网站大量收购闲置独家精品文档,联系QQ:2885784924

网络工程师交换试验手册附录4:网络路由器安全配置手册.doc

网络工程师交换试验手册附录4:网络路由器安全配置手册.doc

  1. 1、本文档共6页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络工程师交换试验手册附录4:网络路由器安全配置手册

网络工程师交换试验手册附录4:网络路由器安全配置手册安全威胁类型: 网络命令、PING扫描、端口扫描(侦察??( 非授权访问( 资源过载型拒绝服务攻击(表一)(拒绝服务(DOS)( 带外数据型拒绝服务攻击(表二)( 其他拒绝服务攻击(分布式拒绝服务攻击DDOS、电子邮件炸弹、缓冲区溢出、恶意applet、CPU独占)( 数据操纵?( IP欺骗(IP(?? ??? Spooling) 会话重放和劫持(Hijacking)( 重路由(Rerouting)( 否认(Repudianton)( (表一) 类型 描述 防范措施 Ping flood 向一台主机发送大量ICMP回声请求包 将边界路由器设置为拒绝响应ICMP回声请求包 半开(half-open)syn攻击 向端口发起大量不完整TCP会话连接请求,导致宕机 使用TCP拦截,lock-and-key,IDC检测 数据包风暴 发送大量的UDP包 使用cisco PIX上的syn flooding 保护功能 (表二) 类型 描述 防范措施 过大的数据包(死亡ping) 修改ip包头中的长度大于实际包长,导致接收系统崩溃 过滤ICMP数据包 重叠的数据包(winnuke.c) 对已建立的连接发送带外数据,导致目标重起或停止(典型的对NETBIOS,端口137) 如果不需要关闭NETBIOS 分片(teardrop.c) 利用一些TCP/IP的IP分片组装代码实施中的漏洞,导致内存缓冲区溢出 在边界路由器上扔掉来自外部的被分片了的IP包 IP源地址欺骗(land.c) 导致计算机产生对自身的TCP连接,陷入死循环 在路由器或主机上过滤掉虚假源地址IP包 畸形包头(UDP炸弹) 制造一些包头中长度不正确的UDP包,导致一些主机出现内核混乱 根据CERT建议列表在主机上安装操作系统补丁 保护管理接口的安全 设置控制台(Console)口令:( router(config)#line??console? ?0 router(config-line)#login router(config-line)#password??cisco_psw1 设置vty(Telnet)口令:( router(config)#line??vty??0??4 router(config-line)#login router(config-line)#password??cisco_psw2 设置特权模式一般口令:( router(config)#enable??password??cisco_psw3 设置特权模式秘密口令:( router(config)#enable??secret cisco_psw4 ”service?( ?password-encryption”命令:将口令以一种加密的方式存储在路由器的配置文件中,以致在“Show??config”中不可见。 路由器限定具体的某台主机拥有”telnet”访问的权限: router(config)# access-list 21 permit router(config)#line vty 0 4 router(config-line)#access-class 21 in 管理员只能在上用Telnet访问路由器 CISCO访问列表类型: 标准访问列表:只允许过滤源地址,功能十分有限( access-list [list-number] [permit|deny] [source address] [wildcard-mask] [log] 有三个关键字host、any、log适用此列表,host和any分别适用单个主机和所有主机 access-list 1 permit( 55 log access-list 1 deny host ( ( access-list 1??permit any 扩展访问列表:允许过滤源地址、目的地址、协议、端口、上层应用数据( access-list [list-number] [permit|deny] [protocol] [protocol keyword] [sourece address] [source-wildcard] [source port] [destination address] [destination-wildcard] [destination port] [log] [options] access-list 101 pemit tcp any host( ??eq smtp access-list 101 pemit ip ??55 host( 标准或扩展列表定义好以后,必须用“ip access-group [list-number] [in|out]”应用到端口上 标准的命

文档评论(0)

yan698698 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档