思科網(wǎng)絡(luò)設(shè)備安全

1、本文檔描述了如何增強(qiáng)網(wǎng)絡(luò)中路由器的安全性，常見的使用方法和相應(yīng)的配置命令和配置例子。網(wǎng)絡(luò)安全關(guān)閉不必要的服務(wù)關(guān)閉所有路由器或交換機(jī)上的不必要的服務(wù)，如Finger、Bootp、Http等;CommandRouter(config)#noipfinger# 關(guān)15finger服務(wù)Router(config)#noipbootpserver# 關(guān)15bootp服務(wù)Router(config)#noiphttpserver# 關(guān)15http服務(wù)Example：Router(config)#noipfingerRouter(config)#noipbootpserverRouter(config)#n

2、oiphttpserver設(shè)置加密特權(quán)密碼使用加密的特權(quán)密碼，注意密碼的選擇:不要使用登錄名，不管以何種形式（如原樣或顛倒、大寫和重復(fù)等）不要用名字的第一個、中間一個或最后一個字(不管是現(xiàn)用名還是曾用名)不要用最親近的家人的名字(包括配偶、子女、父母和寵物)不要用其他任何容易得到的關(guān)于你的信息不要使用純數(shù)字或完全同一個字母組成的口令不要使用在英文字典中的單詞不要使用短于6位的口令不要將口令告訴任何人不要將口令電子郵件給任何人如果可能，應(yīng)該使用大小寫混合的字母使用包括非字母字符的口令使用容易記的口令，這樣就不必將它寫下來使用不用看鍵盤就可以很快鍵出的口令CommandRouter(config)

3、#enablesecret<password>#設(shè)置加密的特權(quán)密碼Example：Router(config)#enablesecret$!ainf0:獻(xiàn)置加密的特權(quán)密碼為$!ainf0:打開密碼標(biāo)記CommandRouter(config)#servicepassword-encryption#加密密碼，原先使用明文顯示的密碼將會以密文方式出現(xiàn)Example：Router(config)#servicepassword-encryption#加密明文密碼Router#showrunning-configlinevty04passwordciscologgingsynchronou

4、slogin!Router#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#servicepassword-encryptionRouter(config)#AZRouter#showrunning-configlinevty04password701100F175804loginNTP設(shè)置NTPserver為了保證全網(wǎng)網(wǎng)絡(luò)設(shè)備時鐘的同步，必須在網(wǎng)絡(luò)設(shè)備上配置Comman：dRouter(config)#ntpserver<ntp-server-address>#設(shè)置NTP，<nt

5、p-server-address>為時鐘服務(wù)器的IP地址Router(config)#ntpupdate-calendar#等NTP取得的時鐘更新本地的日歷Example：Router(config)#ntpserverupdate-calenda#設(shè)置NTP時鐘服務(wù)器IP地址為，路由器將使用NTP#到的時鐘作為本地時鐘，同時更新本地的日歷。配置日志在所有的路由器或交換機(jī)上配置相應(yīng)的日志選項(xiàng)。Comman：dRouter(config)#loggingbuffered<memory-size># 將日志存于內(nèi)存中，存放日志的內(nèi)存大小由<memory-size>指定

6、，單位為byte。Router(config)#logging<syslog-host-ip-address># 將日志發(fā)送到Syslogserver上，Syslogserver由<syslog-host-ip-address>指定。需要預(yù)先配置SyslogserverExample：Router(config)#loggingbuffered1024000# 在內(nèi)存中使用1M的空間存放日志Router(config)#logging將日志發(fā)送到IP地址為的Syslogserver上設(shè)置LOGf口DEBUG勺時間標(biāo)記為了方便排錯和日志管理，需要將日志的DEBUG：信息做

7、上時間標(biāo)志。使用以下命令設(shè)置時間標(biāo)志。Comman：dRouter(config)#servicetimestampsdebugdatetimemseclocaltime# 使用本地時間(精確到毫秒)標(biāo)記DEBU信息Router(config)#servicetimestampslogdatetimemseclocaltime# 使用本地時間(精確到毫秒)標(biāo)記日志信息Example：Router(config)#servicetimestampsdebugdatetimemseclocaltimeRouter(config)#servicetimestampslogdatetimemseclo

8、caltime配置Console、AU鄧口VTY登錄控制登錄一臺路由器可以通過Console端口、AUX端口和VTY遠(yuǎn)程方式，因此對于這三種登錄方式的控制直接影響網(wǎng)絡(luò)設(shè)備的安全性。在三種登錄方式下需要設(shè)置認(rèn)證、和超時選項(xiàng)。建議認(rèn)證使用本地用戶名加密碼的方式增加安全性。Comman：dRouter(config-line)#loginlocal#設(shè)置登錄時采用本地的用戶數(shù)據(jù)Router(config-line)#exec-timeout<minutes><secs>#設(shè)置超時時間，<minutes>表示分，<secs>表示秒，超時時間為兩者之和Ex

9、ample：Router(config)#Router(config-line)#Router(config-line)#Router(config-line)#Router(config-line)#Router(config-line)#Router(config-line)#Router(config-line)#Router(config-line)#line con 0exec-timeout 120 0login localline aux 0exec-timeout 120 0login localline vty 0 4exec-timeout 120 0login local

10、限制遠(yuǎn)程登錄的范圍缺省情況下，從任何地方都可以登錄網(wǎng)絡(luò)設(shè)備。為了增加網(wǎng)絡(luò)設(shè)備的安全性，需要對遠(yuǎn)程登錄的范圍進(jìn)行限制。通常使用訪問控制列表(access-list)限制登錄主機(jī)的源地址，只有具有符合條件的主機(jī)能夠登錄到該網(wǎng)絡(luò)設(shè)備上。配置分為兩步：1定義訪問控制列表(access-list)2應(yīng)用訪問控制列表(access-list)Comman：dRouter(config)#access-listaccess-list-numberdeny|permitsourcesource-wildcardlog# 設(shè)置標(biāo)準(zhǔn)的訪問控制列表，其中access-list-number為1-99Router(c

11、onfig)#access-listaccess-list-numberdynamicdynamic-nametimeoutminutesdeny|permitprotocolsourcesource-wildcarddestinationdestination-wildcardprecedenceprecedencetostoslog# 設(shè)置擴(kuò)展的訪問控制列表，其中access-list-number為100-199Router(config-line)#access-classaccess-list-numberin|out# 1訪問控制列表應(yīng)用在相應(yīng)的VTY中Example：Router

12、(config)#access-list10permitvty04Router(config-line)#access-class10in# 設(shè)置只有IP地址在范圍的主機(jī)才能遠(yuǎn)程登錄該路由器。配置SNMPComman：drouter(config)#snmp-servercommunitystringviewview-namero|rwnumber#設(shè)置SNM次讀或讀寫申，number為Access-list號，限制可以通過SNM昉問該網(wǎng)絡(luò)設(shè)備的地址Example：router(config)#router(config)#snmp-servercommunitycrnetaia!nf0RW1

13、0snmp-servercommunitybjcrnetRO10router(config)#access-list 10 permitrouter(config)#access-list 10 permit#設(shè)置snmp只讀和讀寫口令，并且只讓和兩臺主機(jī)可以通過snmp采集路由器數(shù)配置特權(quán)等級缺省情況下，Cisco路由器有兩種控制模式：用戶模式和特權(quán)模式。用戶模式只有Show的權(quán)限和其他一些基本命令；特權(quán)模式擁有所有的權(quán)限，包括修改、刪除配置。在實(shí)際情況下，如果給一個管理人員分配用戶模式權(quán)限，可能不能滿足實(shí)際操作需求，但是分配給特權(quán)模式則權(quán)限太大，容易發(fā)生誤操作或密碼泄漏。使用特權(quán)等級，可以

14、定制多個等級特權(quán)模式，每一個模式擁有的命令可以按需定制。Comman：dRouter(config)#enablesecretlevellevelencryption-typepassword#設(shè)置想應(yīng)級別的特權(quán)密碼，level指定特權(quán)級別：0-15Router(config)#usernameusernameprivilegelevelpasswordpassword#設(shè)置管理人員的登錄用戶名、密碼和相應(yīng)的特權(quán)等級Router(config)#privilegemodelevellevelcommand#設(shè)置相應(yīng)特權(quán)等級下的能夠使用的命令，注意：一旦一條命令被賦予一個特權(quán)等級，比該特權(quán)等級低

15、的其他特權(quán)等級均不能使用該命令。Example：Router(config)#enablesecretlevel5csico5Router(config)#enablesecretlevel10cisco10#設(shè)置5級和10級的特權(quán)密碼Router(config)#usernameuser5privilege10passwordpassword5Router(config)#usernameuser10privilege10passwordpassword10#設(shè)置登錄名為user5的用戶，其特權(quán)等級為5、密碼為password5#設(shè)置登錄名為user10的用戶，其特權(quán)等級為10、密碼為pas

16、sword10Router(config)#privilegeexeclevel5showiprouteRouter(config)#privilegeexeclevel5showipRouter(config)#privilegeexeclevel5showRouter(config)#privilegeexeclevel10debugpppchapRouter(config)#privilegeexeclevel10debugppperrorRouter(config)#privilegeexeclevel10debugpppnegotiationRouter(config)#privil

17、egeexeclevel10debugpppRouter(config)#privilegeexeclevel10debugRouter(config)#privilegeexeclevel10cleariproute*Router(config)#privilegeexeclevel10cleariprouteRouter(config)#privilegeexeclevel10clearipRouter(config)#privilegeexeclevel10clear#設(shè)置5級和10級特權(quán)等級下能夠使用的命令路由安全路由協(xié)議的安全在OSP用己置中不是必須要和對端路有器建立臨接關(guān)系的端口，

18、不把端口放在OSPF勺network廣播。在廣播網(wǎng)段最好使用OSPF勺端口認(rèn)證防止其它非法的路由器獲得路由表。Router(config)#ipospfauthentication-keypasswordBGPEBGPPee的如有可能，可以采用BGPP勺鄰居認(rèn)證。Router(router-config)#neighborip-address|peer-group-namepasswordstring過濾私有地址路由CRNET!期骨干網(wǎng)均采用合法的IP地址。為防止私有IP進(jìn)入CRNETt干網(wǎng)，將在CRNET勺各個出口/入口過濾私有地址。因?yàn)镃RNET勺用戶路由均由BGPt載，故過濾私有地址路由

19、的過濾將在EBGP中做入口限制。Router(router-config)#neighborip-address|peer-group-nameroute-mapmap-nameinaccess-list10permit10permit10permitroute-mapdeny10matchipaddress10route-maproute-mappermit20主機(jī)安全CRNET!期將利用一期禾小日的兩臺PIX為主機(jī)（DNSServer、MailServer、認(rèn)證服務(wù)器、計(jì)費(fèi)服務(wù)器等）提供安全保證。防火墻是一種用于保護(hù)特別敏感區(qū)域的有效工具，通過它可以實(shí)現(xiàn)多種復(fù)雜的安全策略，對可疑的數(shù)據(jù)和請

20、求進(jìn)行審核和過濾，從而保證內(nèi)部網(wǎng)絡(luò)的安全。另外由于防火墻本身需要對數(shù)據(jù)包進(jìn)行深層次的檢查和處理，因此在一些數(shù)據(jù)流量特別大的地方不太適用，通常的用法是用來保護(hù)諸如計(jì)費(fèi)等特別敏感的主機(jī)和應(yīng)用。PIX的工作原理PIX防火墻要求有一個路由器連接到外部網(wǎng)絡(luò)，如下圖所示。PIX有兩個ETHERNET口，一個用于連接內(nèi)部局域網(wǎng)，另一個用于連接外部路由器。外部接口有一組外部地址，使用他們來與外部網(wǎng)絡(luò)通信。內(nèi)部網(wǎng)絡(luò)則配置有一個適合內(nèi)部網(wǎng)絡(luò)號方案的IP地址。PIX的主要工作是在內(nèi)部計(jì)算機(jī)需要與外部網(wǎng)絡(luò)進(jìn)行通信時，完成內(nèi)部和外部地址之間的映射。Internet&RouterARouterB配置好PIX防火墻

21、后，從外部世界看來，內(nèi)部計(jì)算機(jī)好象就是直接連接到PIX的外部接口似的。由于PIX的外部接口是Ethernet接口，所以，向主機(jī)傳送信息包需要用到MAC4址。為了使內(nèi)部主機(jī)在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層上看起來都好象是連接在外部接口上的，PIX運(yùn)行了代理ARP代理ARP給外部網(wǎng)絡(luò)層IP地址指定數(shù)據(jù)鏈路MAC*址，這就使得內(nèi)部計(jì)算機(jī)看起來像是在數(shù)據(jù)鏈路層協(xié)議的外部接口上似的。大多數(shù)情況下，與外部網(wǎng)絡(luò)的通信是從內(nèi)部網(wǎng)絡(luò)中發(fā)出的。由于PIX是對信息包進(jìn)行操作，而不是在應(yīng)用過程級(代理服務(wù)器則采用這種方法)，PIX既可以跟蹤UDPiH舌，也可以跟蹤TCP連接。當(dāng)一個計(jì)算機(jī)希望同外部計(jì)算機(jī)進(jìn)行通信時，PIX記錄下內(nèi)

22、部來源地址，然后從外部地址庫分配一個地址，并記錄下所進(jìn)行的轉(zhuǎn)換。這就是人們常說的有界NAT(statefulNAT),這樣，PIX就能記住它在同誰進(jìn)行交談，以及是哪個計(jì)算機(jī)首先發(fā)起的對話。只有已被確認(rèn)的來自外部網(wǎng)絡(luò)的信息包才會運(yùn)行，并進(jìn)入內(nèi)部網(wǎng)絡(luò)。不過，有時也需要允許外部計(jì)算機(jī)發(fā)起同指定的內(nèi)部計(jì)算機(jī)的通信。典型的服務(wù)包括電子郵件、WWW務(wù)、以及FTP服務(wù)。PIX給一個內(nèi)部地址硬編碼一個外部地址，這個地址是不會過期的。在這種情況下，用到對目標(biāo)地址和端口號的普通過濾。除非侵入PIX本身，外部用戶仍然是無法了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的。在不了解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)的情況下，惡意用戶就無法從內(nèi)部主機(jī)向內(nèi)部網(wǎng)絡(luò)實(shí)施攻擊。

23、PIX另一個關(guān)鍵性的安全特性是對TCPB息包的序列編號進(jìn)行隨機(jī)化處理。由于IP地址電子欺騙的方法早已公布，所以，入侵者已經(jīng)有可能通過這種方法，控制住一個現(xiàn)成的TCP連接，然后向內(nèi)部局域網(wǎng)上的計(jì)算機(jī)發(fā)送它們自己的信息。要想做到這一點(diǎn)，入侵者必須猜出正確的序列編號。在通常的TCP/IP中實(shí)現(xiàn)是很容易的，因?yàn)槊看纬跏蓟B接時，大都采用一個相同的編號來啟動會話。而PIX則使用了一種數(shù)學(xué)算法來隨機(jī)化產(chǎn)生序列編號，這實(shí)際上使得攻擊者已經(jīng)不可能猜出連接所使用的序列編號了。PIX配置配置PIX防火墻是一個比較直接的工作，在提供相同級別的安全服務(wù)情況下，PIX的配置相比設(shè)置代理服務(wù)器要簡單的多。從理論上講，所需

24、做的就是指定一個IP地址和一個用來對外部進(jìn)行訪問的地址庫，一個針對內(nèi)部連接的IP地址和網(wǎng)絡(luò)掩嗎、RIP、超時以及其他附屬安全信息。下面介紹一個PIX防火墻實(shí)際配置案例，供大家參考。因?yàn)槁酚善鞯呐渲迷诎踩苑矫婧蚉IX防火墻是相輔相成的，所以路由器的配置實(shí)例也一并列出。1. PIX防火墻ipaddressoutside路由器RTRA-RTRA是外部防護(hù)路由器，它必須保護(hù)PIX防火墻免受直接攻擊，保護(hù)FTP/HTTP服務(wù)器，同時作為一個警報(bào)系統(tǒng)，如果有人攻入此路由器，管理可以立即被通知。noservicetcpsmall-servers路由器RTRBRTRB是內(nèi)部網(wǎng)防護(hù)路由器，它是你的防火墻的最后

25、一道防線，是進(jìn)入.loggingtrapdebugginglogging/記錄此路由器上的所有活動到網(wǎng)管工作站上的日志服務(wù)器，包括配置的修改interfaceEthernet0ipaddressnoipproxy-arpipaccess-group110inaccess-list110permitudphost/允許通向網(wǎng)管工作站的系統(tǒng)日志信息access-list110denyipanyhostlog禁止所有別的從PIX防火墻發(fā)來的信息包access-listpermittcphosteqsmtp/允許郵件主機(jī)和內(nèi)部郵件服務(wù)器的SMTPSB件連接access-listdenyiphost/禁

26、止別的來源與郵件服務(wù)器的流量access-listdenyipany/防止內(nèi)部網(wǎng)絡(luò)的信任地址欺騙access-listpermitip允許所有別的來源于PIX防火墻和路由器RTR就問的流量linevty04loginpasswordxxxxxxxxxxaccess-class10in/限制可以遠(yuǎn)程登錄到此路由器上的IP地址access-list10permitip/只允許網(wǎng)管工作站遠(yuǎn)程登錄到此路由器，當(dāng)你想從INTERNET1理止匕路由器時，應(yīng)對此存取控制列表進(jìn)行修改按以上設(shè)置配置好PIX防火墻和路由器后，PIX防火墻外部的攻擊者將無法在外部連接上找到可以連接的開放端口，也不可能判斷出內(nèi)部任何

27、一臺主機(jī)的IP地址，即使告訴了內(nèi)部主機(jī)的IP地址，要想直接對它們進(jìn)行Ping和連接也是不可能的。這樣就可以對整個內(nèi)部網(wǎng)進(jìn)行有效的保護(hù)，防止外部的非法攻擊。攻擊防護(hù)防止DoS擊DoS攻擊幾乎是從互聯(lián)網(wǎng)絡(luò)的誕生以來伴隨著互聯(lián)網(wǎng)絡(luò)的發(fā)展而一直存在也不斷發(fā)展和升級。CRNETZ期骨干網(wǎng)也要考慮到DoS攻擊的存在，并做好相應(yīng)的防范。從某種程度上可以說，DoS攻擊永遠(yuǎn)不會消失而且從技術(shù)上目前沒有非常根本的解決辦法。DoS技術(shù)嚴(yán)格的說只是一種破壞網(wǎng)絡(luò)服務(wù)的技術(shù)方式，具體的實(shí)現(xiàn)多種多樣，但都有一個共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)失去及時接受處理外界請求，或無法及時回應(yīng)外界請求。對于DoS攻擊，可以采用

28、以下方法防范：1、使用ipverfyunicastreverse-path網(wǎng)絡(luò)接口命令這個功能檢查每一個經(jīng)過路由器的數(shù)據(jù)包。在路由器的CE(FCiscoExpressForwarding)表該數(shù)據(jù)包所到達(dá)網(wǎng)絡(luò)接口的所有路由項(xiàng)中，如果沒有該數(shù)據(jù)包源IP地址的路由，路由器將丟棄該數(shù)據(jù)包。例如：路由器接收到一個源IP地址為的數(shù)據(jù)包，如果CEF路由表中沒有為IP地址提供任何路由(即反向數(shù)據(jù)包傳輸時所需的路由)，則路由器會丟棄它。單一地址反向傳輸路徑轉(zhuǎn)發(fā)(UnicastReversePathForwarding)在ISP(局端)實(shí)現(xiàn)阻止SMUR攻擊和其它基于IP地址偽裝的攻擊。這能夠保護(hù)網(wǎng)絡(luò)和客戶免受來

29、自互聯(lián)網(wǎng)其它地方的侵?jǐn)_。使用UnicastRPF需要打開路由器的"CEFswithing"或"CEFdistributedswitching"選項(xiàng)。不需要將輸入接口配置為CEF交換(switching)。只要該路由器打開了CEF功能，所有獨(dú)立的網(wǎng)絡(luò)接口都可以配置為其它交換(switching)模式。RPF(反向傳輸路徑轉(zhuǎn)發(fā))屬于在一個網(wǎng)絡(luò)接口或子接口上激活的輸入端功能，處理路由器接收的數(shù)據(jù)包。在路由器上打開CE皿能是非常重要的，因?yàn)镽P鶴須依靠CEFUnicastRPF包含在支持CEF的CiscoIOS及以上版本中，但不支持CiscoIOS或版本。2、使

30、用訪問控制列表（ACD過濾RFC1918中列出的所有地址參考以下例子：interfacexyipaccess-group101inaccess-list101denyipanyaccess-list101denyipanyaccess-list101denyipanyaccess-list101permitipanyany3、參照RFC2267,使用訪問才5制列表（ACD過濾進(jìn)出報(bào)文參考以下例子：ISP中心-ISP端邊界路由器-客戶端邊界路由器-客戶端網(wǎng)絡(luò)ISP端邊界路由器應(yīng)該只接受源地址屬于客戶端網(wǎng)絡(luò)的通信，而客戶端網(wǎng)絡(luò)則應(yīng)該只接受源地址未被客戶端網(wǎng)絡(luò)過濾的通信。以下是ISP端邊界路由器的訪

31、問控制列表（ACD例子：access-list190permitip客戶端網(wǎng)絡(luò)客戶端網(wǎng)絡(luò)掩碼anyaccess-list190denyipanyanyloginterface內(nèi)部網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口號ipaccess-group190in以下是客戶端邊界路由器的ACL例子：access-list187denyip客戶端網(wǎng)絡(luò)客戶端網(wǎng)絡(luò)掩碼anyaccess-list187permitipanyanyaccess-list188permitip客戶端網(wǎng)絡(luò)客戶端網(wǎng)絡(luò)掩碼anyaccess-list188denyipanyanyinterface外部網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口號ipaccess-group187in

32、ipaccess-group188out如果打開了CE砌能，通過使用單一地址反向路徑轉(zhuǎn)發(fā)（UnicastRPF,能夠充分地縮短訪問控制列表（ACL）的長度以提高路由器性能。為了支持UnicastRPF只需在路由器完全打開CEF打開這個功能的網(wǎng)絡(luò)接口并不需要是CEF交換接口。4、使用CAR（ControlAccessRate）限制ICMP數(shù)據(jù)包流量速率參考以下例子：interfacexyrate-limitoutputaccess-group20203000000512000786000conform-actiontransmitexceed-actiondropaccess-list2020p

33、ermiticmpanyanyecho-reply5、設(shè)置SYN據(jù)包流量速率interfaceintrate-limitoutputaccess-group153100000100000conform-actiontransmitexceed-actiondroprate-limitoutputaccess-group1521000000100000100000conform-actiontransmitexceed-actiondropaccess-list152permittcpanyhosteqwwwaccess-list153permittcpanyhosteqwwwestablish

34、ed在實(shí)現(xiàn)應(yīng)用中需要進(jìn)行必要的修改，替換：為最大連接帶寬1000000為SYNflood流量速率的30%到50%之間的數(shù)值。burstnormal（正常突變）和burstmax（最大突變）兩個速率為正確的數(shù)值。注意，如果突變速率設(shè)置超過30%可能會丟失許多合法的SYNR據(jù)包使用"showinterfacesrate-limit"命令查看該網(wǎng)絡(luò)接口的正常和過度速率，能夠幫助確定合適的突變速率。這個SYN1率限制數(shù)值設(shè)置標(biāo)準(zhǔn)是保證正常通信的基礎(chǔ)上盡可能地小。警告：一般推薦在網(wǎng)絡(luò)正常工作時測量SYNt據(jù)包流量速率，以此基準(zhǔn)數(shù)值加以調(diào)整。必須在進(jìn)行測量時確保網(wǎng)絡(luò)的正常工作以避免出現(xiàn)

35、較大誤差。另外，建議考慮在可能成為SYNt擊的主機(jī)上安裝IPFilter等IP過濾工具包。6、搜集證據(jù)并聯(lián)系網(wǎng)絡(luò)安全部門或機(jī)構(gòu)如果可能，捕獲攻擊數(shù)據(jù)包用于分析。建議使用SUNT作立或Linux等高速計(jì)算機(jī)捕獲數(shù)據(jù)包。常用的數(shù)據(jù)包捕獲工具包括TCPDumpsnoop等?；菊Z法為：tcpdump-iinterface-s1500-wcapture_filesnoop-dinterface-ocapture_file-s1500本例中假定MTU：小為1500。如果MTUJfc于1500,則需要修改相應(yīng)參數(shù)將這些捕獲的數(shù)據(jù)包和日志作為證據(jù)提供給有關(guān)網(wǎng)絡(luò)安全部門或機(jī)構(gòu)。紀(jì)錄、追蹤攻擊對于已知IP地址的

36、攻擊，可以采用access-list過濾，并紀(jì)錄攻擊的情況。參考以下命令：access-listaccess-list-numberdeny|permitsourcesource-wildcardlogaccess-listaccess-list-numberdeny|permitprotocolsourcesource-wildcarddestinationdestination-wildcardprecedenceprecedencetostoslog通過showaccess-list可以察看符合該access-list的數(shù)據(jù)包的數(shù)量。第六章網(wǎng)絡(luò)安全I(xiàn)SP運(yùn)營商今天面臨著有關(guān)安全方面的多種

37、威脅，這些威脅有的可能是隨機(jī)的，也有可能是惡意的，但其后果都一樣的：妨礙用戶及ISP運(yùn)營商的正常運(yùn)行。從系統(tǒng)角度來看，網(wǎng)絡(luò)安全不是一個簡單的產(chǎn)品問題，網(wǎng)絡(luò)安全首先是個系統(tǒng)問題?；ヂ?lián)網(wǎng)安全手冊RFC2196“SiteSecurityHandbook”是一個非常好的范例。從路由設(shè)備的安全方面考慮，我們建議廣東163省骨干網(wǎng)采取以下措施。廣域網(wǎng)安全策略實(shí)施在廣域網(wǎng)安全實(shí)施方案中，具體建議如下：1、采用了分層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，把骨干網(wǎng)與用戶網(wǎng)絡(luò)隔離開來。2、廣域網(wǎng)路由協(xié)議選用支持多路由接入的協(xié)議。3、各節(jié)點(diǎn)采用雙路由接入，實(shí)現(xiàn)傳輸線路冗余備份。4、對網(wǎng)絡(luò)連接設(shè)備實(shí)行口令管理，并通過網(wǎng)管服務(wù)器實(shí)時監(jiān)控其狀態(tài)。5、對域名服務(wù)器的操作系統(tǒng)進(jìn)行優(yōu)化，并建立本網(wǎng)絡(luò)的備份域名服務(wù)器，以保證域名服務(wù)的可用性。6、全省網(wǎng)絡(luò)管理中心統(tǒng)一負(fù)責(zé)全網(wǎng)的路由管理、網(wǎng)絡(luò)連接設(shè)備的管理、全網(wǎng)安全策略的管理。操作系統(tǒng)安全策略為提高操作系統(tǒng)的安全性，在實(shí)施中綜合采用以下策略：1、通過防火墻或路由器中的ACL的設(shè)計(jì)，禁止本地?fù)芴栍脩艏癐nternet用戶對沒有必要開放的主機(jī)及端口的訪問。2、在主機(jī)上利用TCPWRAPPER制特定服務(wù)所允許的客戶機(jī)地址范圍，并進(jìn)行記錄（LOG