>>>>>>>>>>点击进入2016年系统分析师考试网络课堂

  >>>>>>>>>>点击进入系统分析师历年考试真题题库

  >>>>>>>>>>点击进入2016年系统分析师考试大纲和教程

网络协议分析

深入分析组织整个网络系统的协议设计是否合理，是否存在协议设计混乱、不规范的情况，是否采用安全协议，协议的区域之间是否采用安全防护措施。协议是网络系统运行的神经，协议规划不合理就会影响整个网络系统的运行效率，甚至带来高度隐患和风险。应考虑的安全点主要有:

1.路由协议、路由相关的协议及交换协议应以安全的、对网络规划和设计方便为原则，应充分考虑局域网络的规划、建设、扩充、性能、故障排除、安全隐患、被攻击可能性，并应启用加密和验证功能。

2.应合理设计网络路由协议和路由策略，保证网络的连通性、可达性，以及网络业务流向分布的均衡性。

3.启用动态路由协议的认证功能，并设置具有一定强度的密钥，相互之间交换路由信息的路由器必须具有相同的密钥。默认的认证密码是明文传输的，建议启用加密认证。

4.对使用动态路由协议的路由设备设置稳定的逻辑地址，如Loopback地址，以减少路由振荡的可能性。

5.应禁止路由器上IP直接广播、ICMP重定向、Loopback数据包和多目地址数据包，保证网络路径的正确性，防止IP源地址欺骗。如禁止非公有地址、组播地址、全网络地址和自己内部的网络地址访问内部网络，同时禁止非内部网络中的地址访问外部网络。

6.重要网段应采取IP地址与MAC地址绑定措施，防止ARP欺骗。7.如果不需要ARP代理（ARPProxy）服务则禁止它。

8.应限制SYN包流量带宽，控制ICMP、TCP、UDP的连接数。、

9.ICMP协议的安全配置。对于流入的ICMP数据包，只允许EchoReply、DestinationUnreachable、TimeOut及其他需要的类型。对于流出的ICMP数据包，只允许Echo及其他必需的类型。

10.SNMP协议的CommunityString字串长度应大于12位，并由数字、大小写字母和特殊字符共同组成。

11.禁用HTTP服务，不允许通过HTTP方式访问路由器。如果不得不启用HTTP访问方式，则需要对其进行安全配置。

12.对于交换机，应防止VLAN穿越攻击。例如，所有连接用户终端的接口都应从VLAN1中排除，将Trunk接口划分到一个单独的VLAN中;为防止STP攻击，对用户侧端口，禁止发送BPDU;为防止VTP攻击，应设置口令认证，口令强度应大于12位，并由数字、大小写字母和特殊字符共同组成;尽量将交换机VTP设置为透明(Transparent)模式。13.采用安全性较高的网络管理协议，如SNMPv3、RMONv2。

>>>>>>>>>>点击继续阅读

  相关链接：

  软考中常考的标准化知识汇编（新版）

  软考大纲（软考考试大纲汇编，新版）

  系统分析师考试历年试题分析与解答（案例分析与论文篇）