园区网的安全技术.ppt
园区网的安全技术,第9章,,,教学目标,通过本章学习使学员能够1、了解常见的网络安全隐患及常用防范技术;2、熟悉交换机端口安全功能及配置3、掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。,本章内容,网络安全隐患交换机端口安全IP访问控制列表,课程议题,,网络安全隐患,常见的网络攻击,网络攻击手段多种多样,以上是最常见的几种,攻击不可避免,攻击工具体系化,网络攻击原理日趋复杂,但攻击却变得越来越简单易操作,额外的不安全因素,,,,,DMZE-MailFileTransferHTTP,Intranet,,企业网络,生产部,工程部,市场部,,,人事部,路由,,,,,,,,Internet,中继,外部个体,,,外部/组织,,,,内部个体,内部/组织,,现有网络安全体制,,,VPN虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,,交换机端口安全,交换机端口安全,利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定,交换机端口安全,安全违例产生于以下情况如果一个端口被配置为一个安全端口,当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包当安全违例产生时,你可以选择多种方式来处理违例Protect当安全地址个数满后,安全端口将丢弃未知名地址(不是该端口的安全地址中的任何一个)的包Restrict当违例产生时,将发送一个Trap通知Shutdown当违例产生时,将关闭端口并发送一个Trap通知,配置安全端口,端口安全最大连接数配置switchportport-security打开该接口的端口安全功能switchportport-securitymaximumvalue设置接口上安全地址的最大个数,范围是1-128,缺省值为128switchportport-securityviolation{protect|restrict|shutdown}设置处理违例的方式注意1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后,在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。,配置安全端口,端口的安全地址绑定switchportport-security打开该接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address手工配置接口上的安全地址注意1、端口安全功能只能在access端口上进行配置2、端口的安全地址绑定方式有单MAC、单IP、MACIP,案例(一),下面的例子是配置接口gigabitethernet1/3上的端口安全功能,设置最大地址个数为8,设置违例方式为protectSwitchconfigureterminalSwitchconfiginterfacegigabitethernet1/3Switchconfig-ifswitchportmodeaccessSwitchconfig-ifswitchportport-securitySwitchconfig-ifswitchportport-securitymaximum8Switchconfig-ifswitchportport-securityviolationprotectSwitchconfig-ifend,案例(二),下面的例子是配置接口fastethernet0/3上的端口安全功能,配置端口绑定地址,主机MAC为00d0.f800.073c,IP为192.168.12.202SwitchconfigureterminalSwitchconfiginterfacefastethernet0/3Switchconfig-ifswitchportmodeaccessSwitchconfig-ifswitchportport-securitySwitchconfig-ifswitchportport-securitymac-address00d0.f800.073cip-address192.168.12.202Switchconfig-ifend,查看配置信息,查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等Switchshowport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switchshowport-securityaddressVlanMacAddressIPAddressTypePortRemainingAgemins-------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/381,课程议题,,IP访问控制列表,什么是访问列表,IPAccess-listIP访问列表或访问控制列表,简称IPACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤,,,,,,,ISP,,,,,√,为什么要使用访问列表,内网安全运行,,访问外网的安全控制,访问列表,访问控制列表的作用内网布署安全策略,保证内网安全权限的资源访问内网访问外网时,进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏,访问列表的组成,定义访问列表的步骤第一步,定义规则(哪些数据允许通过,哪些数据不允许通过)第二步,将规则应用在路由器(或交换机)的接口上访问控制列表规则的分类1、标准访问控制列表2、扩展访问控制列表,,,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制1.入栈应用(in)经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用(out)设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表,F1/0,F1/1,IN,OUT,访问列表的入栈应用,,,,,N,Y,是否允许,Y,,是否应用访问列表,N,,查找路由表进行选路转发,,以ICMP信息通知源发送方,,,,以ICMP信息通知源发送方,,,,,,,,N,Y,,,,,选择出口S0,,,路由表中是否存在记录,N,Y,查看访问列表的陈述,是否允许,Y,,,是否应用访问列表,,,N,S0,S0,,访问列表的出栈应用,,IPACL的基本准则,一切未被允许的就是禁止的定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾,至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝”,,,,,Y,,,拒绝,Y,,,,是否匹配规则条件1,,,,允许,N,,,拒绝,,允许,,,是否匹配规则条件2,,,,拒绝,,,,是否匹配最后一个条件,Y,Y,N,,Y,Y,,,允许,,隐含拒绝,,N,一个访问列表多条过滤规则,访问列表规则的定义,标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义,源地址,,,,,,TCP/UDP,,数据,IP,eg.HDLC,,1-99号列表,IP标准访问列表,目的地址,源地址,协议,端口号,,,,,IP扩展访问列表,,,,,TCP/UDP,,数据,IP,eg.HDLC,,100-199号列表,0表示检查相应的地址比特1表示不检查相应的地址比特,,,,,,,,,128,64,32,16,8,4,2,1,,0,0,0,0,0,0,0,0,反掩码(通配符),,IP标准访问列表的配置,1.定义标准ACL编号的标准访问列表Routerconfigaccess-list{permit|deny}源地址[反掩码]命名的标准访问列表switchconfigipaccess-liststandardswitchconfig-std-nacl{permit|deny}源地址[反掩码]2.应用ACL到接口Routerconfig-ifipaccess-group{in|out},172.16.3.0,172.16.4.0,F1/0,S1/2,F1/1,,,,,,,172.17.0.0,,,IP标准访问列表配置实例一,配置access-list1permit172.16.3.00.0.0.255access-list1denyanyinterfaceserial1/2ipaccess-group1out,标准访问列表配置实例二,需求你是某校园网管,领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机,但教师机不可以访问。配置ipaccess-listextendedabcpermithost192.168.2.8deny192.168.2.00.0.0.255,,IP扩展访问列表的配置,1.定义扩展的ACL编号的扩展ACLRouterconfigaccess-list{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Routerconfig-ifipaccess-group{in|out},IP扩展访问列表配置实例一,如何创建一条扩展ACL该ACL有一条ACE,用于允许指定网络(192.168.x..x)的所有主机以HTTP访问服务器172.168.12.3,但拒绝其它所有主机使用网络Routerconfigaccess-list103permittcp192.168.0.00.0.255.255host172.168.12.3eqwwwRoutershowaccess-lists103,access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyanyinterfaceipaccess-group115inipaccess-group115out,IP扩展访问列表配置实例二,利用ACL隔离冲击波病毒,,访问列表的验证,显示全部的访问列表Routershowaccess-lists显示指定的访问列表Routershowaccess-lists显示接口的访问列表应用Routershowipinterface接口名称接口编号,IP访问列表配置注意事项,1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口,只能配置入栈应用In针对SVI(虚拟VLAN)接口,可以配置入栈(In)和出栈(Out)应用3、访问列表的缺省规则是拒绝所有,课程回顾,网络安全隐患交换机端口安全IP访问控制列表,TheEnd,