《网络安全技术与实施》教案项目四.docx

1、网络安全技术与实施教案项目四网络安全技术与实施课程教案 201 -201 学年度 学期所属系部： 任课教师： 授课对象系 别本次课学时6年级班次章节题目项目四 路由器及无线安全管理与配置目的要求(含技能要求)理解路由器的作用、组成及工作原理、安全管理的相关技术及规划；能熟练使用GNS3及Packet Tracer两种组网软件对路由器进行基本配置及安全管理的配置；利用Packet Tracer部署无线网络。本节重点路由器的安全管理与配置、无线安全规划本节难点路由器的安全管理与配置、无线安全规划教学方法引导文教学、任务驱动、案例教学、教学做一体化教学模式教学用具实训室问题引入交换机作为局域网信息交

2、换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。交换机的安全性能已经成为网络建设必须考虑的重中之重。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范。技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。难点与重点讲解方法利用Packet Tracer及GNS3加固路由网络及利用Packet Tracer部署无线网络。本次课小节课程小节1路由器的的工作原理2交换机的安全管理的相关技术及规划 3利用Packet Tracer及GNS3加固交换网络教后

3、札记通过本次授课使学生理解路由器的作用、组成及工作原理、安全管理的相关技术及规划，能利用Packet Tracer及GNS3加固路由网络及利用Packet Tracer部署无线网络。讨论、思考题、作业(含实训作业)1.参照任务4-1和4-2利用packet tracer和GNS模拟软件加固A企业长春总部的路由网络。2.参照任务4-1和4-2利用packet tracer和GNS模拟软件加固A企业上海分公司的路由网络。授课教师： 年 月 日教学过程：引入新课：交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。交换机

4、的安全性能已经成为网络建设必须考虑的重中之重。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范。技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。讲授新课：一、项目背景A企业是一个跨地区的大型企业，它由A企业长春总部、A企业上海分公司、A企业北京办事处组成，A企业三个分部处于不同城市，具有各自的内部网络，并且都已经连接到互联网中。小张作为A企业北京办事处网络管理人员，时常会遇到某些局域网用户对企业路由器进行非法登录、篡改配置、用户在上班时间上网或QQ聊天及非法用户访问特殊用户等情形。请从路由器械安全管理的

5、角度来分析一下，产生上述情况的原因及解决措施。二、路由器概述1路由器的主要作用（1）隔离广播路由器用来连接不同网段，各个子网间的广播不会被路由器转发到其他网段，这样可以隔离广播，避免广播风暴。（2）网间互连路由器属于第 3 层设备。它执行下层设备的所有任务，并且根据第 3 层信息选择抵达目的地的最佳路线。路由器是用于连接不同网络的主要设备，通常用于WAN与LAN两种连接。路由器上的每个端口都连接到一个不同的网络，并且在网络之间路由数据包。2路由器的工作原理路由器的主要作用是转发数据包，将每一个IP数据包由一个端口转发到另一个端口。转发行为既可以由硬件完成，也可以由软件完成，显然硬件转发的速度要

6、快于软件转发的速度，无论那种转发都根据“转发表”或“路由表”来进行，该表指明了到某一目的地址的数据包将从路由器的某个端口发送出去，并且指定了下一个接收路由器的地址。每一个IP数据包都携带一个目的IP地址，沿途的各个路由器根据该地址到表中寻找对应的路由，如果没有合适的路由，路由器将丢弃该数据包，并向发送改包的主机送一个通知，表明要去的目的地址“不可达”。 3路由器的组成（1）CPU：中央处理单元，是路由器的控制和运算部件。（2）RAM/DRAM：内存是路由器主要的存储部件，用于存储临时的运算结果。如路由表、ARP表、快速交换缓存、当前配置文件等。（3）Flash Memory：可擦除、可编程的R

7、OM，用于存放路由器的IOS，断电后，其内容不会丢失，可存放多个版本IOS。（4）NVRAM：非易失性RAM，用于存放路由器的配置文件，断电后，其内容不会丢失。（5）ROM：只读存储器，存储了路由器的开机诊断程序、引导程序和特殊版本的IOS软件。4路由器和网络层路由器借助目的IP地址转发数据包，路由表决定数据包的路径，从而确定最佳路径。然后IP数据包被封装成数据帧，数据帧通过传输介质以比特流的形式排列输出。三、路由器的基本配置1基本配置方式（1）通过Console口连接，利用运行终端软件的PC机。（2）通过AUX口接MODEM，利用电话线与远方的终端或运行终端仿真软件的PC机。（3）通过TEL

8、NET或SSH连接。（4）通过WEB方式连接。但路由器的第一次设置必须通过第一种方式进行，此时终端的硬件设置如下：波特率：9600，数据位：8，停止位：1，奇偶校验：无。 2基本模式切换（1）router用户模式：是进入路由器后得到的第一个模式，在该模式下可以查看路由器的软件硬件版本信息，并进行简单的配置。在该模式下，可以使用“enable”命令进入特权模式。 （2）router#特权模式：由户模式进入的下一级模式，在该模式下可以对交换机的配置文件进行管理，查看交换机的配置信息。在该模式下，可以使用“config terminal”命令进入特权模式。（3）router（config)#全局配置

9、模式：属于特权模式的下一级模式，在该模式下可以对交换机的全局参数（主机名，登陆信息等）。在全局配置模式下，执行“interface”命令，即可进入端口配置模式。 （4）router（config-if）#端口配置模式：可以对端口的速率工作方式进行配置管理。使用“exit”返回上一级命令模式，使用“end”可以直接返回到特权模式。3常见的错误信息（1）Ambiguous command：command：表示输入的字符不足，致使IOS无法识别该命令。解决的方法是重新输入该命令，后跟问号（？），命令与问号之间不留空格。（2）Imcomplete command：表示未输入必填的全部关键字或参数。解决

10、的方法是重新输入该命令，后跟问号（？），最后一个字符后留一个空格，此时会显示必填的关键字或参数。（3）Invlid input detected at marker：表示命令输入不正确，显示插入标记（）的位置出现了该错误。解决方法是在标记所指的位置重新输入该命令，后跟问号（？），可能还需要删除最后的关键字或参数。4基本配置命令（1）帮助在IOS操作中，无论任何状态和位置，都可以键入“？”得到系统的帮助。（2）显示命令1）show version：查看版本及引导信息。2）show running-config：查看运行设置。3）show startup-config：查看开机设置。4）show

11、interface：显示端口信息。5）show ip router：显示路由信息。（3）拷贝命令使用copy命令，实现IOS及config 的备份和升级。（4）网络命令1）telnet hostname|ip address：登录远程主机。2）ping hostname|ip address：网络侦测，测试是否可达。3）trace hostname|ip address：路由跟踪。（5）保存命令使用write命令，可以对其做的配置进行保存。（6）清除配置直接在特权模式下，使用“earse startup-config”命令，再使用“reload”命令，重启即可清空配置。四、路由器的安全管理1.

12、口令管理下面显示了设置口令的常用命令：（1）Line console 0：为控制台终端建立一个口令（2）Line vty 0：为TELNET连接建立一个口令（3）Enable password：为特权exec模式建立一个口令（4）Enable secret：使用MD5加密方法建立密码口令2.报文过滤在Cisco的路由器上通过报文的过滤实现安全的管理。通过访问控制列表使用包过滤技术，访问控制列表简称为ACL，它可以实现对多种数据流的控制，如限制流入、以及流出等。通过对访问列表的编写，可以实现对特定网络或主机的数据流限制。访问控制列表ACL分很多种，不同场合应用不同种类的ACL。（1）标准访问控制

13、列表标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL。（2）扩展访问控制列表上面我们提到的标准访问控制列表是基于IP地址进行过滤的，是最简单的ACL。那么如果希望将过滤细到端口怎么办呢？或者希望对数据包的目的地址进行过滤。这时候就需要使用扩展访问控制列表了。使用扩展IP访问列表可以有效的容许用户访问物理LAN而并不容许他使用某个特定服务（例如WWW，FTP等）。扩展访问控制列表使用的ACL号为100到199。例如定义如下的访问表来实现允许任何主机到主机22.11.5.8的报文：Accsess-list 101 permit ip any h

14、ost 22.11.5.8而下面的语句允许使用客户源端口（小于1024的端口留给服务器用）方式的主机发往22.11.5.8的udp报文通过，且报文的目的端口必须为dns端口（53）。其中gt为great than。其中的in表示对入站（针对此端口来说）的数据进行过滤。要注意的是，一个端口只能有一个入站和出站的列表，如果有多个，则只有第一个起作用。（3）基于名称的访问控制列表不管是标准访问控制列表还是扩展访问控制列表都有一个弊端，那就是当设置好ACL的规则后发现其中的某条有问题，希望进行修改或删除的话只能将全部ACL信息都删除。也就是说修改一条或删除一条都会影响到整个ACL列表。这一个缺点影响了

15、工作效率，带来了繁重的负担。可以用基于名称的访问控制列表来解决这个问题。（4）基于时间的访问控制列表上面介绍了标准ACL与扩展ACL，实际上掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求，这时还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它。并且，对于名称访问列表都适用。用time-range 命令来指定时间范围的名称，然后用absol

16、ute命令或者一个或多个 periodic命令来具体定义时间范围。IOS命令格式为：time-range time-range-name absolute start time date end time date periodic days-of-the week hh:mm to days-of-the week hh:mm参数含义：time-range：用来定义时间范围的命令。time-range-name：时间范围名称，用来标识时间范围，以便于在后面的访问列表中引用。absolute：该命令用来指定绝对时间范围。它后面紧跟这start和 end两个关键字。在这两个关键字后面的时间要以2

17、4小时制、hh:mm（小时：分钟）表示，日期要按照日/月/年来表示。可以看到，他们两个可以都省略。如果省略start及其后面的时间，那表示与之相联系的permit 或deny语句立即生效，并一直作用到end处的时间为止；若省略如果省略end及其后面的时间，那表示与之相联系的permit 或deny语句在start处表示的时间开始生效，并且永远发生作用，当然把访问列表删除了的话就不会起作用了。（5）访问控制列表流量记录有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的传播方式。方法就是在扩展ACL规则最后加上LOG命令。实现方法：log 192.168.1.100/为路由器指定一个日志服

18、务器地址，该地址为192.168.1.100access-list 101 permit tcp any 10.10.10.10 0.0.0.0 eq www log/在希望监测的扩展ACL最后加上LOG命令，这样就会把满足该条件的信息保存到指定的日志服务器192.168.1.100中。3.禁止服务（1）Cisco发现协议 CDP是一个Cisco专用协议，运行在所有Cisco产品的第二层，用来和其他直接相连的Cisco设备共享基本的设备信息。独立于介质和协议。黑客在勘测攻击中使用CDP信息，这种可能性是比较小的。因为必须在相同的广播域才能查看CDP组播帧。所以，建议在边界路由器上关闭CDP，或

19、至少在连接到公共网络的接口上关闭CDP。缺省情况下是启用的。全局关闭CDP，使用no cdp run命令，关闭之后，应该使用show cdp验证CDP是否已被关闭。（2）TCP和UDP低端口服务TCP和UDP低端口服务是运行在设备上的端口19和更低端口的服务。所有这些服务都已经过时：如日期和时间（daytime，端口13），测试连通性（echo，端口7）和生成字符串（chargen，端口19）。chargen常被用来做为DDoS中放大网路流量之用。下面显示了一个打开的连接，被连接的路由器上打开了chargen服务：Router#telnet 192.168.1.254 chargen。要在路由

20、器上关闭这些服务，使用下面的配置：Router（config）#no service tcp-small-servers及Router（config）#no service udp-small-servers。（3）FingerFinger协议（端口79）允许网络上的用户获得当前正在使用特定路由选择设备的用户列表，显示的信息包括系统中运行的进程、链路号、连接名、闲置时间和终端位置。通过show user命令来提供的。Finger是一个检测登录到一台主机的UNIX程序，而不用亲自登录到设备来查看。下面显示了一个验证finger服务被打开和如何关闭的例子：Router#telnet 192.168

21、.1.254 fingerRouter#connect 192.168.1.254 finger（4）IdentDIP鉴别支持对某个TCP端口身份的查询。能够报告一个发起TCP连接的客户端身份，以及响应该连接的主机的身份。IdentD允许远程设备为了识别目的查询一个TCP端口。是一个不安全的协议，旨在帮助识别一个想要连接的设备。一个设备发送请求到Ident端口（TCP 113），目的设备用其身份信息作为响应，如主机和设备名。如果支持IP鉴别，攻击者就能够连接到主机的一个TCP端口上，发布一个简单的字符串以请求信息，得到一个返回的简单字符串响应。要关闭IdentD服务，使用下面的命令：Route

22、r（config）#no ip identd可以通过Telnet到设备的113端口来进行测试。（5）IP源路由应该在所有的路由器上关闭，包括边界路由器。可以使用下面的命令：Router（config）#no ip source-route执行上述配置后，禁止对带有源路由选项的IP数据包的转发。 （6）FTP和TFTP 路由器可以用作FTP服务器和TFTP服务器，可以将映像从一台路由器复制到另一台。建议不要使用这个功能，因为FTP和TFTP都是不安全的协议。默认地，FTP服务器在路由器上是关闭的，然而，为了安全起见，仍然建议在路由器上执行以下命令：Router（config）#no ftp-se

23、rver write-enable （12.3版本开始）Router（config）#no ftp-server enable可以通过使用一个FTP客户端从PC进行测试，尝试建立到路由器的连接。（7）HTTP测试方法可以使用一个Web浏览器尝试访问路由器。还可以从路由器的命令提示符下，使用下面的命令来进行测试：Router（config）#no ip http serverRouter（config）#no ip http secure-server（8）SNMPSNMP可以用来远程监控和管理Cisco设备。然而，SNMP存在很多安全问题，特别是SNMP v1和v2中。要关闭SNMP服务，需要

24、完成以下三件事：1）从路由器配置中删除默认的团体字符串；2）关闭SNMP陷阱和系统关机特征；3）关闭SNMP服务。要查看是否配置了SNMP命令，执行show running-config命令。下面显示了用来完全关闭SNMP的配置：Router（config）#no snmp-server community public RORouter（config）#no snmp-server community private RW（9）域名解析缺省情况下，Cisco路由器DNS服务会向255.255.255.255广播地址发送名字查询。应该避免使用这个广播地址，因为攻击者可能会借机伪装成一个DNS服

25、务器。如果路由器使用DNS来解析名称，会在配置中看到类似的命令：Router（config）#hostname R1Router（config）#ip domain-name CCZY.COMRouter（config）#ip name-server 202.1.1.1 208.1.1.1Router（config）#ip domain-lookup如果想阻止路由器产生DNS查询，要么配置一个具体的DNS服务器（ip name-server），要么将这些查询作为本地广播（当DNS服务器没有被配置时），使用下面的配置：Router（config）#no ip domain-lookup（10）B

26、ootPBootP是一个UDP服务，可以用来给一台无盘工作站指定地址信息，以及在很多其他情况下，在设备上加载操作系统（用它来访问另一个运行有BOOTP服务的路由器上的IOS拷贝，将IOS下载到BOOTP客户端路由器上）。该协议发送一个本地广播到UDP端口67（和DHCP相同）。要实现这种应用，必须配置一个BootP服务器来指定IP地址信息以及任何被请求的文件。Cisco路由器能作为一台BootP服务器，给请求的设备提供闪存中的文件，因为以下3个原因，应该在路由器闪关闭BootP。1）不再有使用BootP的真正需求；2）BootP没固有的认证机制。任何人都能从路由器请求文件，无论配置了什么，路由

27、器都将作出回复；3）易受DoS攻击。默认地，该服务是启用的。要关闭BootP，使用下面的配置：Router（config）#no ip bootp server（11）DHCPDHCP允许从服务器获取所有的IP地址信息，包括IP地址、子网掩码、域名、DNS服务器地址、WINS服务器地址哈、TFTP服务器地址和其他信息。Cisco路由器既能作为DHCP客户端，也能作为服务器。一般DHCP服务器是默认打开的。使用下面的配置关闭：Router（config）#no service dhcp这阻止路由器成为一台DHCP服务器或者中继代理。（12）配置自动加载Cisco路由器启动时，在出现CLI提示符之

28、前，将经历几个测试阶段、发现Cisco IOS和配置文件。路由器启动时，通常会经过以下5个步骤：1）加载并执行POST,发现ROM,测试硬件组件，如闪存和接口；2）加载并执行引导自举程序；3）引导自举程序发现并加载Cisco IOS映像文件。这些映像文件可以来自闪存、TFTP服务器或者闪存；4）加载了Cisco IOS之后，发现并执行一个配置文件：配置文件储存在NVRAM中，但如果NVRAM是空的，系统配置对话框开始，或者路由器使用TFTP来获取一个配置文件；5）给用户CLI EXEC提示符。要阻止该功能，使用下面的配置：Router（config）#no boot network remot

29、e-url-ftp:加载了IOS映像之后，开始发现一个配置文件。如果在NVRAM中没有配置文件，路由器会使用系统配置对话框来建立配置文件，或使用网路配置选项，使用TFTP广播来发现配置文件。所以，应该使用以下的命令关闭该特性：Router（config）#no service config（13）关闭ARP代理禁止代理ARP传送，使用下面的命令：Router（config）#no ip proxy-arp（14）关闭IP无类别路由选择服务路由器可能会收到一些发往一个没有网络缺省路由的子网的数据包，如果启用了IP无类别服务时，会将这些数据包转发给最有可能路由的超网。要关闭IP无类别路由选择，在全

30、局配置模式下使用no ip classless命令。4.路由认证出于安全的原因，可以通过配置邻居路由认证功能来预防路由器接收到欺骗性的路由更新。在配置了邻居路由认证功能后，两个邻居路由器之间交换路由时，路由器会认证所接收的每个路由更新包的源IP地址。这是通过交换双方都已知的认证密钥来完成的。（1）启用OSPF路由协议的认证使用身份验证时，区域内所有的路由器接口必须使用相同的身份验证方法。为起用身份验证，必须在路由器接口配置模式下，为区域的每个路由器接口配置口令。认证方式命令身份验证area area-id authentication message-digest纯文本身份验证ip ospf

31、authentication-key password消息摘要（md5）身份验证ip ospf message-digest-key keyid md5 key(key,相对的路由器必须有相同的Key)（2）RIP邻居路由认证Cisco RIPv2支持认证、密钥管理、路由汇总、CIDR和VLSM。默认情况下，Cisco IOS软件可以同时接收RIPv1和RIPv2版本消息包，但是仅发送RIPv1版本数据包。你可以要IOS软件仅接收和发送RIPv1或者RIPv2版本消息包。考虑到默认行为，你可以配置一个接口仅发送哪个版本的RIP消息包，你也可以控制一个接口仅接收哪个版本的RIP消息包。但RIPv1版本不支持身份认证。如果你发送和接收RIPv2版本消息包，则你可以在接口上启用RIP身份认证。方法：R1(config)#key chain haha /启用设置密钥链R1(config-keychain)#key 1 R1(config-keychain-key)#key-string xixi /设置密钥字串R1(confi