文档介绍：迈普技术支持培训
--路由器安全技术
路由器安全技术介绍
身份认证技术:
采用AAA、LINE、ENABLE等多种身份认证机制确保只有合法用户才能进入路由器系统;
防火墙技术:
采用ACL访问控制列表对数据流进行分类,确保只有合法数据可以通过路由器进行转发;并采用多种攻击检测技术防范网络攻击;
NAT技术:
对一个IP地址用另一个IP地址替换甚至让多个内网IP地址公用一个公网IP,从而让内网IP可以访问公网服务器,并屏蔽内网地址信息;
VPN技术:
采用IPSec GRE、VPDN等多种安全加密技术,确保路由器只与身份认证后的对端设备建立连接,并对传输的数据进行加密;
路由器身份认证体制
看是否有配置line
AAA认证
用户登录
进入Shell
未配置line
未配置AAA
已配置line
已配置AAA
看是否有配置AAA
line认证
用户及级别设置(1)
■设置用户及相关属性:
使用user命令来配置本地用户和相关用户权限属性。
命令
描述
配置模式
user user-name password 0 password
设置用户及密码。
config
user user-name nopassword
设置用户在登录时无需密码验证。
config
user user-name privilege {0-15}
设置用户的授权级别。
config
※注意:
用户分0-15级,15最高;只有高级别用户才能对低级别用户操作;
设置用户密码时的参数0代表以明文输入,而不是以密文输入。
用户及级别设置(2)
■修改命令的级别:
在迈普路由器IOS中的每个shell命令都有一个默认的级别,但是可以通过命令privilege来修改其默认级别。保证只有相应级别及以上的用户才有配置、查看相应命令的权限。
命令
描述
配置模式
privilege MODE [level {0-15} [all | command LINE]]
修改命令的级别
config
■设置enable密码:
设置进入各个用户级别的本地enable密码。也可以只设置一个共通的密码(0代表输入明文)。若没有配置enable密码,则非console用户不能进入特权模式。
命令
描述
配置模式
enable password [level {1-15}] [0] password
指定级别和密码,密码为明文。
config
用户及级别设置(3)
■设置line属性:
用户和16个ssh用户同时登录到设备上,line命令可以为这些登录设置不同的认证、授权等属性。
命令
描述
配置模式
line con 0
进入console口line配置模式
config
line vty {0-15} {0-15}
用户的line配置模式
config
line ssh-vty {0-15} {0-15}
进入SSH用户的line配置模式
config
privilege level {0-15}
配置登录用户被授权的级别,默认级别为1。
config-line
password 0 password
配置line密码。(0代表输入明文)
config-line
login [local | authencation]
配置登录认证方式,
其中login CR 使用line密码认证,
login local 使用本地用户数据库认证,
login authentication 使用AAA认证。
no login表示不需要认证就可以登录。
config-line
AAA技术概念
AAA是认证、授权和统计(Authentication, Authorization and Accounting)的简称。
它提供了一个用来对这三种安全功能进行配置的一致性框架。AAA的配置实际上是对网络安全的一种管理。
这里的网络安全主要指访问控制。包括:
- 哪些用户可以访问网络服务器?
- 具有访问权的用户可以得到哪些服务?
- 如何对正在使用网络资源的用户进行记账?
AAA基本原理
NAS――work Access Server)。在路由器上启动AAA安全服务作为NAS。当用户想要登录NAS或与 NAS建立连接(比如拨号连接)从而获得访问其他网络的权限时,NAS起到了验证用户的作用。
RADIUS――远程身份认证拨入用户服务(Remote Authentication Dial In User Service)。
Tacacs――Tacacs是终端访问控制系统(Terminal Access Controller Access Con