数据安全学习笔记——网络设备安全

一、网络设备安全概况

（一）交换机安全威胁

交换机面临的网络安全威胁主要有如下几个方面

1.MAC地址泛洪（Flooding）。伪造大量的虚假MAC地址发往交换机，由于交换机MAC地址表容量有限（MAC地址表一般只有16K，最多能够存储16000条内容），交换机的MAC地址表被填满之后，交换机将不再学习其他MAC地址。

2.ARP欺骗。攻击者可以随时发送虚假ARP包更新被攻击主机上的ARP缓存，进行地址欺骗。

3.口令威胁。比如暴力破解密码。

4.漏洞利用。攻击者利用交换机的漏洞信息，导致拒绝服务非授权访问、 信息泄露、会话劫持。

（一）路由器安全威胁

路由器面临的网络安全威胁主要有以下几个方面

1.漏洞利用

2.口令安全威胁

3.路由协议安全威胁。路由器接收恶意路由协议包，导致路由服务混乱。

（协议是什么东西？通俗的讲协议就是一个软件，系统自带的软件，软件的功能就是“选路”，用来告诉我们如何去往目的地）

4.DoS/DDoS威胁。攻击者利用TCP/IP协议漏洞或路由器的漏洞，对路由器发起拒绝服务攻击。

攻击方法有两种：一是发送恶意数据包到路由器，致使路由器处理数据不当 导致路由器停止运行或干扰正常运行。二是利用僵尸网络制造大量的网络流量传送到目标网络，导致路由器处理瘫痪（实际情况下通过DDOS攻击使路由器瘫痪，是比较困难的，大多数情况都会对服务器发起攻击）。

5.依赖性威胁。攻击者破坏路由器所依赖的服务或环境，导致路由器非正常运行。例如，破坏路由器依赖的认证服务器，导致管理员无法正常登录到路由器。

二、网络设备安全机制与实现技术

（一）认证机制

网络设备对用户身份进行认证。用户需要提供正确口令才能使用网络设备资源。市场上的网络设备提供Console口令、AUX口令、VTY口令、user口令、privilege-level口令等多种形式的口令认证。

以路由器为例，Console口令的使用过程如下：

Router#config terminal

Router （config） #line console 0

Router （config-line） #login

Router （config-line）#password console-password

为了便于网络安全管理，交换机、路由器等网络设备支持TACACS+（Terminal Access Controller Access Control System）认证、RADIUS（ Remote Authentication Dial In ser Service） 认证（如果在一个网络系中有1000台交换机和路由器，我们逐一在单个设备上进行口令认证将非常耗时费力，因此可以采用TACACS+或者RADIUS进行集中管理）。

（二）访问控制

网络设备的访问可以分为带外（out-of-band）访问和带内（in-band）访问。

带外（out-of-band）访问不依赖其他网络，而带内（in-band）访问则要求提供网络支持。网络设备的访问方法主要有控制端口（ConsolePort）、辅助端口（AUXPort）、VTY、HTTP、TFTP、SNMP、Console、AUX和VTY称为line。

（通俗的举例讲带内和带外访问，带内就是一台交换机上我们有一个接口同时负责业务和网络管理，带外就是一台交换机上我们业务接口和网络管理接口是分开独立的，带内的限制就是当我们业务占用大量带宽的时候，我们无法进行网络管理，必须等“耗能”任务结束后进行网络管理）

1.CON端口访问。为了进一步严格控制CON端口的访问，限制特定的主机才能访问路由器，可做如下配置，其指定X.Y.Z.1可以访问路由器

Router （Config） #Access-list 1 permit X.Y.2.1

Router （Config） #line con 0

Router （Config-line） #Transport input none

Router （Config-line） #Login local

Router （Config-line） #Exec-timeoute 5 0

Router （Config-line） #access-class 1 in

Router（Config-line）#end

2.VTY访问控制。为保护VTY的访问安全，网络设备配置可以指定固定的IP地址才能访问，并且增加时间约束。例如，X.Y.Z.12、X.Y.Z.5可以通过VTY访问路由器，则可以配置如下：

Router （config） #access-list 10 permit X.Y.Z.12

Router （config） #access-list 10 permit X.Y.Z.5

Router (config） #access-list 10 deny any

Router (config） #line vty 0 4

Router （config-line） #access-class 10 in

超时限制配置如下：

Router (config） #service tcp-keepalives-in

Router (config） #line vty 0 4

Router （config-line） #exec-timeout 5 0

3.HTTP访问控制。限制指定IP地址可以访问网络设备。例如，只允许X.Y.Z.15路由器，则可配置如下：

Router（config）#access-list 20permit X.Y.Z.15

Router (config） #access-list 20 deny any

Router （config） #ip http access-class 20

除此之外，强化HTTP认证配置信息如下

Router（config）#ip http authentication type

其中，type可以设为enable、local、tacacs或aaa

4.SNMP访问控制。SNMP是一个网络管理协议为避免攻击者利用Read-only SNMP或Read/Write SNMP对网络设备进行危害操作，网络设备提供了SNMP访问安全控制措施，具体如下：

一是SNMP访问认证。当通过SMP访问网络设备时，网络设备要求访问者提供社区字符串认证，类似口令密码。如下所示，路由器设置SNMP访问社区字符串，

1.设置只读SNMP访问模式的社区字符串

Router (config) #snmp-server community UnGuessableStringReadonly RO

2.设置读/写SNMP访问模式的社区字符串

Router (config) #snmp-server community UnGuessableStringWriteable RW

具体思想就是输入不同的community“密码”拥有不同的权限

二是限制SMMP访问的IP地址。如只有X.Y.Z.8和X.Y.Z.7的IP地址对路由器进行SMMP只读访问

Router（config）#access-list6permit X.Y.Z.8

Router（config）#access-list6permit X.Y.Z.7

Router （config） #access-list 6 deny any

Router （config） #snmp-server comunity UnGuessableStringReadonly RO 6

三是关闭SNMP访问。如下所示，网络设备配置nosnmp-servercommunity命令关闭SNMP访问

Router （config） #no snmp-server community UnGuessableStringReadonly RO

5.设置管理专网。建立专用的网络用于管理设备，配置支持SSH访问，并且指定管理机器的IP地址才可以访问网络设备，从而降低网络设备的管理风险，具体方法如下:

将管理主机和路由器之间的全部通信进行加密，使用SSH替换Telnet。

在路由器设置包过滤规则，只允许管理主机远程访问路由器。

6.特权分级。针对交换机、路由器潜在的操作安全风险，交换机、路由器提供权限分级机制，每种权限级别对应不同的操作能力。在Cisco网络设备中，将权限分为0～15共16个等级，0为最低等级15为最高等级。等级越高，操作权限就越多 具体配置如下：

Router>show privi lege

Current privi lege level is 1

Router>enable 5

Password: level-5-password

Router#show privilege

Current privi lege level is 5

Router#

图片

（三）信息加密

网络设备配置文件中有敏感口令信息，一旦泄露，将导致网络设备失去控制。为保护配置文件的敏感信息，网络设备提供安全加密功能，保存敏感口令数据。未启用加密保护的时候，配置文件中的口令信息是明文，任何人都可以读懂。启用senvice password-encryption配置后，对口令明文信息进行加密保护。

进入console配置模式

[*CE6800] user-interface console O

Console认证方式为password

[*CE6800-ui-console0]authentication-mode password

设置console密码为密文形式huawei@123

[*CE6800-ui-console0]set authentication password cipher huawei@ 123

（四）安全通信

网络设备和管理工作站之间的安全通信有两种方式：

一是使用SSH

二是使用VPN

1.SSH。为了远程访问安全，网络设备提供SSH服务以替换非安全的Telnet。

如下所示，是在路由器RouterOne上设置SSH访问，VTY配置成只允许SSH访问

Router （config） #hos tname RouterOne

RouterOne （config） #ip domain-name mydoma in.con

RouterOne config） #crypto key generate rsa

RouterOne （config） #ip ssh time-out 60

RouterOne （config） #ip ssh authentication-retries 2

RouterOne （config） #line vty 0 4

RouterOne （config-line） #transport input ssh

2.PSec VPN

网络设备若支持IPSec，则可以保证管理工作站和网络设备的网络通信内容是加密传输的。

（五）日志审计

网络运行中会发生很多突发情况，通过对网络设备进行审计，有利于管理员分析安全事件。网络设备提供控制台日志审计、缓冲区日志审计、终端审计、SMMPtraps，AAA审计、Syslog审计等多种方式。由于网络设备的存储信息有限，一般是建立专用的日志服务器，并开启网络设备的Syslog服务，接收网络设备发送出的警报信息。

（六）安全增强

1.关闭非安全的网络服务及功能

2.信息过滤

3.协议认证。为保证路由协议的正常运行，用户在配置路由器时要使用协议认证。如果不是这样，路由器就会来者不拒，接收任意的路由信息，从而可能被恶意利用。

（七）物理安全

物理安全：是网络设备安全的基础，物理访问必须得到严格控制。物理安全的策略主要如下：指定授权人安装、卸载和移动网络设备；（机房的门禁）

指定授权人进行维护以及改变网络设备的物理配置。

指定授权人进行网络设备的物理连接。

指定授权人进行网络设备的控制台使用以及其他的直接访问端口连接。

明确网络设备受到物理损坏时的恢复过程或者出现网络设备被篡改配置后的恢复过程。

三、网络设备安全增强技术方法

（一）交换机安全增强技术方法

1.配置交换机访问口令和ACL，限制安全登录。

交换机安全访问控制分为两级：

第一级通过控制用户的连接实现。配置交换机ACL对登录用户进行过滤，只有合法用户才能和交换机设备建立连接。

第二级通过用户口令认证实现。连接到交换机设备的用户必须通过口令认证才能真正登录到设备。为防止未授权用户的非法侵入，必须在不同登录和访问的用户界面设置口令，设置登录和访问的默认级别和切换口令。

2.利用镜像技术监测网络流量。以太网交换机提供基于端口和流量的镜像功能，即可将指定的1个或多个端口的报文或数据包复制到监控端口，用于报文的分析和监视、网络检测和故障排除。

3.MAC地址控制技术。设置端口最大学习的MAC地址数量、MAC地址老化时间，抑制MAC攻击。

4.安全增强。关闭交换机不必要的网络服务、限制安全远程访问、限制控制台的访问、启动登录安全检查、安全审计等安全增强措施。

（二）路由器安全增强技术方法

1.及时升级操作系统和打补丁。

2.关闭不需要的网络服务。路由器可以提供BOOTP、Finger、NTP、Echo、Discard、Chargen、CDP等网络服务，然而这些服务会给路由器造成安全隐患，为了安全，建议关闭这些服务

3.明确禁止不使用的端口

Router （Config） #interface eth/3

Router （Config） #shutdown

4.禁止IP直接广播和源路由。禁止IP直接广播，可以防止smurf攻击。

禁止IP直接广播配置方法

router#interface eth 0/0

router#no ip directed-broadcast

为了防止攻击利用路由器的源路由功能，也应对其禁止使用，其配置方法是：

router# no ip source-route

5.增强路由器VTY安全。为了保护路由器的虚拟终端安全使用，要求用户必须提供口令认证，并且限制访问网络区域或者主机

6.阻断恶意数据包。路由器利用访问控制来禁止这些恶意数据包通行。常见恶意数据包有以下类型源地址声称来自内部网：loopback数据包：ICMP重定向包；广播包；源地址和目标地址相同。

7.路由器口令安全。路由器的口令存放应是密文。

8.传输加密。启用路由器的IPSec功能，对路由器之间传输的信息进行加密。借助IPSec，路由器支持建立虚拟专用网（VPN），因而可以用在公共IP网络上确保数据通信的保密性。由于IPSec的部署简便，只需安全通道两端的路由器支持IPSec协议即可，几乎不需要对网络现有的基础设施进行变动。

9.增强路由器SNMP的安全。修改路由器设备厂商的SNMP默认配置，对于其public和private的验证字一定要设置好，尤其是private的，一定要设置一个安全的、不易猜测的验证字。

四、网络设备常见漏洞与解决方法

（一）常见漏洞

根据已经公开的CVE漏洞信息，思科、华为等网络设备厂商的路由器、交换机等产品不同程度地存在安全漏洞，常见的安全漏洞主要如下：

1.拒绝服务漏洞。拒绝服务漏洞将导致网络设备停止服务，危害网络服务可用性。

2.跨站伪造请求CSRF（Cross-Site Request Forgery）)(80端口）。

3.格式化字符串漏洞。

4. XSS （Cross-Site Scripting）(80端口）。

5.旁路（Bypass something）。旁路漏洞绕过网络设备的安全机制，使得安全措施没有效果。

6.代码执行（Code Execution）。攻击者可以控制网络设备，导致网络系统失去控制，危害性极大。

7.溢出（Overflow）。该类漏洞利用后可以导致拒绝服务、特权或安全旁路。

8.内存破坏（MemoryCorruption）。内存破坏漏洞利用常会对路由器形成拒绝服务攻击。

（二）常见漏洞方案

1.及时获取网络设备漏洞信息。

2.网络设备漏洞扫描。网络设备漏洞扫描的软件主要有以下几种：

端口扫描工具。利用Nmap工具，可以查看网络设备开放的端口或服务。

通用漏洞扫描器。使用ShadowScanner、OpenVAS、Metasploit可以发现网络设备漏洞。

专用漏洞扫描器。CiscoTorch、CAT（CiscoAuditingTool）可以检查Cisco路由设备常见的漏洞。

3.网络设备漏洞修补。

网络设备安全漏洞的处理方法如下：

修改配置文件。用户调整网络设备配置就可修补漏洞，常见漏洞是默认口令、开放不必要的服务、敏感数据未加密等。

安全漏洞利用限制。针对网络设备的安全漏洞触发条件，限制漏洞利用条件。例如，利用网络设备访问控制，限制远程计算机访问网络设备。

服务替换。针对网络设备的非安全服务，使用安全服务替换。如使用SSH替换Telnet。启用IPSec服务。

软件包升级。针对网络设备的软件实现产生的漏洞，通过获取广商的软件包，升级网络设备的软件。

题外话

根据腾讯安全发布的《互联网安全报告》，目前中国网络安全人才供应严重匮乏，每年高校安全专业培养人才仅有3万余人，而网络安全岗位缺口已达70万，缺口高达95%。

我们到招聘网站上，搜索【网络安全】【Web安全工程师】【渗透测试】等职位名称，可以看到安全岗位薪酬待遇好，随着工龄和薪酬增长，呈现「越老越吃香」的情况。

我们看一看招聘网站技术向网络工程师的招聘要求，平均薪资水平相当可观：

零基础入门网络安全/信息安全

【----帮助网安学习，以下所有学习资料文末免费领取！----】

> ① 网安学习成长路径思维导图
> ② 60+网安经典常用工具包
> ③ 100+SRC漏洞分析报告
> ④ 150+网安攻防实战技术电子书
> ⑤ 最权威CISSP 认证考试指南+题库
> ⑥ 超1800页CTF实战技巧手册
> ⑦ 最新网安大厂面试题合集（含答案）
> ⑧ APP客户端安全检测指南（安卓+IOS）

大纲

首先要找一份详细的大纲。

学习教程

第一阶段：零基础入门系列教程

该阶段学完即可年薪15w+

第二阶段：技术入门

弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞

该阶段学完年薪25w+

阶段三：高阶提升

反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练

该阶段学完即可年薪30w+

面试刷题

最后，我其实要给部分人泼冷水，因为说实话，上面讲到的资料包获取没有任何的门槛。

但是，我觉得很多人拿到了却并不会去学习。

大部分人的问题看似是“如何行动”，其实是“无法开始”。

几乎任何一个领域都是这样，所谓“万事开头难”，绝大多数人都卡在第一步，还没开始就自己把自己淘汰出局了。

如果你真的确信自己喜欢网络安全/黑客技术，马上行动起来，比一切都重要。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

点击领取 《网络安全&黑客&入门进阶学习资源包》