[精选]企业网络安全.pptx

《[精选]企业网络安全.pptx》由会员分享，可在线阅读，更多相关《[精选]企业网络安全.pptx（63页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、思科网络技术学院理事会.http:/1企业网络平安企业网络平安Accessing the WAN Chapter 42思科网络技术学院理事会.目标目标说明如何消除企业网络的平安威胁 配置基本的路由器平安功能禁用未使用的路由器效劳和接口 使用 Cisco SDM管理Cisco IOS 设备 3思科网络技术学院理事会.目录目录4.1 网络平安简介4.2 保护 Cisco 路由器4.3 保护路由器网络效劳4.4 使用 Cisco SDM4.5 保护路由器管理思科网络技术学院理事会.http:/44.1网络平安简介5思科网络技术学院理事会.4.1.1 为什么网络平安如此重要为什么网络平安如此重要?如果

2、网络平安受到危害，可能会导致非常严重的后果，例如隐私丧失、信息失窃，有的甚至需要追究法津责任。6思科网络技术学院理事会.随着时间的推移，攻击者的方法和工具不断改进，他们不再需要精深的知识即可进行攻击。4.1.1为什么网络平安如此重要为什么网络平安如此重要?7思科网络技术学院理事会.网络平安的术语 白帽客白帽客 White hat:指那些寻找系统或网络漏洞，然后向系统所有者报告以便其修复漏洞的个人。从理论上来说，他们并不是滥用计算机系统。,黑客黑客 Hacker :一般术语，历史上用于形容计算机编程专家。黑帽客黑帽客 Black hat:用于形容那些为牟取个人利益或经济利益，利用计算机系统知识侵

3、入非授权使用的系统或网络的群体。骇客骇客 Cracker :用于更为准确地形容非法访问网络资源的恶意群体的术语。飞客飞客 Phreaker:指利用 网络执行非法功能的个人。垃圾邮件发送者垃圾邮件发送者 Spammer :指发送大量未经请求的电子邮件消息的个人。垃圾邮件发送者通常利用病毒控制家用计算机，并利用它们发送大量消息。网络钓鱼者网络钓鱼者 Phisher:指使用电子邮件或其它手段哄骗其他人提供敏感信息例如信用卡号码或密码的个人。4.1.1为什么网络平安如此重要为什么网络平安如此重要?8思科网络技术学院理事会.内部人员滥用网络访问权限拒绝效劳未经授权访问信息滥用无线网络系统渗透密码嗅探网站

4、篡改计算机犯罪的类型计算机犯罪的类型4.1.1为什么网络平安如此重要为什么网络平安如此重要?9思科网络技术学院理事会.4.1.1.4开放式网络与封闭式网络开放式网络与封闭式网络10思科网络技术学院理事会.4.1.2 常见平安威胁常见平安威胁讨论网络平安性时，人们往往会谈到三个术语：漏洞、威胁和攻击。漏洞或称缺陷主要包括三种类型：1.技术缺陷2.配置缺陷3.平安策略缺陷11思科网络技术学院理事会.讨论网络平安性时，人们往往会谈到三个术语：漏洞、威胁和攻击.漏洞或称缺陷主要包括:4.1.2常见平安威胁常见平安威胁12思科网络技术学院理事会.对物理基础架构的威胁物理威胁分为四类：1.硬件威胁硬件威胁

5、.2.环境威胁环境威胁 3.电气威胁电气威胁 4.维护威胁维护威胁4.1.2常见平安威胁常见平安威胁13思科网络技术学院理事会.网络受到的威胁:无组织威胁无组织威胁有组织威胁有组织威胁外部威胁外部威胁内部威胁内部威胁4.1.2常见平安威胁常见平安威胁14思科网络技术学院理事会.社会工程:入侵者通过欺骗组织成员获得有价值信息被称为社入侵者通过欺骗组织成员获得有价值信息被称为社会工程会工程.网网络钓鱼络钓鱼即是社会工程攻即是社会工程攻击击的一种的一种类类型，它包括使型，它包括使用用电电子子邮邮件或其它件或其它类类型的型的信息信息诱骗诱骗他人提供敏感信他人提供敏感信息息4.1.2常见平安威胁常见平安

6、威胁15思科网络技术学院理事会.4.1.3 网络攻击的类型网络攻击的类型攻击主要分为四种类型16思科网络技术学院理事会.4.1.4 常常规防范技防范技术主机和效劳器平安性主机和效劳器平安性入侵检测和防御入侵检测和防御17思科网络技术学院理事会.常见平安设备和应用程序常见平安设备和应用程序4.1.4常常规防范技防范技术18思科网络技术学院理事会.4.1.5 网络平安轮网络平安轮“平安轮提倡持续地执行测试和应用更新的平安措施。19思科网络技术学院理事会.什么是平安策略?平安策略是一组指导原则，其目的是为保护网络免受来自企业内部和外部的攻击.4.1.6 企业平安策略企业平安策略20思科网络技术学院理

7、事会.平安策略的作用全面的平安策略应具备以下基本功能:4.1.6企业平安策略企业平安策略21思科网络技术学院理事会.平安策略的组成以下是组织采用的一些常规平安策略:权限和范围声明权限和范围声明合理使用规定合理使用规定 AUP标识和身份验证策略标识和身份验证策略Internet 访问策略访问策略园区访问策略园区访问策略远程访问策略远程访问策略事件处理程序事件处理程序4.1.6企业平安策略企业平安策略思科网络技术学院理事会.http:/224.2 保护保护 Cisco 路由器路由器23思科网络技术学院理事会.4.2.1 路由器平安问题路由器平安问题路由器在网络平安中的作用24思科网络技术学院理事会

8、.保护你的网络4.2.1路由器平安问题路由器平安问题物理平安随时更新路由器 IOS备份路由器配置和 IOS加固路由器以防止未使用端口和效劳遭到滥用25思科网络技术学院理事会.配置基本的路由器平安功能 4.2.2 对路由器路由器应用用 Cisco IOS 平安功能平安功能本章讨论前四个步骤。访问控制列表 ACL 将在下一章介绍，这是一项重要的技术，必须加以配置以控制和过滤网络流量。26思科网络技术学院理事会.4.2.3 管理路由器平安管理路由器平安配置路由器密码Passphrase ExamplesCisco IOS Software Release 12.31 and later allow

9、administrators to set the minimum character length for all router passwords.27思科网络技术学院理事会.4.2.4 保护对路由器的远程管理访问保护对路由器的远程管理访问配置路由器口令Preventing Logins on Unused LinesR1config#line aux 0R1config-line#no passwordR1config-line#login%Login disable on line 65,until password is setR1config-line#exitR1config#C

10、ontrol In ing VTY AccessR1config#line vty 0 4R1config-line#no transport inputR1config-line#transport input telnet sshR1config-line#exit28思科网络技术学院理事会.Additional VTY Security ConfigurationsR1config#line vty 0 4R1config-line#exec-timeout 3R1config-line#exitR1config#service tcp-keepalives-inEnsures at l

11、east one VTY line is available to the administratorR1config#line vty 0 4R1config-line#loginR1config-line#password cisco123R1config-line#access-class 12 inR1config#access-list 12 permit host 192.168.1.24.2.4保护对路由器的远程管理访问保护对路由器的远程管理访问配置路由器口令29思科网络技术学院理事会.配置配置 SSH 平安功能平安功能Step 1:设置路由器参数置路由器参数Routerconf

12、ig#hostname R2Step 2:设置域名设置域名R2config#ip domain-name cisco.Step 3:生成非对称密钥生成非对称密钥R2config#crypto key generate rsaStep 4:配置本地身份配置本地身份验证和和 vtyR2config#username student secret ciscoR2config#line vty 0 4R2config-line#transport input sshR2config-line#login localStep 5:配置配置 SSH 超时超时 可选可选R2config#ip ssh tim

13、e-out 15R2config#ip ssh authentication-retries 24.2.4保护对路由器的远程管理访问保护对路由器的远程管理访问30思科网络技术学院理事会.应用 SSH 客户端访问设备4.2.4保护对路由器的远程管理访问保护对路由器的远程管理访问31思科网络技术学院理事会.4.2.5 记录路由器活动记录路由器活动配置路由器日志 R2config#logging 172.31.10.1R2config#service timestamps?debug Timestamp debug messageslog Timestamp log messagesR2config

14、#service timestamps172.31.10.1日志记录主机有以下特点日志记录主机有以下特点:专门用于储存日志 连接在受保护的网络或专用路由器上思科网络技术学院理事会.http:/324.3 保护路由器网络效劳保护路由器网络效劳33思科网络技术学院理事会.4.3.1易受攻击的路由器效劳和接口易受攻击的路由器效劳和接口易受攻击的路由器效劳Cisco 路由器支持第路由器支持第 2、3、4 和和 7 层层上的大量网上的大量网络络效效劳劳。34思科网络技术学院理事会.易受攻击的路由器效劳和接口!-IP 和网络效劳局部和网络效劳局部no cdp run no ip source-routen

15、o ip classlessno service tcp-small-serversno service udp-small-serversno ip fingerno service fingerno ip bootp server no ip server no ip name-server!-启动控制局部启动控制局部no boot network no service config!-SNMP 局部局部 完全禁用完全禁用 SNMP!创立完全限制访问列表创立完全限制访问列表no access-list 70access-list 70 deny any!使使SNMP 为只读并受制于访问列表

16、为只读并受制于访问列表snmp-server munity aqiytjl726540942 ro 11!禁用禁用 SNMP 陷阱和系统关闭功能陷阱和系统关闭功能no snmp-server enable trapsno snmp-server system-shutdownno snmp-server trap-auth!完全关闭完全关闭 SNMPno snmp-server!-接口定义的效劳局部接口定义的效劳局部interface eth 0/0no ip proxy-arpno ip directed-broadcastno ip unreachableno ip redirect no

17、 ip server no ip name-server4.3.1易受攻击的路由器效劳和接口易受攻击的路由器效劳和接口35思科网络技术学院理事会.SNMP,NTP,和 DNS 漏洞希望在 Cisco IOS 命令中使用域名，则需要使用全局配置命令 ip name-serveraddresses 明确设置域名效劳器的地址.否则，应该使用命令 no ip domain-lookup 关闭 DNS 域名解析.4.3.1易受攻击的路由器效劳和接口易受攻击的路由器效劳和接口36思科网络技术学院理事会.保护路由协议-RIPv24.3.2 保护路由协议保护路由协议 37思科网络技术学院理事会.保护路由协议-

18、EIGRP&OSPF4.3.2.4 Activity of OSPF MD5 Authentication4.3.2保护路由协议保护路由协议 38思科网络技术学院理事会.您可以在特权执行模式下使用 auto secure 命令将 AutoSecureone 配置为以下两种模式之一:R2#auto secure no-interact4.3.3 使用 Cisco AutoSecure锁定路由器思科网络技术学院理事会.http:/394.4 使用使用 Cisco SDM40思科网络技术学院理事会.4.4.1 Cisco SDM 概述概述什么是Cisco SDM?Cisco 路由器和平安设备管理器

19、SDM 是一种基于 Web 的设备管理工具，它使用简单，用于在基于 Cisco IOS 软件的路由器上配置 LAN、WAN 和平安功能.Cisco SDM 的特性的特性41思科网络技术学院理事会.4.4.2 配置路由器以支持配置路由器以支持 Cisco SDM使用Cisco SDM配置路由器 42思科网络技术学院理事会.SDM 启动步骤4.4.3 启动启动 Cisco SDM要启要启动动 Cisco SDM，请请使用使用 S 协议协议，并将路由，并将路由器的器的 IP 地址地址输输入入浏览浏览器器中中.Note:登录步骤的顺序可能会有所不同，这取决于您是从个人计算机上还是直接从 Cisco I

20、SR 路由器上运行 Cisco SDM.43思科网络技术学院理事会.Cisco SDM主页概览4.4.4 Cisco SDM 界面界面Note:菜单栏、工具栏以及当前模式始终会显示在每个屏幕的顶部。而屏幕的其它区域将根据您执行的模式和功能而有所变化。.44思科网络技术学院理事会.4.4.5 Cisco SDM向导向导Cisco SDM 提供了大量向导来帮助您配置 Cisco ISR 路由器.45思科网络技术学院理事会.4.4.6使用 Cisco SDM锁定路由器Cisco SDM 一步锁定向导集成了 Cisco AutoSecure 所能提供的几乎所有平安功能.别误认为只要执行一步锁定就能保证

21、网络平安。另外，Cisco SDM 并不具备 Cisco AutoSecure 的所有功能思科网络技术学院理事会.http:/464.5 保护路由器管理保护路由器管理47思科网络技术学院理事会.4.5.1 维护维护 Cisco IOS 软件映像软件映像维持 Cisco IOS 软件的版本为最新48思科网络技术学院理事会.4.5.2 管理管理Cisco IOS映像映像我们看到 show file systems 命令可显示 Cisco 1841 平台上可用的各种文件系统。可启动的 IOS 位于闪存中，因此 flash 字符旁的井号#表示它是启动磁盘.49思科网络技术学院理事会.Cisco IOS

22、 设备提供了一种叫做 Cisco IOS 集成文件系统 IFS 的功能。您可以通过此系统创立、浏览和处理 Cisco 设备上的目录。具体目录则取决于平台.Note:nvram后必须有：.此图列出了当前默认文件系统的内容.IOS File4.5.2管理管理Cisco IOS映像映像50思科网络技术学院理事会.Cisco 设备的 URL 前缀FlashNVRAMRAMTFTP4.5.2管理管理Cisco IOS映像映像51思科网络技术学院理事会.用于管理配置文件的命令例例R2#copy running-config startup-configR2#copy system:running-conf

23、ig nvram:startup-configR2#copy tftp:startup-configR2#copy tftp:nvram:startup-config4.5.2管理管理Cisco IOS映像映像52思科网络技术学院理事会.Cisco IOS 文件命名约定4.5.2管理管理Cisco IOS映像映像53思科网络技术学院理事会.备份 IOS 软件映像4.5.4 备份和升级备份和升级 软件映像软件映像54思科网络技术学院理事会.升级 IOS 软件映像4.5.4.3 Activity of Using a TFTP server to Upgrade IOS Software 4.5.

24、4备份和升级备份和升级 软件映像软件映像55思科网络技术学院理事会.恢复软件映像4.5.5 恢复软件映像恢复软件映像56思科网络技术学院理事会.恢复软件映像Console connection to R14.5.5恢复软件映像恢复软件映像57思科网络技术学院理事会.Cisco IOS配置故障排除 比较 show 和 debug 命令的不同作用4.5.6 Cisco IOS 配置故障排除配置故障排除show 命令列出已配置的参数及它们的值。debug 命令可让您追踪某个过程的执行情况。使用 show 命令来检查配置；使用 debug 命令来确定接口和路由器过程中传递的流量.58思科网络技术学院理

25、事会.使用 debug 命令的本卷须知undebug all 命令关闭所有 debug mands.4.5.6 Cisco IOS 配置故障排除配置故障排除59思科网络技术学院理事会.恢复路由器口令的方法4.5.7 恢复丧失的路由器口令恢复丧失的路由器口令60思科网络技术学院理事会.恢复丧失的路由器口令4.5.7恢复丧失的路由器口令恢复丧失的路由器口令61思科网络技术学院理事会.恢复丧失的路由器口令4.5.7恢复丧失的路由器口令恢复丧失的路由器口令62思科网络技术学院理事会.63思科网络技术学院理事会.9、静夜四无邻，荒居旧业贫。4月-234月-23Monday,April 17,202310

26、、雨中黄叶树，灯下白头人。18:57:4118:57:4118:574/17/2023 6:57:41 PM11、以我独沈久，愧君相见频。4月-2318:57:4118:57Apr-2317-Apr-2312、故人江海别，几度隔山川。18:57:4118:57:4118:57Monday,April 17,202313、乍见翻疑梦，相悲各问年。4月-234月-2318:57:4118:57:41April 17,202314、他乡生白发，旧国见青山。17 四月 20236:57:41 下午18:57:414月-2315、比不了得就不比，得不到的就不要。四月 236:57 下午4月-2318:5

27、7April 17,202316、行动出成果，工作出财富。2023/4/17 18:57:4118:57:4117 April 202317、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。6:57:41 下午6:57 下午18:57:414月-239、没有失败，只有暂时停止成功！。4月-234月-23Monday,April 17,202310、很多事情努力了未必有结果，但是不努力却什么改变也没有。18:57:4118:57:4118:574/17/2023 6:57:41 PM11、成功就是日复一日那一点点小小努力的积累。4月-2318:57:4118:57Apr-231

28、7-Apr-2312、世间成事，不求其绝对圆满，留一份缺乏，可得无限完美。18:57:4118:57:4118:57Monday,April 17,202313、不知香积寺，数里入云峰。4月-234月-2318:57:4118:57:41April 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20236:57:41 下午18:57:414月-2315、楚塞三湘接，荆门九派通。四月 236:57 下午4月-2318:57April 17,202316、少年十五二十时，步行夺得胡马骑。2023/4/17 18:57:4118:57:4117 April 2023

29、17、空山新雨后，天气晚来秋。6:57:41 下午6:57 下午18:57:414月-239、杨柳散和风，青山澹吾虑。4月-234月-23Monday,April 17,202310、阅读一切好书如同和过去最杰出的人谈话。18:57:4118:57:4118:574/17/2023 6:57:41 PM11、越是没有本领的就越加自命非凡。4月-2318:57:4118:57Apr-2317-Apr-2312、越是无能的人，越喜欢挑剔别人的错儿。18:57:4118:57:4118:57Monday,April 17,202313、知人者智，自知者明。胜人者有力，自胜者强。4月-234月-231

30、8:57:4118:57:41April 17,202314、意志坚强的人能把世界放在手中像泥块一样任意揉捏。17 四月 20236:57:41 下午18:57:414月-2315、最具挑战性的挑战莫过于提升自我。四月 236:57 下午4月-2318:57April 17,202316、业余生活要有意义，不要越轨。2023/4/17 18:57:4118:57:4117 April 202317、一个人即使已登上顶峰，也仍要自强不息。6:57:41 下午6:57 下午18:57:414月-23MOMODA POWERPOINTLorem ipsum dolor sit amet,consectetur adipiscing elit.Fusce id urna blandit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis ut cursus.感感 谢谢 您您 的的 下下 载载 观观 看看专家告诉