思科網(wǎng)絡(luò)安全基礎(chǔ)知識(Cisco網(wǎng)絡(luò)設(shè)備訪問安全基礎(chǔ)是什么)
1.Cisco網(wǎng)絡(luò)設(shè)備訪問安全基礎(chǔ)是什么
導(dǎo)讀:本文主要給大家詳細的介紹了對于CISCO路由器網(wǎng)絡(luò)設(shè)備訪問安全的基礎(chǔ)介紹,并且介紹了基本的安全登錄,終端保護,授權(quán)等問題,相信看過此文會對你有所幫助。
編輯特別推薦: 將數(shù)據(jù)中心網(wǎng)絡(luò)“一網(wǎng)打盡” 思科路由器常用配置命令大全 思科統(tǒng)一通信配置方案簡介 為了保護他們的Cisco 網(wǎng)絡(luò),許多管理員開始忙于什么樣的流量可以被允許通過網(wǎng)絡(luò)設(shè)備,怎樣限制郵件路由升級和其他路由器交換的唯一信息。 訪問控制列表(ACLs)通常可以相當(dāng)簡單地解決這些問題。
網(wǎng)絡(luò)設(shè)備的安全對任何聯(lián)網(wǎng)的環(huán)境都很重要,為解決這個問題,Cisco提供了許多可供選擇的方法。 在本文中,我將介紹登錄安全的基本配置。
還將介紹怎樣使用基于用戶的登錄配置來使得基本配置更加安全,證明怎樣監(jiān)視配置活動和對你的路由器的連接。 一旦你明白了這些基本的配置,你可以在其上建立更多的Cisco高級特性。
基本登錄安全配置 Cisco提供的最基本的安全考慮是在設(shè)備訪問和配置過程中使用本地口令。不同的口令可以應(yīng)用于不同的行或者訪問指針。
Cisco設(shè)備中典型的訪問指針是終端行(也稱為虛擬終端行, 或VTYs),控制臺端口,和輔助端口(AUX)。 而且,不同的端口可以建立不同的認證方法。
下面是一個非常簡單的認證配置的例子。 IOS 版本 下面的例子假設(shè)有一個標(biāo)準(zhǔn)的,使用IOS 12。
x版本的類訪問Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345 在此,我已經(jīng)設(shè)置了一個控制臺端口口令并且產(chǎn)生我在配置路由器時需要的口令。
首先我進入控制臺端口的行配置模式,設(shè)置口令并用login來完成。然后我為路由器配置的訪問權(quán)限創(chuàng)建口令。
當(dāng)需要保護本地控制臺對路由器的訪問時,應(yīng)該從這里開始。 口令加密 需要注意的是在這個配置過程中,口令是純文本的。
從安全的角度看這不是一個好思想。 然而,你可以把這些口令加密,這樣訪問路由器的其他人就不能看到這些口令。
執(zhí)行下面的命令: Router (config)# service password-encryption 口令加密服務(wù)將加密所有現(xiàn)存的和在以后配置的口令。我強烈推薦在你的Cisco網(wǎng)絡(luò)設(shè)備配置中使用這項服務(wù)。
口令種類 有效口令包括兩個種類:標(biāo)準(zhǔn)有效口令和有效密碼(enable secret)。由于使用了強加密手段,所以有效密碼比有效口令更安全。
配置有效密碼之后,它將替代有效口令。下面的例子說明了有效密碼的設(shè)置: Router (config)# enable secret abc123 如果你在執(zhí)行了這一步后查看路由器配置,你將看到有效密碼口令自動被加密了,無論是否開啟了口令加密服務(wù)。
設(shè)置通話超時時間 另一件有關(guān)訪問的事就是考慮通話超時。作為一個更高層的安全性,你可以設(shè)置在一段靜止?fàn)顟B(tài)后斷開對話連接。
如果你離開終端一段時間,需要關(guān)閉一個配置對話,這是個便利的工具。默認的超時時間是十分鐘。
如果想設(shè)置通話超時,試一下下面的命令: Router (config)# line console 0 Router (config-line)# exec-timeout 6 30 如果在六分三十秒鐘內(nèi)沒有輸入,將關(guān)閉這個控制臺對話。 保護終端行 在保護控制臺端口的同時,你也希望保護在網(wǎng)絡(luò)中用來進行Telnet訪問的終端行。
考慮下面關(guān)于Telnet安全的例子: Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login 需要注意的是這和控制臺的配置非常相似。 一個區(qū)別是由于路由器訪問有不止一個VTY行,所以在VTY關(guān)鍵字后面有兩個數(shù)字。
在許多Cisco路由器上默認的行數(shù)為五行。在這里,我們?yōu)樗薪K端(VTY)行設(shè)置一個口令。
我可以在某個范圍指定實際的終端或VTY行號。你經(jīng)常看到的語法是vty 0 4,這樣可以包括所有五個終端訪問行。
從理論上來說,你可以對不同的VTY行或范圍建立不同的口令。如果需要的話,你可以擴展可用的VTY行數(shù)以容納更多的用戶。
但這個方法也有限制。首先,一般建議限制對典型的網(wǎng)絡(luò)設(shè)備同時進行訪問。
所以在這個例子中,擴展VTY的輸入行數(shù)并不是很好的選擇。如果只是限制Telnet協(xié)議對VTY的訪問,可以使用下列命令: Router (config) # line vty 0 4 Router (config-line) # transport input telnet 在這里,我已經(jīng)指定所有終端行都可以使用Telnet。
為了進一步限制源地址的路由器訪問,我可以在行配置模式配合類訪問命令使用一個訪問列表。 要保護可以在網(wǎng)絡(luò)中進行路由器訪問的虛擬終端行,還有好多事情要做。
SSH vs。 Telnet SSH對比Telnet 如果你非常偏愛使用Telnet來登錄你的路由器,可以選擇使用SSH。
為了使你的路由器能夠使用SSH,運行下列命令: Router (config) # line vty 0 3 Router (config-line) # transport input ssh 而且,我們對基本網(wǎng)絡(luò)設(shè)備登錄有一個相當(dāng)可靠的基礎(chǔ)。 我們將考慮的下一個安全登錄形式是基于用戶的登錄。
基于用戶的登錄 一個基于特定用戶信任關(guān)系的登錄進程有助于保證配置改變的責(zé)任,這在那些擁有許多需要手工操作的路由器和交換機的大型網(wǎng)絡(luò)環(huán)境中顯得尤為重要。一旦你執(zhí)行了這個類型的認證,路由器將記錄是誰在何時訪問路由器并修改了配置。
2.報班學(xué)CCNA所謂的網(wǎng)絡(luò)基礎(chǔ)知識是啥
ccna是屬于cisco認證體系中的的路由交換系列。
路由和交換:這條途徑適用于那些在采用了LAN和WAN路由器和交換機的環(huán)境中,安裝和支持基于思科技術(shù)的網(wǎng)絡(luò)的專業(yè)人士。CCNA認證(思科認證網(wǎng)絡(luò)工程師)表示具備基本的和初步的網(wǎng)絡(luò)知識。
擁有CCNA認證的專業(yè)人士可以為小型網(wǎng)絡(luò)(不超過100個節(jié)點)安裝、配置和操作LAN、WAN和撥號接八服務(wù)。其中包括單步僅限于下列協(xié)議:IP、IGRP、串行、幀中繼、IP RIP、VLAN、RIP、以太網(wǎng)和訪問列表。
結(jié)合樓主的問題,第一培訓(xùn)班應(yīng)該是能聽得懂的,如果聽不懂這個培訓(xùn)班也開不下去。第二,對工作的幫助,在上面我已經(jīng)有寫出ccna能具備的能力。
你可以考慮一次學(xué)到ccnp再工作,也可以考慮直接就去工作后期再有公司出資培訓(xùn)。第三,樓下有人講這個認證已經(jīng)很多了,確實是這樣,所以你也可以考慮學(xué)完ccna的之后走安全方向。
網(wǎng)絡(luò)安全:這條途徑針對的是負責(zé)設(shè)計和實施思科安全網(wǎng)絡(luò)的網(wǎng)絡(luò)人士。不過安全要基于ccna之上。
3.學(xué)網(wǎng)絡(luò)安全的基本知識有哪些
網(wǎng)絡(luò)安全基本知識 什么是網(wǎng)絡(luò)安全? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)可以連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不被中斷。
什么是計算機病毒? 計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。 什么是木馬? 木馬是一種帶有惡意性質(zhì)的遠程控制軟件。
木馬一般分為客戶端和服務(wù)器端。客戶端就是本地使用的各種命令的控制臺,服務(wù)器端則是要給別人運行,只有運行過服務(wù)器端的計算機才能夠完全受控。
木馬不會象病毒那樣去感染文件。 什么是防火墻?它是如何確保網(wǎng)絡(luò)安全的? 使用功能防火墻是一種確保網(wǎng)絡(luò)安全的方法。
防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的惟一出入口,能根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡(luò)的信息流,且本身具有較強的抗攻擊能力。
它是提供信息安全服務(wù)、實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。 什么是后門?為什么會存在后門? 后門是指一種繞過安全性控制而獲取對程序或系統(tǒng)訪問權(quán)的方法。
在軟件的開發(fā)階段,程序員常會在軟件內(nèi)創(chuàng)建后門以便可以修改程序中的缺陷。如果后門被其他人知道,或者在發(fā)布軟件之前沒有刪除,那么它就成了安全隱患。
什么叫入侵檢測? 入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息,并分析這些信息,檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。
什么叫數(shù)據(jù)包監(jiān)測?它有什么作用? 數(shù)據(jù)包監(jiān)測可以被認為是一根竊聽電話線在計算機網(wǎng)絡(luò)中的等價物。當(dāng)某人在“監(jiān)聽”網(wǎng)絡(luò)時,他們實際上是在閱讀和解釋網(wǎng)絡(luò)上傳送的數(shù)據(jù)包。
如果你需要在互聯(lián)網(wǎng)上通過計算機發(fā)送一封電子郵件或請求一個網(wǎng)頁,這些傳輸信息時經(jīng)過的計算機都能夠看到你發(fā)送的數(shù)據(jù),而數(shù)據(jù)包監(jiān)測工具就允許某人截獲數(shù)據(jù)并且查看它。 什么是NIDS? NIDS是網(wǎng)絡(luò)入侵檢測系統(tǒng)的縮寫,主要用于檢測HACKER和CRACKER通過網(wǎng)絡(luò)進行的入侵行為。
NIDS的運行方式有兩種,一種是在目標(biāo)主機上運行以監(jiān)測其本身的通信信息,另一種是在一臺單獨的機器上運行以監(jiān)測所有網(wǎng)絡(luò)設(shè)備的通信信息,比如HUB、路由器。 什么叫SYN包? TCP連接的第一個包,非常小的一種數(shù)據(jù)包。
SYN攻擊包括大量此類的包,由于這些包看上去來自實際不存在的站點,因此無法有效進行處理。 加密技術(shù)是指什么? 加密技術(shù)是最常用的安全保密手段,利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)。
加密技術(shù)包括兩個元素:算法和密鑰。算法是將普通的信息或者可以理解的信息與一串?dāng)?shù)字(密鑰)結(jié)合,產(chǎn)生不可理解的密文的步驟,密鑰是用來對數(shù)據(jù)進行編碼和解密的一種算法。
在安全保密中,可通過適當(dāng)?shù)拿荑€加密技術(shù)和管理機制來保證網(wǎng)絡(luò)的信息通信安全。 什么叫蠕蟲病毒? 蠕蟲病毒源自一種在網(wǎng)絡(luò)上傳播的病毒。
1988年,22歲的康奈爾大學(xué)研究生羅伯特.莫里斯通過網(wǎng)絡(luò)發(fā)送了一種專為攻擊UNIX系統(tǒng)缺陷、名為“蠕蟲”的病毒,蠕蟲造成了6000個系統(tǒng)癱瘓,估計損失為200萬到6000萬美圓。由于這只蠕蟲的誕生,在網(wǎng)上還專門成立了計算機應(yīng)急小組。
現(xiàn)在蠕蟲病毒家族已經(jīng)壯大到成千上萬種,并且這千萬種蠕蟲病毒大都出自黑客之手。 什么是操作系統(tǒng)病毒? 這種病毒會用它自己的程序加入操作系統(tǒng)進行工作,具有很強的破壞力,會導(dǎo)致整個系統(tǒng)癱瘓。
并且由于感染了操作系統(tǒng),這種病毒在運行時,會用自己的程序片段取代操作系統(tǒng)的合法程序模塊。根據(jù)病毒自身的特點和被替代的操作系統(tǒng)中合法程序模塊在操作系統(tǒng)中運行的地位與作用,以及病毒取代操作系統(tǒng)的取代方式等,對操作系統(tǒng)進行破壞。
同時,這種病毒對系統(tǒng)中文件的感染性也很強。 莫里斯蠕蟲是指什么? 它的編寫者是美國康奈爾大學(xué)一年級研究生羅伯特.莫里斯。
這個程序只有99行,利用UNIX系統(tǒng)的缺點,用finger命令查聯(lián)機用戶名單,然后破譯用戶口令,用MAIL系統(tǒng)復(fù)制、傳播本身的源程序,再編譯生成代碼。 最初的網(wǎng)絡(luò)蠕蟲設(shè)計目的是當(dāng)網(wǎng)絡(luò)空閑時,程序就在計算機間“游蕩”而不帶來任何損害。
當(dāng)有機器負荷過重時,該程序可以從空閑計算機“借取資源”而達到網(wǎng)絡(luò)的負載平衡。而莫里斯蠕蟲不是“借取資源”,而是“耗盡所有資源”。
什么是DDoS? DDoS也就是分布式拒絕服務(wù)攻擊。它使用與普通的拒絕服務(wù)攻擊同樣的方法,但是發(fā)起攻擊的源是多個。
通常攻擊者使用下載的工具滲透無保護的主機,當(dāng)獲取該主機的適當(dāng)?shù)脑L問權(quán)限后,攻擊者在主機中安裝軟件的服務(wù)或進程(以下簡稱代理)。這些代理保持睡眠狀態(tài),直到從它們的主控端得到指令,對指定的目標(biāo)發(fā)起拒絕服務(wù)攻擊。
隨著危害力極強的黑客工具的廣泛傳播使用,分布式拒絕。
4.學(xué)習(xí)網(wǎng)絡(luò)安全需要哪些基礎(chǔ)知識
學(xué)習(xí)網(wǎng)絡(luò)安全需要具備的知識:
(1)熟悉計算機系統(tǒng)的基礎(chǔ)知識;
(2)熟悉網(wǎng)絡(luò)操作系統(tǒng)的基礎(chǔ)知識;
(3)理解計算機應(yīng)用系統(tǒng)的設(shè)計和開發(fā)方法;
(4)熟悉數(shù)據(jù)通信的基礎(chǔ)知識;
(5)熟悉系統(tǒng)安全和數(shù)據(jù)安全的基礎(chǔ)知識;
(6)掌握網(wǎng)絡(luò)安全的基本技術(shù)和主要的安全協(xié)議與安全系統(tǒng);
(7)掌握計算機網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)協(xié)議的基本原理;
(8)掌握計算機網(wǎng)絡(luò)有關(guān)的標(biāo)準(zhǔn)化知識。
拓展資料:
學(xué)習(xí)安全網(wǎng)絡(luò)還需要掌握局域網(wǎng)組網(wǎng)技術(shù),理解城域網(wǎng)和廣域網(wǎng)基本技術(shù);掌握計算機網(wǎng)絡(luò)互聯(lián)技術(shù);掌握TCP/IP協(xié)議網(wǎng)絡(luò)的聯(lián)網(wǎng)方法和網(wǎng)絡(luò)應(yīng)用服務(wù)技術(shù),理解接入網(wǎng)與接入技術(shù);
掌握網(wǎng)絡(luò)管理的基本原理和操作方法;熟悉網(wǎng)絡(luò)系統(tǒng)的性能測試和優(yōu)化技術(shù),以及可靠性設(shè)計技術(shù);理解網(wǎng)絡(luò)應(yīng)用的基本原理和技術(shù),理解網(wǎng)絡(luò)新技術(shù)及其發(fā)展趨勢。
網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)可以連續(xù)可靠正常地運行,網(wǎng)絡(luò)服務(wù)不被中斷。
5.CCNA基礎(chǔ)知識
CCNA認證簡介
CCNA認證標(biāo)志著 具備安裝、配置、運行中型路由和交換網(wǎng)絡(luò),并進行故障排除的能力。獲得CCNA認證的專業(yè)人士擁有相應(yīng)的知識和技能,能夠通過廣域網(wǎng)與遠程站點建立連接,消除基本的安全威脅,了解無線網(wǎng)絡(luò)接入的要求。CCNA培訓(xùn)包括(但不限于)以下這些協(xié)議的使用:IP、EIGRP、串行線路接口協(xié)議、幀中繼、RIPv2、VLAN、以太網(wǎng)和訪問控制列表(ACL)。
CCNA認證必備條件
沒有必需的要求,建議具備基本的計算機基礎(chǔ)知識。
CCNA認證考試和培訓(xùn)課程
考試號: 640-802 CCNA
培訓(xùn)課程:
互聯(lián)思科網(wǎng)絡(luò)設(shè)備 Part 1 (ICND1) v1.0
互聯(lián)思科網(wǎng)絡(luò)設(shè)備Part 2 (ICND2) v1.0
6.計算機網(wǎng)絡(luò)安全方向應(yīng)該掌握些什么知識
網(wǎng)絡(luò)安全學(xué)習(xí)內(nèi)容
1.防火墻(正確的配置和日常應(yīng)用)
2.系統(tǒng)安全(針對服務(wù)器的安全加固和WEB代碼的安全加固以及各種應(yīng)用服務(wù)器的組建,例如WEB MAIL FTP等等)
3.安全審核(入侵檢測。日志追蹤)
4.軟考網(wǎng)絡(luò)工程師,思科CCNA課程 華為認證等(網(wǎng)絡(luò)基礎(chǔ)知識。局域網(wǎng)常見故障排除和組建)
5.經(jīng)驗積累。
1、了解基本的網(wǎng)絡(luò)和組網(wǎng)以及相關(guān)設(shè)備的使用;
2、windwos的服務(wù)器設(shè)置和網(wǎng)絡(luò)基本配置;
3、學(xué)習(xí)一下基本的html、js、asp、mssql、php、mysql等腳本類的語言
4、多架設(shè)相關(guān)網(wǎng)站,多學(xué)習(xí)網(wǎng)站管理;
5、學(xué)習(xí)linux,了解基本應(yīng)用,系統(tǒng)結(jié)構(gòu),網(wǎng)絡(luò)服務(wù)器配置,基本的shell等;
6、學(xué)習(xí)linux下的iptables、snort等建設(shè);
7、開始學(xué)習(xí)黑客常見的攻擊步驟、方法、思路等,主要可以看一些別人的經(jīng)驗心得;
8、學(xué)習(xí)各種網(wǎng)絡(luò)安全工具的應(yīng)用、掃描、遠控、嗅探、破解、相關(guān)輔助工具等;
9、學(xué)習(xí)常見的系統(tǒng)漏洞和腳本漏洞,根據(jù)自己以前學(xué)習(xí)的情況綜合應(yīng)用;
11、深入學(xué)習(xí)tcp/ip和網(wǎng)絡(luò)協(xié)議等相關(guān)知識;
12、學(xué)習(xí)數(shù)據(jù)分析,進一步的深入;
13、能夠靜下心學(xué)習(xí)好上邊的東西以后自己就會有發(fā)展和學(xué)習(xí)的方向了。這些都是基礎(chǔ)東西,還沒有涉及到系統(tǒng)內(nèi)部結(jié)構(gòu)、網(wǎng)絡(luò)編程、漏洞研發(fā)等。。。學(xué)習(xí)東西不要浮躁!
7.網(wǎng)絡(luò)常識中Cisco路由怎樣進行安全配置
很多網(wǎng)絡(luò)管理員在剛開始使用思科路由器時都會忽略安全設(shè)置,本文介紹的內(nèi)容非常適合此類應(yīng)用者在使用思科路由器時對網(wǎng)絡(luò)安全進行配置。
一.路由器訪問控制的安全配置 1.嚴格控制可以訪問路由器的管理員。任何一次維護都需要記錄備案。
2.建議不要遠程訪問路由器。 即使需要遠程訪問路由器,建議使用訪問控制列表和高強度的密碼控制。
3.嚴格控制CON端口的訪問。具體的措施有:A.如果可以開機箱的,則可以切斷與CON口互聯(lián)的物理線路。
B.可以改變默認的連接屬性,例如修改波特率(默認是96000,可以改為其他的)。 C.配合使用訪問控制列表控制對CON口的訪問。
如:Router(Config)#Access-list 1 permit 192。168。
0。1Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#endD.給CON口設(shè)置高強度的密碼。
4.如果不使用AUX端口,則禁止這個端口。默認是未被啟用。
禁止如:Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec5.建議采用權(quán)限分級策略。 如:Router(Config)# Router(Config)# Router(Config)#-list6.為特權(quán)模式的進入設(shè)置強壯的密碼。
不要采用enable password設(shè)置密碼。而要采用enable secret命令設(shè)置。
并且要啟用Service password-encryption。 7.控制對VTY的訪問。
如果不需要遠程訪問則禁止它。如果需要則一定要設(shè)置強壯的密碼。
由于VTY在網(wǎng)絡(luò)的傳輸過程中為加密,所以需要對其進行嚴格的控制。如:設(shè)置強壯的密碼;控制連接的并發(fā)數(shù)目;采用訪問列表嚴格控制訪問的地址;可以采用AAA設(shè)置用戶的訪問控制等。
8.IOS的升級和備份,以及配置文件的備份建議使用FTP代替TFTP。 如:Router(Config)#ipftpusernameBluShin Router(Config)# Router#copystartup-configftp:9.及時的升級和修補IOS軟件。
