这学期开始,学习cisco的 security 系列的内容,以一个拥有多年安全技术的厂商作为学习方向,我觉得应该能更加了解当今网络世界的安全规范。

  看了一遍CCSP,看了一大半的CCIE security,转而看了视频,
其中安全侧主要是包含设备安全,例如交换机安全,路由器安全,以及pc设备安全,涉及到协议方面主要是高协议监控。
   交换安全 主要分为以下:
  
“听着吴青峰的 喜欢寂寞。”
  
    端口安全,mac地址欺骗,802.1x认证。
    访问安全,禁用telnet,使用SSH,开放访问VTY 0 4 预留其他资源。
    禁止使用 CDP,思科邻居协议,能描述设备相关内容。
    生成树***,包括root 网桥保护,BPDU报文***。
    应该使用snmpv3,具备组团体认证。
    以及交换机端口分析。 span
    还有基于二层协议的acl。端口acl,路由器acl vlanacl


   路由器安全的设计就比较广,因为涉及的三层以上若干功能:
  
     1 控制台端口(物理方面),控制vty(使用ssh)
     2 拒绝使用明文、7类密码(7类密码),应该使用五类密码 加密
     3 禁止CDP
     4 tcp小型服务器,udp小型服务器
     5 FINGER
     6 HTTP
     7 bootp服务器
     8 ip源路由选择(令牌环网的全网络的源路由选择)
     9 代理arp
     10 ip直接广播(广播类型分为4种,你知道么?包括全网广播,本地广播等)
     11 无类路由行为
     12 icmp部分功能
     13 NTP 时间同步(这个问题应该具体情况具体分析,个人认为服务器的时间高同步没啥作用)
     14 DNS分析。

    涉及到边界模块,及与外网链接
 
    应该分为两类: 入站流量检查,出站流量检查
      
    总体而言应该有几个方向:
    NAT(合理利用ip地址,并加密内部地址)
    ACL
    路由协议验证与更新过滤
    流量过滤
    icmp过滤等
   
   入站:
       过滤内部地址为源地址的数据包
       过滤部分rfc规定的为地址源的
       过滤bootp,tftp等
       tcp应该由内部主动发起
       入站应该是访问DMZ(在思科安全构成中,含有外界需要访问的服务,例如 HTTP服务器,FTP服务器,是不安全,应该与内网设备隔离,划为 DMZ区域)
  
   出战:
         允许内部网络数据报文访问
         过滤任何网络不允许的
         禁用使用的服务端口或者允许某些服务与端口(ps什么qq啥的弱爆了。完全可以简单干掉你)

   其他: 报告不安全行为,记录为log,上报网管系统等。