导图社区 网络设备安全
网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等,广义的信息安全设备除了包括上述设备外,还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施(PKI)系统、授权证书(CA)系统、安全操作系统、防病毒软件
这是一个关于PMP第六版49个项目管理过程的思维导图,全面解析了项目启动、规划、执行、监控与收尾各阶段的关键步骤与要点。
大数据主要包括大规模数据分析处理,数据挖掘,分布式文件系统,分布式数据库,云计算平台,互联网和存储系统。 1.“数据集”安全边界日渐模糊,安全保护难度提升 多...
移动应用安全,网易易盾-专业的应用加固服务商,兼容性高,0损耗,安全性高,免费试用.移动应用安全,网易易盾提供防逆向,防篡改,防调试,防二次打包等一站式应用加固方案.
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
21.网络设备安全
1. 网络设备安全概况
1. 交换机安全威胁
交换机分类
第一代交换机
集线器是第一代交换机,工作于OSI(开放系统互联参考模型)的物理层。
第二代交换机
工作于OSI的数据链路层,称为二层交换机。二层交换机识别数据中的MAC地址信息,并根据MAC地址选择转发端口。
第三代交换机
针对ARP/DHCP等广播报文对终端和交换机的影响,三层交换机实现了虚拟网络(VLAN)技术来抑制广播风暴。三层交换机工作于OSI模型的网络层。
第四代交换机
满足业务的安全性、可靠性、QoS等需求,如防火墙、负载均衡、IPS等。
第五代交换机
支持软件定义网络(SDN),具有强大的QoS(---服务质量)能力。
交换机面临的网络安全威胁
1||| MAC地址泛洪(Flooding)。通过伪造大量的虚假MAC地址发往交换机,当交换机的MAC地址表被填满之后,交换机将不再学习其他MAC地址。
2||| ARP欺骗。攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存,进行地址欺骗。
3||| 口令威胁。
4||| 漏洞利用。攻击者利用交换机的漏洞信息,导致拒绝服务、非授权访问、信息泄露、会话劫持。
2. 路由器安全威胁
1||| 漏洞利用
2||| 口令安全威胁
3||| 路由协议安全威胁。路由器接收恶意路由协议包,导致路由服务混乱。
4||| DoS/DDoS威胁。攻击者利用TCP/IP协议漏洞或路由器的漏洞,对路由器发起拒绝服务攻击。攻击方法有两种:一是发送恶意数据包到路由器,致使路由器处理数据不当,导致路由器停止运行或干扰正常运行。二是利用僵尸网络制造大的网络流量传送到目标网络,导致路由器处理瘫痪。
5||| 依赖性威胁。攻击者破坏路由器所依赖的服务或环境,导致路由器非正常运行。例如,破坏路由器依赖的认证服务器,导致管理员无法正常登录到路由器。
2. 网络设备安全机制与实现技术
1. 认证机制
cisco内容,略....
2. 访问控制
3. 信息加密
4. 安全通信
5. 日志审计
通过对网络设备进行审计,有利于管理员分析安全事件。网络设备提供控制台日志审计、缓冲区日志审计、终端审计、SNMPtraps、AAA审计、Syslog审计等多种方式。由于网络设备的存储信息有限,一般是建立专用的日志服务器,并开启网络设备的Syslog服务,接收网络设备发送出的报警信息。
6. 安全增强
7. 物理安全
物理安全的策略主要如下:
①指定授权人安装、卸载和移动网络设备;
②指定授权人进行维护以及改变网络设备的物理配置;
③指定授权人进行网络设备的物理连接;
④指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接;
⑤明确网络设备受到物理损坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程。
3. 网络设备安全增强技术方法
1. 交换机安全增强技术方法
(1) 配置交换机访问口令和ACL,限制安全登录。交换机的安全访问控制分为两级:①第一级通过控制用户的连接实现。配置交换机ACL对登录用户进行过滤,只有合法用户才能和交换机设备建立连接。②第二级通过用户口令认证实现。连接到交换机设备的用户必须通过口令认证才能真正登录到设备。
(2) 利用镜像技术监测网络流量。
(3) MAC地址控制技术。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。①设置最多可学习到的MAC地址数。②设置系统MAC地址老化时间。
(4) 安全增强。方法主要包括关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计等安全增强措施。
2. 路由器安全增强技术方法
及时升级操作系统和打补丁。
关闭不需要的网络服务。
明确禁止不使用的端口
禁止IP直接广播和源路由。在路由器的网络接口上禁止IP直接广播,可以防止smurf攻击。
增强路由器VTY安全。要求用户必须提供口令认证,并且限制访问网络区域或者主机。
阻断恶意数据包。常见的恶意数据包有以下类型:源地址声称来自内部网;loopback数据包;ICMP重定向包;广播包;源地址和目标地址相同。
路由器口令安全。路由器的口令存放应是密文。
传输加密。启用路由器的IPSec功能,对路由器之间传输的信息进行加密。
增强路由器SNMP的安全。修改路由器设备厂商的SNMP默认配置,对于其public和private的验证字一定要设置好,尤其是private的,一定要设置一个安全的、不易猜测的验证字,因为入侵者知道了验证字,就可以通过SNMP改变路由器的配置。
4. 网络设备常见漏洞与解决方法
1. 网络设备常见漏洞
1||| 拒绝服务漏洞。
2||| 跨站伪造请求CSRF(Cross-SiteRequestForgery)。
3||| 格式化字符串漏洞。---像printf函数,是按一定的格式输出的,如果不定义好,该漏洞可能会输出内存地址,黑客就可以利用了
4||| XSS(Cross-SiteScripting)。---XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种,允许恶意用户将代码注入网页
5||| 旁路(Bypasssomething)。---后门
6||| 代码执行(Code Execution)。---比如有点网站允许上传文件,黑客上传一个.exe文件。
7||| 溢出(Overflow)。该类漏洞利用后可以导致拒绝服务、特权或安全旁路。
8||| 内存破坏(Memory Corruption)。内存破坏漏洞利用常会对路由器形成拒绝服务攻击。
2. 网络设备漏洞解决方法
(1) 及时获取网络设备漏洞信息。
(2) 网络设备漏洞扫描。通过对网络设备的漏洞扫描,可以获知网络设备的漏洞状况,以便采取安全修补措施。用于网络设备漏洞扫描的软件主要有以下几种:①端口扫描工具。利用Nmap工具,可以查看网络设备开放的端口或服务。②通用漏洞扫描器。使用ShadowScanner、OpenVAS、Metasploit可以发现网络设备漏洞。③专用漏洞扫描器。CiscoTorch、CAT(CiscoAuditingToo1)可以检查Cisco路由设备常见的漏洞。
(3) 网络设备漏洞修补。网络设备安全漏洞的处理方法如下:①修改配置文件。修改默认口令、关闭不必要的服务、加密敏感数据等。②安全漏洞利用限制。例如,利用网络设备访问控制,限制远程计算机访问网络设备。③服务替换。如使用SSH替换Telnet。启用IPSec服务。④软件包升级。获取厂商的软件包,升级网络设备的软件。
