|
1、DMZ:隔离区、为公网提供服务提供服务 IDS:(入侵检测系统)对网络系统的运行状况按照一定的安全策略进行监视尽可能发现各种不同的攻击企图,一般部署在服务器区域的交换机上、Internet接入路由器之后的第一台交换机上、重点保护网段的局域网交换机上、以旁路模式的方式接入。 IPS:(入侵防御系统)可深度感知并检测流径的数据流量,对恶意报文进行丢弃以阻断攻击,对滥用报文进行进行限流以保护网络带宽资源,以串联方式直接嵌入到网络流量中、包括异常检测和误用检测。 下列是关于SSH、密码、ACL、AAA的理论及部分配置情况 2、设置特权密码指令。 (1)密码设置要求:创建用户 username xxx password xxx username xxx secret xxx security passwords min-length 10 //设置端口密码长度(特权密码) enable secret xxx line vty 0 4 //进入vty模式下 password xxx login (2)密码安全设置(md5) service password-encryption (3)阻塞登陆的block-for命令 login block-for 120 attempts 5 within 60 3.配置SSH指令 更改主机名字hostname r1 (1)ip domain-name xxx配置网络的ip域名 (2)cryto key generate rsa general-keys modulus 1024 产生单向秘钥 (3)username xxx(用户名)secret xxxx密码 验证或创建一个本地用户名数据库入口 (4)line vty 0 4 login local transport input ssh 启用vty入向的ssh会话 (5)登陆ssh ssh -l 用户名 地址 (6)特权cli命令 privilege mode .... (7)系统日志 logging host xxxx(192.168.1.1) (8)使用ntp ntp master ntp server xxx //(192.168.1.1) ntpuodate-calender //配置路由器并更新时钟 service timetamps log datetimemsec //配置时间标记服务 4.认证、授权、记账 (1)AAA接入方法:字符模式、包模式 (2)基于本地认证 username zxp sercet xxx aaa new-model aaa authentication login default local-case enable aaa local authentication attempts max-fail 10 查看状态:show aaa local user lockout 解锁: aaa local user lockout xxx(用户名) aaa local user lockout all (3)基于服务器cli tacacs-server host 192.168.2.2 tacacs-server key tacacspa55 (服务器登陆路由器的密码为tacacspa55) aaa new-model aaa authentication login default (group tacacs+ )group radius local line console 0 login authentication default 5.防火墙 (1)访问控制列表acl:标准acl靠近目的端口 acl(1-99,1300-1999)扩展acl(100-199,2000-2699) (2)标准acl access-list 1-99 permit/deny 地址 (3.)扩展acl 靠近源端口 access-list 100-199 permit/deny protocol 源(地址 掩码 协议类型 )目的(地址 掩码 协议类型 )eq 20/21(协议类型) (4)命名ip acl 标准acl ip access-list standard 名字 remark permit only admin host(注释) permint host 192.168.1.10 line vty 0 4 password 123 enable password 123 login access-class 名字 in //(in 查路由表之前,out 查路由表后) (5)扩展acl ip access-list extanded acl-1 remark lan acl deny ip host 192.168.1.6 any permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主机) (6)应用到接口: 硬件接口:(config-if )#ip access-group 名字 in/out line接口:(config-line)#line vty 0 4 ip access-class 名字 in/out (7)自反ACL 只能对tcp协议有效,对udp、icmp无效 ip access-list extended in-to-out permit ip any any reflect ip-out timeout 120 evaluate ip-out int f1/1 ip access-group in-to-out out (8)动态acl username zhangsan password 123 access-list 101 permit tcp any host 20.20.20.1 eq 23 accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10 line vty 0 4 login local autocomand access-enable host timeout 5 仅支持ip协议,依赖于telnet连接、验证和扩展acl 结果是192.168.10.10ping10.2.2.2ping不到,只能telnet到 (9)基于时间的ACL (10)防火墙类型:包过滤防火墙、状态防火墙 基于上下文的访问控制CBAC CBAC特性:流量过滤,流量检查,入侵检测,产生警告和审计消息 配置CBAC: a:选择一个接口 b在接口配置ACL: c:定义检查规则 d:应用到一个检查接口 6.区域策略防火墙 一步:创建区域防火墙 zone security in-zone zone security out-zone 二步:定义流量级别和访问列表 access-list 101 permit ip 192.168.3.0 0.0.0.255 any class-map type inspect match-all in-net-class-map match access-group 101 三步:指定防火墙策略 policy-map type inspect in-2-out-pamp class type inspect in-net-class-map 四步:应用防火墙策略 zone-pair security in-2-out-zpair source in-zone destination out-zone service-policy type inspect in-2-out-pmap 五步:定义出口入口区域 interface f0/0 zone-member security in-zone zone-member security out-zone 7.二层安全、内网安全 8.vpn 虚拟的私有网络 第三层 a.站点到站点vpn b.远程访问vpn c.认证-预共享密钥psk d.认证-rsa签名 公钥-加密,私钥-解密;公钥-解密,私钥-加密 解密签名的公共加密密钥包含在数字签名中 9.ipsec (1)ipsec认证头:AH,ESP AH:为 IP 数据报提供无连接完整性与 数据 源认证,并提供保护以避免重播情况 ESP:加密提供机密性,认证提供完整性 (2)ipsec的模式:传输模式,隧道模式 传输模式:对数据加密,报文格式不变 隧道模式:头部和数据全部改变 7.因特网密钥交换(IKE) 阶段1:主模式 DES:加密 SHA或MD5:完整性 |
|
|
来自: wq2g2ds152m668 > 《信息安全》
