园区网的安全技术

园区网的安全技术第9章教学目标•通过本章学习使学员能够：1、了解常见的网络安全隐患及常用防范技术；2、熟悉交换机端口安全功能及配置3、掌握基于IP的标准、扩展ACL技术进行网络安全访问控制。本章内容•网络安全隐患•交换机端口安全•IP访问控制列表课程议题网络安全隐患常见的网络攻击：0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫针对网络服务器漏洞的攻击拒绝服务攻击基于缓冲区溢出的攻击与ActiveCode相关的攻击与协议弱点相关的攻击与不完全的密码相关的攻击网络攻击手段多种多样，以上是最常见的几种攻击不可避免攻击工具体系化网络攻击原理日趋复杂，但攻击却变得越来越简单易操作额外的不安全因素DMZE-MailFileTransferHTTPIntranet企业网络生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织现有网络安全体制现有网络安全防御体制IDS/IPS68%杀毒软件99%防火墙98%ACL71%VPN虚拟专用网防火墙包过滤防病毒入侵检测课程议题交换机端口安全交换机端口安全•利用交换机的端口安全功能实现–防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。•交换机端口安全的基本功能–限制交换机端口的最大连接数–端口的安全地址绑定交换机端口安全•安全违例产生于以下情况：–如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数–如果该端口收到一个源地址不属于端口上的安全地址的包•当安全违例产生时，你可以选择多种方式来处理违例：–Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包–Restrict：当违例产生时，将发送一个Trap通知–Shutdown：当违例产生时，将关闭端口并发送一个Trap通知配置安全端口•端口安全最大连接数配置–switchportport-security！打开该接口的端口安全功能–switchportport-securitymaximumvalue！设置接口上安全地址的最大个数，范围是1－128，缺省值为128–switchportport-securityviolation{protect|restrict|shutdown}！设置处理违例的方式•注意：1、端口安全功能只能在access端口上进行配置。2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。配置安全端口•端口的安全地址绑定–switchportport-security！打开该接口的端口安全功能–switchportport-securitymac-addressmac-addressip-addressip-address！手工配置接口上的安全地址•注意：1、端口安全功能只能在access端口上进行配置2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP案例（一）•下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect–Switch#configureterminal–Switch(config)#interfacegigabitethernet1/3–Switch(config-if)#switchportmodeaccess–Switch(config-if)#switchportport-security–Switch(config-if)#switchportport-securitymaximum8–Switch(config-if)#switchportport-securityviolationprotect–Switch(config-if)#end案例（二）•下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为192.168.12.202–Switch#configureterminal–Switch(config)#interfacefastethernet0/3–Switch(config-if)#switchportmodeaccess–Switch(config-if)#switchportport-security–Switch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address192.168.12.202–Switch(config-if)#end查看配置信息查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c192.168.12.202ConfiguredFa0/381课程议题IP访问控制列表什么是访问列表•IPAccess-list：IP访问列表或访问控制列表，简称IPACL–ACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP√为什么要使用访问列表内网安全运行访问外网的安全控制访问列表•访问控制列表的作用：–内网布署安全策略，保证内网安全权限的资源访问–内网访问外网时，进行安全的数据过滤–防止常见病毒、木马、攻击对用户的破坏访问列表的组成•定义访问列表的步骤–第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）–第二步，将规则应用在路由器（或交换机）的接口上•访问控制列表规则的分类：–1、标准访问控制列表–2、扩展访问控制列表访问列表规则的应用•路由器应用访问列表对流经接口的数据包进行控制–1.入栈应用（in）•经某接口进入设备内部的数据包进行安全规则过滤–2.出栈应用（out）•设备从某接口向外发送数据时进行安全规则过滤•一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT访问列表的入栈应用NY是否允许?Y是否应用访问列表?N查找路由表进行选路转发以ICMP信息通知源发送方以ICMP信息通知源发送方NY选择出口S0路由表中是否存在记录?NY查看访问列表的陈述是否允许?Y是否应用访问列表?NS0S0访问列表的出栈应用IPACL的基本准则•一切未被允许的就是禁止的–定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过•按规则链来进行匹配–使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配•规则匹配原则–从头到尾，至顶向下的匹配方式–匹配成功马上停止–立刻使用该规则的“允许/拒绝……”Y拒绝Y是否匹配规则条件1?允许N拒绝允许是否匹配规则条件2?拒绝是否匹配最后一个条件?YYNYY允许隐含拒绝N一个访问列表多条过滤规则访问列表规则的定义•标准访问列表–根据数据包源IP地址进行规则定义•扩展访问列表–根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义源地址TCP/UDP数据IPeg.HDLC1-99号列表IP标准访问列表目的地址源地址协议端口号IP扩展访问列表TCP/UDP数据IPeg.HDLC100-199号列表0表示检查相应的地址比特1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码（通配符）IP标准访问列表的配置1.定义标准ACL–编号的标准访问列表Router(config)#access-list1-99{permit|deny}源地址[反掩码]–命名的标准访问列表switch(config)#ipaccess-liststandardnameswitch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口–Router(config-if)#ipaccess-group1-99{in|out}172.16.3.0172.16.4.0F1/0S1/2F1/1172.17.0.0IP标准访问列表配置实例(一)•配置：–access-list1permit172.16.3.00.0.0.255(access-list1denyany)–interfaceserial1/2–ipaccess-group1out标准访问列表配置实例(二)•需求：–你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。•配置：–ipaccess-listextendedabc–permithost192.168.2.8–deny192.168.2.00.0.0.255财务192.168.1.0教师192.168.2.0192.168.2.8F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长IP扩展访问列表的配置1.定义扩展的ACL–编号的扩展ACL•Router(config)#access-list100-199{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]–命名的扩展ACL•ipaccess-listextended{name}{permit/deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口–Router(config-if)#ipaccess-group100-199{in|out}IP扩展访问列表配置实例(一)•如何创建一条扩展ACL–该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器172.168.12.3，但拒绝其它所有主机使用网络•Router(config)#access-list103permittcp192.168.0.00.0.255.255host172.168.12.3eq•Router#showaccess-lists103access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyanyinterfacetypenumberipaccess-group115inipaccess-group115outIP扩展访问列表配置实例(二)利用ACL隔离冲击波病毒访问列表的验证•显示全部的访问列表–Router#showaccess-lists•显示指定的访问列表–Router#showaccess-lists1-199•显示接口的访问列表应用–Router#showipinterface接口名称接口编号IP访问列表配置注意事项1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换