網絡設備安全技術

2021/6/191

網絡設備安全技術

網絡設備面臨的安全威脅路由器的安全技術交換機的安全技術無線局域網接入器的安全技術小結習題與思考題網絡設備安全技術全文共96頁，當前為第1頁。2021/6/192

網絡設備面臨的安全威脅

.1主要網絡設備簡介 從網絡安全的角度考慮本章只對路由器、交換機、無線局域網接入器作簡單介紹。

1.路由器 路由器工作在網絡層，是互聯網的關鍵設備，用于連接不同的網絡。主要功能包括IP數據包的轉發(fā)、路由的計算和更新、ICMP消息的處理、網絡管理四個方面。同時還具有數據包過慮、網絡地址轉換的功能，能夠完成防火墻的部分功能，但這對路由器的性能提出了較高的要求。

網絡設備安全技術全文共96頁，當前為第2頁。2021/6/193

有的路由器還支持虛擬私有專線連接，它適用于企業(yè)的總部與分部之間信息的連接，提供數據加密傳輸、數據可靠性驗證、用戶身份認證等一系列的安全防范措施，使用戶能在現有設備的基礎上通過Internet安全傳輸數據。

2.交換機 交換機一般工作在數據鏈路層，是智能化的轉發(fā)設備，能夠為每個端口提供獨立的高帶寬。主要功能包括分隔沖突域、提供端口的冗余備份、端口的鏈路匯聚、虛擬局域網、組播技術。有的交換機還具有三層交換功能、結合管理軟件的用戶認證功能、網絡服務質量

(QualityofService，簡稱QoS)功能、MAC地址和IP地址過濾功能。網絡設備安全技術全文共96頁，當前為第3頁。2021/6/194 3.無線局域網接入器 無線網絡作為有線網絡的補充，擴大了有線網絡的覆蓋范圍和接入的靈活度，使移動用戶和布線困難的位置可以輕松接入網絡，可以為用戶提供無線漫游接入和移動辦公。無線網橋是無線網絡的接入設備，在安全方面一般支持64-bit或128-bitWEP(WiredEquivalentProtocol，有線等效保密)加密，提供MAC地址過濾和SSID(ServiceSetIdentifier，服務識別碼)隱藏功能。網絡設備安全技術全文共96頁，當前為第4頁。2021/6/195 .2網絡設備面臨的安全威脅 目前的網絡設備從管理方面可以分為以下三類。 ●不需要也不允許用戶進行配置和管理的設備，如集線器。 ●網絡設備支持通過特殊的端口與計算機串口、并口或USB口連接，通過計算機中超級終端或網絡設備自帶的管理軟件進行配置和管理的設備，如通過串口管理的交換機。網絡設備安全技術全文共96頁，當前為第5頁。2021/6/196 ●網絡設備支持通過網絡進行管理。即允許網絡設備通過特殊的端口與計算機串口、并口或USB口連接，進行網絡設備的配置和管理；還允許為網絡設備設置IP地址，用戶可以通過telnet命令、網管軟件或Web等方式對網絡設備進行配置和管理，如可網管交換機、路由器等。 前兩類網絡設備不能通過網絡進行管理，一般設備本身不會遭到入侵攻擊。第三類網絡設備如果設置不當、網絡設備中的軟件有漏洞都可能引起網絡設備被攻擊。網絡設備面臨的安全威脅主要有以下六個方面。網絡設備安全技術全文共96頁，當前為第6頁。2021/6/197 1.人為設置錯誤 在網絡設備配置和管理中，人為設置錯誤會給網絡設備甚至整個網絡帶來嚴重的安全問題。常見的人為設置錯誤主要有以下三種。

(1)網絡設備管理的密碼設置為缺省密碼而不更改甚至不設密碼 在可網管的網絡設備中，都使用密碼來驗證登錄到網絡設備上的用戶的合法性和權限。密碼在網絡設備上有兩種保存方式，一種是明碼的文本，可以通過查看配置文件直接看到密碼，另一種是經過加密的，不能通過查看配置文件而直接識別出來。網絡設備安全技術全文共96頁，當前為第7頁。2021/6/198

網絡設備有的有缺省密碼，有的密碼為空，用戶在配置網絡設備時首先將密碼修改為復雜的密碼，并使用加密存放或使用TACACS+或RADIUS認證服務器。一旦入侵者通過了網絡設備的密碼驗證，該網絡設備的控制權就被入侵者控制了，將威脅網絡設備及網絡的安全。

(2)不對遠程管理等進行適當的控制 對于網絡設備的管理，通常使用圖形界面的網管軟件、telnet命令、瀏覽器等方式，方便地對網絡設備進行遠程管理，用戶要對這些遠程管理進行適當的限制。網絡設備安全技術全文共96頁，當前為第8頁。2021/6/199 (3)網絡設備的配置錯誤 如果網絡設備的配置錯誤將無法達到預期的目的，會威脅網絡的安全。如路由器中的訪問控制配置錯誤、無線局域網接入器廣播服務識別碼等。

2.網絡設備上運行的軟件存在漏洞 必須對在設備上運行的軟件的缺陷給予充分的注意。當接到軟件缺陷報告時需要迅速進行版本升級等措施，并對網絡設備上的軟件和配置文件作備份。

3.泄漏路由設備位置和網絡拓撲 攻擊者利用tracert命令和SNMP(簡單網絡管理協議)很容易確定網絡路由設備位置和網絡拓撲結構。如用tracert命令可以查看經過的路由。網絡設備安全技術全文共96頁，當前為第9頁。2021/6/1910 4.拒絕服務攻擊的目標 拒絕服務攻擊服務器會使服務器無法提供服務，而攻擊網絡設備，特別是局域網出口的路由器，將影響整個網絡的應用。在局域網出口的路由器上采取防止拒絕服務攻擊的配置，可以有效的保護路由器及整個網絡的安全。

5.攻擊者的攻擊跳板 攻擊者入侵網絡設備后可以再通過該網絡設備攻擊內部網絡。如入侵網絡設備后使用telnet、ping等命令入侵內部網絡。

6.交換機端口監(jiān)聽 在使用集線器的網絡中網絡很容易被監(jiān)聽，在使用交換機的網絡中使用一些工具也可以捕獲交換機環(huán)境下的敏感數據。網絡設備安全技術全文共96頁，當前為第10頁。2021/6/1911

路由器的安全技術 .1路由器具有的安全特征 針對網絡存在的各種安全隱患，安全路由器通常具有如下安全特性。

1.可靠性與線路安全 對于路由器來說，可靠性主要體現在接口故障和網絡流量增大兩種情況下，因此，線路和接口的備份是路由器不可缺少的。當主接口出現故障時，備份接口自動投入工作，保證網絡的正常運行；當網絡流量增大時，備份接口又可承擔負載分擔的任務。如使用電話撥號上網方式的備份。網絡設備安全技術全文共96頁，當前為第11頁。2021/6/1912 2.身份認證 路由器中的身份認證主要包括訪問路由器時的身份認證、對端路由器的身份認證和路由信息的身份認證。

3.訪問控制

(1)對于路由器的訪問控制，需要進行口令的分級保護。

(2)基于IP地址的訪問控制。

(3)基于用戶的訪問控制。

(4)基于時間的訪問控制。網絡設備安全技術全文共96頁，當前為第12頁。2021/6/1913 4.信息隱藏 與對端通信時，不一定需要用真實身份進行通信。通過地址轉換，可以做到隱藏內網地址、只以公共地址的方式訪問外部網絡。除了由內部網絡首先發(fā)起的連接，網外用戶不能通過地址轉換直接訪問內網資源。

5.數據加密 為了避免因為數據竊聽而造成的信息泄漏，要對所傳輸的信息進行加密，只有與之通信的對端才能對此密文進行解密。通過對路由器所發(fā)送的報文進行加密，即使在Internet上進行傳輸，也能保證數據的私有性、完整性以及報文內容的真實性。網絡設備安全技術全文共96頁，當前為第13頁。2021/6/1914 6.攻擊探測和防范 路由器作為一個內部網絡對外的接口設備，是攻擊者進入內部網絡的第一個目標。如果路由器不提供攻擊檢測、防范或者配置不當將成為攻擊者進入內部網絡的一個橋梁。在路由器上提供攻擊檢測和對路由器進行必要的安全配置，可以防止一部分的網絡攻擊。

7.安全管理 內部網絡與外部網絡之間的每一個數據報文都會通過路由器，在路由器上進行報文的審計可以提供網絡運行的必要信息，有助于分析網絡的運行情況。

網絡設備安全技術全文共96頁，當前為第14頁。2021/6/1915

各路由器廠商提供了不同的解決方案，所采用的安全技術包括包過濾技術、地址轉換、VPN(VirtualPrivateNetwork，虛擬專用網)技術、加密與密鑰交換技術和安全管理等。

.2路由器口令的安全

路由器的口令分為端口登錄口令、特權用戶口令。使用端口登錄口令可以登錄到路由器，一般只能查看部分信息，而使用特權用戶口令登錄可以使用全部的查看、配置和管理命令。特權用戶口令只能用于使用端口登錄口令登錄路由器后進入特權模式，不能用于端口登錄。網絡設備安全技術全文共96頁，當前為第15頁。2021/6/1916 1.口令加密

在路由器默認配置中，口令是以純文本形式存放的，不利于對保護路由器的安全。在Cisco路由器上可以對口令加密，這樣訪問路由器的其他人就不能看到這些口令。命令如下。

Router(config)#servicepassword-encryption

其中Router(config)#為命令提示符，servicepassword-encryption為口令加密服務命令。 口令加密服務將加密所有現存的和在以后配置的口令。建議在Cisco網絡設備配置中使用這項服務。網絡設備安全技術全文共96頁，當前為第16頁。2021/6/1917 2.端口登錄口令 路由器一般有Consle(控制臺端口)、Aux(輔助端口)和Ethernet口可以登錄到路由器，這為網絡管理員對路由器進行管理提供了很大的方便，同時也給攻擊者提供了可乘之機。因此，首先應該給相應的端口加上口令。要注意口令的長度以及數字、字母、符號是否相混合，以防止攻擊者利用口令或默認口令進行攻擊。不同的端口可以建立不同的認證方法。下面以Cisco路由器為例簡單說明路由器口令的設置。網絡設備安全技術全文共96頁，當前為第17頁。2021/6/1918Router(config)#linevty04Router(config-line)#loginRouter(config-line)#exec-timeout230Router(config-line)#passwordabc111Router(config-line)#exitRouter(config)-#lineaux0Router(config-line)#loginRouter(config-line)#exec-timeout230Router(config-line)#passwordabc222Router(config-line)#exitRouter(config)#linecon0Router(config-line)#exec-timeout230Router(config-line)#passwordabc333Router(config-line)#exit網絡設備安全技術全文共96頁，當前為第18頁。2021/6/1919

這樣用戶只有輸入相應端口的口令才能從路由器的Consle、Aux或Ethernet口登錄路由器。下面分別對配置中的命令進行說明。

linevty04命令用來保護在網絡中用來進行telnet訪問的虛擬終端行。由于路由器訪問有不止一個vty行，所以在vty關鍵字后面有兩個數字。在Cisco路由器上默認的行數為五行。linevty04為所有終端行設置一個口令。lineaux和linecon分別用來保護從Aux口和Consle口訪問路由器的安全。

login命令用來啟動登錄的口令檢查。網絡設備安全技術全文共96頁，當前為第19頁。2021/6/1920 exec-timeout命令用來設置通話超時時間，上面配置中的exec-timeout230設置為兩分三十秒鐘內沒有輸入，將自動關閉與路由器連接的對話，防止網絡管理員登錄路由器后離開終端時被非法用戶修改路由器的配置。

password命令用來設置端口口令，上面配置中的passwordabc333設置為從linecon0端口登錄路由器時需要的口令。 更好的登錄口令處理方法是將這些口令保存在TACACS+或RADIUS認證服務器上，在路由器上配置使用認證服務器對用戶和密碼進行認證，這種認證的安全性更高。

網絡設備安全技術全文共96頁，當前為第20頁。2021/6/1921 3.特權用戶口令 特權用戶口令的設置可以使用enablepassword命令和enablesecret命令。一般不用enablepassword命令，該命令設置的口令可以通過軟件破解，存在安全漏洞。enablesecret采用MD5散列算法對口令進行加密，具體配置如下。

Router#confterm Router(config)#enablesecretcba123

在執(zhí)行了這一步后查看路由器配置，將看到無論是否開啟了口令加密服務，特權用戶口令都自動被加密了。網絡設備安全技術全文共96頁，當前為第21頁。2021/6/1922 4.修改簡單網絡管理協議密碼字 簡單網絡管理協議(SimpleNetworkManagementProtocol，SNMP)是由互聯網工程任務組定義的一套網絡管理協議。利用SNMP，一個管理工作站可以遠程管理所有支持這種協議的網絡設備，包括監(jiān)視網絡狀態(tài)、修改網絡設備配置、接收網絡事件警告等。使用該協議要提供密碼字，在CISCO路由器中有個默認的密碼字，用戶在使用路由器時要修改這個密碼字，具體配置如下。網絡設備安全技術全文共96頁，當前為第22頁。2021/6/1923Router#conftermRouter(config)#snmp-servercommunityread123RORouter(config)#snmp-servercommunitywrite123RWsnmp-servercommunityread123RO為設置只讀密碼字為read123，snmp-servercommunitywrite123RW為設置可寫密碼字為write123。網絡設備安全技術全文共96頁，當前為第23頁。2021/6/1924 5.防止口令修復 要注意路由器的物理安全，不要讓管理員以外的人員隨便接近路由器。如果攻擊者從物理上接觸路由器后，可以通過口令修復的方法清除口令，進而登錄路由器，就可以完全控制路由器。 在實際應用中使用口令基礎上，還可以采取將不使用的端口禁用、權限分級策略、控制連接的并發(fā)數目、采用訪問列表嚴格控制訪問的地址、采用AAA設置用戶等方法，來加強路由器訪問控制的安全。網絡設備安全技術全文共96頁，當前為第24頁。2021/6/1925 .3路由器網絡服務的安全 為了方便用戶的應用和管理，在路由器上提供了一些網絡服務，但是由于一些路由器上的軟件的漏洞、配置錯誤等原因，有些服務可能會影響路由器和網絡的安全，因此從網絡安全角度應該禁止那些不必要的網絡服務。在Cisco路由器上常見的網絡服務及禁止方法如下。

1.禁止HTTP服務 使用Web界面來控制管理路由器，為初學者提供了方便，但存在安全隱患，使用下面的命令可以禁止HTTP服務。網絡設備安全技術全文共96頁，當前為第25頁。2021/6/1926 Router(Config)#noiphttpserver

如果必須使用HTTP服務來管理路由器，最好是配合訪問控制列表和AAA認證來做。嚴格過濾允許的IP地址。建議沒有特殊需要，就關閉HTTP服務。

2.禁止CDP(CiscoDiscoveryProtocol，Cisco發(fā)現協議)

該協議存在于Cisco11.0以后的版本中，都是默認啟動的。在OSI二層(鏈路層)協議的基礎上可發(fā)現對端路由器的設備平臺、操作系統(tǒng)版本、端口、IP地址等重要信息?？山蛊溥\行，加強安全性，命令如下。網絡設備安全技術全文共96頁，當前為第26頁。2021/6/1927 Router(Config)#nocdprun

管理員也可以指定禁止某端口的CDP，比如為了讓路由器內部網絡使用CDP，而禁止路由器對外網的CDP應答，命令如下。

Router(Config)#interfaceSerial0 Router(Config-if)#nocdpenable3.禁止其他的TCP、UDPSmall服務Router(Config)#noservicetcp-small-serversRouter(Config)#noserviceudp-samll-servers網絡設備安全技術全文共96頁，當前為第27頁。2021/6/1928 4.禁止Finger服務

Router(Config)#noipfinger Router(Config)#noservicefinger 5.禁止BOOTP服務

Router(Config)#noipbootpserver 6.禁止從網絡啟動和自動從網絡下載初始配置文件

Router(Config)#nobootnetwork Router(Config)#noservicconfig網絡設備安全技術全文共96頁，當前為第28頁。2021/6/19297.禁止IPSourceRoutingRouter(Config)#noipsource-route8.禁止

ARP-Proxy服務，路由器默認是開啟的

Router(Config)#noipproxy-arpRouter(Config-if)#noipproxy-arp9.禁止IPDirectedBroadcastRouter(Config)#noipdirected-broadcast10.禁止IPClasslessRouter(Config)#noipclassless網絡設備安全技術全文共96頁，當前為第29頁。2021/6/1930 11.禁止ICMP協議的IPUnreachables，Redirects，MaskReplies Router(Config-if)#noipunreacheables Router(Config-if)#noipredirects Router(Config-if)#noipmask-reply 12.禁止SNMP協議服務

Router(Config)#nosnmp-servercommunitypublicRo Router(Config)#nosnmp-servercommunityadminRW Router(Config)#nosnmp-serverenabletraps Router(Config)#nosnmp-serversystem-shutdown Router(Config)#nosnmp-servertrap-anth Router(Config)#nosnmp-server Router(Config)#end網絡設備安全技術全文共96頁，當前為第30頁。2021/6/1931 13.禁止DNS服務

Router(Config)#noipdomain-lookup 14.禁止不使用的端口

Router(Config)#interfaceSerial1 Router(Config-if)#shutdown網絡設備安全技術全文共96頁，當前為第31頁。2021/6/1932 .4訪問控制列表 訪問控制列表(AccessControlList，ACL)是路由器接口的指令列表，用來控制端口進出的數據包。訪問列表(access-list)是一系列允許和拒絕條件的集合，當數據包經過路由器某一個端口時，在訪問列表對其進行處理時，訪問列表中的語句按照由上而下的順序依次對數據包進行處理，直到出現匹配的情況，根據控制情況決定路由器接收或拒收該數據包，因此訪問列表中語句的順序非常重要。至于是接收還是拒絕，由源地址、目的地址、協議、端口號、時間等的特定條件來決定。網絡設備安全技術全文共96頁，當前為第32頁。2021/6/1933

使用訪問控制列表的目的是通過訪問列表過濾進入和發(fā)出信息包的請求，保護路由器和網絡的安全，并能優(yōu)化網絡的流量。訪問控制列表適用于所有的被路由支持的協議，如IP、IPX、AppleTalk等。訪問控制列表的定義基于每一種協議，如果路由器接口配置成為支持三種協議(IP、AppleTalk以及IPX)的情況，那么，用戶必須分別定義三種ACL來分別控制這三種協議的數據包。

網絡設備安全技術全文共96頁，當前為第33頁。2021/6/1934 1.訪問控制列表作用

(1)訪問控制列表可以根據需要限制網絡流量、提高網絡性能。如訪問控制列表可以根據數據包的協議，指定某種類型的數據包的優(yōu)先級，在同等情況下路由器優(yōu)先處理優(yōu)先級高的數據包，丟棄那些不必要的數據包。使用不同的隊列可以限制網絡流量，減少網絡擁塞。

(2)訪問控制列表提供對通信流量的控制手段。如訪問控制列表可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量。

(3)訪問控制列表是提供網絡安全訪問的基本手段。如允許局域網中的主機A訪問Internet，而拒絕局域網中的主機B訪問Internet。

網絡設備安全技術全文共96頁，當前為第34頁。2021/6/1935 (4)訪問控制列表可以在路由器端口處決定哪種類型的通信流量被轉發(fā)或被阻塞。如允許所有Web通信流量，而拒絕所有的Telnet通信流量。

2.訪問控制列表分類 訪問列表分為標準訪問列表和擴展訪問列表。標準的訪問列表只允許過濾源地址，且功能十分有限。擴展的訪問列表允許過濾源地址、目的地址和上層應用數據。

Cisco路由器從IOS12.0開始增加基于時間的訪問列表，可以根據一天中的不同時間或者根據一星期中的不同日期來控制網絡數據包的轉發(fā)。網絡設備安全技術全文共96頁，當前為第35頁。2021/6/1936

基于時間的訪問列表是在原來的標準訪問列表和擴展訪問列表中加入有效的時間范圍來更合理、更有效地控制網絡。在使用基于時間的訪問列表時需要先定義一個時間范圍，然后在原來訪問列表的基礎上應用。

3.訪問控制列表的配置命令 在Cisco路由器中設置訪問控制列表的具體命令及格式如下。

(1)創(chuàng)建標準IP訪問列表

access-listlistnumber1{permit|deny}source-addr[source-mask]

網絡設備安全技術全文共96頁，當前為第36頁。2021/6/1937

標準IP訪問列表命令中的關鍵字和參數含義如下：

listnumber1是1到99之間的一個數值，表示規(guī)則是標準訪問列表規(guī)則。

permit允許滿足條件的數據包通過。

deny禁止?jié)M足條件的數據包通過。

source-addr為發(fā)送數據包的主機地址。

source-mask發(fā)送數據包的主機的通配符掩碼，在標準訪問列表中是可選項，不輸入則代表通配位為。

網絡設備安全技術全文共96頁，當前為第37頁。2021/6/1938

例1允許源IP地址202.1118.0網絡中除202.1118.9外計算機訪問Internet。 標準IP訪問列表中的access-list語句如下：

access-list1denyhost202.1118.9 access-list1permit202.1118.055

這里使用了一個通配符掩碼55。因為C類IP地址的最后一組數字代表主機，把它們都置1即允許網絡上的每一臺主機訪問。網絡設備安全技術全文共96頁，當前為第38頁。2021/6/1939

關鍵字“host”代表通配符掩碼，此外關鍵字“any”可以作為源地址的縮寫，并代表通配符掩碼55。在默認情況下，除非明確規(guī)定允許通過，訪問列表總是阻止或拒絕一切數據包的通過，即實際上在每個訪問列表的最后，都隱含有一條“denyany”的語句。 如果將上面的語句寫為：

access-list1permit202.1118.055 access-list1denyhost202.1118.9網絡設備安全技術全文共96頁，當前為第39頁。2021/6/1940

那么源IP地址為202.1118.9的計算機也能訪問Internet，因為202.1118.9在202.1118.0的網段內，與第一條語句匹配，將不再檢查后面的語句，因此在設置訪問控制列表時語句的順序非常重要。設置錯誤將不能起到控制作用，一般在設置完訪問控制后要進行相應的測試。

(2)創(chuàng)建擴展IP訪問列表

access-listlistnumber2{permit|deny}protocolsource-addrsource-mask[operatorport1[port2]]dest-addrdest-mask[operatorport1[port2]][[log]

擴展IP訪問列表命令中的關鍵字和參數含義入下：

listnumber2是100到199之間的一個數值，表示規(guī)則是擴展訪問列表規(guī)則。

網絡設備安全技術全文共96頁，當前為第40頁。2021/6/1941 permit允許滿足條件的數據包通過。

deny禁止?jié)M足條件的數據包通過。

protocol為協議類型，它支持ICMP、TCP、UDP等協議，此時沒有端口比較的概念，為IP時有特殊含義，代表所有的IP協議。

source-addr為發(fā)送數據包的主機地址。

source-mask發(fā)送數據包的主機的通配符掩碼。

dest-addr為目的地址。

dest-mask為目的地址通配符掩碼。

網絡設備安全技術全文共96頁，當前為第41頁。2021/6/1942 Operator端口操作符，在協議類型為TCP或UDP時支持端口比較，支持的比較操作有等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range)；如果操作符為range，則后面需要跟兩個端口。該項為可選項。port1在協議類型為TCP或UDP時出現，可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。

port2在協議類型為TCP或UDP且操作類型為range時出現；可以為關鍵字所設定的預設值(如telnet)或0~65535之間的一個數值。

log表示如果報文符合條件，需要做日志。該項為可選項網絡設備安全技術全文共96頁，當前為第42頁。2021/6/1943

例2允許源地址為202.1118.0的網絡、目的地址為網絡的WWW訪問，但不允許使用FTP。

access-list100permittcp202.1118.05555eqwwwaccess-list100denytcp202.1118.05555eqftp (3)刪除訪問列表

noaccess-listlistnumber

參數listnumber是1到199之間的一個數值，表示要刪除的列表規(guī)則。

網絡設備安全技術全文共96頁，當前為第43頁。2021/6/1944 (4)將規(guī)則應用到路由器端口

ipaccess-grouplistnumber{in|out}

參數in表示規(guī)則用于過濾從路由器端口收上來的報文，out表示規(guī)則用于過濾從路由器端口轉發(fā)的報文。 例3：將規(guī)則100應用于過濾從以太網口接收的報文。

Route＃configterm Router(config)#interfacee0 Router(config-if)#ipaccess-group100in Router(config-if)#^z網絡設備安全技術全文共96頁，當前為第44頁。2021/6/1945 (5)刪除路由器端口上的過濾規(guī)則

noipaccess-grouplistnumber{in|out} (6)顯示包過濾規(guī)則

showaccess-list[listnumber]

使用該命令可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無效。 例4：顯示當前所使用的序號為100的規(guī)則。

sepirouter#shaccess-list100 ExtendedIPaccesslist100

網絡設備安全技術全文共96頁，當前為第45頁。2021/6/1946 ermittcp202.1118.05555eqwww(25matches) denytcp202.1118.05555eqftp(8matches)

括號中為匹配的數據包的數量。

(7)定義時間范圍

time-rangetime-range-nameabsolute[starttimedate][endtimedate]periodicdays-of-theweekhh:mmto[days-of-theweek]hh:mm網絡設備安全技術全文共96頁，當前為第46頁。2021/6/1947

定義時間范圍命令中的關鍵字和參數含義如下：

time-range用來定義時間范圍的命令。

time-range-name時間范圍名稱，用來標識時間范圍，在后面的訪問列表中引用。

absolute指定絕對時間范圍。它后面緊跟這start和

end兩個關鍵字。在這兩個關鍵字后面的時間要以24小時制、hh：mm(小時：分鐘)表示，日期要按照日/月/年來表示。如果省略start及其后面的時間，那表示與之相聯系的permit或deny語句立即生效，并一直作用到end處的時間為止；如果省略end及其后面的時間，那表示與之相聯系的permit或deny語句在start處表示的時間開始生效，直到把訪問列表刪除或取消該時間設定。網絡設備安全技術全文共96頁，當前為第47頁。2021/6/1948 periodic以星期為參數來定義時間范圍的命令。它的參數主要有Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sunday中的一個或者幾個的組合，也可以是daily(每天)，weekday(周一到周五)或者weekend(周末)。網絡設備安全技術全文共96頁，當前為第48頁。2021/6/1949

例5：從2003年12月1日0點到2003年12月31日晚23點59分。這一個月中，只有在周六早7點到周日晚10點才可以通過學校的網絡訪問80端口。

router#configt router(config)#interfaceethernet0 router(config-if)#ipaccess-group101in router(config-if)#time-rangehttp router(config-if)#absolutestart0:001December2003end23:5931december2003periodicSaturday7:00toSunday22:00 router(config-if)#ipaccess-list101permittcpanyanyeq80http網絡設備安全技術全文共96頁，當前為第49頁。2021/6/1950

配置訪問控制列表分為以下兩步操作。 第一步在全局配置模式下，使用下列命令創(chuàng)建訪問控制列表。在Cisco路由器中，如果使用訪問控制列表的表號進行配置，則列表不能插入或刪除一行。如果列表要插入或刪除一行，必須先去掉所有同表號的訪問控制列表，然后重新配置。 第二步在端口配置模式下，使用ipaccess-group命令將訪問控制規(guī)則應用到路由器某一端口上。網絡設備安全技術全文共96頁，當前為第50頁。2021/6/1951 .5配置路由器保護網絡安全實例

Cisco路由器的訪問控制列表功能很強，用戶根據實際需要可以靈活、合理地設置控制列表，不但可以防止路由器和網絡受到攻擊，還可以有效的防止一些網絡病毒的傳播。

1.配置Cisco路由器防止分布式拒絕服務攻擊 在Cisco路由器上，使用以下配置可以有效防止拒絕服務的攻擊。網絡設備安全技術全文共96頁，當前為第51頁。2021/6/1952 (1)使用

ipverfyunicastreverse-path網絡接口命令 這個命令檢查發(fā)送到路由器的每一個包。如果一個包的源IP地址在CEF(CiscoExpressForwarding，Cisco快速轉發(fā))表里面沒有該數據包源IP地址的路由，則路由器將丟掉這個包。如路由器接收到一個源IP地址為202.1118.9的數據包，如果

CEF路由表中沒有為IP地址202.1118.9提供任何路由(即反向數據包傳輸時所需的路由)，則路由器會丟棄這個數據包。 設置單一地址反向傳輸路徑轉發(fā)(UnicastReversePathForwarding)，可以在ISP實現阻止smurf攻擊和其他基于IP地址偽裝的攻擊。以保護網絡和客戶免受來自互聯網其他地方的侵擾。使用UnicastRPF需要打開路由器的"CEFswithing"或"CEFdistributedswitching"選項。網絡設備安全技術全文共96頁，當前為第52頁。2021/6/1953

在路由器上打開CEF功能非常重要，RPF必須依靠CEF。UnicastRPF包含在支持CEF的CiscoIOS12.0及以上版本中。

(2)使用訪問控制列表過濾非公有IP地址 過濾自己內部網絡地址，如回環(huán)地址(-55)，RFC1918私有地址(-55，-55，-192.1655.255)，DHCP自定義地址(-55)，科學文檔作者測試用地址(-55)，不用的組播地址(-55)，SUN公司的古老的測試地址(-55，-55)，全網絡地址(-55)。這樣可以防止一般的IP欺騙。網絡設備安全技術全文共96頁，當前為第53頁。2021/6/1954

這些地址不能夠與在Internet上的其他主機直接進行通信，在連接互聯網的路由器上要禁止這些地址的訪問。首先使用“interface{網絡接口}”命令，進入到指定的端口模式，然后建立訪問控制列表。建立訪問控制列表方法如下。

ipaccess-group101in Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55anylog網絡設備安全技術全文共96頁，當前為第54頁。2021/6/1955 Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55any

網絡設備安全技術全文共96頁，當前為第55頁。2021/6/1956 Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55anylog Router(Config)#access-list101denyip55anylogRouter(Config)#access-list101permitipanyany網絡設備安全技術全文共96頁，當前為第56頁。2021/6/1957 (3)參照RFC2267，使用訪問控制列表過濾進出報文

RFC2267建議在全球范圍的互連網上使用向內過濾的機制，主要是防止假冒地址的攻擊，使得外部機器無法假冒內部機器的地址來對內部機器發(fā)動攻擊。但是這樣會帶來很多的麻煩，在中等級別的路由器上使用訪問控制列表不會帶來太大的麻煩，但是已經滿載的骨干路由器上會受到明顯的威脅。下面以客戶端網絡接入ISP網絡為例進行說明，網絡接入結構如圖8-2-1所示。網絡設備安全技術全文共96頁，當前為第57頁。2021/6/19588-2-1客戶端網絡接入ISP網絡結構

網絡設備安全技術全文共96頁，當前為第58頁。2021/6/1959 ISP端邊界路由器應該只接受源地址屬于客戶端網絡的通信，而客戶端網絡則應該只接受源地址未被客戶端網絡過濾的通信。 以下是ISP端邊界路由器的訪問控制列表。

access-list190permitip{客戶端網絡}{客戶端網絡掩碼}any access-list190denyipanyany[log] interface{內部網絡接口}{網絡接口號} ipaccess-group190in

以下是客戶端邊界路由器的訪問控制列表。網絡設備安全技術全文共96頁，當前為第59頁。2021/6/1960 access-list187denyip{客戶端網絡}{客戶端網絡掩碼}any access-list187permitipanyany access-list188permitip{客戶端網絡}{客戶端網絡掩碼}any access-list188denyipanyany interface{外部網絡接口}{網絡接口號} ipaccess-group187in ipaccess-group188out

如果打開了CEF功能，通過使用單一地址反向路徑轉發(fā)，能夠充分地縮短訪問控制列表的長度以提高路由器性能。

網絡設備安全技術全文共96頁，當前為第60頁。2021/6/1961 (4)限制ICMP數據包流量速率

interface{網絡接口} rate-limitoutputaccess-group1803000000512000786000conform-action transmitexceed-actiondrop access-list180permiticmpanyanyecho-reply

上面的參數在實現應用中需要進行必要的修改和替換。其中：

3000000替換為最大連接帶寬。

512000替換為正常突變數值。

786000替換為最大突變數值。網絡設備安全技術全文共96頁，當前為第61頁。2021/6/1962 (5)設置SYN數據包流量速率

interface{int} rate-limitoutputaccess-group11345000000100000100000conform-action transmitexceed-actiondrop rate-limitoutputaccess-group1121000000100000100000conform-action transmitexceed-actiondrop access-list112permittcpanyhosteqwww access-list113permittcpanyhosteqwwwestablished網絡設備安全技術全文共96頁，當前為第62頁。2021/6/1963

上面的參數在實現應用中需要進行必要的修改和替換。其中：

45000000替換為最大連接帶寬。

1000000替換為SYNflood流量速率的30%到50%之間的數值。

值得注意的是，如果突變速率設置超過30%，可能會丟失許多合法的SYN數據包。使用"showinterfacesrate-limit"命令查看該網絡接口的正常和過度速率，能夠幫助確定合適的突變速率。這個SYN速率限制數值設置標準應保證正常通信的基礎上盡可能地小。網絡設備安全技術全文共96頁，當前為第63頁。2021/6/1964 (6)搜集證據并聯系網絡安全部門或機構

安裝入侵檢測系統(tǒng)或者協議分析軟件，捕獲攻擊數據包進行分析。將這些捕獲的數據包和日志作為證據提供給有關網絡安全部門或機構，以便進一步做好攻擊的防范和追查攻擊者。

2.配置Cisco路由器防止蠕蟲病毒 近幾年網絡蠕蟲病毒給計算機網絡帶來很大的影響，如Slammer、沖擊波等蠕蟲病毒在爆發(fā)時占用的大量的網絡資源，導致所連接的網絡資源不可用。在路由器上針對不同的蠕蟲病毒使用控制列表，可以有效的防止一些病毒的傳播和攻擊，減少病毒對網絡資源的占用。下面說明防止幾種常見的蠕蟲病毒的控制列表的寫法。網絡設備安全技術全文共96頁，當前為第64頁。2021/6/1965 (1)用于控制Nachi(沖擊波克星)蠕蟲的掃描

access-list110denyicmpanyanyecho (2)用于控制Blaster(沖擊波)蠕蟲的傳播

access-list110denytcpanyanyeq4444

access-list110denyudpanyanyeq69 (3)用于控制Blaster蠕蟲的掃描和攻擊

access-list110denytcpanyanyeq135 access-list110denyudpanyanyeq135

access-list110denytcpanyanyeq139

網絡設備安全技術全文共96頁，當前為第65頁。2021/6/1966 access-list110denyudpanyanyeq139

access-list110denytcpanyanyeq445

access-list110denyudpanyanyeq445

access-list110denytcpanyanyeq593

access-list110denyudpanyanyeq593 (4)用于控制

Slammer蠕蟲的傳播

access-list110denyudpanyanyeq1434

access-list110permitipanyany

為防止外來的病毒和攻擊，將訪問控制規(guī)則應用在廣域網端口。網絡設備安全技術全文共96頁，當前為第66頁。2021/6/1967 interfaces0ipaccess-group110in

ipaccess-group110out

除上面提到的以外，還有很多可以通過配置路由器來防止網絡攻擊。如防止廣播流量進入，防范Smurf類型的攻擊使用noipdirected-broadcast。

.6保護內部網絡IP地址 數據包中包含有源、目的IP地址，根據IP地址可以了解內部網絡的主機信息和網絡結構，并可對其進行攻擊。因此有必要將內部網絡的IP地址隱藏，同時可以緩解IP地址匱乏的問題。在Cisco路由器上使用網絡地址轉換(NAT)技術可以保護內部網絡的主機信息和網絡結構。網絡設備安全技術全文共96頁，當前為第67頁。2021/6/1968

在按IP地址流量計費或對不同的IP地址設置不同的訪問權限時，有些用戶為了逃避網絡計費、獲得較高的訪問權限或者一些不可告人的目的，而采用IP地址盜用的方式來逃避追蹤，隱藏自己的身份。IP地址盜用侵害了網絡的正常用戶的權利，并且給網絡安全帶來了隱患。因此有必要防止IP地址被盜用。在Cisco路由器可以將IP地址與網卡地址進行捆綁來防止IP地址被盜用。

1.利用路由器的網絡地址轉換隱藏內部地址 網絡地址轉換可以動態(tài)改變通過路由器的IP報文的源IP地址及目的IP地址，使離開及進入的IP地址與原來不同。在路由器上設置NAT，即可以隱藏內部網絡的IP地址。網絡設備安全技術全文共96頁，當前為第68頁。2021/6/1969 (1)NAT應用方式

Cisco路由器上NAT通常有3種應用方式，分別適用于不同的需求。 ①靜態(tài)地址轉換：適用于企業(yè)內部服務器向企業(yè)網外部提供服務(如Web，FTP等)，需要建立服務器內部地址到固定合法地址的靜態(tài)映射。 ②動態(tài)地址轉換：建立一種內外部地址的動態(tài)轉換機制，常適用于租用的地址數量較多的情況；企業(yè)可以根據訪問需求，建立多個地址池，綁定到不同的部門。這樣既增強了管理的粒度，又簡化了排錯的過程。 ③端口地址復用：適用于地址數很少，多個用戶需要同時訪問互聯網的情況。網絡設備安全技術全文共96頁，當前為第69頁。2021/6/1970 (2)NAT應用實例 有6個有效IP地址為202.11128-202.11135,掩碼為48(128和135為網絡地址和廣播地址，不可用)，內部網絡IP地址為192.1600.1，掩碼為，內部網絡通過一臺Cisco路由器接入互聯網。內部網絡根據職能分成若干子網，并期望服務器子網對外提供WEB服務，教學網絡使用獨立的地址池接入互聯網，其他共用剩余的地址池。其中教學網絡IP地址范圍為192.1600.64-192.1600.127，其他網絡IP地址范圍為192.1600.128-192.1600.191。網絡設備安全技術全文共96頁，當前為第70頁。2021/6/1971

具體配置步驟如下。 ①選擇E0作為內部接口，S0作為外部接口

interfacee0 ipaddress192.1600.1 ipnatinside/*配置e0為內部接口*/ interfaces0 ipaddress202.1112948 ipnatoutside/*配置s0為外部接口*/ ②為各部門配置地址池 其中teach為教學網絡,other為其他部門網絡。網絡設備安全技術全文共96頁，當前為第71頁。2021/6/1972 ipnatpoolteach202.11131202.11131netmask48 ipnatpoolother202.11132202.11134netmask48 ③用訪問控制列表檢查數據包的源地址并映射到不同的地址池

ipnatinsidesourcelist1poolteachoverload/*overload-啟用端口復用*/ ipnatinsidesourcelist2poolother/*動態(tài)地址轉換*/

網絡設備安全技術全文共96頁，當前為第72頁。2021/6/1973 ④定義訪問控制列表

access-list1permit192.1600.644 access-list2permit192.1600.1284 ⑤建立靜態(tài)地址轉換，并開放WEB端口(TCP80) ipnatinsidesourcestatictcp192.1600.280202.1113080

經過上述配置后，互聯網上的主機可以通過202.11130:80訪問到企業(yè)內部WEB服務器192.1600.2，教學網絡的接入請求將映射到31，其他部門的接入請求被映射到202.11131-202.11134地址段。網絡設備安全技術全文共96頁，當前為第73頁。2021/6/1974 2.利用ARP防止盜用內部IP地址

通過ARP(AddressResolutionProtocol，地址解析協議)可以固定地將IP地址綁定在某一MAC(Mediaaccesscontrol，介質訪問控制)地址之上，MAC地址是機器的物理地址，該地址是網卡出廠時寫上的48位唯一的序列碼，可以唯一標識網上物理設備。如果要防止192.1600.2(MAC地址為0671.0232.0001)和192.1600.5(MAC地址為0671.0232.0002)的IP地址被冒名，可以進行如下設置。

arp192.6.10671.0232.0001arpa arp192.6.10671.0232.0002arpa

以上介紹的兩種用路由器保護內部網絡的方法采用的是Cisco路由器的IOS命令，不同路由設備的命令略有不同，可參照進行設置。網絡設備安全技術全文共96頁，當前為第74頁。2021/6/1975 .7使用路由器構建虛擬專用網 下面以GRE為例，說明如何實際的構造VPN網絡。有兩個分支機構原來都使用NAT訪問互聯網。分支機構A和分支機構B都有一個上網使用的公共IP地址分別為202.1118.9和202.1116.200。分支A的內部網段為192.16.0，掩碼為，分支B內部網段為192.16.0，掩碼為?，F在需要實現分支A的計算機能訪問分支B的服務器ServerB，分支B的計算機能訪問分支A的服務器ServerA。為了實現這個目的，需要在RouterA和RouterB上分別增加以下配置。網絡設備安全技術全文共96頁，當前為第75頁。2021/6/1976 (1)在分支機構A路由器的配置步驟如下。 ①

配置一個虛接口(邏輯的接口，不是實際的物理接口)，配置IP地址，本例中為192.16.1，掩碼為。

interfaceTunnel0 ipaddress192.16.1 ②

然后配置通道的目的地址為202.1116.200，配置通道的源地址為202.1118.9。

tunnelsourece202.1118.9 tunneldestination202.1116.200網絡設備安全技術全文共96頁，當前為第76頁。2021/6/1977 ③

配置路由到網段192.16.0的下一跳為192.16.2。

route192.16.0192.16.2 (2)在分支機構B路由器的配置步驟如下。 ①

同樣配置一個虛接口，配置IP地址為192.16.2，掩碼為 interfaceTunnel0 ipaddress192.16.2 ②

然后配置通道的目的地址202.1118.9，配置通道的源地址為202.1116.200。

tunnelsourece202.1116.200 tunneldestination202.1118.9網絡設備安全技術全文共96頁，當前為第77頁。2021/6/1978 ③

配置路由到網段192.16.0的下一跳為192.16.1。

route192.16.0192.16.1

配置完成以后，分支機構A的路由器和分支機構B的路由器上能互相ping通對方的虛接口的IP地址，這樣分支A和分支B上就可以進行如專線一樣的聯網應用了。

此外路由器的安全配置還包括路由協議的安全、路由軟件和配置文件的備份、安全訪問和維護記錄日志等的安全配置。網絡設備安全技術全文共96頁，當前為第78頁。2021/6/1979

交換機的安全技術

網絡交換機作為內部網絡的核心和骨干，交換機的安全性對整個內部網絡的安全起著舉足輕重的作用。目前市面上的大多數二層、三層交換機都有豐富的安全功能，以滿足各種應用對交換機安全的需求。 安全性較高的交換機應該具有VLAN的劃分、數據包過濾、用戶驗證、地址綁定、入侵檢測、報文審計管理、操作日志管理、安全策略管理等安全技術和安全管理等措施。在交換機安全方面主要有以下技術。網絡設備安全技術全文共96頁，當前為第79頁。2021/6/1980 1.虛擬局域網(VirtualLocalAreaNetwork，VLAN)技術 由于以太網是基于CSMA/CD機制的網絡，不可避免地會產生包的廣播和沖突，而數據廣播會占用帶寬，也影響安全，在網路比較大、比較復雜時有必要使用VLAN來減少網絡中的廣播。采用VLAN技術基于一個或多個交換機的端口、地址或協議將本地局域網分成組，每個組形成一個對外界封閉的用戶群，具有自己的廣播域，組內廣播的數據流只發(fā)送給組內用戶，不同VLAN間不能直接通訊，組間通訊需要通過三層交換機或路由器來實現，從而增強了局域網的安全性。網絡設備安全技術全文共96頁，當前為第80頁。2021/6/1981 2.交換機端口安全技術 交換機除了可以基于端口劃分VLAN之外，還能將MAC地址鎖定在端口上，以阻止非法的MAC地址連接網絡。這樣的交換機能設置一個安全地址表，并提供基于該地址表的過濾，也就是說只有在地址表中的MAC地址發(fā)來的數據包才能在交換機的指定端口進行網絡連接，否則不能。 在交換機端口安全技術方面，交換機支持設置端口的學習狀態(tài)、設置端口最多學習到的MAC地址個數、端口和MAC地址綁定以及廣播報文轉發(fā)開關等地址安全技術。此外，還通過報文鏡像、基于ACL的報文包數和字節(jié)數的報文統(tǒng)計、基于ACL的流量限制等技術來保障整個網絡的安全。網絡設備安全技術全文共96頁，當前為第81頁。2021/6/1982 3.包過濾技術 隨著三層及三層以上交換技術的應用，交換機除了對MAC地址過濾之外，還支持IP包過濾技術，能對網絡地址、端口號或協議類型進行嚴格檢查，根據相應的過濾規(guī)則，允許和/或禁止從某些節(jié)點來的特定類型的IP包進入局域網交換，這樣就擴大了過濾的靈活性和可選擇的范圍，增加了網絡交換的安全性。

4.交換機的安全網管 為了方便遠程控制和集中管理，中高檔交換機通常都提供了網絡管理功能。在網管型交換機中，要考慮的是其網管系統(tǒng)與交換系統(tǒng)相獨立的，當網管系統(tǒng)出現故障時，不能影響網絡的正常運行。

網絡設備安全技術全文共96頁，當前為第82頁。2021/6/1983

此外交換機的各種配置數據必須有保護措施，如修改默認口令、修改簡單網絡管理協議

(SimpleNetworkManagementProtocol，SNMP)密碼字，以防止未授權的修改。

5.集成的入侵檢測技術 由于網絡攻擊可能來源于內部可信任的地址，或者通過地址偽裝技術欺騙MAC地址過濾，因此，僅依賴于端口和地址的管理是無法杜絕網絡入侵的，入侵檢測系統(tǒng)是增強局域網安全必不可少的部分。在高端交換機中，已經將入侵檢測代理或微代碼增加在交換機中以加強其安全性。集成入侵檢測技術目前遇到的一大困難是如何跟上高速的局域網交換速度。網絡設備安全技術全文共96頁，當前為第83頁。2021/6/1984 6.用戶認證技術 目前一些交換機支持PPP、Web和802.1x等多種認證方式。802.1x適用于接入設備與接入端口間點到點的連接方式，其主要功能是限制未授權設備通過以太網交換機的公共端口訪問局域網。結合認證服務器和計費服務器可以完成用戶的完全認證和計費。目前一些交換機結合認證服務系統(tǒng)，可以做到基于交換