something about cisco security (基本安全)
这学期开始,学习cisco的 security 系列的内容,以一个拥有多年安全技术的厂商作为学习方向,我觉得应该能更加了解当今网络世界的安全规范。
看了一遍CCSP,看了一大半的CCIE security,转而看了视频,
其中安全侧主要是包含设备安全,例如交换机安全,路由器安全,以及pc设备安全,涉及到协议方面主要是高协议监控。
交换安全 主要分为以下:
“听着吴青峰的 喜欢寂寞。”
端口安全,mac地址欺骗,802.1x认证。
访问安全,禁用telnet,使用SSH,开放访问VTY 0 4 预留其他资源。
禁止使用 CDP,思科邻居协议,能描述设备相关内容。
生成树***,包括root 网桥保护,BPDU报文***。
应该使用snmpv3,具备组团体认证。
以及交换机端口分析。 span
还有基于二层协议的acl。端口acl,路由器acl vlanacl
路由器安全的设计就比较广,因为涉及的三层以上若干功能:
1 控制台端口(物理方面),控制vty(使用ssh)
2 拒绝使用明文、7类密码(7类密码),应该使用五类密码 加密
3 禁止CDP
4 tcp小型服务器,udp小型服务器
5 FINGER
6 HTTP
7 bootp服务器
8 ip源路由选择(令牌环网的全网络的源路由选择)
9 代理arp
10 ip直接广播(广播类型分为4种,你知道么?包括全网广播,本地广播等)
11 无类路由行为
12 icmp部分功能
13 NTP 时间同步(这个问题应该具体情况具体分析,个人认为服务器的时间高同步没啥作用)
14 DNS分析。
涉及到边界模块,及与外网链接
应该分为两类: 入站流量检查,出站流量检查
总体而言应该有几个方向:
NAT(合理利用ip地址,并加密内部地址)
ACL
路由协议验证与更新过滤
流量过滤
icmp过滤等
入站:
过滤内部地址为源地址的数据包
过滤部分rfc规定的为地址源的
过滤bootp,tftp等
tcp应该由内部主动发起
入站应该是访问DMZ(在思科安全构成中,含有外界需要访问的服务,例如 HTTP服务器,FTP服务器,是不安全,应该与内网设备隔离,划为 DMZ区域)
出战:
允许内部网络数据报文访问
过滤任何网络不允许的
禁用使用的服务端口或者允许某些服务与端口(ps什么qq啥的弱爆了。完全可以简单干掉你)
其他: 报告不安全行为,记录为log,上报网管系统等。
页:
[1]