返回
网络设备安全加固技术.ppt

网络设备安全加固技术.ppt

ID:49263407

大小:901.50 KB

页数:27页

时间:2020-02-02

网络设备安全加固技术.ppt_第1页
网络设备安全加固技术.ppt_第2页
网络设备安全加固技术.ppt_第3页
网络设备安全加固技术.ppt_第4页
网络设备安全加固技术.ppt_第5页
资源描述:

《网络设备安全加固技术.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、课程内容BFD、FRR、NSF、GR等原理及部署BFD原理及部署FRR原理及部署NSF原理及部署GR原理及部署入侵检测及防御原理及部署流量监控及清洗原理及部署网络设备安全加固技术以业务为中心的网络安全防护策略网络设备的安全防护策略----三平面安全设备级安全配置关闭所有默认开启但是不必需的服务:如TCP/UDP小包服务、finger等服务;关闭source-route、ARP代理、定向广播服务避免引发地址欺骗和DDoS攻击;关闭ICMP网络不可达、IP重定向、路由器掩码回应服务,避免引发ARP欺骗、

2、地址欺骗和DDoS攻击;设备级安全配置加强网络设备的安全,增加网络设备(路由器、交换机、接入服务器等)的口令强度,所有网络设备的口令需要满足一定的复杂性要求;对设备口令在本地的存储,应采用系统支持的强加密方式;在口令的配置策略上,所有网络设备口令不得相同,口令必须定时更新等;在口令的安全管理上,必须实施相应的用户授权及集中认证单点登录等机制,不得存在测试账户、口令现象。可以采用TACACS+服务器实行集中式口令管理和操作记录管理。设备级安全配置针对设备操作系统的安全漏洞,及时升级设备操作系统。在网络

3、设备的网络服务配置方面,必须遵循最小化服务原则,关闭网络设备不需要的所有服务,避免网络服务或网络协议自身存在的安全漏洞增加网络的安全风险。对于必须开启的网络服务,必须通过访问控制列表等手段限制远程主机地址。在边缘路由器应当关闭对于某些会引起网络安全风险的协议或服务,如ARP代理等。加强本地控制台的物理安全性,限制远程VTY终端的IP地址;控制banner信息,不得泄露任何相关信息;远程登录必须通过加密方式,禁止反向telnet等。管理平面安全方案安全威胁分析管理平面的安全威胁主要是恶意用户对路由器的

4、非法登录,控制路由器的管理平面;管理平面安全方案安全防护措施实施网络管理员的分权和分级制严格控制对网络控制访问的权限,从内部管理上避免误操作的安全隐患。高级网管员可以修改配置,删除账号。低级管理员只能查看网管界面,不能做任何改动管理平面安全方案网络口令管理对设备的访问控制实施AAA集中管理,避免采用设备本身的认证。启动SSH用户管理安全,禁止从客户网络直接登入到网络设备。采用Radius、TACACS+(可选)等加密的认证方式,保证用户名和密码在网上的的传递是经过加密的,同时对网络口令需要有审计的功

5、能,防止被盗用密码的现象发生。管理平面安全方案安全防护措施关闭网络不必用的功能和端口,关闭所有默认开启但是不必需的服务:如TCP/UDP小包服务、finger等服务;SNMP采用V2/V3版本,实施MD5认证加密,通过MIBView限制对包含大数据量的表类型变量的访问(路由表和CEF表)。控制平面安全方案安全威胁分析控制平面主要包括指路由协议、路由信息和其它协议报文,还包括承载网设备本身的主机软件,控制平面对于IP承载网是非常重要的,关系到整个网络的正常运转。控制平面的安全威胁主要包括以下三个方面:

6、非法路由攻击,如非法邻居,发布非法路由,路由振荡等,主要来自大客户VPN网络。大客户VPN内部恶意用户对控制资源的侵占,如PE的路由表容量、ARP表容量等。恶意用户或者病毒到路由器管理平面的DDOS攻击,占用CPU和内存资源。ISIS协议保护安全目标:保护ISIS协议免受非法用户的攻击攻击手段:非法用户通过和承载网路由器建立ISIS邻居,向承载网网络产生虚假路由,可同时导致IGP路由表剧增和全网流量的乱序保护手段:向外端口禁止ISIS协议运行BGP协议保护安全目标:保护BGP协议免受非法用户的攻击。

7、攻击手段:建立非法BGPPEER,向承载网网络产生虚假路由,可同时导致全网路由表增和全网流量的乱序非法用户无法建立BGPPEER,但通过伪造BGP合法Neighbor的IP地址并利用TCP包头的控制字段攻击已有的TCP连接,导致合法BGP连接的异常直接对BGPTCP端口进行DoS攻击保护手段:在所有承载网路由器上限定合法PEER路由器IP地址和所在AS号采用分组过滤策略拒绝非法的EBGP协议数据包为进一步保证EBGPPEER的安全,对外EBGPPEER上进行MD5认证控制平面安全方案安全防护措施安全

8、路由协议为了防止非法的路由邻居,关闭没有路由协议功能需求端口。对于非信任的网络启动安全路由协议,主要措施包括:BGPDamping功能,防止其它网络路由波动对IP承载网的冲击,MD5认证等,避免建立非法的路由邻居关系,特别是ASBR的EBGPPEER启动MD5认证。对于非信任的小客户网络,采用静态路由方式,CE与PE之间可以通过配置静态路由增加安全性,能有效避免非法连接和路由攻击。BGP保护,限定合法PEER路由器IP地址和所在AS号,避免建立非法的BGP邻居。控制平

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。