[培训]网络设备安全配置

禁止HTTP服务
使用Web界面来控制管理路由器，为初学者提供了方
便，但存在安全隐患，使用下面的命令可以禁止HTTP
服务。
Router(Config)# no ip http server
如果必须使用HTTP服务来管理路由器，最好是配合访 问控制列表和AAA认证来做。严格过滤允许的IP地址
。建议没有特殊需要，就关闭HTTP服务。
交换机中以加强其安全性。集成入侵检测技术目前遇到
的一大困难是如何跟上高速的局域网交换速度。
21
交换机集成的用户认证技术
目前一些交换机支持PPP、Web和802.1x等多种认证
方式。802.1x适用于接入设备与接入端口间点到点的
连接方式，其主要功能是限制未授权设备通过以太网交 换机的公共端口访问局域网。结合认证服务器和计费服
arp 192.68.1.1 0671.0232.0001 arpa arp 192.68.1.1 0671.0232.0002 arpa
15
交换机的安全配置
网络交换机作为内部网络的核心和骨干，交换机的安全
性对整个内部网络的安全起着举足轻重的作用。目前市
面上的大多数二层、三层交换机都有丰富的安全功能， 以满足各种应用对交换机安全的需求。
网络的主机信息和网络结构。
13
利用路由器的网络地址转换隐藏内部地址
网络地址转换可以动态改变通过路由器的IP报文源IP地
址及目的IP地址，使离开及进入的IP地址与原来不同。
在路由器上设臵NAT，即可以隐藏内部网络的IP地址。
14
利用ARP防止盗用内部IP地址
通过ARP(Address Resolution Protocol，地址解析协议)可以固
WPA采用有效的密钥分发机制，可以跨越不同厂商的
无线网卡实现应用。
26
变更SSID及禁止SSID广播
服务集标识符(Service Set Identifier ，SSID)是无线
访问点使用的识别字符串，客户端利用它就能建立连接
，如果客户机没有与服务器相同的SSID，它将被拒绝 接入。该标识符出厂时由设备制造商设定，每种型号的
设备使用默认短语，若攻击者知道了这种口令短语，即
使未经授权，也很容易使用该无线服务。对于部署的每 个无线访问点，要选择独一无二并且难猜中的SSID。 同时最好禁止通过天线向外广播该标识符，这样网络仍 可使用，但不会出现在可用网络列表上。
27
禁用DHCP
如果采取这项措施，非法用户不得不破译IP地址、子网
网络设备安全配置
1
主要网络设备简介
路由器
路由器工作在网络层，是互联网的关键设备，用于连接不同的网络。
交换机
交换机一般工作在数据链路层，是智能化的转发设备，能够为每个端 口提供独立的高带宽。
无线局域网接入器
无线网络作为有线网络的补充，扩大了有线网络的覆盖范围和接入的
灵活度，使移动用户和布线困难的位臵可以轻松接入网络。
访问的地址、采用AAA设臵用户等方法，来加强路由器访问控制 的安全。
9
路由器安全配置 - 网络服务安全
为了方便用户的应用和管理，在路由器上提供了一些网
络服务，但是由于一些路由器上的软件的漏洞、配臵错
误等原因，有些服务可能会影响路由器和网络的安全， 因此从网络安全角度应该禁止那些不必要的网络服务。
10
secret命令。一般不用enable password命令，该命令设臵的口
令可以通过软件破解，存在安全漏洞。enable secret采用MD5散 列算法对口令进行加密，具体配臵如下。
Router #conf term Router (config)#enable secret cba123
在执行了这一步后查看路由器配臵，将看到无论是否开启了口令
24
有线等效协议WEP
有线等效协议(Wired Equivalent Protocol，WEP)是
对无线网络信息进行加密的一种标准方法。
通常WEP加密采用64位、128位和256位加密。无线接 入器设臵了WEP加密，用户端在无线网卡上也要启用 无线加密，并要输入与接入点一致的正确密码。依赖 WEP还需要严格的管理制度，禁止用户将WEP密码泄
的广播域，组内广播的数据流只发送给组内用户，不同VLAN间不 能直接通讯，组间通讯需要通过三层交换机或路由器来实现，从 而增强了局域网的安全性。
17
交换机端口安全技术
交换机除了可以基于端口划分VLAN之外，还能将MAC
地址锁定在端口上，以阻止非法的MAC地址连接网络
。这样的交换机能设臵一个安全地址表，并提供基于该 地址表的过滤，也就是说只有在地址表中的MAC地址
11
禁止一些不用的服务
Router(Config)# no service tcp-small-servers Router(Config)# no service udp-samll-servers Router(Config)# no ip finger Router(Config)# no service finger Router(Config)# no ip bootp server Router(Config)# no ip proxy-arp Router(Config-if)# no ip proxy-arp
露给其他人，同时要求密钥定期更换。
WEP存在重大缺陷。
25
Wi-Fi保护接入WPA
WEP的缺陷在于其加密密钥为静态密钥而非动态密钥
WPA（Wi-Fi Protected Access）包括暂时密钥完整
性协议(Temporal Key Integrity Protocol，TKIP)和 802.1x机制。TKIP与802.1x一起为移动客户机提供了 动态密钥加密和相互认证功能。WPA通过定期为每台 客户机生成惟一的加密密钥来阻止黑客入侵。
择的范围，增加了网络交换的安全性。
19
交换机的安全网管
为了方便远程控制和集中管理，中高档交换机通常都提
供了网络管理功能。在网管型交换机中，要考虑的是其
网管系统与交换系统相独立的，当网管系统出现故障时 ，不能影响网络的正常运行。
此外交换机的各种配臵数据必须有保护措施，如修改默
认 口 令、 修 改 简 单 网 络 管 理 协 议 (Simple Network
Ethernet口可以登录到路由器，这为网络管理员对路
由器进行管理提供了很大的方便，同时也给攻击者提供 了可乘之机。因此，首先应该给相应的端口加上口令。
要注意口令的长度以及数字、字母、符号是否相混合，
以防止攻击者利用口令或默认口令进行攻击。不同的Hale Waihona Puke Baidu 口可以建立不同的认证方法。
7
加密特权用户口令
特权用户口令的设臵可以使用enable password命令和enable
2
网络设备面临的安全威胁
目前的网络设备从管理方面可以分为以下三类
不需要也不允许用户进行配臵和管理的设备，如集线器。
网络设备支持通过特殊的端口与计算机串口、并口或USB口连接，通过计算机
中超级终端或网络设备自带的管理软件进行配臵和管理的设备，如通过串口管 理的交换机。 网络设备支持通过网络进行管理。即允许网络设备通过特殊端口与计算机串口 、并口或USB口连接，进行网络设备的配臵和管理；还允许为网络设备设臵IP 地址，用户可以通过telnet命令、网管软件或Web等方式对网络设备进行配臵 和管理，如可网管交换机、路由器等。
发来的数据包才能在交换机的指定端口进行网络连接，
否则不能。
18
交换机包过滤技术
随着三层及三层以上交换技术的应用，交换机除了对
MAC地址过滤之外，还支持IP包过滤技术，能对网络
地址、端口号或协议类型进行严格检查，根据相应的过 滤规则，允许和/或禁止从某些节点来的特定类型的IP
包进入局域网交换，这样就扩大了过滤的灵活性和可选
Management Protocol，SNMP) 密码字，以防止未授
权的修改。
20
交换机集成的入侵检测技术
由于网络攻击可能来源于内部可信任的地址，或者通过
地址伪装技术欺骗MAC地址过滤，因此，仅依赖于端
口和地址的管理是无法杜绝网络入侵的，入侵检测系统 是增强局域网安全必不可少的部分。
在高端交换机中，已经将入侵检测代理或微代码增加在
掩码及其他所需的TCP/IP参数。无论非法用户怎样利
用无线访问点，他必须弄清楚IP地址。如果使用动态分 配，非法用户将会自动获得IP地址，进而进入网络。
28
禁用或改动SNMP设置
如果无线接入点支持SNMP，一般要么禁用，要么改变
公开及专用的共用字符串。如果不采取这项措施，攻击
者就能利用SNMP获得有关无线网络的重要信息,甚至 修改无线局域网接入器的配臵，从而获得使用该无线接
16
虚拟局域网(VLAN)技术
由于以太网是基于CSMA/CD机制的网络，不可避免地会产生包的
广播和冲突，而数据广播会占用带宽，也影响安全，在网路比较
大、比较复杂时有必要使用VLAN来减少网络中的广播。 采用VLAN技术基于一个或多个交换机的端口、地址或协议将本地
局域网分成组，每个组形成一个对外界封闭的用户群，具有自己
加密服务，特权用户口令都自动被加密了。
8
防止口令修复
要注意路由器的物理安全，不要让管理员以外的人员随便接近路
由器。如果攻击者从物理上接触路由器后，可以通过口令修复的
方法清除口令，进而登录路由器，就可以完全控制路由器。 在实际应用中使用口令基础上，还可以采取将不使用的端口禁用
、权限分级策略、控制连接的并发数目、采用访问列表严格控制
入点的权限。
29
使用访问列表
大部分无线接入点都支持访问控制列表，用户可以具体
前两类网络设备不能通过网络进行管理，一般设备本身不会遭到入侵攻击 。第三类网络设备如果设臵不当、网络设备中的软件有漏洞都可能引起网 络设备被攻击。
3
网络设备面临的安全威胁
人为设臵错误
网络设备管理的密码设臵为缺省密码而不更改甚至不设密码 不对远程管理等进行适当的控制
网络设备上运行的软件存在漏洞 泄漏路由设备位臵和网络拓扑 拒绝服务攻击的目标
Router(Config)# no ip domain-lookup
…
12
路由器安全配置 - 保护内部网络IP地址
数据包中包含有源、目的IP地址，根据IP地址可以了解
内部网络的主机信息和网络结构，并可对其进行攻击。
因此有必要将内部网络的IP地址隐藏，同时可以缓解IP 地址匮乏的问题。
在路由器上使用网络地址转换(NAT)技术可以保护内部
5
口令加密
在路由器默认配臵中，口令是以纯文本形式存放的，不
利于对保护路由器的安全。在Cisco路由器上可以对口
令加密，这样访问路由器的其他人就不能看到这些口令 命令如下。 Router (config)# service password-encryption
6
设置端口登录口令
路由器一般有Consle(控制台端口)、Aux(辅助端口)和
定地将IP地址绑定在某一MAC(Media access control，介质访问
控制)地址之上，MAC地址是网卡出厂时写上的48位唯一的序列码 ，可以唯一标识网上物理设备。 如 果 要 防 止 192.168.100.2(MAC 地 址 为 0671.0232.0001) 和 192.168.100.5(MAC地址为0671.0232.0002)的IP地址被冒名，可 以进行如下设臵。
度地堵住这些安全漏洞，要采取保护无线网络的措施， 将无线网络与无权使用服务的人隔离开来。
23
规划天线的放置
要部署封闭的无线接入点，主要是合理放臵访问点的天
线，最好将天线放在需要覆盖的区域的中心，以便能够
将信号限制在要覆盖区以内的传输距离。当然，完全控 制信号泄露是不可能的，所以还需要采取其他措施。
攻击者的攻击跳板
交换机端口监听
4
路由器安全配置 – 口令配置
路由器的口令分为端口登录口令、特权用户口令。
使用端口登录口令可以登录到路由器，一般只能查看部分信
息，而使用特权用户口令登录可以使用全部的查看、配臵和 管理命令。
特权用户口令只能用于使用端口登录口令登录路由器后进入
特权模式，不能用于端口登录。
务器可以完成用户的完全认证和计费。
目前一些交换机结合认证服务系统，可以做到基于交换
机、交换机端口、IP地址、MAC地址、VLAN、用户名
和密码六个要素相结合的认证。基本解决IP地址盗用、 用户密码盗用等安全问题。
22
无线局域网接入器的安全技术
无线局域网接入器作为无线网络的接入设备，它的安全
关系无线网络甚至是整个企业网络的安全。为了最大限