1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
(9)基於時間的ACL
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
(9)基於時間的ACL
(10)防火牆類型:包過濾防火牆、狀態防火牆
基於上下文的訪問控制CBAC
CBAC特性:流量過濾,流量檢查,入侵檢測,產生警告和審計消息
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
(9)基於時間的ACL
(10)防火牆類型:包過濾防火牆、狀態防火牆
基於上下文的訪問控制CBAC
CBAC特性:流量過濾,流量檢查,入侵檢測,產生警告和審計消息
配置CBAC:
a:選擇一個接口
b在接口配置ACL:
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
(9)基於時間的ACL
(10)防火牆類型:包過濾防火牆、狀態防火牆
基於上下文的訪問控制CBAC
CBAC特性:流量過濾,流量檢查,入侵檢測,產生警告和審計消息
配置CBAC:
a:選擇一個接口
b在接口配置ACL:
c:定義檢查規則
d:應用到一個檢查接口
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
(9)基於時間的ACL
(10)防火牆類型:包過濾防火牆、狀態防火牆
基於上下文的訪問控制CBAC
CBAC特性:流量過濾,流量檢查,入侵檢測,產生警告和審計消息
配置CBAC:
a:選擇一個接口
b在接口配置ACL:
c:定義檢查規則
d:應用到一個檢查接口
6.區域策略防火牆
一步:創建區域防火牆
zone security in-zone
zone security out-zone
二步:定義流量級別和訪問列表
access-list 101 permit ip 192.168.3.0 0.0.0.255 any
class-map type inspect match-all in-net-class-map
match access-group 101
三步:指定防火牆策略
policy-map type inspect in-2-out-pamp
class type inspect in-net-class-map
四步:應用防火牆策略
zone-pair security in-2-out-zpair
source in-zone destination out-zone
service-policy type inspect in-2-out-pmap
五步:定義出口入口區域
interface f0/0
zone-member security in-zone
zone-member security out-zone
7.二層安全、內網安全
1、DMZ:隔離區、為公網提供服務提供服務
IDS:(入侵檢測系統)對網絡系統的運行狀況按照一定的安全策略進行監視儘可能發現各種不同的攻擊企圖,一般部署在服務器區域的交換機上、Internet接入路由器之後的第一臺交換機上、重點保護網段的局域網交換機上、以旁路模式的方式接入。
IPS:(入侵防禦系統)可深度感知並檢測流徑的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行進行限流以保護網絡帶寬資源,以串聯方式直接嵌入到網絡流量中、包括異常檢測和誤用檢測。
下列是關於SSH、密碼、ACL、AAA的理論及部分配置情況
2、設置特權密碼指令。
(1)密碼設置要求:創建用戶
username xxx password xxx
username xxx secret xxx
security passwords min-length 10 //設置端口密碼長度(特權密碼)
enable secret xxx
line vty 0 4 //進入vty模式下
password xxx
login
(2)密碼安全設置(md5)
service password-encryption
(3)阻塞登陸的block-for命令
login block-for 120 attempts 5 within 60
3.配置SSH指令
更改主機名字hostname r1
(1)ip domain-name xxx配置網絡的ip域名
(2)cryto key generate rsa general-keys modulus 1024 產生單向祕鑰
(3)username xxx(用戶名)secret xxxx密碼
驗證或創建一個本地用戶名數據庫入口
(4)line vty 0 4
login local
transport input ssh
啟用vty入向的ssh會話
(5)登陸ssh
ssh -l 用戶名 地址
(6)特權cli命令
privilege mode ....
(7)系統日誌
logging host xxxx(192.168.1.1)
(8)使用ntp
ntp master
ntp server xxx //(192.168.1.1)
ntpuodate-calender //配置路由器並更新時鐘
service timetamps log datetimemsec //配置時間標記服務
4.認證、授權、記賬
(1)AAA接入方法:字符模式、包模式
(2)基於本地認證
username zxp sercet xxx
aaa new-model
aaa authentication login default local-case enable
aaa local authentication attempts max-fail 10
查看狀態:show aaa local user lockout
解鎖:
aaa local user lockout xxx(用戶名)
aaa local user lockout all
(3)基於服務器cli
tacacs-server host 192.168.2.2
tacacs-server key tacacspa55
(服務器登陸路由器的密碼為tacacspa55)
aaa new-model
aaa authentication login default (group tacacs+ )group radius local
line console 0
login authentication default
5.防火牆
(1)訪問控制列表acl:標準acl靠近目的端口
acl(1-99,1300-1999)擴展acl(100-199,2000-2699)
(2)標準acl
access-list 1-99 permit/deny 地址
(3.)擴展acl 靠近源端口
access-list 100-199 permit/deny protocol 源(地址 掩碼 協議類型 )目的(地址 掩碼 協議類型 )eq 20/21(協議類型)
(4)命名ip acl 標準acl
ip access-list standard 名字
remark permit only admin host(註釋)
permint host 192.168.1.10
line vty 0 4
password 123
enable password 123
login
access-class 名字 in //(in 查路由表之前,out 查路由表後)
(5)擴展acl
ip access-list extanded acl-1
remark lan acl
deny ip host 192.168.1.6 any
permit tcp 192.168.1.0 0.0.0.255 any established(已存在的主機)
(6)應用到接口:
硬件接口:(config-if )#ip access-group 名字 in/out
line接口:(config-line)#line vty 0 4
ip access-class 名字 in/out
(7)自反ACL
只能對tcp協議有效,對udp、icmp無效
ip access-list extended in-to-out
permit ip any any reflect ip-out timeout 120
evaluate ip-out
int f1/1
ip access-group in-to-out out
(8)動態acl
username zhangsan password 123
access-list 101 permit tcp any host 20.20.20.1 eq 23
accesss-list 101 dyname cisco timeout 60 permit ip any host 10.10.10.10
line vty 0 4
login local
autocomand access-enable host timeout 5
僅支持ip協議,依賴於telnet連接、驗證和擴展acl
結果是192.168.10.10ping10.2.2.2ping不到,只能telnet到
(9)基於時間的ACL
(10)防火牆類型:包過濾防火牆、狀態防火牆
基於上下文的訪問控制CBAC
CBAC特性:流量過濾,流量檢查,入侵檢測,產生警告和審計消息
配置CBAC:
a:選擇一個接口
b在接口配置ACL:
c:定義檢查規則
d:應用到一個檢查接口
6.區域策略防火牆
一步:創建區域防火牆
zone security in-zone
zone security out-zone
二步:定義流量級別和訪問列表
access-list 101 permit ip 192.168.3.0 0.0.0.255 any
class-map type inspect match-all in-net-class-map
match access-group 101
三步:指定防火牆策略
policy-map type inspect in-2-out-pamp
class type inspect in-net-class-map
四步:應用防火牆策略
zone-pair security in-2-out-zpair
source in-zone destination out-zone
service-policy type inspect in-2-out-pmap
五步:定義出口入口區域
interface f0/0
zone-member security in-zone
zone-member security out-zone
7.二層安全、內網安全
8.vpn 虛擬的私有網絡 第三層
a.站點到站點vpn
b.遠程訪問vpn
c.認證-預共享密鑰psk
d.認證-rsa簽名
公鑰-加密,私鑰-解密;公鑰-解密,私鑰-加密
解密簽名的公共加密密鑰包含在數字簽名中
9.ipsec
(1)ipsec認證頭:AH,ESP
AH:為 IP 數據報提供無連接完整性與數據源認證,並提供保護以避免重播情況
ESP:加密提供機密性,認證提供完整性
(2)ipsec的模式:傳輸模式,隧道模式
傳輸模式:對數據加密,報文格式不變
隧道模式:頭部和數據全部改變
7.因特網密鑰交換(IKE)
階段1:主模式
DES:加密
SHA或MD5:完整性