第5章网络安全技术.ppt

第五章网络安全技术,中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。,工程任务保护园区网络安全,,组件一网络攻击行为,保护园区网络安全,组件二管理设备控制台安全,组件三交换机端口安全技术,组件四访问控制列表安全技术,组件一网络攻击行为,保护园区网络安全,,,复杂程度,,Internet飞速增长,时间,,,,,第一代引导性病毒,第二代宏病毒DOS电子邮件有限的黑客攻击,第三代网络DOS攻击混合威胁（蠕虫病毒特洛伊）广泛的系统黑客攻击,下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫,波及全球网络基础架构地区网络多个网络单个网络单台计算机,周,天,分钟,秒,影响目标,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,网络安全的演化,网络安全隐患,网络安全隐患是指借助计算机或其他通信设备，利用网络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。一般根据网络安全隐患源头可分为以下几类（1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。（2）人为但属于操作人员无意的失误造成的数据丢失或损坏。（3）来自企业网外部和内部人员的恶意攻击和破坏。,常见网络管理中存在的安全问题,（1）机房安全。机房是网络设备运行的控制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。（2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100的美国大公司都曾在他们的网络中经历过计算机病毒的危害。（3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。（4）管理不健全造成的安全漏洞。从网络安全的广义角度来看，网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。,网络攻击行为,常见的攻击措施主要有获取网络口令放置特洛伊木马程序WWW欺骗技术电子邮件攻击通过一个节点来攻击其他节点拒绝服务攻击网络监听寻找系统漏洞利用账号进行攻击偷取特权,手段多样的网络攻击,攻击不可避免,攻击工具体系化,网络进攻简单化,全球超过26万黑客站点,提供系统漏洞和攻击知识越来越多易使用攻击软件出现年轻人对网络攻击好奇心年轻人的叛逆心理,大量的攻击工具随手拾来,攻击工具更加“人性化”,,,,现有网络安全防御体制,,入侵检测系统IDS68,杀毒软件99,防火墙98,ACL71,现有网络安全体制,,VPN虚拟专用网,防火墙,包过滤,防病毒,入侵检测,现有网络安全技术,保护园区网络安全,组件二管理设备控制台安全,保护交换机控制台的安全措施,对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互连设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。据国外调查显示，80的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护,交换机控制台安全措施,配置交换机的登陆密码S2126Gconfigenablesecretlevel10star“0”表示输入的是明文形式的口令，1为分配等级配置交换机的特权密码S2126Gconfigenablesecretlevel150Star“0”表示输入的是明文形式的口令，1为分配等级等级1分配给特权模式;等级15分配给全局模式，等级2-14分配给不同的命令;,配置TELNET方式管理交换机,Switchconfigenablesecretlevel10star配置远程登陆密码Switchconfigenablesecretlevel150star配置进入特权模式密码Switchconfiginterfacevlan1配置远程登录地址Switchconfig-ifnoshutdownSwitchconfig-ifipaddress192.168.1.1255.255.255.0Switchconfig-ifend,注两个密码缺一不可,,路由器控制台安全措施,保护路由器控制台的安全措施配置路由器控制台密码Router（config）lineconcole0Router（config-line）loginRouter（config-line）passwordstar配置路由器的特权登录密码Router（config）enablepasswordstarRouter（config）enablesecretstar“password”表示输入的是明文形式的口令，“secret”为密文形式的口令，密文有最高优先级别。,保护路由器远程登陆登录的安全措施RouterconfigureterminalRouter（config）Router（config）lineVTY04Router（config-line）loginRouter（config-line）passwordstar,保护园区网络安全,组件三交换机端口安全技术,FF.FF.FF.FF.FF.FF,广播MAC地址,00.d0.f8.00.07.3c,,,前3个字节IEEE分配给网络设备制造厂商的,后3个字节网络设备制造厂商自行分配的，不重复，生产时写入设备,,MAC地址链路层唯一标识,接入交换机,MACPortA1B2C3,MAC地址表空间有限,,,MAC攻击,攻击MAC地址表空间是有限，MAC攻击会占满交换机地址表;使得单播包在交换机内部也变成广播包,向所有端口转发，每个连在端口上客户端都可以收到该报文;交换机变成了一个Hub，用户的信息传输也没有安全保障了,MAC攻击,交换机端口安全功能,交换机的端口安全功能，防止网内部攻击,如MAC地址攻击、ARP攻击、IP/MAC欺骗等。交换机端口安全的基本功能1、限制端口最大连接数,控制恶意扩展接入例学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。2、端口安全地址绑定,解决网中IP地址冲突、ARP欺骗例在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。,交换机端口安全内容,安全端口收到不属于端口上安全地址包时，一个安全违例将产生。当安全违例产生时，可以选择多种方式来处理违例Protect安全端口将丢弃未知名地址的包（不是该端口的安全地址中的任何一个）。RestrictTrap当违例产生时，将发送一个Trap通知,等候处理。Shutdown当违例产生时，将关闭端口并发送一个Trap通知。,端口安全配置示例,配置fa1/3端口安全功能，设置最大地址个数为8，违例方式为protect。Switchconfiginterfacefa1/3Switchconfig-ifswitchportport-securitySwitchconfig-ifswitchportport-securitymaximum8Switchconfig-ifswitchportport-securityviolationprotect,端口安全配置示例,配置fa0/3安全功能，绑定MAC为00d0.f800.073c，IP为192.168.12.202Switchconfiginterfacefa0/3Switchconfig-ifswitchportport-securitySwitchconfig-ifswitchportport-securitymac-address00d0.f800.073cip-address192.168.12.202,验证命令,查看接口安全信息Switchshowport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction---------------------------------------------------------------fa0/381Protect,验证命令,查看安全地址信息。Switchshowport-securityaddressVlanMacAddressIPAddressTypePortRemainingAgemins---------------------------------------------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/381,实习项目配置交换机端口安全,【工作任务】如图所示，模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突，防止学院内部的网络攻击行为，学院领导要求网络中心的管理员，为学院中每一台电脑分配固定IP地址（如为某位老师分配的IP地址是172.16.1.55/24，该主机的MAC地址是00-06-1B-DE-13-B4），并限制只允许学院内部的员工才可以使用网络，并不得随意连接其他主机。【项目设备】交换机（1台），PC1台、网线（1条）【实施过程】,,SwitchconfigureterminalSwitchconfiginterfacerangefa0/1-23Switchconfig-if-rangeswitchportport-securitySwitchconfig-ifswitchportport-securitymaximum1Switchconfig-ifswitchportport-securityviolationshutdownSwitchconfiginterfacefa0/3Switchconfig-ifswitchportport-securitySwitchconfig-ifswitchportport-securitymac-address00d0.f800.073cip-address192.168.12.202,保护园区网络安全,组件四访问控制列表安全技术,,,,,,,ISP,1、什么是访问列表,ACLAccessControlList对经过设备的数据包，根据一定的规则，进行数据包的过滤。,,,,,√,FTP,2、为什么要使用访问列表,提供网络安全控制的基本手段过滤数据流限制网络访问流量,从而提高网络性能,,,,,,RG-S2126,,,RG-S3512G/RG-S4009,,RG-NBR1000,,Internet,,,,,,,,,RG-S2126,不同部门所属VLAN不同,,,,,,,,,,,,,,,,,,技术部VLAN20,财务部VLAN10,,,,,,,,隔离病毒源,,隔离外网病毒,,,,,2、为什么要使用访问列表,3、访问列表的组成,定义访问列表的步骤第一步定义规则（哪些数据允许通过，哪些不允许）第二步将规则应用在设备接口／ＶＬＡＮ上访问控制列表的分类1、标准ＡＣＬ2、扩展ＡＣＬ3、命名ＡＣＬ（标准／扩展）访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务,4、访问列表规则的应用,访问列表对流经接口的数据包进行控制1.入栈应用（in）2.出栈应用（out）,5、ACL的基本准则,一切未被允许的就是禁止的。路由器缺省允许所有的信息流通过;防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许、拒绝”,,,,,Y,,,拒绝,Y,,,,是否匹配测试条件1,,,,允许,N,,,拒绝,,允许,,,是否匹配测试条件2,,,,拒绝,,,,是否匹配最后一个测试条件,Y,Y,N,,Y,Y,,,允许,,被系统隐含拒绝,,N,6、一个访问列表多个测试条件,标准访问列表根据数据包源IP地址进行规则定义，编号为1-99扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义，编号为100-199,7、ACL分类,标准访问列表只根据源IP地址，进行数据包的过滤。,,,,,,,学生网段,校领导网段,教研网段,,,,8、标准列表规则定义,源地址,,,,,TCP/UDP,,数据,IP,eg.HDLC,,1-99号列表,IP标准访问列表（2）,,1、定义标准ACLRouterconfigaccess-list{permit|deny}源地址[反掩码]SwitchconfigIpaccess-list{permit|deny}源地址[反掩码]2、应用ACL到接口Routerconfig-ifipaccess-group|{name}{in|out},0表示检查相应的地址比特1表示不检查相应的地址比特,,,,,,,,,,0,0,0,0,0,0,0,0,反掩码（通配符）,通配符掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。,在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。通配符掩码与子网掩码工作原理是不同的。如表示172.16.0.0这个网段，使用通配符掩码应为0.0.255.255。在通配符掩码用255.255.255.255表示所有IP地址，全为1说明所有32位都不检查，这是可以用any来取代。0.0.0.0的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。,access-list1permit172.16.3.00.0.0.255access-list1deny0.0.0.0255.255.255.255interfaceserial0ipaccess-group1out,172.16.3.0,172.16.4.0,F0,S0,F1,,,,,,,Internet172.17.0.0,,,IP标准访问列表配置,只允许172.16.3.0网络中的计算机访问互联网络,IP标准访问列表配置技术,阻止192.168.0.45主机通过E0访问网络，而允许其他的机器访问Router（config）access-list1denyhost192.168.0.45Router（config）access-list1permitanyRouter（config）interfaceethernet0Router（config-if）ipaccess-group1in,实习项目配置标准访问列表控制网络流量,【工作任务】如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现学生网（3.0.0.0）和行政办公网（1.0.0.0）的隔离，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；静态路由805图,给主机分配IP地址,Pc1Ip/ip1.0.0.1255.0.0.0ip/dg1.0.0.254,Pc2Ip/ip3.0.0.1255.0.0.0ip/dg3.0.0.254,RouteA,RouterenRouterconftRouterconfiginterfacee0Routerconfig-ifipadd1.0.0.254255.0.0.0Routerconfig-ifnoshutRouterconfig-ifexitRouterconfiginterfaces0Routerconfig-ifipadd2.0.0.1255.0.0.0Routerconfig-ifclockrate64000Routerconfig-ifexitRouterconfigrouterripRouterconfig-routerversion2Routerconfig-routernetwork1.0.0.0Routerconfig-routernetwork2.0.0.0Routershowiproute,RouteB,RouterenRouterconftRouterconfiginterfacee0Routerconfig-ifipadd3.0.0.254255.0.0.0Routerconfig-ifnoshutRouterconfig-ifexitRouterconfiginterfaces0Routerconfig-ifipadd2.0.0.2255.0.0.0Routerconfig-ifnoshutRouterconfig-ifexitRouterconfigrouterripRouterconfig-routerversion2Routerconfig-routernetwork3.0.0.0Routerconfig-routernetwork2.0.0.0Routershowiproute,,此时PC1能PING通PC2,Router1,Routerconfigaccess-list10deny3.0.0.00.255.255.255Routerconfigaccess-list10permitanyRouterconfiginterfacee0Routerconfig-ifipaccess-group10out,扩展型访问控制列表,扩展型访问控制列表（ExtendedIPACL）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址，源端口，目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配。,,,ACL分类-扩展访问列表,扩展ACL可以根据数据包内的源、目的地址，应用服务进行过滤。,,,,,邮件server,WEBserver,,,,,目的地址,源地址,协议,端口号,,100-199号列表,,,,,TCP/UDP,,数据,IP,eg.HDLC,IP扩展访问列表（1）,,,,,IP扩展访问列表的配置（2）,1、定义扩展的ACLRouterconfigaccess-list{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2、应用ACL到接口Routerconfig-ifipaccess-group|{name}{in|out},IP扩展访问列表配置实例（3）,允许网络192.168.0.0内所有主机访问HTTP服务器172.168.12.3，拒绝其它主机使用网络。Switchconfigaccess-list111permittcp192.168.0.00.0.255.255host172.168.12.3eqwwwSwitchshowaccess-lists,扩展ACL应用场景,如图所示企业网络内部结构路由器（一般为三层交换机）连接了二个子网段，地址规划分别为172.16.4.0/24，172.16.3.0/24。其中在172.16.4.0/24网段中有一台服务器提供WWW服务，其IP地址为172.16.4.13。需要进行网络管理任务是为保护网络中心172.16.4.0/24网段安全，禁止其它网络中的计算机访问子网络172.16.4.0网络，不过可以访问在172.16.4.0网络中搭建的WWW服务器,,Switchconfigaccess-list101permittcpany172.16.4.130.0.0.0eqwwwSwitchconfigaccess-list101denyipanyanySwitchconfiginterfaceFa0/1Switchconfig-ifipaccess-group101in,access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyanyinterfaceipaccess-group115inipaccess-group115out,扩展访问列表的应用（4）,利用ACL隔离冲击波病毒,项目配置扩展访问列表保护服务器安全,【工作任务】如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现教师网（172.16.1.0）和学生网（172.16.3.0）之间的互相连通，但不允许学生网访问教师网中的FTP服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】,命名访问控制列表,命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中，随时根据网络变化修改某一条规则，调整用户访问权限。通过字符串组成的名字直观地表示特定ACL；不受编号ACL中100条限制；可以方便的对ACL进行修改，无需删除重新配置,,命名访问控制列表,1、定义命名的扩展ACLipaccess-listextendedname{deny|permit}protocolsourcewildcarddestinationwildcard[operatorport]2、应用ACL到接口Routerconfig-ifipaccess-groupname{in|out},配置命名访问控制列表,SwitchconfigureterminalSwitch（config）ipaccess-liststandarddeny-host-192.168.l2.xSwitch（config-std-nacl）deny192.168.12.00.0.0.255Switch（config-std-nacl）permitanySwitch（config-std-nacl）endSwitchshowaccess-listdeny-host-192.168.l2.x,在3550-24上连着提供WWW和FTP的服务器，还连接学生宿舍楼网络和教工宿舍楼网络学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。,192.168.10.0/24,192.168.20.0/24,192.168.30.0/24,配置命名扩展IP访问控制列表3550-24configipaccess-listextendeddenystudentwww3550-24config-ext-nacldenytcp192.168.30.00.0.0.255192.168.10.00.0.0.255eqwww3550-24config-ext-naclpermitipanyany把访问控制列表在接口下应用交换机上只有IN方向3550-24configintvlan30VLAN是双向的3550-24config-ifipaccess-groupdenystudentwwwin,冲击波（MSBlaster）病毒－－蠕虫病毒，大量ICMP扫描，导致网络阻塞利用ACL关闭ICMP服务，以及相应端口。益处抑制蠕虫攻击，控制蠕虫蔓延，保证网络带宽。配置示例access-list101denytcpanyanyeq135阻止感染病毒的PC向其它正常PC的135端口发布攻击代码。access-list101denyudpanyanyeqtftp限制目标主机通过tftp下载病毒。access-list101denyicmpanyany阻断感染病毒的PC向外发送大量的ICMP报文，防止其堵塞网络。,接入交换机RG-S2126G防病毒配置RG-2126G-2configipaccess-listextendeddeny_wormsRG-2126G-2config-ext-nacldenytcpanyanyeq135RG-2126G-2config-ext-nacldenytcpanyanyeq136RG-2126G-2config-ext-nacldenytcpanyanyeq137RG-2126G-2config-ext-nacldenytcpanyanyeq138RG-2126G-2config-ext-nacldenytcpanyanyeq139RG-2126G-2config-ext-nacldenytcpanyanyeq445RG-2126G-2config-ext-nacldenyudpanyanyeq135RG-2126G-2config-ext-nacldenyudpanyanyeq136RG-2126G-2config-ext-nacldenyudpanyanyeqnetbios-nsRG-2126G-2config-ext-nacldenyudpanyanyeqnetbios-dgmRG-2126G-2config-ext-nacldenyudpanyanyeqnetbios-ssRG-2126G-2config-ext-nacldenyudpanyanyeq445RG-2126G-2config-ext-naclpermitipanyanyRG-2126G-2config-ext-naclexitRG-2126G-2configinterfacerangefa0/1-24RG-2126G-2config-if-rangeipaccess-groupdeny_wormsin,,访问列表的验证,显示全部的访问列表Routershowaccess-lists显示指定的访问列表Routershowaccess-lists显示接口的访问列表应用Routershowipinterface,访问列表的注意事项,1、在进行规则匹配时，从上至下，匹配成功马上停止，不会继续匹配下面的规则。2、所有访问列表默认规则是拒绝所有数据包3、处理方式只有允许通过和拒绝通过4、一个端口在某一方向只能应用一组访问列表,实习项目配置命名ACL保护办公网安全,【工作任务】如图所示网络拓扑图是中北大学计算机科学技术学院学生网和行政办公网网络工作场景，要禁止学生网（172.16.3.0）访问行政办公网（172.16.1.0）中的设备，需要在三层交换机上做标准命名ACL技术控制，以实现网络之间的隔离。【项目设备】交换机（2台），PC1台、网线（1条）【实施过程】,