思科网络安全基础知识(Cisco网络设备访问安全基础是什么)

1.Cisco网络设备访问安全基础是什么

导读：本文主要给大家详细的介绍了对于CISCO路由器网络设备访问安全的基础介绍，并且介绍了基本的安全登录，终端保护，授权等问题，相信看过此文会对你有所帮助。

编辑特别推荐： 将数据中心网络“一网打尽” 思科路由器常用配置命令大全 思科统一通信配置方案简介 为了保护他们的Cisco 网络，许多管理员开始忙于什么样的流量可以被允许通过网络设备，怎样限制邮件路由升级和其他路由器交换的唯一信息。 访问控制列表（ACLs）通常可以相当简单地解决这些问题。

网络设备的安全对任何联网的环境都很重要，为解决这个问题，Cisco提供了许多可供选择的方法。 在本文中，我将介绍登录安全的基本配置。

还将介绍怎样使用基于用户的登录配置来使得基本配置更加安全，证明怎样监视配置活动和对你的路由器的连接。 一旦你明白了这些基本的配置，你可以在其上建立更多的Cisco高级特性。

基本登录安全配置 Cisco提供的最基本的安全考虑是在设备访问和配置过程中使用本地口令。不同的口令可以应用于不同的行或者访问指针。

Cisco设备中典型的访问指针是终端行（也称为虚拟终端行， 或VTYs），控制台端口，和辅助端口（AUX）。 而且，不同的端口可以建立不同的认证方法。

下面是一个非常简单的认证配置的例子。 IOS 版本 下面的例子假设有一个标准的，使用IOS 12。

x版本的类访问Cisco路由器。 Router (config)# line con 0 Router (config-line)# password conpword1 Router (config-line)# login Router (config-line)# exit Router (config)# enable password 12345 在此，我已经设置了一个控制台端口口令并且产生我在配置路由器时需要的口令。

首先我进入控制台端口的行配置模式，设置口令并用login来完成。然后我为路由器配置的访问权限创建口令。

当需要保护本地控制台对路由器的访问时，应该从这里开始。 口令加密 需要注意的是在这个配置过程中，口令是纯文本的。

从安全的角度看这不是一个好思想。 然而，你可以把这些口令加密，这样访问路由器的其他人就不能看到这些口令。

执行下面的命令： Router (config)# service password-encryption 口令加密服务将加密所有现存的和在以后配置的口令。我强烈推荐在你的Cisco网络设备配置中使用这项服务。

口令种类 有效口令包括两个种类：标准有效口令和有效密码（enable secret）。由于使用了强加密手段，所以有效密码比有效口令更安全。

配置有效密码之后，它将替代有效口令。下面的例子说明了有效密码的设置： Router (config)# enable secret abc123 如果你在执行了这一步后查看路由器配置，你将看到有效密码口令自动被加密了，无论是否开启了口令加密服务。

设置通话超时时间 另一件有关访问的事就是考虑通话超时。作为一个更高层的安全性，你可以设置在一段静止状态后断开对话连接。

如果你离开终端一段时间，需要关闭一个配置对话，这是个便利的工具。默认的超时时间是十分钟。

如果想设置通话超时，试一下下面的命令： Router (config)# line console 0 Router (config-line)# exec-timeout 6 30 如果在六分三十秒钟内没有输入，将关闭这个控制台对话。 保护终端行 在保护控制台端口的同时，你也希望保护在网络中用来进行Telnet访问的终端行。

考虑下面关于Telnet安全的例子： Router (config)# line vty 0 4 Router (config-line)# password termpword1 Router (config-line)# login 需要注意的是这和控制台的配置非常相似。 一个区别是由于路由器访问有不止一个VTY行，所以在VTY关键字后面有两个数字。

在许多Cisco路由器上默认的行数为五行。在这里，我们为所有终端（VTY）行设置一个口令。

我可以在某个范围指定实际的终端或VTY行号。你经常看到的语法是vty 0 4，这样可以包括所有五个终端访问行。

从理论上来说，你可以对不同的VTY行或范围建立不同的口令。如果需要的话，你可以扩展可用的VTY行数以容纳更多的用户。

但这个方法也有限制。首先，一般建议限制对典型的网络设备同时进行访问。

所以在这个例子中，扩展VTY的输入行数并不是很好的选择。如果只是限制Telnet协议对VTY的访问，可以使用下列命令： Router (config) # line vty 0 4 Router (config-line) # transport input telnet 在这里，我已经指定所有终端行都可以使用Telnet。

为了进一步限制源地址的路由器访问，我可以在行配置模式配合类访问命令使用一个访问列表。 要保护可以在网络中进行路由器访问的虚拟终端行，还有好多事情要做。

SSH vs。 Telnet SSH对比Telnet 如果你非常偏爱使用Telnet来登录你的路由器，可以选择使用SSH。

为了使你的路由器能够使用SSH，运行下列命令： Router (config) # line vty 0 3 Router (config-line) # transport input ssh 而且，我们对基本网络设备登录有一个相当可靠的基础。 我们将考虑的下一个安全登录形式是基于用户的登录。

基于用户的登录 一个基于特定用户信任关系的登录进程有助于保证配置改变的责任，这在那些拥有许多需要手工操作的路由器和交换机的大型网络环境中显得尤为重要。一旦你执行了这个类型的认证，路由器将记录是谁在何时访问路由器并修改了配置。

2.报班学CCNA所谓的网络基础知识是啥

ccna是属于cisco认证体系中的的路由交换系列。

路由和交换：这条途径适用于那些在采用了LAN和WAN路由器和交换机的环境中，安装和支持基于思科技术的网络的专业人士。CCNA认证（思科认证网络工程师）表示具备基本的和初步的网络知识。

拥有CCNA认证的专业人士可以为小型网络（不超过100个节点）安装、配置和操作LAN、WAN和拨号接八服务。其中包括单步仅限于下列协议：IP、IGRP、串行、帧中继、IP RIP、VLAN、RIP、以太网和访问列表。

结合楼主的问题，第一培训班应该是能听得懂的，如果听不懂这个培训班也开不下去。第二，对工作的帮助，在上面我已经有写出ccna能具备的能力。

你可以考虑一次学到ccnp再工作，也可以考虑直接就去工作后期再有公司出资培训。第三，楼下有人讲这个认证已经很多了，确实是这样，所以你也可以考虑学完ccna的之后走安全方向。

网络安全：这条途径针对的是负责设计和实施思科安全网络的网络人士。不过安全要基于ccna之上。

3.学网络安全的基本知识有哪些

网络安全基本知识 什么是网络安全？ 网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。

什么是计算机病毒？ 计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 什么是木马？ 木马是一种带有恶意性质的远程控制软件。

木马一般分为客户端和服务器端。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。

木马不会象病毒那样去感染文件。 什么是防火墙？它是如何确保网络安全的？ 使用功能防火墙是一种确保网络安全的方法。

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全策略控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务、实现网络和信息安全的基础设施。 什么是后门？为什么会存在后门？ 后门是指一种绕过安全性控制而获取对程序或系统访问权的方法。

在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或者在发布软件之前没有删除，那么它就成了安全隐患。

什么叫入侵检测？ 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

什么叫数据包监测？它有什么作用？ 数据包监测可以被认为是一根窃听电话线在计算机网络中的等价物。当某人在“监听”网络时，他们实际上是在阅读和解释网络上传送的数据包。

如果你需要在互联网上通过计算机发送一封电子邮件或请求一个网页，这些传输信息时经过的计算机都能够看到你发送的数据，而数据包监测工具就允许某人截获数据并且查看它。 什么是NIDS? NIDS是网络入侵检测系统的缩写，主要用于检测HACKER和CRACKER通过网络进行的入侵行为。

NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以监测所有网络设备的通信信息，比如HUB、路由器。 什么叫SYN包？ TCP连接的第一个包，非常小的一种数据包。

SYN攻击包括大量此类的包，由于这些包看上去来自实际不存在的站点，因此无法有效进行处理。 加密技术是指什么？ 加密技术是最常用的安全保密手段，利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。

加密技术包括两个元素：算法和密钥。算法是将普通的信息或者可以理解的信息与一串数字（密钥）结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解密的一种算法。

在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通信安全。 什么叫蠕虫病毒？ 蠕虫病毒源自一种在网络上传播的病毒。

1988年，22岁的康奈尔大学研究生罗伯特.莫里斯通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”的病毒，蠕虫造成了6000个系统瘫痪，估计损失为200万到6000万美圆。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组。

现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。 什么是操作系统病毒？ 这种病毒会用它自己的程序加入操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。

并且由于感染了操作系统，这种病毒在运行时，会用自己的程序片段取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。

同时，这种病毒对系统中文件的感染性也很强。 莫里斯蠕虫是指什么？ 它的编写者是美国康奈尔大学一年级研究生罗伯特.莫里斯。

这个程序只有99行，利用UNIX系统的缺点，用finger命令查联机用户名单，然后破译用户口令，用MAIL系统复制、传播本身的源程序，再编译生成代码。 最初的网络蠕虫设计目的是当网络空闲时，程序就在计算机间“游荡”而不带来任何损害。

当有机器负荷过重时，该程序可以从空闲计算机“借取资源”而达到网络的负载平衡。而莫里斯蠕虫不是“借取资源”，而是“耗尽所有资源”。

什么是DDoS? DDoS也就是分布式拒绝服务攻击。它使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。

通常攻击者使用下载的工具渗透无保护的主机，当获取该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理）。这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。

随着危害力极强的黑客工具的广泛传播使用，分布式拒绝。

4.学习网络安全需要哪些基础知识

学习网络安全需要具备的知识：

(1)熟悉计算机系统的基础知识；

(2)熟悉网络操作系统的基础知识；

(3)理解计算机应用系统的设计和开发方法；

(4)熟悉数据通信的基础知识；

(5)熟悉系统安全和数据安全的基础知识；

(6)掌握网络安全的基本技术和主要的安全协议与安全系统；

(7)掌握计算机网络体系结构和网络协议的基本原理；

(8)掌握计算机网络有关的标准化知识。

拓展资料：

学习安全网络还需要掌握局域网组网技术，理解城域网和广域网基本技术；掌握计算机网络互联技术；掌握TCP/IP协议网络的联网方法和网络应用服务技术，理解接入网与接入技术；

掌握网络管理的基本原理和操作方法；熟悉网络系统的性能测试和优化技术，以及可靠性设计技术；理解网络应用的基本原理和技术，理解网络新技术及其发展趋势。

网络安全是指网络系统的硬件、软件及系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。

5.CCNA基础知识

CCNA认证简介

CCNA认证标志着 具备安装、配置、运行中型路由和交换网络，并进行故障排除的能力。获得CCNA认证的专业人士拥有相应的知识和技能，能够通过广域网与远程站点建立连接，消除基本的安全威胁，了解无线网络接入的要求。CCNA培训包括（但不限于）以下这些协议的使用：IP、EIGRP、串行线路接口协议、帧中继、RIPv2、VLAN、以太网和访问控制列表（ACL）。

CCNA认证必备条件

没有必需的要求，建议具备基本的计算机基础知识。

CCNA认证考试和培训课程

考试号： 640-802 CCNA

培训课程：

互联思科网络设备 Part 1 (ICND1) v1.0

互联思科网络设备Part 2 (ICND2) v1.0

6.计算机网络安全方向应该掌握些什么知识

网络安全学习内容

1.防火墙（正确的配置和日常应用）

2.系统安全（针对服务器的安全加固和WEB代码的安全加固以及各种应用服务器的组建，例如WEB MAIL FTP等等）

3.安全审核（入侵检测。日志追踪）

4.软考网络工程师，思科CCNA课程 华为认证等（网络基础知识。局域网常见故障排除和组建）

5.经验积累。

1、了解基本的网络和组网以及相关设备的使用；

2、windwos的服务器设置和网络基本配置；

3、学习一下基本的html、js、asp、mssql、php、mysql等脚本类的语言

4、多架设相关网站，多学习网站管理；

5、学习linux，了解基本应用，系统结构，网络服务器配置，基本的shell等；

6、学习linux下的iptables、snort等建设；

7、开始学习黑客常见的攻击步骤、方法、思路等，主要可以看一些别人的经验心得；

8、学习各种网络安全工具的应用、扫描、远控、嗅探、破解、相关辅助工具等；

9、学习常见的系统漏洞和脚本漏洞，根据自己以前学习的情况综合应用；

11、深入学习tcp/ip和网络协议等相关知识；

12、学习数据分析，进一步的深入；

13、能够静下心学习好上边的东西以后自己就会有发展和学习的方向了。这些都是基础东西，还没有涉及到系统内部结构、网络编程、漏洞研发等。。。学习东西不要浮躁！

7.网络常识中Cisco路由怎样进行安全配置

很多网络管理员在刚开始使用思科路由器时都会忽略安全设置，本文介绍的内容非常适合此类应用者在使用思科路由器时对网络安全进行配置。

一.路由器访问控制的安全配置 1.严格控制可以访问路由器的管理员。任何一次维护都需要记录备案。

2.建议不要远程访问路由器。 即使需要远程访问路由器，建议使用访问控制列表和高强度的密码控制。

3.严格控制CON端口的访问。具体的措施有：A.如果可以开机箱的，则可以切断与CON口互联的物理线路。

B.可以改变默认的连接属性，例如修改波特率（默认是96000，可以改为其他的）。 C.配合使用访问控制列表控制对CON口的访问。

如：Router(Config)#Access-list 1 permit 192。168。

0。1Router(Config)#linecon0 Router(Config-line)#Transportinputnone Router(Config-line)#Loginlocal Router(Config-line)#Exec-timeoute50 Router(Config-line)#access-class1in Router(Config-line)#endD.给CON口设置高强度的密码。

4.如果不使用AUX端口，则禁止这个端口。默认是未被启用。

禁止如：Router(Config)#lineaux0 Router(Config-line)#transportinputnone Router(Config-line)#noexec5.建议采用权限分级策略。 如：Router(Config)# Router(Config)# Router(Config)#-list6.为特权模式的进入设置强壮的密码。

不要采用enable password设置密码。而要采用enable secret命令设置。

并且要启用Service password-encryption。 7.控制对VTY的访问。

如果不需要远程访问则禁止它。如果需要则一定要设置强壮的密码。

由于VTY在网络的传输过程中为加密，所以需要对其进行严格的控制。如：设置强壮的密码；控制连接的并发数目；采用访问列表严格控制访问的地址；可以采用AAA设置用户的访问控制等。

8.IOS的升级和备份，以及配置文件的备份建议使用FTP代替TFTP。 如：Router(Config)#ipftpusernameBluShin Router(Config)# Router#copystartup-configftp:9.及时的升级和修补IOS软件。