導讀:本文主要給大家詳細的介紹了對于CISCO路由器網絡設備訪問安全的基礎介紹,并且介紹了基本的安全登錄,終端保護,授權等問題,相信看過此文會對你有所幫助。
編輯特別推薦: 將數(shù)據(jù)中心網絡“一網打盡” 思科路由器常用配置命令大全 思科統(tǒng)一通信配置方案簡介 為了保護他們的Cisco 網絡,許多管理員開始忙于什么樣的流量可以被允許通過網絡設備,怎樣限制郵件路由升級和其他路由器交換的唯一信息。 訪問控制列表(ACLs)通??梢韵喈敽唵蔚亟鉀Q這些問題。
網絡設備的安全對任何聯(lián)網的環(huán)境都很重要,為解決這個問題,Cisco提供了許多可供選擇的方法。 在本文中,我將介紹登錄安全的基本配置。
還將介紹怎樣使用基于用戶的登錄配置來使得基本配置更加安全,證明怎樣監(jiān)視配置活動和對你的路由器的連接。 一旦你明白了這些基本的配置,你可以在其上建立更多的Cisco高級特性。
基本登錄安全配置 Cisco提供的最基本的安全考慮是在設備訪問和配置過程中使用本地口令。不同的口令可以應用于不同的行或者訪問指針。
Cisco設備中典型的訪問指針是終端行(也稱為虛擬終端行, 或VTYs),控制臺端口,和輔助端口(AUX)。 而且,不同的端口可以建立不同的認證方法。
下面是一個非常簡單的認證配置的例子。 IOS 版本 下面的例子假設有一個標準的,使用IOS 12。
x版本的類訪問Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345 在此,我已經設置了一個控制臺端口口令并且產生我在配置路由器時需要的口令。
首先我進入控制臺端口的行配置模式,設置口令并用login來完成。然后我為路由器配置的訪問權限創(chuàng)建口令。
當需要保護本地控制臺對路由器的訪問時,應該從這里開始。 口令加密 需要注意的是在這個配置過程中,口令是純文本的。
從安全的角度看這不是一個好思想。 然而,你可以把這些口令加密,這樣訪問路由器的其他人就不能看到這些口令。
執(zhí)行下面的命令: Router (config)# service password-encryption 口令加密服務將加密所有現(xiàn)存的和在以后配置的口令。我強烈推薦在你的Cisco網絡設備配置中使用這項服務。
口令種類 有效口令包括兩個種類:標準有效口令和有效密碼(enable secret)。由于使用了強加密手段,所以有效密碼比有效口令更安全。
配置有效密碼之后,它將替代有效口令。下面的例子說明了有效密碼的設置: Router (config)# enable secret abc123 如果你在執(zhí)行了這一步后查看路由器配置,你將看到有效密碼口令自動被加密了,無論是否開啟了口令加密服務。
設置通話超時時間 另一件有關訪問的事就是考慮通話超時。作為一個更高層的安全性,你可以設置在一段靜止狀態(tài)后斷開對話連接。
如果你離開終端一段時間,需要關閉一個配置對話,這是個便利的工具。默認的超時時間是十分鐘。
如果想設置通話超時,試一下下面的命令: Router (config)# line console 0 Router (config-line)# exec-timeout 6 30 如果在六分三十秒鐘內沒有輸入,將關閉這個控制臺對話。 保護終端行 在保護控制臺端口的同時,你也希望保護在網絡中用來進行Telnet訪問的終端行。
考慮下面關于Telnet安全的例子: Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login 需要注意的是這和控制臺的配置非常相似。 一個區(qū)別是由于路由器訪問有不止一個VTY行,所以在VTY關鍵字后面有兩個數(shù)字。
在許多Cisco路由器上默認的行數(shù)為五行。在這里,我們?yōu)樗薪K端(VTY)行設置一個口令。
我可以在某個范圍指定實際的終端或VTY行號。你經??吹降恼Z法是vty 0 4,這樣可以包括所有五個終端訪問行。
從理論上來說,你可以對不同的VTY行或范圍建立不同的口令。如果需要的話,你可以擴展可用的VTY行數(shù)以容納更多的用戶。
但這個方法也有限制。首先,一般建議限制對典型的網絡設備同時進行訪問。
所以在這個例子中,擴展VTY的輸入行數(shù)并不是很好的選擇。如果只是限制Telnet協(xié)議對VTY的訪問,可以使用下列命令: Router (config) # line vty 0 4 Router (config-line) # transport input telnet 在這里,我已經指定所有終端行都可以使用Telnet。
為了進一步限制源地址的路由器訪問,我可以在行配置模式配合類訪問命令使用一個訪問列表。 要保護可以在網絡中進行路由器訪問的虛擬終端行,還有好多事情要做。
SSH vs。 Telnet SSH對比Telnet 如果你非常偏愛使用Telnet來登錄你的路由器,可以選擇使用SSH。
為了使你的路由器能夠使用SSH,運行下列命令: Router (config) # line vty 0 3 Router (config-line) # transport input ssh 而且,我們對基本網絡設備登錄有一個相當可靠的基礎。 我們將考慮的下一個安全登錄形式是基于用戶的登錄。
基于用戶的登錄 一個基于特定用戶信任關系的登錄進程有助于保證配置改變的責任,這在那些擁有許多需要手工操作的路由器和交換機的大型網絡環(huán)境中顯得尤為重要。一旦你執(zhí)行了這個類型的認證,路由器將記錄是誰在何時訪問路由器并修改了配置。
ccna是屬于cisco認證體系中的的路由交換系列。
路由和交換:這條途徑適用于那些在采用了LAN和WAN路由器和交換機的環(huán)境中,安裝和支持基于思科技術的網絡的專業(yè)人士。CCNA認證(思科認證網絡工程師)表示具備基本的和初步的網絡知識。
擁有CCNA認證的專業(yè)人士可以為小型網絡(不超過100個節(jié)點)安裝、配置和操作LAN、WAN和撥號接八服務。其中包括單步僅限于下列協(xié)議:IP、IGRP、串行、幀中繼、IP RIP、VLAN、RIP、以太網和訪問列表。
結合樓主的問題,第一培訓班應該是能聽得懂的,如果聽不懂這個培訓班也開不下去。第二,對工作的幫助,在上面我已經有寫出ccna能具備的能力。
你可以考慮一次學到ccnp再工作,也可以考慮直接就去工作后期再有公司出資培訓。第三,樓下有人講這個認證已經很多了,確實是這樣,所以你也可以考慮學完ccna的之后走安全方向。
網絡安全:這條途徑針對的是負責設計和實施思科安全網絡的網絡人士。不過安全要基于ccna之上。
網絡安全基本知識 什么是網絡安全? 網絡安全是指網絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)可以連續(xù)可靠正常地運行,網絡服務不被中斷。
什么是計算機病毒? 計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。 什么是木馬? 木馬是一種帶有惡意性質的遠程控制軟件。
木馬一般分為客戶端和服務器端??蛻舳司褪潜镜厥褂玫母鞣N命令的控制臺,服務器端則是要給別人運行,只有運行過服務器端的計算機才能夠完全受控。
木馬不會象病毒那樣去感染文件。 什么是防火墻?它是如何確保網絡安全的? 使用功能防火墻是一種確保網絡安全的方法。
防火墻是指設置在不同網絡(如可信任的企業(yè)內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網絡的信息流,且本身具有較強的抗攻擊能力。
它是提供信息安全服務、實現(xiàn)網絡和信息安全的基礎設施。 什么是后門?為什么會存在后門? 后門是指一種繞過安全性控制而獲取對程序或系統(tǒng)訪問權的方法。
在軟件的開發(fā)階段,程序員常會在軟件內創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道,或者在發(fā)布軟件之前沒有刪除,那么它就成了安全隱患。
什么叫入侵檢測? 入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網絡攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應),提高信息安全基礎結構的完整性。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。
什么叫數(shù)據(jù)包監(jiān)測?它有什么作用? 數(shù)據(jù)包監(jiān)測可以被認為是一根竊聽電話線在計算機網絡中的等價物。當某人在“監(jiān)聽”網絡時,他們實際上是在閱讀和解釋網絡上傳送的數(shù)據(jù)包。
如果你需要在互聯(lián)網上通過計算機發(fā)送一封電子郵件或請求一個網頁,這些傳輸信息時經過的計算機都能夠看到你發(fā)送的數(shù)據(jù),而數(shù)據(jù)包監(jiān)測工具就允許某人截獲數(shù)據(jù)并且查看它。 什么是NIDS? NIDS是網絡入侵檢測系統(tǒng)的縮寫,主要用于檢測HACKER和CRACKER通過網絡進行的入侵行為。
NIDS的運行方式有兩種,一種是在目標主機上運行以監(jiān)測其本身的通信信息,另一種是在一臺單獨的機器上運行以監(jiān)測所有網絡設備的通信信息,比如HUB、路由器。 什么叫SYN包? TCP連接的第一個包,非常小的一種數(shù)據(jù)包。
SYN攻擊包括大量此類的包,由于這些包看上去來自實際不存在的站點,因此無法有效進行處理。 加密技術是指什么? 加密技術是最常用的安全保密手段,利用技術手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。
加密技術包括兩個元素:算法和密鑰。算法是將普通的信息或者可以理解的信息與一串數(shù)字(密鑰)結合,產生不可理解的密文的步驟,密鑰是用來對數(shù)據(jù)進行編碼和解密的一種算法。
在安全保密中,可通過適當?shù)拿荑€加密技術和管理機制來保證網絡的信息通信安全。 什么叫蠕蟲病毒? 蠕蟲病毒源自一種在網絡上傳播的病毒。
1988年,22歲的康奈爾大學研究生羅伯特.莫里斯通過網絡發(fā)送了一種專為攻擊UNIX系統(tǒng)缺陷、名為“蠕蟲”的病毒,蠕蟲造成了6000個系統(tǒng)癱瘓,估計損失為200萬到6000萬美圓。由于這只蠕蟲的誕生,在網上還專門成立了計算機應急小組。
現(xiàn)在蠕蟲病毒家族已經壯大到成千上萬種,并且這千萬種蠕蟲病毒大都出自黑客之手。 什么是操作系統(tǒng)病毒? 這種病毒會用它自己的程序加入操作系統(tǒng)進行工作,具有很強的破壞力,會導致整個系統(tǒng)癱瘓。
并且由于感染了操作系統(tǒng),這種病毒在運行時,會用自己的程序片段取代操作系統(tǒng)的合法程序模塊。根據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運行的地位與作用,以及病毒取代操作系統(tǒng)的取代方式等,對操作系統(tǒng)進行破壞。
同時,這種病毒對系統(tǒng)中文件的感染性也很強。 莫里斯蠕蟲是指什么? 它的編寫者是美國康奈爾大學一年級研究生羅伯特.莫里斯。
這個程序只有99行,利用UNIX系統(tǒng)的缺點,用finger命令查聯(lián)機用戶名單,然后破譯用戶口令,用MAIL系統(tǒng)復制、傳播本身的源程序,再編譯生成代碼。 最初的網絡蠕蟲設計目的是當網絡空閑時,程序就在計算機間“游蕩”而不帶來任何損害。
當有機器負荷過重時,該程序可以從空閑計算機“借取資源”而達到網絡的負載平衡。而莫里斯蠕蟲不是“借取資源”,而是“耗盡所有資源”。
什么是DDoS? DDoS也就是分布式拒絕服務攻擊。它使用與普通的拒絕服務攻擊同樣的方法,但是發(fā)起攻擊的源是多個。
通常攻擊者使用下載的工具滲透無保護的主機,當獲取該主機的適當?shù)脑L問權限后,攻擊者在主機中安裝軟件的服務或進程(以下簡稱代理)。這些代理保持睡眠狀態(tài),直到從它們的主控端得到指令,對指定的目標發(fā)起拒絕服務攻擊。
隨著危害力極強的黑客工具的廣泛傳播使用,分布式拒絕。
學習網絡安全需要具備的知識:
(1)熟悉計算機系統(tǒng)的基礎知識;
(2)熟悉網絡操作系統(tǒng)的基礎知識;
(3)理解計算機應用系統(tǒng)的設計和開發(fā)方法;
(4)熟悉數(shù)據(jù)通信的基礎知識;
(5)熟悉系統(tǒng)安全和數(shù)據(jù)安全的基礎知識;
(6)掌握網絡安全的基本技術和主要的安全協(xié)議與安全系統(tǒng);
(7)掌握計算機網絡體系結構和網絡協(xié)議的基本原理;
(8)掌握計算機網絡有關的標準化知識。
拓展資料:
學習安全網絡還需要掌握局域網組網技術,理解城域網和廣域網基本技術;掌握計算機網絡互聯(lián)技術;掌握TCP/IP協(xié)議網絡的聯(lián)網方法和網絡應用服務技術,理解接入網與接入技術;
掌握網絡管理的基本原理和操作方法;熟悉網絡系統(tǒng)的性能測試和優(yōu)化技術,以及可靠性設計技術;理解網絡應用的基本原理和技術,理解網絡新技術及其發(fā)展趨勢。
網絡安全是指網絡系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)可以連續(xù)可靠正常地運行,網絡服務不被中斷。
CCNA認證簡介
CCNA認證標志著 具備安裝、配置、運行中型路由和交換網絡,并進行故障排除的能力。獲得CCNA認證的專業(yè)人士擁有相應的知識和技能,能夠通過廣域網與遠程站點建立連接,消除基本的安全威脅,了解無線網絡接入的要求。CCNA培訓包括(但不限于)以下這些協(xié)議的使用:IP、EIGRP、串行線路接口協(xié)議、幀中繼、RIPv2、VLAN、以太網和訪問控制列表(ACL)。
CCNA認證必備條件
沒有必需的要求,建議具備基本的計算機基礎知識。
CCNA認證考試和培訓課程
考試號: 640-802 CCNA
培訓課程:
互聯(lián)思科網絡設備 Part 1 (ICND1) v1.0
互聯(lián)思科網絡設備Part 2 (ICND2) v1.0
網絡安全學習內容
1.防火墻(正確的配置和日常應用)
2.系統(tǒng)安全(針對服務器的安全加固和WEB代碼的安全加固以及各種應用服務器的組建,例如WEB MAIL FTP等等)
3.安全審核(入侵檢測。日志追蹤)
4.軟考網絡工程師,思科CCNA課程 華為認證等(網絡基礎知識。局域網常見故障排除和組建)
5.經驗積累。
1、了解基本的網絡和組網以及相關設備的使用;
2、windwos的服務器設置和網絡基本配置;
3、學習一下基本的html、js、asp、mssql、php、mysql等腳本類的語言
4、多架設相關網站,多學習網站管理;
5、學習linux,了解基本應用,系統(tǒng)結構,網絡服務器配置,基本的shell等;
6、學習linux下的iptables、snort等建設;
7、開始學習黑客常見的攻擊步驟、方法、思路等,主要可以看一些別人的經驗心得;
8、學習各種網絡安全工具的應用、掃描、遠控、嗅探、破解、相關輔助工具等;
9、學習常見的系統(tǒng)漏洞和腳本漏洞,根據(jù)自己以前學習的情況綜合應用;
11、深入學習tcp/ip和網絡協(xié)議等相關知識;
12、學習數(shù)據(jù)分析,進一步的深入;
13、能夠靜下心學習好上邊的東西以后自己就會有發(fā)展和學習的方向了。這些都是基礎東西,還沒有涉及到系統(tǒng)內部結構、網絡編程、漏洞研發(fā)等。。。學習東西不要浮躁!
很多網絡管理員在剛開始使用思科路由器時都會忽略安全設置,本文介紹的內容非常適合此類應用者在使用思科路由器時對網絡安全進行配置。
一.路由器訪問控制的安全配置 1.嚴格控制可以訪問路由器的管理員。任何一次維護都需要記錄備案。
2.建議不要遠程訪問路由器。 即使需要遠程訪問路由器,建議使用訪問控制列表和高強度的密碼控制。
3.嚴格控制CON端口的訪問。具體的措施有:A.如果可以開機箱的,則可以切斷與CON口互聯(lián)的物理線路。
B.可以改變默認的連接屬性,例如修改波特率(默認是96000,可以改為其他的)。 C.配合使用訪問控制列表控制對CON口的訪問。
如:Router(Config)#Access-list 1 permit 192。168。
0。1Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#endD.給CON口設置高強度的密碼。
4.如果不使用AUX端口,則禁止這個端口。默認是未被啟用。
禁止如:Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec5.建議采用權限分級策略。 如:Router(Config)# Router(Config)# Router(Config)#-list6.為特權模式的進入設置強壯的密碼。
不要采用enable password設置密碼。而要采用enable secret命令設置。
并且要啟用Service password-encryption。 7.控制對VTY的訪問。
如果不需要遠程訪問則禁止它。如果需要則一定要設置強壯的密碼。
由于VTY在網絡的傳輸過程中為加密,所以需要對其進行嚴格的控制。如:設置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設置用戶的訪問控制等。
8.IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP。 如:Router(Config)#ipftpusernameBluShin Router(Config)# Router#copystartup-configftp:9.及時的升級和修補IOS軟件。
聲明:本網站尊重并保護知識產權,根據(jù)《信息網絡傳播權保護條例》,如果我們轉載的作品侵犯了您的權利,請在一個月內通知我們,我們會及時刪除。
蜀ICP備2020033479號-4 Copyright ? 2016 學習鳥. 頁面生成時間:3.874秒