something about cisco security （基本安全）

skypaladin

　　这学期开始，学习cisco的 security 系列的内容，以一个拥有多年安全技术的厂商作为学习方向，我觉得应该能更加了解当今网络世界的安全规范。
　　看了一遍CCSP，看了一大半的CCIE security，转而看了视频，
　　其中安全侧主要是包含设备安全，例如交换机安全，路由器安全，以及pc设备安全，涉及到协议方面主要是高协议监控。
　　交换安全 主要分为以下：
　　“听着吴青峰的 喜欢寂寞。”
　　端口安全，mac地址欺骗，802.1x认证。
　　访问安全，禁用telnet，使用SSH，开放访问VTY 0 4 预留其他资源。
　　禁止使用 CDP，思科邻居协议，能描述设备相关内容。
　　生成树***，包括root 网桥保护，BPDU报文***。
　　应该使用snmpv3，具备组团体认证。
　　以及交换机端口分析。 span
　　还有基于二层协议的acl。端口acl，路由器acl vlanacl
　　路由器安全的设计就比较广，因为涉及的三层以上若干功能：
　　1 控制台端口（物理方面），控制vty（使用ssh）
　　2 拒绝使用明文、7类密码（7类密码），应该使用五类密码 加密
　　3 禁止CDP
　　4 tcp小型服务器，udp小型服务器
　　5 FINGER
　　6 HTTP
　　7 bootp服务器
　　8 ip源路由选择（令牌环网的全网络的源路由选择）
　　9 代理arp
　　10 ip直接广播（广播类型分为4种，你知道么？包括全网广播，本地广播等）
　　11 无类路由行为
　　12 icmp部分功能
　　13 NTP 时间同步（这个问题应该具体情况具体分析，个人认为服务器的时间高同步没啥作用）
　　14 DNS分析。
　　涉及到边界模块，及与外网链接
　　应该分为两类： 入站流量检查，出站流量检查
　　总体而言应该有几个方向：
　　NAT（合理利用ip地址，并加密内部地址）
　　ACL
　　路由协议验证与更新过滤
　　流量过滤
　　icmp过滤等
　　入站：
　　过滤内部地址为源地址的数据包
　　过滤部分rfc规定的为地址源的
　　过滤bootp，tftp等
　　tcp应该由内部主动发起
　　入站应该是访问DMZ(在思科安全构成中，含有外界需要访问的服务，例如 HTTP服务器，FTP服务器，是不安全，应该与内网设备隔离，划为 DMZ区域)
　　出战：
　　允许内部网络数据报文访问
　　过滤任何网络不允许的
　　禁用使用的服务端口或者允许某些服务与端口（ps什么qq啥的弱爆了。完全可以简单干掉你）
　　其他： 报告不安全行为，记录为log，上报网管系统等。