《網(wǎng)絡(luò)安全技術(shù)與實(shí)施》教案-項(xiàng)目四

2討論、思考題、作業(yè)實(shí)訓(xùn)作業(yè))3量，在突發(fā)異常數(shù)據(jù)或攻擊時(shí)，極易造成負(fù)載過重或宕機(jī)現(xiàn)象。交換機(jī)的安全性能已經(jīng)成為網(wǎng)絡(luò)建設(shè)必須考慮的重中之重。為了盡可能抑制攻擊帶來的影響，減輕交換機(jī)的負(fù)載，使局不同的設(shè)備型號(hào)，有效地啟用和配置這些技術(shù)，凈化局域網(wǎng)環(huán)境。[講授新課]：一、項(xiàng)目背景A企業(yè)是一個(gè)跨地區(qū)的大型企業(yè)，它由A企業(yè)長春總部、A企業(yè)上海分公司、A企業(yè)北京辦事處組成，A企業(yè)三個(gè)分部處于不同城市，具有各自的內(nèi)部網(wǎng)絡(luò)，并且都已經(jīng)連接到互聯(lián)網(wǎng)中。小張作為A企業(yè)北京辦事處網(wǎng)絡(luò)管理人員，時(shí)常會(huì)遇到某些局域網(wǎng)用戶對(duì)企業(yè)路由器進(jìn)行非法登錄、篡改配置、用戶在上班時(shí)間上網(wǎng)或QQ聊天及非法用戶訪問特殊用戶等情形。請從路由器械安全管理的角度來分析一下，產(chǎn)生上述情況的原因及解決措二、路由器概述1．路由器的主要作用路由器上的每個(gè)端口都連接到一個(gè)不同的網(wǎng)絡(luò)，并且在網(wǎng)絡(luò)之間路由數(shù)據(jù)包。2．路由器的工作原理路由器的主要作用是轉(zhuǎn)發(fā)數(shù)據(jù)包，將每一個(gè)IP數(shù)據(jù)包由一個(gè)端口轉(zhuǎn)發(fā)到另一個(gè)端口。轉(zhuǎn)無論那種轉(zhuǎn)發(fā)都根據(jù)“轉(zhuǎn)發(fā)表”或“路由表”來進(jìn)行，該表指明了到某一目的地址的數(shù)據(jù)包將從路由器的某個(gè)端口發(fā)送出去，并且指定了下一個(gè)接收路由器的地址。每一個(gè)IP數(shù)據(jù)包都3．路由器的組成（1）CPU：中央處理單元，是路由器的控制和運(yùn)算部件。（2）RAM/DRAM：內(nèi)存是路由器主要的存儲(chǔ)部件，用于存儲(chǔ)臨時(shí)的運(yùn)算結(jié)果。如路由（3）FlashMemory：可擦除、可編程的ROM，用于存放路由器的IOS，斷電后，其內(nèi)容不會(huì)丟失，可存放多個(gè)版本IOS。（5）ROM：只讀存儲(chǔ)器，存儲(chǔ)了路由器的開機(jī)診斷程序、引導(dǎo)程序和特殊版本的IOS4．路由器和網(wǎng)絡(luò)層路由器借助目的IP地址轉(zhuǎn)發(fā)數(shù)據(jù)包，路由表決定數(shù)據(jù)包的路徑，從而確定最佳路徑。然后IP數(shù)據(jù)包被封裝成數(shù)據(jù)幀，數(shù)據(jù)幀通過傳輸介質(zhì)以比特流的形式排列輸出。4三、路由器的基本配置1．基本配置方式但路由器的第一次設(shè)置必須通過第一種方式進(jìn)行，此時(shí)終端的硬件設(shè)置如下：波特率：2．基本模式切換版本信息，并進(jìn)行簡單的配置。在該模式下，可以使用“enable”命令進(jìn)入特權(quán)模式。查看交換機(jī)的配置信息。在該模式下，可以使用“configterminal”命令進(jìn)入特權(quán)模式。（3）router（config)#機(jī)名，登陸信息等）。在全局配置模式下，執(zhí)行（4）router（config-if）#端口配置模式：可以對(duì)端口的速率工作方式進(jìn)行配置管理。使用“exit”返回上一級(jí)命令模式，使用“end”可以直接返回到特權(quán)模式。3．常見的錯(cuò)誤信息命令。解決的方法是重新輸入該命令，后跟問號(hào)命令與問號(hào)之間不留空格。輸入該命令，后跟問號(hào)最后一個(gè)字符后留一個(gè)空格，此時(shí)會(huì)顯示必填的關(guān)鍵字或參（3）Invlidinputdetectedat‘^’marker：表示命令輸入不正確，顯示插入標(biāo)記（^）的位置出現(xiàn)了該錯(cuò)誤。解決方法是在‘^’標(biāo)記所指的位置重新輸入該命令，后跟問號(hào)可能還需要?jiǎng)h除最后的關(guān)鍵字或參數(shù)。4．基本配置命令（1）幫助（2）顯示命令1）showversion：查看版本及引導(dǎo)信息。2）showrunning-config：查看運(yùn)行設(shè)置。3）showstartup-config：查看開機(jī)設(shè)置。4）showinterface：顯示端口（3）拷貝命令（4）網(wǎng)絡(luò)命令1）telnethostname|ipaddress：登錄遠(yuǎn)程主機(jī)。2）pinghostname|ipaddress：網(wǎng)絡(luò)偵測，測試是否可達(dá)。53）tracehostname|ipaddress：路由跟蹤。使用write命令，可以對(duì)其做的配置進(jìn)行保存。直接在特權(quán)模式下，使用“earsestartup-config”命令，再使用“reload”命令，重啟即四、路由器的安全管理（1）Lineconsole0：為控制臺(tái)終端建立一個(gè)口令（2）Linevty0：為TELNET連接建立一個(gè)口令（3）Enablepassword：為特權(quán)exec模式建立一個(gè)口令（4）Enablesecret：使用MD5加密方法建立密2.報(bào)文過濾在Cisco的路由器上通過報(bào)文的過濾實(shí)現(xiàn)安全的管理。通過訪問控制列表使用包過濾技多種，不同場合應(yīng)用不同種類的ACL。（1）標(biāo)準(zhǔn)訪問控制列表標(biāo)準(zhǔn)訪問控制列表是通過使用IP包中的源IP地址進(jìn)行過濾，使用的訪問控制列表號(hào)1（2）擴(kuò)展訪問控制列表用擴(kuò)展訪問控制列表了。使用擴(kuò)展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容例如定義如下的訪問表來實(shí)現(xiàn)允許任何主機(jī)到主機(jī)的報(bào)文：Accsess-list101permitipanyhost而下面的語句允許使用客戶源端口（小于（3）基于名稱的訪問控制列表不管是標(biāo)準(zhǔn)訪問控制列表還是擴(kuò)展訪問控制列表都有一個(gè)弊端，那就是當(dāng)設(shè)置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進(jìn)行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會(huì)影響到整個(gè)ACL列表。這一個(gè)缺點(diǎn)影響了工作效率，帶來了繁重的負(fù)擔(dān)?？梢杂没诿Q的訪問控制列表來解決這個(gè)問題。（4）基于時(shí)間的訪問控制列表上面介紹了標(biāo)準(zhǔn)ACL與擴(kuò)展ACL，實(shí)際上掌握了這兩種訪問控制列表就可以應(yīng)付大部分過濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。不過實(shí)際工作中總會(huì)有人提出這樣或那樣的苛刻要求，這時(shí)還需要掌握一些關(guān)于ACL的高級(jí)技巧。基于時(shí)間的訪問控制列表就屬于高級(jí)技巧之一。這種基于時(shí)間的訪問列表就是在原來的標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表中加入有效的時(shí)間范圍來更合理有效的控制網(wǎng)絡(luò)。它需要先定義一個(gè)時(shí)間范圍，然后在原來的各種訪問列表6的基礎(chǔ)上應(yīng)用它。并且，對(duì)于名稱訪問列表都適用。用time-range命令來指定時(shí)間范圍的名稱，然后用absolute命令或者一個(gè)或多個(gè)time-rangetime-range-nameabsolute[starttimedate][endtimedate]periodicdays-of-thetime-range：用來定義時(shí)間范圍的命令。absolute：該命令用來指定絕對(duì)時(shí)間范圍。它后面緊跟這start和end兩個(gè)關(guān)鍵字。在這兩個(gè)關(guān)鍵字后面的時(shí)間要以24小時(shí)制、hh:mm（小時(shí)：分鐘）表示，日期要按照日/月/年來表示。可以看到，他們兩個(gè)可以都省略。如果省略start及其后面的時(shí)間，那表示與之end及其后面的時(shí)間，那表示與之相聯(lián)系的permit或deny語句在start處表示的時(shí)間開始生效，并且永遠(yuǎn)發(fā)生作用，當(dāng)然把訪問列表刪除了的話就不會(huì)起作用了。（5）訪問控制列表流量記錄有效的記錄ACL流量信息可以第一時(shí)間的了解網(wǎng)絡(luò)流量和病毒的傳播方式。方法就是在實(shí)現(xiàn)方法：//為路由器指定一個(gè)日志服務(wù)器地址，該地址為00access-list101permittcpany0eqw//在希望監(jiān)測的擴(kuò)展ACL最后加上LOG命令，這樣就會(huì)把滿足該條件的信3.禁止服務(wù)（1）Cisco發(fā)現(xiàn)協(xié)議CDP是一個(gè)Cisco專用協(xié)議，運(yùn)行在所有Cisco產(chǎn)品的第二層，用來和其他直接相連的Cisco設(shè)備共享基本的設(shè)備信息。獨(dú)立于介質(zhì)和協(xié)議。黑客在勘測攻擊中使用CDP信息，這TCP和UDP低端口服務(wù)是運(yùn)行在設(shè)備上的端口19和更低端口的服務(wù)。所有這些服務(wù)都下面顯示了一個(gè)打開的連接，被連接的路由器上打開了chargen服務(wù)：Router#telnet5要在路由器上關(guān)閉這些服務(wù)，使用下面的配置：Router（config）#noservicetcp-small-servers及Router（config）#noserviceudp-small-servers。（3）FingerFinger協(xié)議（端口79）允許網(wǎng)絡(luò)上的用戶獲得當(dāng)前正在使用特定路由7Finger是一個(gè)檢測登錄到一臺(tái)主機(jī)的UNIX程序，而不用親自登錄到設(shè)備來查看。下面顯示了一個(gè)驗(yàn)證finger服務(wù)被打開和如何關(guān)閉的例子：Router#telnet192.168.1.Router#connect54finger及響應(yīng)該連接的主機(jī)的身份。IdentD允許遠(yuǎn)程設(shè)備為了識(shí)別目的查詢一個(gè)TCP端口。是一個(gè)113目的設(shè)備用其身份信息作為響應(yīng)，如主機(jī)和設(shè)備名。如果支持IP鑒別，攻擊者就能（5）IP源路由Router（config）#noipsource-route執(zhí)行上述配置后，禁止對(duì)帶有源路由選項(xiàng)的IP數(shù)據(jù)包的轉(zhuǎn)發(fā)。（6）FTP和TFTP路由器可以用作FTP服務(wù)器和TFTP服務(wù)器，可以將映像從一臺(tái)路由器復(fù)制到另一臺(tái)。Router（config）#noftp-serverwrite-enable（12.3版本開始）Router（config）#noftp-serverenable（7）HTTP測試方法可以使用一個(gè)Web瀏覽器嘗試訪問Router（config）#noiphttpsec（8）SNMP1）從路由器配置中刪除默認(rèn)的團(tuán)體字符串；下面顯示了用來完全關(guān)閉SNMP的配置：Router（config）#nosnmp-servercommunitypublicRORouter（config）#nosnmp-servercommunityprivateRW（9）域名解析避免使用這個(gè)廣播地址，因?yàn)楣粽呖赡軙?huì)借機(jī)偽裝成一個(gè)DNS服務(wù)器。如果路由器使用DNS來解析名稱，會(huì)在配置中看到類似的命令：Router（config）#hostnameR18Router（config）#ipdomain-nameCCZY.COMRouter（config）#ipname-serverRouter（config）#ipdomain-lookup如果想阻止路由器產(chǎn)生DNS查詢，要么配置一個(gè)具體的DNS服務(wù)器（ipname-serverRouter（config）#noipdomain-lookup（10）BootP況下，在設(shè)備上加載操作系統(tǒng)（用它來訪問另一個(gè)運(yùn)行有BOOTP服務(wù)的路由器上的IOS拷Cisco路由器能作為一臺(tái)BootP服務(wù)器，給請求的設(shè)備提供閃存中的文件，因?yàn)橐韵?個(gè)原因，應(yīng)該在路由器閃關(guān)閉BootP。2）BootP沒固有的認(rèn)證機(jī)制。任何人都能從路由器請求文件，無論配置了什么，路由器都將作出回復(fù)；默認(rèn)地，該服務(wù)是啟用的。要關(guān)閉BootP，使用下面的配置：Router（config）#noip（11）DHCP一般DHCP服務(wù)器是默認(rèn)打開的。使用下面的配置關(guān)閉：Router（config）#noservicedhcp這阻止路由器成為一臺(tái)DHCP服務(wù)器或者中繼代理。（12）配置自動(dòng)加載2）加載并執(zhí)行引導(dǎo)自舉程序；3）引導(dǎo)自舉程序發(fā)現(xiàn)并加載CiscoIOS映像文件。這些映像文件可以如果NVRAM是空的，系統(tǒng)配置對(duì)話框開始，或者路由器使用TFTP來獲取一個(gè)配置文件；加載了IOS映像之后，開始發(fā)現(xiàn)一個(gè)配置文件。如果在NVRAM中沒有配置文件，路由Router（config）#noserviceconfig（13）關(guān)閉ARP代理9路由器可能會(huì)收到一些發(fā)往一個(gè)沒有網(wǎng)絡(luò)缺省路由的子網(wǎng)的數(shù)據(jù)包，如果啟用了IP無類別服務(wù)時(shí)，會(huì)將這些數(shù)據(jù)包轉(zhuǎn)發(fā)給最有可能路由的超網(wǎng)。要關(guān)閉IP無類別路由選擇，在全局配置模式下使用noipclassless命令。4.路由認(rèn)證的每個(gè)路由更新包的源IP地址。這是通過交換雙方都已知的認(rèn)證密鑰來完成的。驗(yàn)證，必須在路由器接口配置模式下，為區(qū)域的每個(gè)路由器接口配置口令。命令命令areaarea-idauthenticationipospfauthentication-keypasswordipospfmessage-digest-keykeyidmd5key(key,相對(duì)的路由器必須有相同的Key)認(rèn)證方式身份驗(yàn)證純文本身份驗(yàn)證消息摘要（md5）身份驗(yàn)證（2）RIP鄰居路由認(rèn)證//啟用設(shè)置密鑰鏈R1(config-keychain-key)#key-string//設(shè)置密鑰字串R1(config)#interfacefastEthernet0/0R1(config-if)#ipripauR1(config-if)#ipripau（3）禁止轉(zhuǎn)發(fā)和接收路由啟用passive-interface命令可以禁用一些不需要接收和轉(zhuǎn)發(fā)路由信息的端口沒有禁止接收。在OSPF協(xié)議中是禁止轉(zhuǎn)發(fā)和接收路由信息。1.路由器“訪問控制”安全規(guī)劃（1）嚴(yán)格控制可以訪問路由器的管理員，任何一次維護(hù)都需要記錄備案。（4）如果不使用AUX端口，則禁止這個(gè)端口，默認(rèn)是未被啟用。（6）為特權(quán)模式的進(jìn)入設(shè)置強(qiáng)壯的密碼。不要采用ena用eanblesecret命令設(shè)置。并且要啟用servicepassword-encryption。（7）控制對(duì)VTY的訪問，如果不需要遠(yuǎn)程訪問則禁止它。如果需要?jiǎng)t一定要設(shè)置強(qiáng)壯的密碼。所以需要對(duì)其進(jìn)行嚴(yán)格的控制。如：設(shè)置強(qiáng)壯的密碼；控制連接的并發(fā)數(shù)目；采用訪問列表嚴(yán)格控制訪問的地址；可以采用AAA設(shè)置用戶的訪問控制等。（8）地址過濾，利用封包過濾功能管理局域網(wǎng)用戶。比如所有主機(jī)在上班時(shí)間只能收發(fā)郵件但不能瀏覽網(wǎng)頁等。再比如禁止所有主機(jī)使用QQ，禁止所有主機(jī)訪問特定IP地址的網(wǎng)站，禁止部分IP地址的主機(jī)上網(wǎng)，禁止部分IP地址的主機(jī)的某些服務(wù)等等。（9）防止外部非法探測，非法訪問者在對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊之前，常常使用ping命令（10）IOS的升級(jí)和備份，以及配置文件備份建議使用FTP代替TFFP。2.路由器“網(wǎng)絡(luò)服務(wù)”安全規(guī)劃為了減少對(duì)路由器攻擊的成功率、利用率，強(qiáng)調(diào)路由器的安全性就不得不禁用一些不必要的本地服務(wù)及禁止不使用的端口。3.路由器“路由協(xié)議”安全規(guī)劃（2）RIP協(xié)議的認(rèn)證。只有RIP-V2支持，RIP-1不支持。建議啟用RIP-V2。并且采用MD5認(rèn)證。普通認(rèn)證同樣是明文傳輸?shù)摹＃?）端口合理設(shè)置路由信息的轉(zhuǎn)發(fā)和接收（4）建議啟用IPUnicastReverse-PathVerification。它能夠檢查源IP地址的而可以防止一定的IPSpooling。但是它只能在啟用CEF（CiscoExpressForwa4.路由器其他安全規(guī)劃（1）及時(shí)的升級(jí)IOS軟件，并且要迅速的為IOS安裝補(bǔ)丁。（2）要嚴(yán)格認(rèn)真的為IOS作安全備份。（3）要為路由器的配置文件作安全備份。（4）購買UPS設(shè)備，或者至少要有冗余電源。（5）要有完備的路由器的安全訪問和維護(hù)記錄日志。（6）要嚴(yán)格設(shè)置登錄Banner。必須包含非授權(quán)用戶禁止登錄的字樣。（7）IP欺騙得簡單防護(hù)。如過濾非公有地址訪問內(nèi)部網(wǎng)絡(luò)。過濾自己內(nèi)部網(wǎng)絡(luò)地址；者測試用地址(/24)；不用的組播地址(/4)；（8）建議采用訪問列表控制流出內(nèi)部網(wǎng)絡(luò)的地址必須是屬于內(nèi)部網(wǎng)絡(luò)的。下圖為A企業(yè)長春總部、A企業(yè)上海分公司、A企業(yè)北京辦事處三個(gè)部分網(wǎng)絡(luò)拓?fù)浠谒伎品抡孳浖acketTracer搭建的模擬環(huán)境。任務(wù)4-1-1配置系統(tǒng)警告標(biāo)語1.任務(wù)描述如上面A企業(yè)整體網(wǎng)絡(luò)PT結(jié)構(gòu)圖所示，保護(hù)處于三地企業(yè)出口路由器的安全性是非常重要的，在用戶登錄前，如何明確地指出所有權(quán)、使用方法、訪問權(quán)限和保護(hù)策略呢。2.任務(wù)分析根據(jù)任務(wù)描述，出于法律和管理目的，可以配置一條在用戶登錄路由器后顯示的系統(tǒng)3.任務(wù)組網(wǎng)下面以A企業(yè)北京辦事處網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施（1）路由器R3上配置①接口IP地基本配置Router(config)#hostnRouter(config)#hostnR3(R3(config)#intfa0/0R3(R3(config-if)#ipadd54R3(R3(config-if)#noshut②創(chuàng)建警告標(biāo)語R3(config)#bannerR3(config)#bannerlogin#**Warning**-Unauthorizedaccesstothissite**Warning**-Unauthorizedaccesstothissiteisstrictlyprohibited"http://警告用戶登錄的消息“本站點(diǎn)僅允許授權(quán)用戶訪問”每次通過console、aux或vty端口登錄到路由器之后都會(huì)顯示motd（當(dāng)天消息）標(biāo)語。標(biāo)語本身位于兩個(gè)定界符（本例為#）之間，任何字符都可以用作定界符，只要不是未被用作真正的標(biāo)語消息即可。標(biāo)語內(nèi)容不應(yīng)體現(xiàn)正被訪問的路由器或公司名稱，因?yàn)橥耆珱]有必要幫助黑客去做這件事。5.任務(wù)測試（1）console端口登錄警告標(biāo)語警告標(biāo)語（2）vty端口登錄R3(R3(config)#linevty04R3(config-line)#passwordR3(config-line)#passwordp@sswR3(R3(config-line)#login在通過VTY登錄前，要先完成上述配置，下面以主機(jī)M（）測試為警告標(biāo)語警告標(biāo)語任務(wù)4-1-2配置安全獨(dú)立登錄1.任務(wù)描述如上面在A企業(yè)北京辦事處企業(yè)出口路由器所配置的VTY所示，路由器密碼均被所有用戶共享，這樣就存在潛在的安全危險(xiǎn)，無論該密碼設(shè)置的如何好，都有可能意外地被共享給不值得信任的人。此外，如果某個(gè)知道密碼的員工離開了公司，那么就必須更改所有共享的密碼并讓大家知道更改后的密碼，這對(duì)一個(gè)在公司來說將是一個(gè)非常大的負(fù)擔(dān)。2.任務(wù)分析根據(jù)任務(wù)描述，避免單一訪問密碼問題的方法就是為每個(gè)訪問路由器的用戶分配一個(gè)3.任務(wù)組網(wǎng)以A企業(yè)北京辦事處網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施（1）配置唯一的用戶名利用命令username可以為每個(gè)允許訪問路由器的用戶創(chuàng)建一個(gè)唯一的本地登錄R3(R3(config)#usernameteachermrlisecretciscoteach123R3(R3(config)#usernamewangguangmryangsecretciscowgyang456R3(R3(config)#linevty04R3(config-line)#loginR3(config-line)#login（2）密碼長度限制密碼的字符數(shù)越多，被猜出的難度越大。配置密碼最小長度在CiscoIOS12.3(1)及以后的軟件版本中都被作為強(qiáng)制項(xiàng)。配置方法如下：5.任務(wù)測試任務(wù)4-1-3配置多個(gè)特權(quán)級(jí)別1.任務(wù)描述A企業(yè)北京辦事處企業(yè)出口路由器上配置了安全獨(dú)立登錄，但是所設(shè)置的特權(quán)密碼仍然是可以訪問特權(quán)模式的單一密碼，所以網(wǎng)絡(luò)還是存在脆弱性，如何進(jìn)一步進(jìn)行加固路由器的安全性呢。2.任務(wù)分析根據(jù)任務(wù)描述，單一特權(quán)模式意味著所有擁有密碼的用戶都能夠訪問全部特權(quán)選項(xiàng)，而CiscoIOS允許創(chuàng)建多個(gè)特權(quán)級(jí)別，且多個(gè)特權(quán)級(jí)別允許管理員為不同級(jí)別的用戶定義不3.任務(wù)組網(wǎng)以A企業(yè)北京辦事處網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施（1）創(chuàng)建特權(quán)級(jí)別使用“privilegemodelevellevelcommand”來給每個(gè)定制化級(jí)別增加經(jīng)授權(quán)的IOS命令，可能需要為每個(gè)特權(quán)等級(jí)使用多次privilege命令,level取值范圍為1-14，實(shí)際的數(shù)字并沒有意義，只是可以創(chuàng)建14種級(jí)別；使用“enablesecret”用來定義訪問特定權(quán)限等級(jí)時(shí)的加密密碼。R3(config)#privilegeconfigureR3(config)#privilegeconfigurelevelR3(config)#privilegeexecR3(config)#privilegeexeclevel2configureR3(config)#privilegeexecR3(config)#privilegeexecR3(config)#privilegeexecR3(config)#privilegeexeclevel2R3(config)#privilegeexecR3(config)#privilegeexeclevel2showrunning-configR3(R3(config)#enablesecretlevel2ciscop@ssw0rd上述的配置說明訪問level2的用戶可以執(zhí)行以下操作：①訪問配置模式②訪問接口③配置接口上的IP地址④顯示接口⑤顯示運(yùn)行中的配置文件（2）指定創(chuàng)建的用戶為level2級(jí)別5.任務(wù)測試由于沒有定制該命令所以不能使用由于沒有定制該命令所以不能使用任務(wù)4-1-4控制線路訪問1.任務(wù)描述A企業(yè)北京辦事處企業(yè)出口路由器上配置了遠(yuǎn)程登錄Telnet功能，但是密碼并不能限制誰真正有能力發(fā)起Telnet或SSH會(huì)話。如何限制非授權(quán)用戶呢。2.任務(wù)分析根據(jù)任務(wù)描述，利用access-class（訪問等級(jí)）可以來格限制Telnet訪問，訪問等級(jí)創(chuàng)建了一個(gè)經(jīng)授權(quán)的、可以與路由器建立Telnet會(huì)話的IP地址/子網(wǎng)列表。任何沒有被訪問等級(jí)顯式允許的用戶都會(huì)被拒絕。3.任務(wù)組網(wǎng)以A企業(yè)北京辦事處網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施以圖4-3中的R3為例，只允許IP地址為的主機(jī)（主機(jī)M）對(duì)其發(fā)起Telnet會(huì)話，相應(yīng)配置如下：R3(R3(config)#linevty04R3(R3(config-line)#passwordciscop@ssw0rdR3(R3(config-line)#login5.任務(wù)測試（1）M主機(jī)發(fā)起Telnet會(huì)話（1）N主機(jī)發(fā)起Telnet會(huì)話任務(wù)4-1-5隱藏企業(yè)內(nèi)網(wǎng)地址1.任務(wù)描述A企業(yè)北京辦事處內(nèi)網(wǎng)主機(jī)與外網(wǎng)通信時(shí)，出于安全方面的考慮，不想用真實(shí)身份進(jìn)行通信。如何實(shí)現(xiàn)呢。2.任務(wù)分析根據(jù)任務(wù)描述，要通過路由器的地址轉(zhuǎn)換功能（NAT）實(shí)現(xiàn)，可以隱藏內(nèi)網(wǎng)地址、只以公共地址的方式訪問外部網(wǎng)絡(luò)。除了由內(nèi)部網(wǎng)絡(luò)首先發(fā)起的連接，網(wǎng)外用戶不能通過地址轉(zhuǎn)換直接訪問內(nèi)網(wǎng)資源。3.任務(wù)組網(wǎng)以A企業(yè)北京辦事處網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施針對(duì)本任務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)圖，僅有一個(gè)公有IP地址（適合配置NAT過載，即為單一公有IP地址配置NAT過載。過載配置通常把該公有地址分配給連接到ISP的外部接口。所有內(nèi)部地址離開該外部接口時(shí)，均被轉(zhuǎn)換為該地址。且使用interface關(guān)鍵字來標(biāo)識(shí)外部IP地址，利用overload關(guān)鍵字，可以將端口號(hào)添加到轉(zhuǎn)換中。（1）R3上的配置①接口IP地基本配置R3(R3(config)#intfa0/0R3(R3(config-if)#ipadd54R3(R3(config-if)#noshutR3(R3(config)#intfa0/1R3(R3(config-if)#ipadd52R3(R3(config-if)#noshut②NAT的配置R3(config)#access-listR3(config)#access-list1permit192.168//定義要轉(zhuǎn)發(fā)的網(wǎng)段//將符合的每個(gè)內(nèi)部本地IP地址，轉(zhuǎn)換為對(duì)應(yīng)的全局端口地址R3(R3(config)#intfa0/0//指定連接內(nèi)部網(wǎng)絡(luò)的內(nèi)部端口R3(R3(config-if)#intfa0/1R3(config-if)#ipR3(config-if)#ipnatoutsi//指定連接外部網(wǎng)絡(luò)的外部端口（2）RS6上的配置RSRS6(config)#intfa0/1RSRS6(config-if)#ipadd52RSRS6(config-if)#noshut5.任務(wù)測試（1）M、N主機(jī)配置相應(yīng)IP地址。（2）主機(jī)M、N測試與遠(yuǎn)程主機(jī)RS6的連通性。（3）在R3上驗(yàn)證NAT的配置任務(wù)4-1-6OSPF安全驗(yàn)證1.任務(wù)描述如上圖4-2所示的A企業(yè)整體網(wǎng)絡(luò)PT結(jié)構(gòu)圖，在A企業(yè)長春總部網(wǎng)絡(luò)中企業(yè)出口處有一臺(tái)防火墻和一臺(tái)路由器。且兩臺(tái)設(shè)備間啟用了OSPF協(xié)議，出于安全方面的考慮，采取怎樣的措施才能確保接入路由器的身份。2.任務(wù)分析根據(jù)任務(wù)描述，可以在兩臺(tái)路由器上啟用身份驗(yàn)證功能，通過對(duì)鄰居路由器進(jìn)行身份驗(yàn)證，可避免路由器收到偽造的路由更新。通過配置OSPF鄰居身份驗(yàn)證，從而實(shí)現(xiàn)了路由器互相通告路由信息。3.任務(wù)組網(wǎng)以A企業(yè)長春總部網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施（1）S3-2上的配置（結(jié)合本任務(wù)，只需完成接口基本配置）SwitchSwitch>enaSwitchSwitch#conftSwitchSwitch(config)#hostnameS3-2S3-2(S3-2(config)#intfa0/1SwitchSwitch(config-if)#noswitchportSwitchSwitch(config-if)#ipadd52SwitchSwitch(config-if)#noshut（2）RFW上的配置①基本配置RFWRFW(config)#intfa0/1RFWRFW(config-if)#ipadd52RFWRFW(config-if)#noshutRFWRFW(config-if)#intfa0/0RFWRFW(config-if)#ipadd52RFWRFW(config-if)#noshut②OSPF配置RFWRFW(config)#routerospf1RFWRFW(config-router)#networkarea0RFWRFW(config-router)#netarea0//配置OSPF路由RFWRFW(config-if)#ipospfauthenticationmessage-digestRFWRFW(config-if)#ipospfmessage-digest-key1md5cisco//配置OSPFMD5身份驗(yàn)證（3）R1上的配置R1(config)#intf0/0R1(config)#intf0/0R1(R1(config-if)#ipadd52R1(R1(config-if)#noshutR1(R1(config-if)#intfa0/1R1(configR1(config-if)#ipadd52R1(R1(config-if)#noshut②OSPF配置R1(R1(config)#routerospf1R1(R1(config-router)#networkarea0R1(R1(config-router)#netarea0R1(R1(config-if)#ipospfauthenticationmessage-digestR1(R1(config-if)#ipospfmessage-digest-key1md5cisco（4）RS3上的配置（結(jié)合本任務(wù)，只需完成接口基本配置）RSRS3(config-if)#ipadd52RSRS3(config-if)#noshut5.任務(wù)測試如下圖所示，在路由器R1上執(zhí)行命令“showipospfneighbor”和“showiproute”得到的輸出結(jié)果檢查MD5身份驗(yàn)證。驗(yàn)證成功，建立了鄰接關(guān)系驗(yàn)證成功，建立了鄰接關(guān)系任務(wù)4-2-1記錄路由器活動(dòng)1.任務(wù)描述為了實(shí)現(xiàn)對(duì)設(shè)備安全的管理，A企業(yè)處于三地的網(wǎng)絡(luò)管理人員均有同樣的想法：記錄該設(shè)備的所使用的賬號(hào)、登錄時(shí)間和所做的命令操作等信息，以為發(fā)現(xiàn)潛在攻擊者的不良行為提供有力依據(jù)。2.任務(wù)分析根據(jù)任務(wù)描述，可通過配置路由器日志實(shí)現(xiàn)，首先要確保網(wǎng)絡(luò)設(shè)備開啟日志功能，若設(shè)備沒有足夠的空間，需要將日志傳送到日志服務(wù)器上保存。3.任務(wù)組網(wǎng)對(duì)于本任務(wù)的需求，在PacketTracer5模擬器上只能實(shí)現(xiàn)基本的日志服務(wù)功能，故本任務(wù)采用GNS3來實(shí)現(xiàn)。以A企業(yè)北京辦事處網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施（1）R3上的配置R3(R3(Config)#loggingon//開啟日志功能R3(Config)#loggingR3(Config)#logging//設(shè)置日志服務(wù)器地址R3(Config)#loggingtrapR3(Config)#loggingtrapnotifications//設(shè)置日志記錄級(jí)別，可用”?”查看詳細(xì)內(nèi)容R3(R3(Config)#loggingsource-interfacefa0/0//日志發(fā)出用的源IP地址R3(R3(Config)#servicetimestampslogdatetimelocaltime//日志記錄的時(shí)間戳設(shè)置，可根據(jù)需要具體配置（2）主機(jī)M上的配置5.任務(wù)測試使用“showlogging”命令查看當(dāng)前的日志信息。查看日志信息查看日志信息任務(wù)4-2-2禁止員工上班時(shí)間訪問Internet1.任務(wù)描述為了保證企業(yè)內(nèi)網(wǎng)數(shù)據(jù)的安全性，A企業(yè)處于三地領(lǐng)導(dǎo)準(zhǔn)備對(duì)內(nèi)部員工上網(wǎng)進(jìn)行進(jìn)行控制：要求員工上班時(shí)間（8:00-17:00）禁止瀏覽internet。對(duì)于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問題的，網(wǎng)絡(luò)管理人員該如何做呢。2.任務(wù)分析根據(jù)任務(wù)描述，通過基于時(shí)間的訪問列表可以根據(jù)一天中的不同時(shí)間，或者根據(jù)一星期中的不同日期，或二者相結(jié)合來控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)，從而滿足用戶對(duì)網(wǎng)絡(luò)的靈活需求。這樣，網(wǎng)絡(luò)管理人員可以對(duì)周末或工作日中的不同時(shí)間段定義不同的安全策略。要滿足這種需求，就必須使用基于時(shí)間的訪問控制列表才能實(shí)現(xiàn)。3.任務(wù)組網(wǎng)對(duì)于本任務(wù)的需求，在PacketTracer5模擬器不支持基于時(shí)間的訪問控制列表功能，故本任務(wù)采用GNS3來實(shí)現(xiàn)。以A企業(yè)北京辦事處網(wǎng)絡(luò)為例。4.任務(wù)實(shí)施基于時(shí)間的訪問控制列表由兩部分組成，第一部分是定義時(shí)間段，第二部分是用擴(kuò)展訪問控制列表定義規(guī)則。這里主要介紹下定義時(shí)間段，具體配置方法及命令如下：（1）用absolute命令定義絕對(duì)時(shí)間范圍命令格式：Router（config-time-range）#absolute[startstart-timestart-date][endend-timeend-date]date表示日期