第十章 園區(qū)網(wǎng)安全設(shè)計

1、 2本章內(nèi)容 網(wǎng)絡(luò)安全隱患 交換機(jī)端口安全 IP訪問列表 3課程議題 網(wǎng)絡(luò)安全隱患 交換機(jī)端口安全 IP訪問列表 4復(fù)雜程度復(fù)雜程度Internet 技術(shù)的飛速增長Internet EmailWeb 瀏覽Intranet 站點電子商務(wù)電子商務(wù) 電子政務(wù)電子政務(wù)電子交易電子交易時間時間5網(wǎng)絡(luò)安全風(fēng)險安全需求和實際操作脫離 內(nèi)部的安全隱患動態(tài)的網(wǎng)絡(luò)環(huán)境有限的防御策略安全策略和實際執(zhí)行之間的巨大差異6針對網(wǎng)絡(luò)通訊層的攻擊通訊通訊 & 服務(wù)層服務(wù)層7針對操作系統(tǒng)的攻擊操作系統(tǒng)操作系統(tǒng)8針對應(yīng)用服務(wù)的攻擊應(yīng)用服務(wù)程序應(yīng)用服務(wù)程序SAP R/39外部個體外部個體外部外部/組織組織內(nèi)部個體內(nèi)部個體內(nèi)部內(nèi)部/

2、組織組織額外的不安全因素10網(wǎng)絡(luò)的普及使學(xué)習(xí)網(wǎng)絡(luò)進(jìn)攻變得容易全球超過26萬個黑客站點提供系統(tǒng)漏洞和攻擊知識越來越多的容易使用的攻擊軟件的出現(xiàn)11第一代第一代引導(dǎo)性病毒引導(dǎo)性病毒第二代第二代宏病毒宏病毒DOS電子郵件電子郵件有限的黑客有限的黑客攻擊攻擊第三代第三代網(wǎng)絡(luò)網(wǎng)絡(luò)DOS攻擊攻擊混合威脅（混合威脅（蠕蟲蠕蟲+病毒病毒+特洛伊）特洛伊）廣泛的系統(tǒng)廣泛的系統(tǒng)黑客攻擊黑客攻擊下一代下一代網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客設(shè)施黑客攻擊攻擊瞬間威脅瞬間威脅大規(guī)模蠕大規(guī)模蠕蟲蟲DDoS破壞有效破壞有效負(fù)載的病負(fù)載的病毒和蠕蟲毒和蠕蟲波及全球的波及全球的網(wǎng)絡(luò)基礎(chǔ)架網(wǎng)絡(luò)基礎(chǔ)架構(gòu)構(gòu)地區(qū)網(wǎng)絡(luò)地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個

3、網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機(jī)單臺計算機(jī)周周天天分鐘分鐘秒秒影響的目標(biāo)影響的目標(biāo)和范圍和范圍1980s1990s今天今天未來未來安全事件對我們的安全事件對我們的威脅威脅越來越快越來越快網(wǎng)絡(luò)安全的演化12現(xiàn)有網(wǎng)絡(luò)安全現(xiàn)有網(wǎng)絡(luò)安全防御體制防御體制IDS68%殺毒軟件殺毒軟件99%防火墻防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制1314課程議題 網(wǎng)絡(luò)安全隱患 交換機(jī)端口安全 IP訪問列表 15交換機(jī)端口安全 利用交換機(jī)的端口安全功能可以防止局域網(wǎng)大部分的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞。如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。 交換機(jī)端口安全的基本功能 限制交換機(jī)端口的最大連接數(shù) 端口的安全地

4、址綁定16交換機(jī)端口安全 如果一個端口被配置為一個安全端口，當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個數(shù)后; 如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產(chǎn)生。一個安全違例將產(chǎn)生。 當(dāng)安全違例產(chǎn)生時，你可以選擇多種方式來處理違例： Protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。 RestrictTrap：當(dāng)違例產(chǎn)生時，將發(fā)送一個Trap通知。 Shutdown：當(dāng)違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知。17配置安全端口 端口安全最大連接數(shù)配置 switchport port-security 打開該接口的端口安全

5、功能 switchport port-security maximum value設(shè)置接口上安全地址的最大個數(shù)，范圍是1128，缺省值為128。 switchport port-security violationprotect| restrict | shutdown設(shè)置處理違例的方式18配置安全端口 端口的安全地址綁定 switchport port-security 打開該接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。19端口安全配置示例 下面的例子

6、是配置接口gigabitethernet1/3上的端口安全功能，設(shè)置最大地址個數(shù)為8，設(shè)置違例方式為protect。 Switch# configure terminal Switch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchpor

7、t port-security violation protect Switch(config-if)# end20端口安全配置示例 下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口綁定地址，主機(jī)MAC為00d0.f800.073c，IP為02 Switch# configure terminal Switch(config)# interface fastethernet 0/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-secu

8、rity Switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02 Switch(config-if)# end21驗證命令 查看所有接口的安全統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等。 Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - - Gi1/3 8 1 Protect22驗證命令 查

9、看安全地址信息。 Switch# show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - -1 00d0.f800.073c 02 Configured Fa0/3 8 123課程議題 網(wǎng)絡(luò)安全隱患 交換機(jī)端口安全 IP訪問列表 ISP什么是訪問列表 IP Access-list：IP訪問列表或訪問控制列表，簡稱IP ACL IP ACL就是對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包根據(jù)一定的規(guī)則進(jìn)行數(shù)據(jù)包的過濾。25 為什么要使用訪問列表可以是路由器或三層交換

10、機(jī)或防火墻26接入層交換機(jī)接入層交換機(jī)RG-S2126核心交換機(jī)核心交換機(jī)RG-S3512G /RG-S4009服務(wù)器群服務(wù)器群路由器路由器RG-NBR1000Internet交交換換機(jī)機(jī)堆堆疊疊接入層交換機(jī)接入層交換機(jī)RG-S2126不同部門所屬不同部門所屬VLAN不同不同12221112技術(shù)部技術(shù)部VLAN20財務(wù)部財務(wù)部VLAN10隔離病毒源隔離病毒源隔離外網(wǎng)病毒隔離外網(wǎng)病毒W(wǎng)WWEMAILFTP為什么要使用訪問列表27訪問列表的組成 定義訪問列表的步驟 第一步，定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過） 第二步，將規(guī)則應(yīng)用在路由器（或交換機(jī)）的接口上 訪問控制列表的分類： 1、標(biāo)

11、準(zhǔn)訪問控制列表 2、擴(kuò)展訪問控制列表 訪問控制列表規(guī)則元素 源IP、目的IP、源端口、目的端口、協(xié)議編寫列表的原則： 原則 每個接口上只應(yīng)用一個訪問列表 將更特殊的測試放在訪問列表的最前面 新添加條目，放在整個列表的尾部 因為不能刪除一行，所以建議使用文本編輯器 每個列表應(yīng)最少有一個permit命令 要先有列表，再應(yīng)用到接口，反之不行 他過濾通過路由器的流量，但不過濾路由器產(chǎn)生的流量編寫列表的原則： 原則 標(biāo)準(zhǔn)訪問控制列表應(yīng)放在靠近目的地址的位置 擴(kuò)展列表應(yīng)盡量放在靠近源地址的位置企業(yè)網(wǎng)中配置ACL減輕安全問題的規(guī)則 拒絕任何來自內(nèi)部網(wǎng)絡(luò)的地址 拒絕任何本地主機(jī)地址(/8)

12、拒絕任何保留的專用地址 拒絕任何IP組播地址范圍(/24)之中的地址31 訪問列表規(guī)則的應(yīng)用 路由器應(yīng)用訪問列表對流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制 1.入棧應(yīng)用（in） 2.出棧應(yīng)用（out）32訪問列表的入棧應(yīng)用NY是否允許是否允許?Y是否應(yīng)用是否應(yīng)用訪問列表訪問列表?N查找路由表查找路由表進(jìn)行選路轉(zhuǎn)發(fā)進(jìn)行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口選擇出口S0路由表中是否路由表中是否存在記錄存在記錄?NY查看訪問列表查看訪問列表的陳述的陳述是否允許是否允許?Y是否應(yīng)用是否應(yīng)用訪問列表訪問列表?NS0S0 訪問列表的出棧應(yīng)用34IP ACL的基本準(zhǔn)則 一

13、切未被允許的就是禁止的。 路由器或三層交換機(jī)缺省允許所有的信息流通過; 而防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項開放。 按規(guī)則鏈來進(jìn)行匹配 使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配 從頭到尾，至頂向下的匹配方式 匹配成功馬上停止 立刻使用該規(guī)則的“允許、拒絕”Y拒絕拒絕Y是否匹配是否匹配測試條件測試條件1?允許允許N拒絕拒絕允許允許是否匹配是否匹配測試條件測試條件2?拒絕拒絕是否匹配是否匹配最后一個最后一個測試條件測試條件?YYNYY允許允許被系統(tǒng)隱被系統(tǒng)隱含拒絕含拒絕N 一個訪問列表多個測試條件36訪問列表規(guī)則的定義 標(biāo)準(zhǔn)訪問列表 根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)

14、則定義 擴(kuò)展訪問列表 根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義源地址源地址TCP/UDP數(shù)據(jù)數(shù)據(jù)IPeg.HDLC1-99 號列表號列表 IP標(biāo)準(zhǔn)訪問列表目的地址目的地址源地址源地址協(xié)議協(xié)議端口號端口號100-199號列表號列表 TCP/UDP數(shù)據(jù)數(shù)據(jù)IPeg.HDLC IP擴(kuò)展訪問列表 0表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特00111111128643216842100000000000011111111110011111111 反掩碼（通配符） IP標(biāo)準(zhǔn)訪問列表的配置 1.定義標(biāo)準(zhǔn)ACL 編號的標(biāo)準(zhǔn)訪問列表Router(config)#access-l

15、ist permit|deny 源地址 反掩碼 命名的標(biāo)準(zhǔn)訪問列表 ip access-list standard name denysource source-wildcard|hostsource|any or permit source source-wildcard|hostsource|any 2.應(yīng)用ACL到接口 Router(config-if)#ip access-group |name in | out 41access-list 1 permit 55(access-list 1 deny 55)

16、interface serial 0ip access-group 1 outF0S0F1 IP標(biāo)準(zhǔn)訪問列表配置實例標(biāo)準(zhǔn)ACL的應(yīng)用注注:不要忘記將不要忘記將ACL應(yīng)用于接口下應(yīng)用于接口下例：銷售部不允許訪問財務(wù)部的辦公網(wǎng)絡(luò)，但是可以訪問例：銷售部不允許訪問財務(wù)部的辦公網(wǎng)絡(luò)，但是可以訪問Internet和市場部！和市場部！控制VTY(Telnet)訪問 Vty線路上的應(yīng)用訪問控制列表命令 區(qū)別在于只應(yīng)用于telnet數(shù)據(jù)包 access-list 50 permit line vty 0 4 access-cl

17、ass 50 in IP擴(kuò)展訪問列表的配置 1.定義擴(kuò)展的ACL 編號的擴(kuò)展ACL Router(config)#access-list permit /deny 協(xié)議 源地址 反掩碼 源端口 目的地址 反掩碼 目的端口 命名的擴(kuò)展ACL ip access-list extended name deny|permit protocolsource source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port 2.應(yīng)用ACL到

18、接口 Router(config-if)#ip access-group |name in | out IP擴(kuò)展訪問列表配置實例 下例顯示如何創(chuàng)建一條Extended IP ACL，該ACL有一條ACE，用于允許指定網(wǎng)絡(luò)（192.168.x.x）的所有主機(jī)以HTTP訪問服務(wù)器，但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)。 Switch (config)# ip access-list extended abc Switch (config-ext-nacl)# permit tcp 55 host eq www Swi

19、tch (config-ext-nacl)#end Switch # show access-lists46access-list 115 deny udp any any eq 69 access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 135access-list

20、115 deny udp any any eq 137access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 593access-list 115 deny tcp an