陜西能源職業技術學院交換機與路由器的安全配置姓名：秋智龍班級：網絡091班院系：電子工程系指導教師：衛星君一、課題名稱交換機與路由器的安全配置二、課題內容互聯網是一把雙刃劍?；ヂ摼W在給廣大用戶帶來了方便、快捷的同時其安全性日益惡化。以病毒、木馬、僵尸網絡、間諜軟件等為代表的惡意代碼，拒絕服務攻擊、網絡仿冒、垃圾郵件等安全事件仍十分猖獗。網絡的安全以及對不良信息內容的有效控制和管理已是急需解決的問題。路由器、交換機是網絡中不可缺少的設備，網絡安全就離不開路由器、交換機的各種安全機制。三、課題任務要求觀點正確，論證充分。結構合理，邏輯嚴密。滿足一定的閱讀量。摘要隨著計算機技術的飛速發展,信息網絡已經成為社會發展的重要保證。信息網絡中存儲、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉賬、股票證券、能源資源數據、科研數據等重要信息,這些信息難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網絡實體還要經受自然災害。網絡安全已經成為嚴重的社會問題之一。關鍵字：路由器、交換機、網絡安全交換機與路由器安全配置目錄TOC\o"1-3"\h\u81351細述當今網絡安全現狀 246061.1概述 2217211.2影響網絡安全的主要因素 3109972交換機的基本功能 3192082.1交換機基礎 4184992.1.1交換機的發展 4107912.1.2交換機的功能 4250692.1.3交換機工作原理 491442.2交換機配置中的安全性 5242452.2.1流量控制 5147392.2.2虛擬局域網VLAN 578522.2.3訪問控制列表 56972.2.4設備冗余 6101733.路由器的基本功能 6195463.1路由器基礎 6233993.2路由器的基本功能 7290003.3路由器工作原理 7310993.4路由器配置中的安全性 826983.4.1協議交換認證 812393.4.2路由器的物理安全防范 8200213.4.3保護路由器口令 8182313.4.4阻止查看到路由器當前的用戶列表。 889753.4.5關閉CDP服務 9103363.4.6阻止路由器接收帶源路由標記的包 9178053.4.7關閉路由器廣播包的轉發 9162743.4.8管理HTTP服務 914944.網絡鏈接配置實例 10156934.1鏈路聚合 10216014.2利用三層交換機實現兩層交換機之間不同vlan間通信 1166964.3路由器廣域網PPP封裝和PAP驗證 1375505.目前網絡的其他威脅 14298025.1網絡通信協議安全漏洞 14286825.2操作系統安全漏洞 14211065.3應用軟件安全漏洞 14266455.4防火墻缺陷 1531374致謝 1527433參考文獻 161.細述當今網絡安全現狀1.1概述21世紀全世界的計算機都將通過Internet聯到一起，信息安全的內涵也就發生了根本的變化。它不僅從一般性的防衛變成了一種非常普通的防范，而且還從一種專門的領域變成了無處不在。當人類步入21世紀這一信息社會、網絡社會的時候，我國將建立起一套完整的網絡安全體系，特別是從政策上和法律上建立起有中國自己特色的網絡安全體系。一個國家的信息安全體系實際上包括國家的法規和政策，以及技術與市場的發展平臺。我國在構建信息防衛系統時，應著力發展自己獨特的安全產品，我國要想真正解決網絡安全問題，最終的辦法就是通過發展民族的安全產業，帶動我國網絡安全技術的整體提高。網絡安全產品有以下幾大特點：第一，網絡安全來源于安全策略與技術的多樣化，如果采用一種統一的技術和策略也就不安全了；第二，網絡的安全機制與技術要不斷地變化；第三，隨著網絡在社會各個方面的延伸，進入網絡的手段也越來越多，因此，網絡安全技術是一個十分復雜的系統工程。為此建立有中國特色的網絡安全體系，需要國家政策和法規的支持及集團聯合研究開發。安全與反安全就像矛盾的兩個方面，總是不斷地向上攀升，所以安全產業將來也是一個隨著新技術發展而不斷發展的產業。信息安全是國家發展所面臨的一個重要問題。對于這個問題，我們還沒有從系統的規劃上去考慮它，從技術上、產業上、政策上來發展它。政府不僅應該看見信息安全的發展是我國高科技產業的一部分，而且應該看到，發展安全產業的政策是信息安全保障系統的一個重要組成部分，甚至應該看到它對我國未來電子化、信息化的發展將起到非常重要的作用。1.2影響網絡安全的主要因素網絡系統在穩定性和可擴充性方面存在問題。由于設計的系統不規范、不合理以及缺乏安全性考慮，因而使其受到影響。網絡硬件的配置不協調。一是文件服務器。它是網絡的中樞，其運行穩定性、功能完善性直接影響網絡系統的質量。網絡應用的需求沒有引起足夠的重視，設計和選型考慮欠周密，從而使網絡功能發揮受阻，影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩定。缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限，忽視了這些權限可能會被其他人員濫用。訪問控制配置的復雜性，容易導致配置錯誤，從而給他人以可乘之機。管理制度不健全，網絡管理、維護任其自然。2交換機基本功能交換機在局域網中占有重要的地位，通常是整個網絡的核心所在。在這個黑客入侵風起云涌、病毒肆虐的網絡時代，作為核心的交換機也理所當然要承擔起網絡安全的一部分責任。因此，交換機要有專業安全產品的性能，安全已經成為網絡建設必須考慮的重中之中。2.1交換機基礎2.1.1交換機的發展交換機的英文名稱之為“Switch”，它是集線器的升級換代產品，從外觀上來看的話，它與集線器基本上沒有多大區別，都是帶有多個端口的長方形盒狀體。交換機是按照通信兩端傳輸信息的需要，用人工或設備自動完成的方法把要傳輸的信息送到符合要求的相應路由上的技術統稱。廣義的交換機就是一種在通信系統中完成信息交換功能的設備。2.1.2交換機的功能交換機的主要功能包括物理編址、網絡拓撲結構、錯誤校驗、幀序列以及流量控制。目前一些高檔交換機還具備了一些新的功能，如對VLAN（虛擬局域網）的支持、對鏈路匯聚的支持，甚至有的還具有路由和防火墻的功能。交換機除了能夠連接同種類型的網絡之外，還可以在不同類型的網絡（如以太網和快速以太網）之間起到互連作用。如今許多交換機都能夠提供支持快速以太網或FDDI等的高速連接端口，用于連接網絡中的其它交換機或者為帶寬占用量大的關鍵服務器提供附加帶寬。一般來說，交換機的每個端口都用來連接一個獨立的網段，但是有時為了提供更快的接入速度，我們可以把一些重要的網絡計算機直接連接到交換機的端口上。這樣，網絡的關鍵服務器和重要用戶就擁有更快的接入速度，支持更大的信息流量?？傊?，交換機是一種基于MAC地址識別，能完成封裝轉發數據包功能的網絡設備。交換機對于因第一次發送到目的地址不成功的數據包會再次對所有節點同時發送，企圖找到這個目的MAC地址，找到后就會把這個地址重新加入到自己的MAC地址列表中，這樣下次再發送到這個節點時就不會發錯。交換機的這種功能就稱之為“MAC地址學習”功能。2.1.3交換機工作原理交換機的數據傳遞工作原理可以簡單地這樣來說明：當交換機從某一節點收到一個以太網幀后，將立即在其內存中的地址表（端口號－MAC地址）進行查找，以確認該目的MAC的網卡連接在哪一個節點上，然后將該幀轉發至該節點。如果在地址表中沒有找到該MAC地址，也就是說，該目的MAC地址是首次出現，交換機就將數據包廣播到所有節點。擁有該MAC地址的網卡在接收到該廣播幀后,將立即做出應答，從而使交換機將其節點的“MAC地址”添加到MAC地址表中。換言之，當交換機從某一節點收到一個幀時（廣播幀除外），將對地址表執行兩個動作，一是檢查該幀的源MAC地址是否已在地址表中，如果沒有，則將該MAC地址加到地址表中，這樣以后就知道該MAC地址在哪一個節點；二是檢查該幀的目的MAC地址是否已在地址表中，如果該MAC地址已在地址表中，則將該幀發送到對應的節點即可，而不必像集線器那樣將該幀發送到所有節點，只須將該幀發送到對應的節點，從而使那些既非源節點又非目的節點的節點間仍然可以進行相互間的通信，從而提供了比集線器更高的傳輸速率。如果該MAC地址不在地址表中，則將該幀發送到所有其它節點（源節點除外），相當于該幀是一個廣播幀。交換機是根據以太網幀中的源MAC地址來更新地址表。當一臺計算機打開電源后，安裝在該系統中的網卡會定期發出空閑包或信號，交換機即可據此得知它的存在以及其MAC地址，這就是所謂自動地址學習。由于交換機能夠自動根據收到的以太網幀中的源MAC地址更新地址表的內容，所以交換機使用的時間越長，學到的MAC地址就越多，未知的MAC地址就越少，因而廣播的包就越少，速度就越快。由于交換機中的內存畢竟有限，因此，能夠記憶的MAC地址數量也是有限的。既然不能無休止地記憶所有的MAC地址，那么就必須賦予其相應的忘卻機制，從而吐故納新。事實上，工程師為交換機設定了一個自動老化時間（Auto－aging），若某MAC地址在一定時間內（默認為300秒）不再出現，那么，交換機將自動把該MAC地址從地址表中清除。當下一次該MAC地址重新出現時，將會被當作新地址處理。2.2交換機配置中的安全性安全交換機—網絡界的新寵兒，網絡入口的守關者，志在向一切不安全的因素舉起大刀。網絡時代的到來使得安全問題成為一個迫切需要解決的問題;病毒、黑客以及各種各樣漏洞的存在，使得安全任務在網絡時代變得無比艱巨。交換機在企業網中占有重要的地位，通常是整個網絡的核心所在。在這個黑客入侵風起云涌、病毒肆虐的網絡時代，作為核心的交換機也理所當然要承擔起網絡安全的一部分責任。因此，交換機要有專業安全產品的性能，安全已經成為網絡建設必須考慮的重中之中。安全交換機由此應運而生，在交換機中集成安全認證、ACL(AccessControlList，訪問控制列表)、防火墻、入侵檢測甚至防毒的功能，網絡的安全真的需要“武裝到牙齒”。2.2.1流量控制安全交換機的流量控制技術把流經端口的異常流量限制在一定的范圍內，避免交換機的帶寬被無限制濫用。安全交換機的流量控制功能能夠實現對異常流量的控制，避免網絡堵塞。2.2.2虛擬局域網VLAN虛擬局域網是安全交換機必不可少的功能。VLAN可以在二層或者三層交換機上實現有限的廣播域，它可以把網絡分成一個一個獨立的區域，可以控制這些區域是否可以通訊。VLAN可能跨越一個或多個交換機，與它們的物理位置無關，設備之間好像在同一個網絡間通信一樣。VLAN可在各種形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各個不同VLAN之間的非授權訪問，而且可以設置IP/MAC地址綁定功能限制用戶的非授權網絡訪問。2.2.3訪問控制列表安全交換機采用了訪問控制列表ACL來實現包過濾防火墻的安全功能，增強安全防范能力。訪問控制列表以前只在核心路由器才獲使用。在安全交換機中，訪問控制過濾措施可以基于源/目標交換槽、端口、源/目標VLAN、源/目標IP、TCP/UDP端口、ICMP類型或MAC地址來實現。ACL不但可以讓網絡管理者用來制定網絡策略，針對個別用戶或特定的數據流進行允許或者拒絕的控制，也可以用來加強網絡的安全屏蔽，讓黑客找不到網絡中的特定主機進行探測，從而無法發動攻擊。3.路由器基本功能路由器是連接因特網中各局域網、廣域網的設備，它會根據信道的情況自動選擇和設定路由，以最佳路徑，按前后順序發送信號的設備。路由器英文名Router，路由器是互聯網絡的樞紐。目前路由器已經廣泛應用于各行各業，各種不同檔次的產品已經成為實現各種骨干網內部連接、骨干網間互聯和骨干網與互聯網互聯互通業務的主力軍。3.1路由器基礎路由器是互聯網絡中必不可少的網絡設備之一，路由器是一種連接多個網絡或網段的網絡設備，它能將不同網絡或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀”懂對方的數據，從而構成一個更大的網絡。路由器有兩大典型功能，即數據通道功能和控制功能。數據通道功能包括轉發決定、背板轉發以及輸出鏈路調度等，一般由特定的硬件來完成；控制功能一般用軟件來實現，包括與相鄰路由器之間的信息交換、系統配置、系統管理等。要解釋路由器的概念，首先要介紹什么是路由。所謂“路由”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為動作的機器，它的英文名稱為Router。3.2路由器的基本功能路由器是一種多端口設備，它可以連接不同傳輸速率并運行于各種環境的局域網和廣域網，也可以采用不同的協議。路由器屬于OSI模型的第三層--網絡層。指導從一個網段到另一個網段的數據傳輸，也能指導從一種網絡向另一種網絡的數據傳輸。第一，網絡互連：路由器支持各種局域網和廣域網接口，主要用于互連局域網和廣域網，實現不同網絡互相通信；第二，數據處理：提供包括分組過濾、分組轉發、優先級、復用、加密、壓縮和防火墻等功能；第三，網絡管理：路由器提供包括路由器配置管理、性能管理、容錯管理和流量控制等功能。所謂“路由”，是指把數據從一個地方傳送到另一個地方的行為和動作，而路由器，正是執行這種行為動作的機器，它的英文名稱為Router,是一種連接多個網絡或網段的網絡設備，它能將不同網絡或網段之間的數據信息進行“翻譯”，以使它們能夠相互“讀懂”對方的數據，從而構成一個更大的網絡。3.3路由器工作原理為了簡單地說明路由器的工作原理，現在我們假設有這樣一個簡單的網絡。如圖所示，A、B、C、D四個網絡通過路由器連接在一起?，F在我們來看一下在如圖所示網絡環境下路由器又是如何發揮其路由、數據轉發作用的?，F假設網絡A中一個用戶A1要向C網絡中的C3用戶發送一個請求信號時，信號傳遞的步驟如下：第1步：用戶A1將目的用戶C3的地址C3，連同數據信息以數據幀的形式通過集線器或交換機以廣播的形式發送給同一網絡中的所有節點，當路由器A5端口偵聽到這個地址后，分析得知所發目的節點不是本網段的，需要路由轉發，就把數據幀接收下來。第2步：路由器A5端口接收到用戶A1的數據幀后，先從報頭中取出目的用戶C3的IP地址，并根據路由表計算出發往用戶C3的最佳路徑。因為從分析得知到C3的網絡ID號與路由器的C5網絡ID號相同，所以由路由器的A5端口直接發向路由器的C5端口應是信號傳遞的最佳途經。第3步：路由器的C5端口再次取出目的用戶C3的IP地址，找出C3的IP地址中的主機ID號，如果在網絡中有交換機則可先發給交換機，由交換機根據MAC地址表找出具體的網絡節點位置；如果沒有交換機設備則根據其IP地址中的主機ID直接把數據幀發送給用戶C3，這樣一個完整的數據通信轉發過程也完成了。從上面可以看出，不管網絡有多么復雜，路由器其實所作的工作就是這么幾步，所以整個路由器的工作原理基本都差不多。當然在實際的網絡中還遠比上圖所示的要復雜許多，實際的步驟也不會像上述那么簡單，但總的過程是這樣的。目前，生產路由器的廠商，國外主要有CISCO（思科）公司、北電網絡等，國內廠商包括華為等。3.4路由器配置中的安全性路由器是網絡系統的主要設備，也是網絡安全的前沿關口。如果路由器連自身的安全都沒有保障，整個網絡也就毫無安全可言。因此在網絡安全管理上，必須對路由器進行合理規劃、配置，采取必要的安全保護措施，避免因路由器自身的安全問題而給整個網絡系統帶來漏洞和風險。下面是一些加強路由器安全的具體措施，用以阻止對路由器本身的攻擊，并防范網絡信息被竊取。3.4.1協議交換認證路由器的一個重要功能是路由的管理和維護，目前具有一定規模的網絡都采用動態的路由協議，常用的有：RIP、EIGRP、OSPF、IS-IS、BGP等。當一臺設置了相同路由協議和相同區域標示符的路由器加入網絡后，會學習網絡上的路由信息表。但此種方法可能導致網絡拓撲信息泄漏，也可能由于向網絡發送自己的路由信息表，擾亂網絡上正常工作的路由信息表，嚴重時可以使整個網絡癱瘓。這個問題的解決辦法是對網絡內的路由器安全之間相互交流的路由信息進行認證。當路由器配置了認證方式，就會鑒別路由信息的收發方。有兩種鑒別方式，其中“純文本方式”安全性低，建議使用“MD5方式”。3.4.2路由器的物理安全防范路由器控制端口是具有特殊權限的端口，如果攻擊者物理接觸路由器后，斷電重啟，實施“密碼修復流程”，進而登錄路由器，就可以完全控制路由器。3.4.3保護路由器口令在備份的路由器配置文件中，密碼即使是用加密的形式存放，密碼明文仍存在被破解的可能。一旦密碼泄漏，網絡也就毫無安全可言。3.4.4阻止查看到路由器當前的用戶列表。noserviceudp-small-servers關閉命令為：noservicefinger。3.4.5關閉CDP服務在OSI二層協議即鏈路層的基礎上可發現對端路由器的部分配置信息：設備平臺、操作系統版本、端口、IP地址等重要信息?？梢杂妹睿簄ocdprunning或nocdpenable關閉這個服務。3.4.6阻止路由器接收帶源路由標記的包阻止路由器接收帶源路由標記的包“IPsource-route”是一個全局配置命令，允許路由器處理帶源路由選項標記的數據流。啟用源路由選項后，源路由信息指定的路由使數據流能夠越過默認的路由，這種包就可能繞過防火墻。關閉命令如下：noipsource-route。3.4.7關閉路由器廣播包的轉發SumrfDOS攻擊以有廣播轉發配置的路由器安全作為反射板，占用網絡資源，甚至造成網絡的癱瘓。應在每個端口應用“noipdirected-broadcast”關閉路由器廣播包。3.4.8管理HTTP服務HTTP服務提供Web管理接口?！皀oiphttpserver”可以停止HTTP服務。如果必須使用HTTP，一定要使用訪問列表“iphttpaccess-class”命令，嚴格過濾允許的IP地址，同時用“iphttpauthentication”命令設定授權限制。4.網絡鏈接配置實例4.1鏈路聚合『第一步』正確連接網線，交換機全部恢復出廠設置，做初始配置，避免廣播風暴出現。交換機A：Switch#conifigSwitch(conifig)#hostnameSwitchAswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress1switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#交換機B：Switch#conifigSwitch(conifig)#hostnameSwitchBswitchA(config)#interfacevlan1switchA(config-if-vlan1)#ipaddress2switchA(config-if-vlan1)#exitswitchA(cinfig)#spanningtreeswitchA(conifig)#『第二步』創建Portgroup交換機A：switchA(config)#port-group1switchA(config)#驗證配置：switchA#showport-groupdetail交換機B：switchB(config)#port-group2switchB(config)#『第三步』手工生成鏈路聚合組交換機A：SwitchA#configswitchA(config)#interfaceeth0/0/1-2switchA(config-port-range)#port-group1modeonswitchA(config-port-range)#exitswitchA(cinfig)#interfaceport-channel1switchA(config-if-port-channel1)#驗證測試：switchA#showvlan交換機B：SwitchB#configswitchBe(config)#interfaceeth0/0/3-4switchB(config-port-range)#port-group2modeonswitchB(config-port-range)#exitswitchB(cinfig)#interfaceport-channel2switchB(config-if-port-channel2)#驗證配置：switchB#showport-groupbrief4.2利用三層交換機實現兩層交換機之間不同vlan間通信步驟1：交換機恢復出廠設置。Switch#setdefaultSwitch#writeSwitch#reload步驟2：給交換機設置標示符和管理IP。交換機A：Switch(config)#hostnameswitchASwitchA(config)#interfacevlan1SwitchA(config-If-vlan1)ipaddress1SwitchA(config-If-vlan1)noshutSwitchA(config-If-vlan1)exitSwitchA(config)#交換機B：Switch(config)#hostnameswitchBSwitchB(config)#interfacevlan1SwitchB(config-If-vlan1)#ipaddress2SwitchB(config-If-vlan1)#noshutSwitchB(config-If-vlan1)#exitSwitchB(config)#交換機C：Switch(config)#hostnameswitchCSwitchC(config)#interfacevlan1SwitchC(config-If-vlan1)#ipaddress3SwitchC(config-If-vlan1)#noshutSwitchC(config-If-vlan1)#exitSwitchC(config)#步驟3：在交換機中創建vlan100和vlan200,并添加端口。交換機A：SwitchA(config)#vlan100SwitchA(config-vlan100)#SwtichA(config-vlan100)#switchportinterfaceeth0/0/1-8SwitchA(config-vlan100)#exitSwitchA(config)#vlan200SwitchA(config-vlan200)#SwitchA(config-vlan200)#switchportinterfaceeth0/0/9-16SwitchA(config-vlan200)#exitSwitchA(config)#驗證配置:SwitchA#showvlan交換機B同配置與交換機A一樣。步驟4：設置交換機trunk端口。交換機A：SwitchA(config)#interfaceeth0/0/24SwitchA(config-Ethernet0/0/24)#switchportmodetrunkSwitchA(config-Ethernet0/0/24)#switchporttrunkallowedvlanallSwitchA(config-Ethernet0/0/24)#exit驗證配置：SwitchA#showvlan交換機B配置同交換機A一樣。交換機C：SwitchC(config)#vlan100SwitchC(config-vlan100)exitSwitchC(config)#vlan200SwitchC(config-vlan200)#exitSwitchC(config)#interfaceeth0/0/1-2SwitchC(config-port-range)#switchportmodetrunkSwitchC(config-port-range)#switchporttrunkallowedvlanallSwitchC(config-port-range)#exit驗證配置：SwitchC(config)#showvlan步驟5：交換機C添加vlan地址。SwitchC(config)#interfacevlan100SwitchC(config-If-vlan100)#ipaddressSwitchC(config-If_vlan100)#noshutSwitchC(config-If-vlan100)#exitSwitchC(config)#interfacevlan200SwitchC(config-If-vlan200)#ipaddressSwitchC(config-If-vlan200)#noshutSwitchC(config-If-vlan200)#exit驗證配置：Switch#showiproute4.3路由器廣域網PPP封裝和PAP驗證步驟1：Router-A的配置Router>enableRouter#configRouter_config#hostnameRouter-ARouter-A_config#usernameRouterBpassworddigitallchinaB!設置帳號密碼Router-A_config#interfaces1/1Router-A_config_s1/1#ipaddressRouter-A_config_s1/1#encapsultaionPPPRouter-A_config_s1/1#PPPauthenticationpapRouter-A_config_s1/1#PPPpapsent-usernameRouterAdigitallchinaARouter-A_config_s1/1#physical layerspeed64000Router-A_config_s1/1#noshutdownRouter-A_config_s1/1#^Z步驟2：查看配置：Router-A#showinterfaces1/1步驟3：Router-B的配置Router>enableRouter#configRouter_config#hostnameRouter-BRouter-B_config#usernameRouterApassworddigitallchinaB!設置帳號密碼Router-B_config#interfaces1/0Router-B_config_s1/0#ipaddressRouter-B_config_s1/0#encapsultaionPPPRouter-B_config_s1/0#PPPauthenticationpapRouter-B_config_s1/0#PPPpapsent-usernameRouterBdigitallchinaBRouter-B_config_s1/0#noshutdownRouter-B_config_s1/0#^Z步驟4：查看配置：Router-B#showinterfaces1/0步驟5：測試連通性Router-A#ping5.目前網絡的其他威脅5.1網絡通信協議安全漏洞隨著TCP(UDP)/IP協議被互聯網普遍采用，網絡通信協議漏洞問題變得越來越突出。TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡，這一網絡