HCIE-Security V3.0 培训06 路由安全技术.pptx

;路由安全技术;路由器作为网络中的关键组件，负责将数据包从源地址传输到目标地址，但实现过程中，路由器设计的不足和功能限制，存在安全漏洞，可能导致网络性能下降甚至网络故障。

路由安全加固，从安全架构及安全策略等方面加强网络和设备安全。并且从管理平面、控制平面和转发平面对设备安全进行日常维护，保证任何一个平面在遭受攻击时，不会影响其他平面的正常运行。

本章节介绍SSH登录、HTTPS登录、ACL、MPAC、本机防攻击、攻击防范以及路由协议安全等路由安全技术。;学完本课程后，您将能够：

了解控制面安全加固的方法

了解管理面安全加固的实现方法

了解转发面安全加固的实现方法

掌握路由协议安全实施策略;路由安全技术概述

管理面安全

控制面安全

转发面安全

路由综合实验;路由安全技术背景;华为网络设备采用X.805标准，该标准中明确提出了基于层和面的安全框架，并指出了每一个分层和分面应该具有的安全能力和功能，设备应当遵循X.805的三层三面安全隔离机制。;路由安全技术概述

管理面安全

SSH登录

HTTPS登录

控制面安全

转发面安全;SSH背景介绍;SSH简介;SSH传输层协议;SSH用户认证协议;SSH连接协议;SSH工作原理;版本协商阶段;算法协商阶段;密钥交换阶段;用户认证阶段：口令认证;用户认证阶段：公钥认证;会话交互阶段;SSH登录配置介绍;路由安全技术概述

管理面安全

SSH登录

HTTPS登录

控制面安全

转发面安全;HTTP背景;HTTPS介绍;SSL协议原理;SSL链接过程;HTTPS登录配置;路由安全技术概述

管理面安全

控制面安全

本机防攻击

路由协议安全

转发面安全;本机防攻击概述;CPU防攻击;攻击溯源;用户级限速;设备防攻击配置;路由安全技术概述

管理面安全

控制面安全

本机防攻击

路由协议安全

转发面安全;路由协议简介;OSPF攻击行为介绍;OSPF安全策略防护;OSPF安全配置;OSPFv3安全配置(1);OSPFv3安全配置(2);ISIS攻击方法介绍：

拒绝错误报文：攻击方可以捕获网络中的正确Hello报文或者链路状态报文，然后构造IS-IS可以识别的攻击报文发送到设备。虽然设备可以通过认证信息识别出这些攻击报文并丢弃，但仍可能导致正确的报文因不能及时处理而被丢弃??影响网络稳定。

安全策略介绍：

IS-IS认证是基于网络安全性的要求而实现的一种加密手段，通过在IS-IS报文中增加认证字段对报文进行加密。当本地设备接收到远端设备发送过来的IS-IS报文，如果发现认证密码不匹配，则将收到的报文进行丢弃，达到自我保护的目的。;ISIS安全配置;BGP攻击行为介绍;BGP安全策略防护;BGP安全配置(1);BGP安全配置(2);路由安全技术概述

管理面安全

控制面安全

转发面安全;随着IP网络的发展，潜在的网络风险也在日渐增加，网络设备会面临各种攻击，其中DoS攻击已经成为Internet上一种非常普遍的攻击形式。

DoS攻击是一种阻止连接服务的网络攻击。DoS的攻击方式有很多种，最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源，从而使合法用户无法得到服务的响应。

如图所示：

RouterA后面的Attack伪造源地址为的报文向RouterC发起请求；

RouterC响应请求时将向真正的“”即RouterB发送报文，这种非法报文对RouterB和RouterC都造成了攻击。

;针对前面的攻击形式，提出了URPF（UnicastReversePathForwarding，单播逆向路径转发）技术。该技术根据报文的源IP地址查找转发表中是否存在去往该地址的路由，并判断报文入接口与路由出接口是否一致。如果路由表不存在去往该源IP地址的路由或报文入接口与路由出接口不一致，则丢弃该报文，从而预防IP欺骗，特别是针对伪造源IP地址的DoS攻击非常有效。;URPF工作模式;URPF应用场景-严格模式;URPF应用场景-松散模式;URPF配置;(判断题)URPF松散模式除了检查源地址路由表项是否存在外，还必须匹配接口，才能通过URPF检查。()

T

F

(多选题)为了防止ISIS攻击报文对网络稳定性造成影响，以下哪些方式可以实现ISIS的自我保护？()

接口认证

区域认证

路由域认证

MD5认证

;设备的安全加固，需要从管理平面、控制平面和转发平面多个维度进行考虑。从设备本身的脆弱点出发，进行网络安全风险的评估，从而梳理出设备整体的安全架构和安全加固策略。

通过本章节的学习，您将能够通过多维度对路由进行安全防护，从而进一步保障企业安全。;华为官方网站

企业业务：/cn/

技术支持：/enterprise/

在线学习：/cn/