路由器的安全(共118张课件).pptxVIP

路由器的安全;路由器的安全配置;;安全策略的性质;安全策略的两个级别;部署安全策略的基础;路由器的安全策略;路由器安全的原则和目标;防止对路由器的未经授权的访问（保护路由器本身）

物理安全

操作系统的安全性

路由配置文件的安全

防止对网络的未经授权的访问（通过路由器来保护网络）

基于tcp/ip数据包过滤原理、实行入站过滤和出站过滤

允许要求的协议和服务通过

拒绝有危险的协议和服务

防止网络数据窃听

防止欺骗性路由更新;路由器的安全配置;路由器访问安全;物理访问的严格控制;物理攻击的例子;物理运行环境的安全性

;远程访问控制

;远程访问控制;随时更新IOS操作系统;认证口令安全管理;口令安全管理

;本地口令安全配置;多级权限配置

;TACACS认证认证配置;交互式访问控制;控制VTY（虚拟终端）;控制VTY（虚拟终端）;设置timeout;路由器的安全;路由器网络服务安全配置;基于TCP和UDP协议的小服务;Finger、NTP、CDP等服务

;;;访问控制列表和过滤;访问控制列表配置原则;访问控制列表配置说明;防止外部IP地址欺骗;防止外部的非法探测;保护路由器不受攻击;阻止对关键端口的非法访问;对内部网的重要服务器进行访问限制;针对sql-slammer、Netbios_Worm.Dvldr_蠕虫

的访问列表;基本访问列表实现会话过滤;反射访问列表与基本访问列表实现会话过滤的区别;反射访问列表的工作方式;反射访问列表的特点;反射访问列表的特点;反射访问列表的配置;反射访问列表的配置;;路由和路由协议的安全;;防范Smurf攻击

;;防范Smurf攻击

;Icmp重定向攻击;permitprotocolanyanyreflectname[timeoutseconds]

OSPF协议的漏洞和防范措施

aaaaccountingexecstart-stoptacacs+

允许外部SMTP服务器向内部邮件服务器的向内连接请求。

Dvldr_蠕虫

的访问列表

记帐方法列表专用于所要求的记帐类型。

路由和路由协议的安全配置

使用命令aaaauthentication定义用于认证的方法列表。

这些工具是使用rprobe来获得远程网络RIP路由表，使用标准的tcpdump或者其他嗅探工具来查看路由表，

中间系统对中间系统协议（IS-IS，IntermediateSystem-to-IntermediateSystem）

两个阈值都有各自的缺省值，并??以重新定义。

access-list110denytcpanyanyeq445

使用反射访问列表，可以允许源自内部网络的IP会话流量，而拒绝源自外部网络的IP会话流量，这一任务通过反射过滤（一种会话过滤）来完成。

防止本网络做为中间代理

对这种攻击的防范只能从限制物理接触来防范。

因为当大量的数据包要路由器快速转发情况下，可能路由器花费大量的时间处理网络接口的中断，导致其他的任务无法正常工作。;防止盗用内部IP地址;路由协议的安全

;邻接认证的必要性;邻接认证工作原理与工作方式;明文文本认证;MD5认证;使用邻接认证的协议;RIP协议的基本特点;RIP协议的漏洞和脆弱点;RIP协议的探测;攻击的方式;防范措施;BGP是ExteriorGatewayProtocol(EGP，外部网关协议);BGP协议相关的漏洞和防范措施;BGP协议相关的漏洞和防范措施;BGP协议相关的漏洞和防范措施;;;操作：loggingtrapinformational

iptcpinterceptwatch-timeoutseconds

访问控制列表和过滤：

255any

阻止源地址为回环地址的所有通信流。

如一个VTY只支持Telnet服务，可以如下设置transportinputtelnet。

如何防止DDoS攻击

(seq=301ack=301ctl=ack

防止盗用内部IP地址

interestingportson(router.

[root@test]#nmap-sS-n-p179router.

日志和管理

访问控制列表和过滤

ipaccess-groupnameout或ipaccess-groupnamein

在大多数情况下aux是不用的；

反射访问列表只包含临时入口，这些入口在新的会话开始（有一个输出包）时创建，并在会话结束时删除。

每条记帐记录都包含了记帐AV对，并存储在安全服务器上。;;;Cisco路由器支持如下的日志

;;路由管理服务安全配置;Cisco路由器SNMP管理公用字符串漏洞

;SNMP协议安全管理;Http管理