资源描述
实 验 报 告
课程名称: 网络安全与管理系统设计与架构
学 院: 信息科学与工程学院
专 业: 网络工程13 班 级: 2013级
姓 名: 林靖皓 学 号: 201301051616
2016年 7 月 3 日
山 东 科 技 大 学 教 务 处 制
实 验 报 告
组别
16
姓名
林靖皓
同组实验者
实验项目名称
实验一SSL实验
实验日期
第8周周二7,8节
教师评语
实验成绩
指导教师
廉文娟
一、 实验目的
了解SSL是Netscape公司发明的一种用于WEB的安全传输协议。 随着时间的推移由于Netscape失去了市场份额,它将SSL的维护工作移交给因特网工程任务组(IETF)。第一个后Netscape版本被重新命名为安全传输层协议(TLS), TLS (Transport Layer Security :RFC 2246)是基于SSL上研发的,但是与SSLv3.0有细微的差别。
二、实验环境
Windows下SSL VPN的网络拓扑如图3.3.3-1所示,其中: 客户端:本地主机(Windows XP),IP地址172.22.1.X
服务端:Windows实验台VPN服务器,IP地址:172.22.X.X/16,内网IP为172.20.X.X/16
二、实验步骤
一、 根据实验拓扑配置环境
根据实验环境中的拓扑图,配置服务器(Windows实验台)与客户端(本地主机)的IP地址。
二、 安装与配置
这一部分是服务端跟客户端都要做的工作,操作完全相同。具体如下:
双击 openvpn-2.0.9.exe进行安装,点击NEXT、I Agree、NEXT之后开始选择安装路径,手动修改为C:\Program Files\OpenVPN 。点击 Install 开始安装,安装过程如图3.3.3-2所示;安装过程中,弹出硬件安装窗口,点击仍然继续,安装虚拟网卡。点击 next、Finish 完成安装。
三、 VPN服务器初始化配置
在进行操作之前,首先进行初始化工作:
打开命令提示符:“开始|运行”,键入cmd,回车,进入命令提示符;或者“开始|程序|附件|命令提示符”;
进入C:\Program Files\openvpn\easy-rsa目录下,开始初始化,具体命令如下:
cd C:\Program Files\openvpn\easy-rsa init-config vars clean-all 如下图:
上面是初始化工作,以后,在进行证书制作工作时,仍旧需要进行初始化,但只需要进入openvpn\easy-rsa目录,运行vars就可以了,不需要上面那些步骤了。
四、 服务器证书的制作 (1) 生成根证书
输入build-ca.bat,如图所示;
输入build-dh.bat,如图所示。
(2) 生成服务端密钥
输入build-key-server server,生成服务端密钥;生成服务端密钥的过程中,所填写的common name需要与build-ca中所输入的common name名称一致,其余的摁空格选择默认或手动输入皆可;具体如图所示。
(3) 生成客户端密钥
输入build-key client1生成第一个VPN客户端密钥,如图所示;
build-key client2 //可以继续配置第二个VPN客户端密钥; 生成的密钥存放于C:\Program Files\openvpn\easy\rsa\keys目录下。
五、 配置服务器
在C:\Program Files\OpenVPN\easy-rsa\keys目录下,将生成的“ca.crt”、“dh1024.pem”、“server.crt”、“server.key”复制到C:\Program Files\OPENVPN\KEY目录下(如果没有可以自己创建),这四个文件是VPN服务端运行所需要的文件。
注:“ca.crt”“dh1024.pem”“server.crt”“server.key”这四个文件是VPN服务端运行所需要的文件。“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件
在C:\Program Files\OpenVPN\config目录下创建server.ovpn,服务器端文件(server.ovpn)示例:
local 172.22.1.X #建立VPN的IP
port 443 #端口号,根据需要,自行修改,如果是用http代理连接,请不要修改 proto tcp-server #通过TCP协议连接 dev tap #win下必须设为tap
server 172.20.0.0 255.255.0.0 # 虚拟局域网网段设置,请根据需要自行修改,不支持和拔号网卡位于同一网段
push "route 0.0.0.0 0.0.0.0" #表示client通过VPN SERVER上网 keepalive 20 180
ca "C:\\Program Files\\OPENVPN\\KEY\\ca.crt" #CA证书存放位置,请根据实际情况自行修改
cert "C:\\Program Files\\OPENVPN\\KEY\\server.crt" #服务器证书存放位置,请根据实际情况自行修改
key "C:\\Program Files\\OPENVPN\\KEY\\server.key" #服务器密钥存放位置,请根据实际情况自行修改
dh "C:\\Program Files\\OPENVPN\\KEY\\dh1024.pem" #dh1024.pem存放位置,请根据实际情况自行修改
push "redirect-gateway def1"
push "dhcp-option DNS 219.141.140.10" #DNS,请根据实际情况自行修改 mode server tls-server
status "C:\\Program Files\\OPENVPN\\log\\openvpn-status.log" #LOG记录文件存放位置,请根据实际情况自行修改
comp-lzo verb 4
六、 配置客户端
“ca.crt”“client.crt”“client.key”是VPN客户端所需要的文件,复制到客户端C:\Program Files\OPENVPN\KEY目录下(如果没有可以自己创建)。
在客户端安装完成之后,需要将 ca.crt client1.crt client1.key 这三个文件拷贝到C:\Program Files\openvpn\key目录下,这三个文件由服务端生成,所以,连接谁的服务器,就需要跟谁索取这三个文件。
然后,编辑一个 client.ovpn的配置文件存放到C:\Program Files\openvpn\config目录下,客户端就可以进行连接了;客户端文件(client.ovpn)示例:
七、 VPN服务端命令行启动:
Openvpn.exe "C:\Program Files\OpenVPN\config\server.ovpn" //启动VPN到443端口 八、 VPN客户端命令行连接:
Openvpn.exe "C:\Program Files\OpenVPN\config\client.ovpn" 九、 VPN安全性验证
上面的配置拔号成功后,VPN SERVER的IP为172.20.1.Y,VPN client的IP为172.20.1.Y。
(1) 在VPN client上ping VPN SERVER;
(2) 分别抓取真实网卡与虚拟网卡的数据包作对比。 具体结果如下:
(1) 真实网卡:抓取的为加密ssl数据包(图3.3.3-8为实际环境举例) 。
三、 实验总结
需要多练多问多百度
实 验 报 告
组别
16
姓名
林靖皓
同组实验者
实验项目名称
实验二 Linux防火墙
实验日期
第9周周二7,8节
教师评语
实验成绩
指导教师
廉文娟
一、实验目的
1、了解防火墙的主要类型
2、了解和用CLI配置 CBAC (IOS 有状态的包检查)
3、了解和用CLI和SDM配置区域(Zone-Based)策略防火墙
二、实验环境
1 网络中包括两个子网A和B。子网A的网络地址为192.168.1.0/24网关为hostA。HostA
有两个接口eth0和eth1。Eth0连接子网AIP地址为192.168.1.1。eth1连接外部网络
Ip地址为10.0.0.11。子网B的网络地址为192.168.10.0/24网关为hostB。HostB有两个
网络接口eth0和eth1。eth0连接子网B,IP地址为192.168.10.1。eth1连接外部网络IP
地址为10.0.0.101。hostA和HostB构成子网C,网络地址是10.0.0.0/24通过集线器连接
到hostC然后通过hostC连接Internet。HostC的内部网络接口为eth0IP地址为10.0.0.1。
2 在hostA、hostB和hostC上都已经安装好Linux系统并且在hostC上已经设置好了
Squid代理服务器。
三、 实验内容
开始配置
(1)查看本机关于IPTABLES的设置情况
[root@tp ~]# iptables -L -n
可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口.
如果你在安装linux时没有选择启动防火墙,是这样的
[root@tp ~]# iptables -L -n
(2)清除原有规则.
不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则.
[root@tp ~]# iptables -F 清除预设表filter中的所有规则链的规则
[root@tp ~]# iptables -X 清除预设表filter中使用者自定链中的规则
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了.写入后记得把防火墙重起一下,才能起作用.
[root@tp ~]# service iptables restart
现在IPTABLES配置表里什么配置都没有了,那我们开始我们的配置吧
(3)设定预设规则
[root@tp ~]# iptables -p INPUT DROP
[root@tp ~]# iptables -p OUTPUT ACCEPT
[root@tp ~]# iptables -p FORWARD DROP
上面的意思是,当超出了IPTABLES里filter表里的两个链规则(INPUT,FORWARD)时,不在这两个规则里的数据包怎么处理呢,那就是DROP(放弃).应该说这样配置是很安全的.我们要控制流入数据包
而对于OUTPUT链,也就是流出的包我们不用做太多限制,而是采取ACCEPT,也就是说,不在着个规则里的包怎么办呢,那就是通过.
可以看出INPUT,FORWARD两个链采用的是允许什么包通过,而OUTPUT链采用的是不允许什么包通过.
(4)添加规则.
首先添加INPUT链,INPUT链的默认规则是DROP,所以我们就写需要ACCETP(通过)的链
为了能采用远程SSH登陆,我们要开启22端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT (注:这个规则,如果你把OUTPUT 设置成DROP的就要写上这一部,好多人都是望了写这一部规则导致,始终无法SSH.在远程一下,是不是好了.
其他的端口也一样,如果开启了web服务器,OUTPUT设置成DROP的话,同样也要添加一条链:
[root@tp ~]# iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT ,其他同理.)
如果做了WEB服务器,开启80端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT
如果做了邮件服务器,开启25,110端口.
[root@tp ~]# iptables -A INPUT -p tcp --dport 110 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 25 -j ACCEPT
如果做了FTP服务器,开启21端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 21 -j ACCEPT
[root@tp ~]# iptables -A INPUT -p tcp --dport 20 -j ACCEPT
如果做了DNS服务器,开启53端口
[root@tp ~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT
如果你还做了其他的服务器,需要开启哪个端口,照写就行了.
二,配置一个NAT表放火墙
1,查看本机关于NAT的设置情况
[root@tp rc.d]# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 anywhere to:211.101.46.235
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
我的NAT已经配置好了的(只是提供最简单的代理上网功能,还没有添加防火墙规则).关于怎么配置NAT,参考我的另一篇文章
当然你如果还没有配置NAT的话,你也不用清除规则,因为NAT在默认情况下是什么都没有的
如果你想清除,命令是
[root@tp ~]# iptables -F -t nat
[root@tp ~]# iptables -X -t nat
[root@tp ~]# iptables -Z -t nat
2,添加规则
添加基本的NAT地址转换,(关于如何配置NAT可以看我的另一篇文章),
添加规则,我们只添加DROP链.因为默认链全是ACCEPT.
防止外网用内网IP欺骗
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 10.0.0.0/8 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 172.16.0.0/12 -j DROP
[root@tp sysconfig]# iptables -t nat -A PREROUTING -i eth0 -s 192.168.0.0/16 -j DROP
如果我们想,比如阻止MSN,QQ,BT等的话,需要找到它们所用的端口或者IP,(个人认为没有太大必要)
例:
禁止与211.101.46.253的所有连接
[root@tp ~]# iptables -t nat -A PREROUTING -d 211.101.46.253 -j DROP
禁用FTP(21)端口
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -j DROP
这样写范围太大了,我们可以更精确的定义.
[root@tp ~]# iptables -t nat -A PREROUTING -p tcp --dport 21 -d 211.101.46.253 -j DROP
这样只禁用211.101.46.253地址的FTP连接,其他连接还可以.如web(80端口)连接.
按照我写的,你只要找到QQ,MSN等其他软件的IP地址,和端口,以及基于什么协议,只要照着写就行了.
最后:
drop非法连接
[root@tp ~]# iptables -A INPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables -A OUTPUT -m state --state INVALID -j DROP
[root@tp ~]# iptables-A FORWARD -m state --state INVALID -j DROP
允许所有已经建立的和相关的连接
[root@tp ~]# iptables-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# iptables-A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@tp ~]# /etc/rc.d/init.d/iptables save
这样就可以写到/etc/sysconfig/iptables文件里了把防火墙重起一下,起作用。
四、 实验总结
通过此次防火墙的实验,模拟进行了简单的防火墙的工作,对防火墙的基本工作原理有了认识,加深了对网络传输协议体系的理解,也学习到了对Linux内核扩展的方法。
实 验 报 告
组别
16
姓名
林靖皓
同组实验者
实验项目名称
实验三思科防火墙配置与入侵检测技术
实验日期
第10周周二7,8节
教师评语
实验成绩
指导教师
廉文娟
一、 实验目的
通过该实验了解PIX防火墙的软硬件组成结构,掌握PIX防火墙的工作模式,熟悉PIX防火墙的6条基本指令,掌握PIX防火墙的动态、静态地址映射技术,掌握PIX防火墙的管道配置,熟悉PIX防火墙在小型局域网中的应用。
二、 实验任务
l 观察PIX防火墙的硬件结构,掌握硬件连线方法 l 查看PIX防火墙的软件信息,掌握软件的配置模式
l 了解PIX防火墙的6条基本指令,实现内网主机访问外网主机
三、 实验设备
PIX501防火墙一台,CISCO 2950交换机两台,控制线一根,网络连接线若干,PC机若干
四、 实验拓扑图及内容
图中DMZ区域没有配置,只是配置了内网R1和外网R4,
外网R4:
R4#conf t
Enter configuration commands, one per line. End with CNTL/Z. R4(config)#int f0/0
R4(config-if)#ip add 192.168.1.2 255.255.255.0
R4(config-if)#no shut
R4(config-if)#exit
*Mar 1 00:02:56.059: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar 1 00:02:57.059: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R4(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.3
R4(config)#
内网R1:
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z. R1(config)#int f0/0
R1(config-if)#ip add 10.1.1.2 255.255.255.0
R1(config-if)#no shut R1(config-if)#
*Mar 1 00:01:32.115: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up *Mar 1 00:01:33.115: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.3
R1(config)#exit
R1#
*Mar 1 00:53:05.287: %SYS-5-CONFIG_I: Configured from console by console
R1#
防火墙上的配置:
pixfirewall# conf t
pixfirewall(config)# hostname pix
pix(config)# pix(config)#
pix(config)# int e0
pix(config-if)# ip add 10.1.1.3 255.255.255.0
pix(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pix(config-if)# no shut
pix(config-if)# exit
pix(config)# int e1
pix(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
pix(config-if)# ip add 192.168.1.3
pix(config-if)# ip add 192.168.1.3 255.255.255.0
pix(config-if)# no shut
pix(config-if)# exit
pix(config)# static (inside,outside) 192.168.1.4 10.1.1.4 netmask 255.255.255.255
pix(config)# access-list 100 permit icmp any any
pix(config)# access-gr
pix(config)# access-group 100 in int
pix(config)# access-group 100 in interface outside
pix(config)# exit pix#
五、实验结果
内网ping外网:
外网ping内网:
五、实验总结:pix防火墙默认情况下,从高安全级别到低安全级别的流量是被允许的,从低安全级别访问高安全级别的流量默认是被禁止的。要使流量可以从低安全级别访问高安全级别,需要使用访问列表。
实 验 报 告
组别
16
姓名
林靖皓
同组实验者
实验项目名称
实验四VPN配置
实验日期
第11周周二7,8节
教师评语
实验成绩
指导教师
廉文娟
一、实验目的:
1) 掌握IKE阶段1和阶段2的协商过程
2) 在cisco路由器上配置IPSec VPN
二、实验步骤:
实验拓扑图:
1)R1配置
en conf t hos r1 int fa0/0
ip ad 100.0.0.1 255.255.255.252 no sh int fa1/0
ip ad 10.0.0.1 255.255.255.0 no sh exit
ip route 0.0.0.0 0.0.0.0 100.0.0.2 //阶段1配置
//交换ISAKMP/IKE传输集
crypto isakmp policy 1
//建立ISAKMP/IKE的管理连接策略
encryption 3des
//指定管理连接的最后两个报文(用于身份验证)采用3des加密算法
hash md5
//指定验证过程采用HMAC(散列消息验证码)功能 group 2
//指定DH密钥组,生成对称的密钥DH算法
authentication pre-share
//指定设备验证的类型为:预共享密钥
lifetime secondes 86400
//配置管理连接的生存周期 exit
//通过DH算法实现密钥交换
crypto isakmp key 6 benet address 200.0.0.1 //阶段2配置
//配置 crypto ACL(定义触发VPN流量的ACL)
access-list 100 permit ip 10.0.0.0 0.0.0.255 11.0.0.0 0.0.0.255 //定义阶段2的传输集
crypto ipsec transform-set r1r2 ah-sha-hmac esp-aes exit
//配置crypto map
crypto map r1r2map 1 ipsec-isakmp match addess 100 set peer 200.0.0.1 set transform-set r1r2 int fa0/0
//将crypto mpa 应用到接口 crypto map r1r2map
2)R2配置
en conf t hos r2 int fa0/0
ip ad 100.0.0.2 255.255.255.252 no sh int fa1/0
ip ad 200.0.0.2 255.255.255.252 no sh exit
3)R3配置
en conf t hos r3 int fa0/0
ip ad 11.0.0.1 255.255.255.0 no sh
int fa1/0
ip ad 200.0.0.1 255.255.255.252 no sh exit
ip route 0.0.0.0 0.0.0.0 200.0.0.2 //阶段1配置
//交换ISAKMP/IKE传输集 crypto isakmp policy 1 encryption 3des hash md5
//设备身份验证
authentication pre-share group 2 exit
//通过DH算法实现密钥交换
crypto isakmp key 6 benet address 100.0.0.1
//阶段2配置
//配置 crypto ACL(定义触发VPN流量的ACL)
access-list 100 permit ip 11.0.0.0 0.0.0.255 10.0.0.0 0.0.0.255 //定义阶段2的传输集
crypto ipsec transfrom-set r2r1 ah-sha-hmac esp-aes
exit
//配置crypto map
crypto map r2r1map 1 ipsec-isakmp
set peer 100.0.0.1
set transform-set r2r1
match address 100
int fa1/0
//将crypto mpa 应用到接口
crypto map r2r1map end
1)验证
1.在R1上采用扩展ping 11.0.0.1 source 10.0.0.1 来触发VPN流量,使用show crypto isakmp policy 查看策略是否匹配!
2.使用show crypto is key 查看密钥是否一至
3.使用show crypto isakmp sa 查看是否建立管理连接,如图所示:已建立管理连接,
4.使用show crypto ipsec sa 查看第二阶段的数据连接是否已建立,如图所示:已建立数据连接,且数据已被加密。
三、 实验总结
由于所选择的VPN的IP地址无效,所以不能通过其正常上网。但是基本上步骤都已明白,并清楚了解配置VPN连接的基本步骤。
实 验 报 告
组别
16
姓名
林靖皓
同组实验者
实验项目名称
实验五保护局域网(二层安全)
实验日期
第12周周二7,8节
教师评语
实验成绩
指导教师
廉文娟
一、实验目的:
AP通过二层交换机和AC相连,使用AP自动上线的方式,并与PC相通。
二、实验内容:
配置思路
(1)配置接入交换机和AC,实现AP和AC互通;
(2)配置AC的基本功能,包括配置AC运营商标识和ID、AC与AP之间通信的源接口,实现AC作为DHCP Server给STA和AP分配IP地址;
(3)配置AP上线的认证方式,并把AP加入AP域中,实现AP正常工作; (4)配置VAP,下发WLAN业务,实现STA访问WLAN网络功能;
(5)配置AP对应的WMM模板、射频模板,并在射频口下绑定射频模板,实现STA与AP之间的无线通信参数配置;
(6)配置WLAN-ESS接口,并在服务集下绑定该接口,实现无线侧报文到达AC后能够送至WLAN业务处理模块处理;
(7)配置AP对应的服务集、安全模板和流量模板,并在服务集下绑定安全模板、流量模板、WLAN-ESS接口,实现STA接入网络安全策略及QoS控制; (8)配置VAP并下发,实现STA访问WLAN网络功能。 AC代码为:
配置AC上接口,透传管理和业务VLAN。
独立的安全调研公司 @stake [9] 最近对 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4500 和 Catalyst 6500 系列交换机上采用的虚拟 LAN ( VLAN )技术进行了一次安全检查 [1] 。虽然此次检查没有暴露出严重的安全漏洞,但必须指出的是,如果交换机的配置不正确或不适当,则很有可能引发意外行为或发生安全问题。
去年,思科系统公司一直致力于在若干文档中制定安全网络配置的最佳实践准则,例如《 SAFE 蓝图》 [2] 或《 Catalyst 4500 、 5000 和 6500 系列交换机最佳实践经验》 [3] 。但是,迄今为止,思科还没有提供一本全面介绍与 VLAN 相关的所有最佳实践经验、可方便客户和现场工程师参考的文档。
本文的目的是全面介绍思科工程师多年积累的丰富经验和建议,帮助客户和现场工程师正确地在思科交换机上配置 VLAN 。除此以外,本文还将通过要点说明解释 @stake 测试的主要结果,阐述解决安全问题的方法。
基本安全准则
要想创建安全的交换网,必须先熟悉基本安全准则。需要特别注意的是, SAFE 最佳实践 [2] 中强调的基本准则是设计任何安全交换网的基石。
如果用户不希望任何设备受损,则必须严格控制对该设备的访问。不仅如此,所有网络管理员都应该使用思科平台上提供的所有实用安全工具,包括系统密码的基本配置、 IP 准入过滤器和登陆检查,以及 RADIUS 、 TACACS+ 、 Kerberos 、 SSH 、 SNMPv3 、 IDS 等更先进的工具(详情参见 [3] )。
必须使所有基本安全准则得到满足之后,再关注更先进的安全细节。在下面的章节中,我们将说明与 VLAN 相关的问题。
虚拟 LAN
第二层( L2 )交换机指能够将若干端口组成虚拟广播域,且各虚拟广播域之间相互隔离的设备。这些域一般称为虚拟 LAN ( VLAN )。
VLAN 的概念与网络领域中的其它概念相似,流量由标记或标签标识。标识对第二层设备非常重要,只有标识正确,才能隔离端口并正确转发接收到的流量。正如后面章节中将要介绍的那样,缺乏标识有时是引发安全问题的原因,因而需要避免。
如果设备中的所有分组与相应 VLAN 标记紧密结合,则能够可靠区分不同域的流量。这就是 VLAN 交换体系结构的基本前提。
此时,我们可以得出这样的结论:如果从源节点发送出去之后,分组的 VLAN 标识不能被修改,即保持端到端不变,则 VLAN 的可靠性应等价于物理安全性。
关于这个问题,我们还将在下面详细讨论。
控制面板
恶意用户特别希望能够访问网络设备的管理控制台,因为一旦成功,就能够容易地根据他们的需要修改网络配置。
在基于 VLAN 的交换机中,除与带外端口直接连接外,管理 CPU 还可以使用一个或多个 VLAN 执行带内管理。另外,它还可以使用一个或多个 VLAN 与其它网络设备交换协议流量。
基本物理安全准则要求网络设备位于可控(锁定)空间,主要 VLAN 安全准则则要求将带内管理和协议流量限制在可控环境中。这个要求可以通过以下工具和最佳实践经验实现:
• 流量和协议 ACL 或过滤器
• QoS 标记和优先级划分(控制协议由相应的服务等级或 DSCP 值区分)
• 有选择地关闭不可信端口上的第二层协议(例如关闭接入端口上的 DTP )
• 只在专用 VLAN 上配置带内管理端口
• 避免使用 VLAN 1 传输任何数据流量
命令示例:
Catalyst 操作系统( CatOS )软件 Cisco IOS ò 软件
使用 VLAN 1 需注意的事项
VLAN 1 成为特殊 VLAN 的原因是,需要第二层设备才能由默认 VLAN 分配其端口,包括其管理端口。另外, CDP 、 PAgP 和 VTP 等许多第二层协议都需要发送到干线链路上的特定 VLAN 。基于这三个原因,最后选中了 VLAN 1 。
为挽回 VLAN 1 的声誉,可实施一个简单的通用安全准则:作为一项安全规定,网络管理员应该将任何 VLAN ,尤其是 VLAN 1 与并非绝对需要此 VLAN 的所有端口隔离开。
因
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
