中文博客网站模板与设计行业相关的网站

当前位置： 首页 > news >正文

中文博客网站模板,与设计行业相关的网站,焊工培训ppt课件,在线下单网站怎么做目录 网络设备安全机制与实现技术 - 认证技术网络设备安全机制与实现技术 - 访问控制网络设备安全机制与实现技术 - 信息加密网络设备安全机制与实现技术 - 安全通信网络设备安全机制与实现技术 - 日志审计网络设备安全机制与实现技术 - 安全增强网络设备安全机制与实现技术 - … 目录 网络设备安全机制与实现技术 - 认证技术网络设备安全机制与实现技术 - 访问控制网络设备安全机制与实现技术 - 信息加密网络设备安全机制与实现技术 - 安全通信网络设备安全机制与实现技术 - 日志审计网络设备安全机制与实现技术 - 安全增强网络设备安全机制与实现技术 - 强物理安全 网络设备安全机制与实现技术 - 认证技术 网络设备需要对用户身份进行认证登录设备需要口令、密码通过不同的方式去登录需要不同的密码。比如说通过console口去登录设备需要输入console的密码通过远程vty方式去登录要输入ssh密码这就是简单认证机制。 基础认证方式直接在设备上存用户名和密码但是网络中如果设备很多比如说交换机路由器有1000台配置用户名密码都要到1000台设备上去配就很麻烦所以为了便于网络安全管理交换机路由器等等一些网络设备可以支持TACACS认证RADIUS认证就把这1000台交换机的一些用户名和密码存到后台服务器上如TACACS服务器或者RADIUS服务器做管理就很方便直接管后台服务器就行了将来修改密码不一定要登录1000台设备去管理整个认证方式就是比如说这是一台PC然后这些是交换机、路由器他们的密码是存在后台的两个服务器之上这是两种协议如果是叫tacacs它是思科私有的 TACACS指的是交换机跟后端服务器就纯用户名密码的服务器通信协议如果跑的是radius服务器这两个协议主要是用来进行认证的时候做内容交互用的。 一般我们中间的路由器跟后台的认证服务器之间跑的协议是radius那么后端服务器我们把它叫做radius服务器为了统一管理用户名密码可能会引入这种方式 网络设备安全机制与实现技术 - 访问控制 网络设备的访问可以分为代内访问和代外访问举个例子我这里面有一台交换机我想远程登录它它放在机房里面我在家里面远程登录它我只要把这个接口配个公网IP或者我在公网能访问到这个IP地址就行了我就可以登录这个设备这叫代内访问就是这个接口既跑业务流量又跑网络管理流量 比如说单独搞一个ipmi专用接口不跑其他网络流量只跑网络管理流量这就叫带外我有一台电脑在云上就是在远端公有云或者是在任何一个地方都行我是通过一个接口去访问这台电脑通过向日葵远程控制软件去访问它如果这台电脑你在下载比如带宽是10M或者100M你在下载百度云或者下载迅雷那有可能造成这些软件把带宽占满导致远程登录软件上不去我想控制你控制不了只有等你下载完我才能控制抢带宽但是如果我有一个专用端口来访问你的这个端口就不跑其他业务只跑网络管理流量是不是就能很好的去做管理在我们数据中心设计里面基本上带外管理是必备的特别是大型的数据中心因为数据中心流量很大可能业务就占满了我整个带宽网管流量上不来你想改一些配置都改不了 带外访问不依赖其他网络而代内访问要求我们提供网络支持就是业务网络要能够通过网络设备访问的方式主要可以通过console口本地去把console线怼到设备上console线一般都不会很长最长就几米。所以不可能实现远程访问 辅助接口是早期设备类似于服务器的ipmi是一个代外管理口现在交换机的辅助接口也变成了ipmiaux的接口已经基本上见不到了。vty虚拟接口是在交换机设备上可以配的虚拟接口。华为配的话它不叫vty叫user interface用户通过虚拟接口去登录设备当然我们设备也可以通过ftp网页的方式去访问还可以传一些文件这就是网管协议 其中console、辅助接口和vty被称为line在思科设备上叫line在华为设备上叫user interface就是用户登录的虚拟接口 通过访问控制列表来实现line的话只能通过console口去登录其他的远程登录方式把它给关闭掉通过local的方式去登录 超时时间然后访问控制列表的应用就是只有满足访问控制列表一的流量才能登录我的这个设备而且是通过console口去登录只能本地登录远程登录不了这是对console口的一个访问控制。限制特定的IP才能登录这是第一种控制方式 第二种可以通过vty方式去控制写了很多访问控制列表只允许这两个IP地址其他的都拒绝user interface跟line虚拟线路是对应的关系 华为的很多命令其实跟思科是比较类似的最早就完全一样后来由于侵权就改掉了 只允许acl10的流量进来只允许这样的流量通过远程访问的方式来登录设备 超时配置五分钟对网页的访问控制就只允许这个IP地址来访问通过网页的方式来访问我的设备 以前没事的时候拿着扫描器在网络上扫八零端口扫公网IP的80端口扫到了80端口开放之后就用弱密码猜密码最后找出来就会有一大堆公网IP的登录窗口 路由器底层是iOS系统上层其实就是一个80端口web访问的服务然后上层还可能有23端口开放你扫到了八零端口的用户名和密码就可以进入路由器了可以查看一些配置但是操作不了八零端口一般它是设置了一些权限就你可以查看但你操作不了你查看的话只能查看这台路由器目前运行的所有的配置你可以看得到的包括你可以看到它的telnet 23端口的用户名和密码查看到了之后可以通过telnet上去登录到我们的路由器然后对它的配置进行你想要的任何修改 登录设备的IP没有做限制从公网的任一个IP过来我都可以登录设备我们应该限制一下只有某一个内网IP才能登录出口路由器这样别人在公网上就登录不了如果想登录要先搞定一台内网PC但是搞定内网PC这个也不是那么容易的事情 问题的解决方法比如说第一个就限制指定的IP才可以访问这台出口路由器 不必要的服务把它关因为它可能会招致攻击早年是可以随便去网上扫的但现在不行了 对http的访问控制不要这个服务把它关了如果要开就设置一些访问控制列表只有指定的终端可以登录 snmp访问控制snmp是网络管理协议我们可以通过这个协议管理前端的网络设备你要管理它是不是相当于也是要有对方的用户名密码在snmp里边它叫团体字叫community说白了就是一个密码你只有知道对方的密码你才能管理他比如说这个密码它是readonly ro表示read only然后这样的密码也叫团体字rw就是读和写输入不同的团体字你的权限是不一样的这个一般在网络管理软件里面去把这些东西给写进网络管理软件的操作权限然后还有一些限制访问的IP地址只有网管软件这个IP才能访问如果不需要的话就把snmp给关掉 第五个是设置管理专网通过专用网络去做管理专用网络更安全不容易被黑客攻击。然后我们的通信要加密用ssh去替代在路由器上去设置一些包过滤的规则只允许管理主机远程访问我们的路由器。说白了就是在路由器上写acl你在中间传输网络写acl也行这是访问控制相关的一些技术应用。 第六个特权分级在思科和华为设备上用户的等级都是0-15一共16个级别。其中它分用户级别和命令级别用户级别16级然后命令级别是四个级别0-3。其中零级就是一些基础命令ping然后一级叫监控级它的命令会更高级一点。二级是配置级可以执行一些配置命令。三级就是管理级基本上所有的命令都可以执行用户要执行相应的命令需要保证用户的级别不低于命令的级别。 比如说0到15所有的用户都可以执行零级的命令因为它的优先级最低然后一到15所有的用户都能执行一级。要执行三级的命令必须用户的等级要在三级以上这是特权分级针对不同的用户进行相应的权限划分这是用户的等级和命令的等级要相匹配。 网络设备安全机制与实现技术 - 信息加密 网络配置文件里边有一些敏感口令一旦泄露将导致网络失去控制。我们通过80端口去查看它的配置而且配置是明文我能看到你的密码可以通过23端口telnet去访问你 在思科命令上我们可以通过service password-encryption命令来对明文口令进行加密 网络设备安全机制与实现技术 - 安全通信 我们要么用加密的ssh去替代telnetssh是加密的telnet是明文传送。第二个我们用VPN典型的用IP这个VPN就是我们与设备之间的通信是加密的 第一个用安全的协议ssh第二个打VPN隧道 网络设备安全机制与实现技术 - 日志审计 其实所有设备都带日志审计功能我们通过阅读审计日志有利于我们分析一些安全事件网络设备提供了多种审计方式控制台的日志审计就是把输入的命令给记录下来、缓冲区日志审计、终端审计、SNMP traps、AAA审计、Syslog审计 Syslog是标准的日志协议我们可以通过Syslog协议把相应的日志读到Syslog服务器上去相当于做日志的统一管理像日志审计设备也可以读取我们所有前端设备的Syslog把Syslog给集中到后台由于网络设备存储信息的有限一般需要建立专用的日志服务器并开启网络设备的Syslog服务接收它发送的一些报警。 专用的日志服务器用服务器安装一个的软件也可以买专业审计设备比如说买一台上网行为管理它就可以充当专业的日志服务器日志审计是审计设备的一个功能 网络设备安全机制与实现技术 - 安全增强 安全增强关闭非安全的一些网络服务及功能Web服务八零端口不要的时候它关掉。不然可以通过他来搞你 做一些信息过滤通过acl限制用户登录 协议认证协议主要是传路由信息比如说建立bgp邻居关系我们相互传路由要先经过身份认证不是所有人我都把内部的一些信息给你所以有一个协议认证 网络设备安全机制与实现技术 - 强物理安全 物理安全是网络设备安全的基础物理访问必须得到严格的控制。把设备抱走了何谈安全 指定授权人安装卸载和移动我们的网络设备指定授权人进行维护及改变网络的一些物理配置指定授权人进行网络设备的物理连接指定授权人进行网络设备控制台的使用以及其他直接访问端口的连接明确网络设备受到物理损坏时恢复的过程或者出现网络设备被篡改时它恢复的过程相当于容灾备份 物理安全还需要注意机房门禁要做登记、人脸识别、指纹识别防火防雷。