 为发送数据包的主机地址。 source-mask 发送数据包的主机的通配符掩码。 dest-addr 为目的地址。 dest-mask 为目的地

34、址通配符掩码。 网 络 设 备 安 全 技 术 Operator 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range)；如果操作符为range，则后面需要跟两个端口。该项为可选项。port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值(如telnet)或065535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值(如telnet)或065535之间的一个数值。 log 表示如果报文符合条件，需要做日志。该项为可选项 网

35、 络 设 备 安 全 技 术 例2 允许源地址为202.1118.0的网络、目的地址为202.96.0.0网络的WWW访问，但不允许使用FTP。 access-list 100 permit tcp 202.1118.0 0.0.0.255 202.96.0.0 0.0.255.255 eq www access-list 100 deny tcp 202.1118.0 0.0.0.255 202.96.0.0 0.0.255.255 eq ftp (3)删除访问列表 no access-list listnumber 参数listnumber 是1到199之间的一个数值，表示要删除的列表规则

36、。 网 络 设 备 安 全 技 术 (4)将规则应用到路由器端口ip access-group listnumber in | out 参数in表示规则用于过滤从路由器端口收上来的报文，out表示规则用于过滤从路由器端口转发的报文。例3：将规则100应用于过滤从以太网口接收的报文。 Routeconfig termRouter(config)#interface e0Router(config-if)# ip access-group 100 in Router(config-if)#z 网 络 设 备 安 全 技 术 (5)删除路由器端口上的过滤规则no ip access-group li

37、stnumber in | out (6) 显示包过滤规则show access-list listnumber使用该命令可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。例4：显示当前所使用的序号为100的规则。sepirouter#sh access-list 100Extended IP access list 100 网 络 设 备 安 全 技 术 ermit tcp 202.1118.0 0.0.0.255 202.96.0.0 0.0.255.255 eq www(25 matches)deny tcp 202.1118.0 0.0.0.255 202.96.0.0 0.

38、0.255.255 eq ftp(8 matches)括号中为匹配的数据包的数量。(7)定义时间范围time-range time-range-name absolute start time date end time date periodic days-of-the week hh:mm to days-of-the week hh:mm 网 络 设 备 安 全 技 术 定义时间范围命令中的关键字和参数含义如下：time-range 用来定义时间范围的命令。time-range-name 时间范围名称，用来标识时间范围，在后面的访问列表中引用。absolute 指定绝对时间范围。它后面紧

39、跟这start和 end两个关键字。在这两个关键字后面的时间要以24小时制、hh：mm(小时：分钟)表示，日期要按照日/月/年来表示。如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；如果省略end及其后面的时间，那表示与之相联系的permit或deny语句在start处表示的时间开始生效，直到 把访问列表删除或取消该时间设定。 网 络 设 备 安 全 技 术 periodic以星期为参数来定义时间范围的命令。它的参数主要有Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，

40、Sunday中的一个或者几个的组合，也可以是daily(每天)，weekday(周一到周五)或者weekend(周末)。 网 络 设 备 安 全 技 术 例5：从2003年12月1日0点到2003年12月31日晚23点59分。这一个月中，只有在周六早7点到周日晚10点才可以通过学校的网络访问80端口。router# config trouter(config)# interface ethernet 0router(config-if)#ip access-group 101 inrouter(config-if)#time-range httprouter(config-if)#absolu

41、te start 0:00 1 December 2003 end 23:59 31december 2003 periodic Saturday 7:00 to Sunday 22:00 router(config-if)#ip access-list 101 permit tcp any any eq 80 http 网 络 设 备 安 全 技 术 配置访问控制列表分为以下两步操作。第一步在全局配置模式下，使用下列命令创建访问控制列表。在Cisco路由器中，如果使用访问控制列表的表号进行配置，则列表不能插入或删除一行。如果列表要插入或删除一行，必须先去掉所有同表号的访问控制列表，然后重新配

42、置。第二步在端口配置模式下，使用ip access-group命令将访问控制规则应用到路由器某一端口上。 网 络 设 备 安 全 技 术 .5 配置路由器保护网络安全实例Cisco路由器的访问控制列表功能很强，用户根据实际需要可以灵活、合理地设置控制列表，不但可以防止路由器和网络受到攻击，还可以有效的防止一些网络病毒的传播。1. 配置Cisco路由器防止分布式拒绝服务攻击在Cisco路由器上，使用以下配置可以有效防止拒绝服务的攻击。 网 络 设 备 安 全 技 术 (1) 使用 ip verfy unicast reverse-path 网络接口命令这个命令检查发送到路由器的每一个包。如果一个

43、包的源IP地址在CEF(Cisco Express Forwarding ，Cisco快速转发)表里面没有该数据包源IP地址的路由，则路由器将丢掉这个包。如路由器接收到一个源IP地址为202.1118.9的数据包，如果 CEF路由表中没有为IP地址202.1118.9提供任何路由(即反向数据包传输时所需的路由)，则路由器会丢弃这个数据包。设置单一地址反向传输路径转发(Unicast Reverse Path Forwarding)，可以在ISP实现阻止smurf攻击和其他基于IP地址伪装的攻击。以保护网络和客户免受来自互联网其他地方 的侵扰。使用Unicast RPF 需要打开路由器的CEF

44、swithing或CEF distributed switching选项。 网 络 设 备 安 全 技 术 在路由器上打开CEF功能非常重要，RPF必须依靠CEF。Unicast RPF包含在支持CEF的Cisco IOS 12.0 及以上版本中。(2) 使用访问控制列表过滤非公有IP地址过滤自己内部网络地址，如回环地址(127.0.0.0-127.255.255.255)，RFC1918私有地址(10.0.0.0-10.255.255.255，172.16.0.0-172.31.255.255，192.168.0.0-192.1655.255)，DHCP自定义地址(169.254.0.0-1

45、69.254.255.255)，科学文档作者测试用地址(192.0.2.0-192.0.2.255)，不用的组播地址(224.0.0.0- 224.255.255.255)，SUN公司的古老的测试地址(20.20.20.0-20.20.20.255，204.152.64.0-204.152.65.255)，全网络地址(0.0.0.0-0.255.255.255)。这样可以防止一般的IP欺骗。 网 络 设 备 安 全 技 术 这些地址不能够与在Internet上的其他主机直接进行通信，在连接互联网的路由器上要禁止这些地址的访问。首先使用“interface 网络接口”命令，进入到指定的端口模式，

46、然后建立访问控制列表。建立访问控制列表方法如下。ip access-group 101 in Router(Config)# access-list 101 deny ip 192.168.0.0 0.0.0.255 any logRouter(Config)# access-list 101 deny ip 127.0.0.0 0.255.255.255 any log Router(Config)# access-list 101 deny ip 192.168.0.0 0.0.255.255 any log 网 络 设 备 安 全 技 术 Router(Config)# access-l

47、ist 101 deny ip 172.16.0.0 0.15.255.255 any logRouter(Config)# access-list 101 deny ip 10.0.0.0 0.255.255.255 any logRouter(Config)# access-list 101 deny ip 169.254.0.0 0.0.255.255 any logRouter(Config)# access-list 101 deny ip 192.0.2.0 0.0.0.255 any logRouter(Config)# access-list 101 deny ip 224.0

48、.0.0 15.255.255.255 any 网 络 设 备 安 全 技 术 Router(Config)# access-list 101 deny ip 20.20.20.0 0.0.0.255 any logRouter(Config)# access-list 101 deny ip 204.152.64.0 0.0.2.255 any logRouter(Config)# access-list 101 deny ip 0.0.0.0 0.255.255.255 any logRouter(Config)# access-list 101 permit ip any any 网 络

49、 设 备 安 全 技 术 (3)参照RFC 2267，使用访问控制列表过滤进出报文 RFC 2267建议在全球范围的互连网上使用向内过滤的机制，主要是防止假冒地址的攻击，使得外部机器无法假冒内部机器的地址来对内部机器发动攻击。但是这样会带来很多的麻烦，在中等级别的路由器上使用访问控制列表不会带来太大的麻烦，但是已经满载的骨干路由器上会受到明显的威胁。下面以客户端网络接入ISP网络为例进行说明，网络接入结构如图8-2-1所示。 网 络 设 备 安 全 技 术 8-2-1 客户端网络接入ISP网络结构 网 络 设 备 安 全 技 术 ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端

50、网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表。access-list 190 permit ip 客户端网络 客户端网络掩码 any access-list 190 deny ip any any log interface 内部网络接口 网络接口号 ip access-group 190 in 以下是客户端边界路由器的访问控制列表。 网 络 设 备 安 全 技 术 access-list 187 deny ip 客户端网络 客户端网络掩码 any access-list 187 permit ip any any access-list 188 pe

51、rmit ip 客户端网络 客户端网络掩码 any access-list 188 deny ip any any interface 外部网络接口 网络接口号 ip access-group 187 in ip access-group 188 out 如果打开了CEF功能，通过使用单一地址反向路径转 发，能够充分地缩短访问控制列表的长度以提高路由器性能。 网 络 设 备 安 全 技 术 (4) 限制ICMP数据包流量速率 interface 网络接口 rate-limit output access-group 180 3000000 512000 786000 conform-actio

52、n transmit exceed-action drop access-list 180 permit icmp any any echo-reply 上面的参数在实现应用中需要进行必要的修改和替换。其中：3000000替换为最大连接带宽。512000替换为正常突变数值。 786000替换为最大突变数值。 网 络 设 备 安 全 技 术 (5) 设置SYN数据包流量速率 interface int rate-limit output access-group 113 45000000 100000 100000 conform-action transmit exceed-action dr

53、op rate-limit output access-group 112 1000000 100000 100000 conform-action transmit exceed-action drop access-list 112 permit tcp any host eq www access-list 113 permit tcp any host eq www established 网 络 设 备 安 全 技 术 上面的参数在实现应用中需要进行必要的修改和替换。其中：45000000替换为最大连接带宽。1000000替换为SYN flood流量速率的30%到50%之间的数值。

54、值得注意的是，如果突变速率设置超过30%，可能会丢失许多合法的SYN数据包。使用show interfaces rate-limit命令查看该网络接口的正常和过度速率，能够帮助确定合适的突变速率。这个SYN速率限制数值设置标准应保证正常通信的基础上尽可能地小。 网 络 设 备 安 全 技 术 (6)搜集证据并联系网络安全部门或机构 安装入侵检测系统或者协议分析软件，捕获攻击数据包进行分析。将这些捕获的数据包和日志作为证据提供给有关网络安全部门或机构，以便进一步做好攻击的防范和追查攻击者。2. 配置Cisco路由器防止蠕虫病毒近几年网络蠕虫病毒给计算机网络带来很大的影响，如Slammer、冲击波

55、等蠕虫病毒在爆发时占用的大量的网络资源，导致所连接的网络资源不可用。在路由器上针对不同的蠕虫病毒使用控制列表，可以有效的防止一些病毒的传播和攻击，减少病毒对网络资源的占用。下面说明防 止几种常见的蠕虫病毒的控制列表的写法。 网 络 设 备 安 全 技 术 (1) 用于控制Nachi(冲击波克星)蠕虫的扫描access-list 110 deny icmp any any echo (2) 用于控制Blaster(冲击波)蠕虫的传播access-list 110 deny tcp any any eq 4444 access-list 110 deny udp any any eq 69(3)

56、用于控制Bla s t e r蠕虫的扫描和攻击access-list 110 deny tcp any any eq 135 access-list 110 deny udp any any eq 135access-list 110 deny tcp any any eq 139 网 络 设 备 安 全 技 术 access-list 110 deny udp any any eq 139access-list 110 deny tcp any any eq 445access-list 110 deny udp any any eq 445 access-list 110 deny tcp

57、 any any eq 593 access-list 110 deny udp any any eq 593 (4) 用于控制 Slammer 蠕虫的传播access-list 110 deny udp any any eq 1434access-list 110 permit ip any any为防止外来的病毒和攻击，将访问控制规则应用在广域网端口。 网 络 设 备 安 全 技 术 interface s0ip access-group 110 inip access-group 110 out除上面提到的以外，还有很多可以通过配置路由器来防止网络攻击。如防止广播流量进入，防范Smurf

58、类型的攻击使用no ip directed-broadcast。.6 保护内部网络IP地址数据包中包含有源、目的IP地址，根据IP地址可以了解内部网络的主机信息和网络结构，并可对其进行攻击。因此有必要将内部网络的IP地址隐藏，同时可以缓解IP地址匮乏的问题。在Cisco路由器上使用网络地址转换(NAT) 技术可以保护内部网络的主机信息和网络结构。 网 络 设 备 安 全 技 术 在按IP地址流量计费或对不同的IP地址设置不同的访问权限时，有些用户为了逃避网络计费、获得较高的访问权限或者一些不可告人的目的，而采用IP地址盗用的方式来逃避追踪，隐藏自己的身份。IP地址盗用侵害了网络的正常用户的权利

59、，并且给网络安全带来了隐患。因此有必要防止IP地址被盗用。在Cisco路由器可以将IP地址与网卡地址进行捆绑来防止IP地址被盗用。1. 利用路由器的网络地址转换隐藏内部地址网络地址转换可以动态改变通过路由器的IP报文的源IP地址及目的IP地址，使离开及进入的IP地址与原来不同。 在路由器上设置NAT，即可以隐藏内部网络的IP地址。 网 络 设 备 安 全 技 术 (1)NAT应用方式Cisco路由器上NAT通常有3种应用方式，分别适用于不同的需求。 静态地址转换：适用于企业内部服务器向企业网外部提供服务(如Web，FTP等)，需要建立服务器内部地址到固定合法地址的静态映射。 动态地址转换：建立

60、一种内外部地址的动态转换机制，常适用于租用的地址数量较多的情况；企业可以根据访问需求，建立多个地址池，绑定到不同的部门。这样既增强了管理的粒度，又简化了排错的过程。 端口地址复用：适用于地址数很少，多个用户需要 同时访问互联网的情况。 网 络 设 备 安 全 技 术 (2) NAT应用实例有6个有效IP地址为202.11128-202.11135,掩码为255.255.255.248(128和135为网络地址和广播地址，不可用)，内部网络IP地址为192.1600.1，掩码为255.255.255.0，内部网络通过一台Cisco路由器接入互联网。内部网络根据职能分成若干子网，并期望服务器子网对

61、外提供WEB服务，教学网络使用独立的地址池接入互联网，其他共用剩余的地址池。其中教学网络IP地址范围为192.1600.64-192.1600.127，其他网络IP地址范围为192.1600.128-192.1600.191。 网 络 设 备 安 全 技 术 具体配置步骤如下。 选择E0作为内部接口，S0作为外部接口interface e0ip address 192.1600.1 255.255.255.0ip nat inside /*配置e0为内部接口*/interface s0ip address 202.11129 255.255.255.248ip nat outside /*配置

62、s0为外部接口*/ 为各部门配置地址池其中teach为教学网络,other为其他部门网络。 网 络 设 备 安 全 技 术 ip nat pool teach 202.11131 202.11131 netmask 255.255.255.248 ip nat pool other 202.11132 202.11134 netmask 255.255.255.248 用访问控制列表检查数据包的源地址并映射到不同的地址池ip nat inside source list 1 pool teach overload /*overload-启用端口复用*/ip nat inside source

63、list 2 pool other /*动态地址转换*/ 网 络 设 备 安 全 技 术 定义访问控制列表access-list 1 permit 192.1600.64 0.0.0.64access-list 2 permit 192.1600.128 0.0.0.64 建立静态地址转换，并开放WEB端口(TCP 80)ip nat inside source static tcp 192.1600.2 80 202.11130 80经过上述配置后，互联网上的主机可以通过202.11130:80访问到企业内部WEB服务器192.1600.2，教学网络的接入请求将映射到202.103.100.

64、131，其他部门的接入请求被映射到202.11131-202.11134地址段。 网 络 设 备 安 全 技 术 2.利用ARP防止盗用内部IP地址 通过ARP(Address Resolution Protocol，地址解析协议)可以固定地将IP地址绑定在某一MAC(Media access control，介质访问控制)地址之上，MAC地址是机器的物理地址，该地址是网卡出厂时写上的48位唯一的序列码，可以唯一标识网上物理设备。如果要防止192.1600.2(MAC地址为0671.0232.0001)和192.1600.5(MAC地址为0671.0232.0002)的IP地址被冒名，可以进行

65、如下设置。arp 192.6.1 0671.0232.0001 arpaarp 192.6.1 0671.0232.0002 arpa以上介绍的两种用路由器保护内部网络的方法采用的是 Cisco路由器的IOS命令，不同路由设备的命令略有不同，可参照进行设置。 网 络 设 备 安 全 技 术 .7 使用路由器构建虚拟专用网 下面以GRE为例，说明如何实际的构造VPN网络。有两个分支机构原来都使用NAT访问互联网。分支机构A和分支机构B都有一个上网使用的公共IP地址分别为202.1118.9和202.1116.200。分支A的内部网段为192.16.0，掩码为255.255.255.0，分支B内部

66、网段为192.16.0，掩码为255.255.255.0。现在需要实现分支A的计算机能访问分支B的服务器Server B，分支B的计算机能访问分支A的服务器Server A。为了实现这个目的，需要在Router A 和Router B上分别增加以下配置。 网 络 设 备 安 全 技 术 (1)在分支机构A路由器的配置步骤如下。 配置一个虚接口(逻辑的接口，不是实际的物理接口)，配置IP地址，本例中为192.16.1，掩码为255.255.255.0。 interface Tunnel0ip address 192.16.1 255.255.255.0 然后配置通道的目的地址为202.1116.200，配置通道的源地址为202.1118.9。 tunnel sourece 202.1118.9tunnel destination 202.1116.200 网 络 设 备 安 全 技 术 配置路由到网段192.16.0的下一跳为192.16.2。 route 192.16.0 255.255.255.0 192.16.2(2)在分支机构B路由器的配置步骤如下。 同样配置一个虚接口，配置IP