交换机与路由器的安全配置.docx
- 文档编号:27500012
- 上传时间:2023-07-02
- 格式:DOCX
- 页数:20
- 大小:84.91KB
交换机与路由器的安全配置.docx
《交换机与路由器的安全配置.docx》由会员分享,可在线阅读,更多相关《交换机与路由器的安全配置.docx(20页珍藏版)》请在冰豆网上搜索。
交换机与路由器的安全配置
姓名:
秋智龙班级:
网络091班
院系:
电子工程系指导教师:
卫星君
一、课题名称
交换机与路由器的安全配置
二、课题内容
互联网是一把双刃剑。
互联网在给广大用户带来了方便、快捷的同时其安全性日益恶化。
以病毒、木马、僵尸网络、间谍软件等为代表的恶意代码,拒绝服务攻击、网络仿冒、垃圾邮件等安全事件仍十分猖獗。
网络的安全以及对不良信息内容的有效控制和管理已是急需解决的问题。
路由器、交换机是网络中不可缺少的设备,网络安全就离不开路由器、交换机的各种安全机制。
三、课题任务要求
1、观点正确,论证充分。
2、结构合理,逻辑严密。
3、满足一定的阅读量。
摘要
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。
信息网络中存储、传输和处理的信息有许多是重要的政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息,这些信息难免会吸引来自世界各地的各种人为攻击(例如信息泄露、信息窃取、数据篡改、数据删添、计算机病毒等)。
同时,网络实体还要经受自然灾害。
网络安全已经成为严重的社会问题之一。
关键字:
路由器、交换机、网络安全交换机与路由器安全配置
目录
1细述当今网络安全现状2
1.1概述2
1.2影响网络安全的主要因素3
2交换机的基本功能3
2.1交换机基础4
2.1.1交换机的发展4
2.1.2交换机的功能4
2.1.3交换机工作原理4
2.2交换机配置中的安全性5
2.2.1流量控制5
2.2.2虚拟局域网VLAN5
2.2.3访问控制列表5
2.2.4设备冗余6
3.路由器的基本功能6
3.1路由器基础6
3.2路由器的基本功能7
3.3路由器工作原理7
3.4路由器配置中的安全性8
3.4.1协议交换认证8
3.4.2路由器的物理安全防范8
3.4.3保护路由器口令8
3.4.4阻止查看到路由器当前的用户列表。
8
3.4.5关闭CDP服务9
3.4.6阻止路由器接收带源路由标记的包9
3.4.7关闭路由器广播包的转发9
3.4.8管理HTTP服务9
4.网络链接配置实例10
4.1链路聚合10
4.2利用三层交换机实现两层交换机之间不同vlan间通信11
4.3路由器广域网PPP封装和PAP验证13
5.目前网络的其他威胁14
5.1网络通信协议安全漏洞14
5.2操作系统安全漏洞14
5.3应用软件安全漏洞14
5.4防火墙缺陷15
致谢15
参考文献16
1.细述当今网络安全现状
1.1概述
21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化。
它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在。
当人类步入21世纪这一信息社会、网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系。
一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台。
我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高。
网络安全产品有以下几大特点:
第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会各个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程。
为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发。
安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业。
信息安全是国家发展所面临的一个重要问题。
对于这个问题,我们还没有从系统的规划上去考虑它,从技术上、产业上、政策上来发展它。
政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化、信息化的发展将起到非常重要的作用。
1.2影响网络安全的主要因素
(1)网络系统在稳定性和可扩充性方面存在问题。
由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
(2)网络硬件的配置不协调。
一是文件服务器。
它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。
网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。
二是网卡用工作站选配不当导致网络不稳定。
(3)缺乏安全策略。
许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
(4)访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。
(5)管理制度不健全,网络管理、维护任其自然。
2交换机基本功能
交换机在局域网中占有重要的地位,通常是整个网络的核心所在。
在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。
因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。
2.1交换机基础
2.1.1交换机的发展
交换机的英文名称之为“Switch”,它是集线器的升级换代产品,从外观上来看的话,它与集线器基本上没有多大区别,都是带有多个端口的长方形盒状体。
交换机是按照通信两端传输信息的需要,用人工或设备自动完成的方法把要传输的信息送到符合要求的相应路由上的技术统称。
广义的交换机就是一种在通信系统中完成信息交换功能的设备。
2.1.2交换机的功能
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制。
目前一些高档交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有路由和防火墙的功能。
交换机除了能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口,用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽。
一般来说,交换机的每个端口都用来连接一个独立的网段,但是有时为了提供更快的接入速度,我们可以把一些重要的网络计算机直接连接到交换机的端口上。
这样,网络的关键服务器和重要用户就拥有更快的接入速度,支持更大的信息流量。
总之,交换机是一种基于MAC地址识别,能完成封装转发数据包功能的网络设备。
交换机对于因第一次发送到目的地址不成功的数据包会再次对所有节点同时发送,企图找到这个目的MAC地址,找到后就会把这个地址重新加入到自己的MAC地址列表中,这样下次再发送到这个节点时就不会发错。
交换机的这种功能就称之为“MAC地址学习”功能。
2.1.3交换机工作原理
交换机的数据传递工作原理可以简单地这样来说明:
当交换机从某一节点收到一个以太网帧后,将立即在其内存中的地址表(端口号-MAC地址)进行查找,以确认该目的MAC的网卡连接在哪一个节点上,然后将该帧转发至该节点。
如果在地址表中没有找到该MAC地址,也就是说,该目的MAC地址是首次出现,交换机就将数据包广播到所有节点。
拥有该MAC地址的网卡在接收到该广播帧后,将立即做出应答,从而使交换机将其节点的“MAC地址”添加到MAC地址表中。
换言之,当交换机从某一节点收到一个帧时(广播帧除外),将对地址表执行两个动作,一是检查该帧的源MAC地址是否已在地址表中,如果没有,则将该MAC地址加到地址表中,这样以后就知道该MAC地址在哪一个节点;二是检查该帧的目的MAC地址是否已在地址表中,如果该MAC地址已在地址表中,则将该帧发送到对应的节点即可,而不必像集线器那样将该帧发送到所有节点,只须将该帧发送到对应的节点,从而使那些既非源节点又非目的节点的节点间仍然可以进行相互间的通信,从而提供了比集线器更高的传输速率。
如果该MAC地址不在地址表中,则将该帧发送到所有其它节点(源节点除外),相当于该帧是一个广播帧。
交换机是根据以太网帧中的源MAC地址来更新地址表。
当一台计算机打开电源后,安装在该系统中的网卡会定期发出空闲包或信号,交换机即可据此得知它的存在以及其MAC地址,这就是所谓自动地址学习。
由于交换机能够自动根据收到的以太网帧中的源MAC地址更新地址表的内容,所以交换机使用的时间越长,学到的MAC地址就越多,未知的MAC地址就越少,因而广播的包就越少,速度就越快。
由于交换机中的内存毕竟有限,因此,能够记忆的MAC地址数量也是有限的。
既然不能无休止地记忆所有的MAC地址,那么就必须赋予其相应的忘却机制,从而吐故纳新。
事实上,工程师为交换机设定了一个自动老化时间(Auto-aging),若某MAC地址在一定时间内(默认为300秒)不再出现,那么,交换机将自动把该MAC地址从地址表中清除。
当下一次该MAC地址重新出现时,将会被当作新地址处理。
2.2交换机配置中的安全性
安全交换机—网络界的新宠儿,网络入口的守关者,志在向一切不安全的因素举起大刀。
网络时代的到来使得安全问题成为一个迫切需要解决的问题;病毒、黑客以及各种各样漏洞的存在,使得安全任务在网络时代变得无比艰巨。
交换机在企业网中占有重要的地位,通常是整个网络的核心所在。
在这个黑客入侵风起云涌、病毒肆虐的网络时代,作为核心的交换机也理所当然要承担起网络安全的一部分责任。
因此,交换机要有专业安全产品的性能,安全已经成为网络建设必须考虑的重中之中。
安全交换机由此应运而生,在交换机中集成安全认证、ACL(AccessControlList,访问控制列表)、防火墙、入侵检测甚至防毒的功能,网络的安全真的需要“武装到牙齿”。
2.2.1流量控制
安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内,避免交换机的带宽被无限制滥用。
安全交换机的流量控制功能能够实现对异常流量的控制,避免网络堵塞。
2.2.2虚拟局域网VLAN
虚拟局域网是安全交换机必不可少的功能。
VLAN可以在二层或者三层交换机上实现有限的广播域,它可以把网络分成一个一个独立的区域,可以控制这些区域是否可以通讯。
VLAN可能跨越一个或多个交换机,与它们的物理位置无关,设备之间好像在同一个网络间通信一样。
VLAN可在各种形式上形成,如端口、MAC地址、IP地址等。
VLAN限制了各个不同VLAN之间的非授权访问,而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。
2.2.3访问控制列表
安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能,增强安全防范能力。
访问控制列表以前只在核心路由器才获使用。
在安全交换机中,访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。
ACL不但可以让网络管理者用来制定网络策略,针对个别用户或特定的数据流进行允许或者拒绝的控制,也可以用来加强网络的安全屏蔽,让黑客找不到网络中的特定主机进行探测,从而无法发动攻击。
3.路由器基本功能
路由器是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号的设备。
路由器英文名Router,路由器是互联网络的枢纽。
目前路由器已经广泛应用于各行各业,各种不同档次的产品已经成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。
3.1路由器基础
路由器是互联网络中必不可少的网络设备之一,路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。
路由器有两大典型功能,即数据通道功能和控制功能。
数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。
要解释路由器的概念,首先要介绍什么是路由。
所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router。
3.2路由器的基本功能
路由器是一种多端口设备,它可以连接不同传输速率并运行于各种环境的局域网和广域网,也可以采用不同的协议。
路由器属于OSI模型的第三层--网络层。
指导从一个网段到另一个网段的数据传输,也能指导从一种网络向另一种网络的数据传输。
第一,网络互连:
路由器支持各种局域网和广域网接口,主要用于互连局域网和广域网,实现不同网络互相通信;
第二,数据处理:
提供包括分组过滤、分组转发、优先级、复用、加密、压缩和防火墙等功能;
第三,网络管理:
路由器提供包括路由器配置管理、性能管理、容错管理和流量控制等功能。
所谓“路由”,是指把数据从一个地方传送到另一个地方的行为和动作,而路由器,正是执行这种行为动作的机器,它的英文名称为Router,是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读懂”对方的数据,从而构成一个更大的网络。
3.3路由器工作原理
为了简单地说明路由器的工作原理,现在我们假设有这样一个简单的网络。
如图所示,A、B、C、D四个网络通过路由器连接在一起。
现在我们来看一下在如图所示网络环境下路由器又是如何发挥其路由、数据转发作用的。
现假设网络A中一个用户A1要向C网络中的C3用户发送一个请求信号时,信号传递的步骤如下:
第1步:
用户A1将目的用户C3的地址C3,连同数据信息以数据帧的形式通过集线器或交换机以广播的形式发送给同一网络中的所有节点,当路由器A5端口侦听到这个地址后,分析得知所发目的节点不是本网段的,需要路由转发,就把数据帧接收下来。
第2步:
路由器A5端口接收到用户A1的数据帧后,先从报头中取出目的用户C3的IP地址,并根据路由表计算出发往用户C3的最佳路径。
因为从分析得知到C3的网络ID号与路由器的C5网络ID号相同,所以由路由器的A5端口直接发向路由器的C5端口应是信号传递的最佳途经。
第3步:
路由器的C5端口再次取出目的用户C3的IP地址,找出C3的IP地址中的主机ID号,如果在网络中有交换机则可先发给交换机,由交换机根据MAC地址表找出具体的网络节点位置;如果没有交换机设备则根据其IP地址中的主机ID直接把数据帧发送给用户C3,这样一个完整的数据通信转发过程也完成了。
从上面可以看出,不管网络有多么复杂,路由器其实所作的工作就是这么几步,所以整个路由器的工作原理基本都差不多。
当然在实际的网络中还远比上图所示的要复杂许多,实际的步骤也不会像上述那么简单,但总的过程是这样的。
目前,生产路由器的厂商,国外主要有CISCO(思科)公司、北电网络等,国内厂商包括华为等。
3.4路由器配置中的安全性
路由器是网络系统的主要设备,也是网络安全的前沿关口。
如果路由器连自身的安全都没有保障,整个网络也就毫无安全可言。
因此在网络安全管理上,必须对路由器进行合理规划、配置,采取必要的安全保护措施,避免因路由器自身的安全问题而给整个网络系统带来漏洞和风险。
下面是一些加强路由器安全的具体措施,用以阻止对路由器本身的攻击,并防范网络信息被窃取。
3.4.1协议交换认证
路由器的一个重要功能是路由的管理和维护,目前具有一定规模的网络都采用动态的路由协议,常用的有:
RIP、EIGRP、OSPF、IS-IS、BGP等。
当一台设置了相同路由协议和相同区域标示符的路由器加入网络后,会学习网络上的路由信息表。
但此种方法可能导致网络拓扑信息泄漏,也可能由于向网络发送自己的路由信息表,扰乱网络上正常工作的路由信息表,严重时可以使整个网络瘫痪。
这个问题的解决办法是对网络内的路由器安全之间相互交流的路由信息进行认证。
当路由器配置了认证方式,就会鉴别路由信息的收发方。
有两种鉴别方式,其中“纯文本方式”安全性低,建议使用“MD5方式”。
3.4.2路由器的物理安全防范
路由器控制端口是具有特殊权限的端口,如果攻击者物理接触路由器后,断电重启,实施“密码修复流程”,进而登录路由器,就可以完全控制路由器。
3.4.3保护路由器口令
在备份的路由器配置文件中,密码即使是用加密的形式存放,密码明文仍存在被破解的可能。
一旦密码泄漏,网络也就毫无安全可言。
3.4.4阻止查看到路由器当前的用户列表。
noserviceudp-small-servers
关闭命令为:
noservicefinger。
3.4.5关闭CDP服务
在OSI二层协议即链路层的基础上可发现对端路由器的部分配置信息:
设备平台、操作系统版本、端口、IP地址等重要信息。
可以用命令:
nocdprunning或nocdpenable关闭这个服务。
3.4.6阻止路由器接收带源路由标记的包
阻止路由器接收带源路由标记的包“IPsource-route”是一个全局配置命令,允许路由器处理带源路由选项标记的数据流。
启用源路由选项后,源路由信息指定的路由使数据流能够越过默认的路由,这种包就可能绕过防火墙。
关闭命令如下:
noipsource-route。
3.4.7关闭路由器广播包的转发
SumrfDOS攻击以有广播转发配置的路由器安全作为反射板,占用网络资源,甚至造成网络的瘫痪。
应在每个端口应用“noipdirected-broadcast”关闭路由器广播包。
3.4.8管理HTTP服务
HTTP服务提供Web管理接口。
“noiphttpserver”可以停止HTTP服务。
如果必须使用HTTP,一定要使用访问列表“iphttpaccess-class”命令,严格过滤允许的IP地址,同时用“iphttpauthentication”命令设定授权限制。
4.网络链接配置实例
4.1链路聚合
『第一步』正确连接网线,交换机全部恢复出厂设置,做初始配置,避免广播风暴出现。
交换机A:
Switch#conifig
Switch(conifig)#hostnameSwitchA
switchA(config)#interfacevlan1
switchA(config-if-vlan1)#ipaddress192.168.1.11255.255.255.0
switchA(config-if-vlan1)#exit
switchA(cinfig)#spanningtree
switchA(conifig)#
交换机B:
Switch#conifig
Switch(conifig)#hostnameSwitchB
switchA(config)#interfacevlan1
switchA(config-if-vlan1)#ipaddress192.168.1.12255.255.255.0
switchA(config-if-vlan1)#exit
switchA(cinfig)#spanningtree
switchA(conifig)#
『第二步』创建Portgroup
交换机A:
switchA(config)#port-group1
switchA(config)#
验证配置:
switchA#showport-groupdetail
交换机B:
switchB(config)#port-group2
switchB(config)#
『第三步』手工生成链路聚合组
交换机A:
SwitchA#config
switchA(config)#interfaceeth0/0/1-2
switchA(config-port-range)#port-group1modeon
switchA(config-port-range)#exit
switchA(cinfig)#interfaceport-channel1
switchA(config-if-port-channel1)#
验证测试:
switchA#showvlan
交换机B:
SwitchB#config
switchBe(config)#interfaceeth0/0/3-4
switchB(config-port-range)#port-group2modeon
switchB(config-port-range)#exit
switchB(cinfig)#interfaceport-channel2
switchB(config-if-port-channel2)#
验证配置:
switchB#showport-groupbrief
4.2利用三层交换机实现两层交换机之间不同vlan间通信
步骤1:
交换机恢复出厂设置。
Switch#setdefault
Switch#write
Switch#reload
步骤2:
给交换机设置标示符和管理IP。
交换机A:
Switch(config)#hostnameswitchA
SwitchA(config)#interfacevlan1
SwitchA(config-If-vlan1)ipaddress192.168.1.11255.255.255.0
SwitchA(config-If-vlan1)noshut
SwitchA(config-If-vlan1)exit
SwitchA(config)#
交换机B:
Switch(config)#hostnameswitchB
SwitchB(config)#interfacevlan1
SwitchB(config-If-vlan1)#ipaddress192.168.1.12255.255.255.0
SwitchB(config-If-vlan1)#noshut
SwitchB(config-If-vlan1)#exit
SwitchB(config)#
交换机C:
Switch(config)#hostnameswitchC
SwitchC(config)#interfacevlan1
SwitchC(config-If-vlan1)#ipaddress192.168.1.13255.255.255.0
SwitchC(config-If-vlan1)#noshut
SwitchC(config-If-vlan1)#exit
SwitchC(config)#
步骤3:
在交换机中创建vlan100和vlan200,并添加端口。
交换机A:
SwitchA(config)#vlan100
SwitchA(config-vlan100)#
SwtichA(config-vlan100)#switchportinterfaceeth0/0/1-8
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 交换机 路由器 安全 配置