中小企業(yè)網(wǎng)絡(luò)設(shè)備配置與管理-園區(qū)網(wǎng)的安全

中小企業(yè)網(wǎng)絡(luò)設(shè)備配置與管理情境五：園區(qū)網(wǎng)的平安學(xué)習(xí)目標(biāo)通過本章的學(xué)習(xí)，希望您能夠：了解園區(qū)網(wǎng)平安隱患掌握交換機端口平安原理及配置方法掌握ACL的工作原理及配置方法本章內(nèi)容園區(qū)網(wǎng)平安隱患園區(qū)網(wǎng)的常見平安隱患園區(qū)網(wǎng)平安解決方案的整體思路交換機端口平安交換機端口平安概述端口平安的配置訪問控制列表訪問控制列表概述ACL的種類配置ACL課程議題園區(qū)網(wǎng)平安隱患[東邪]龔蔚

龔蔚與東邪黃藥師相似的地方在于，他們的眾多“弟子”紛紛背叛了自己，要么另立門戶，要么被視為江湖異類，門庭逐漸衰落。[中神通]小榕

說到中國黑客江湖，基本無人不知小榕。中國黑客江湖不是因小榕而始，也不會因小榕以后退隱而湮滅，但中國黑客江湖卻是因小榕的突起得到無限的延伸。

[南帝]謝朝霞

中國黑客武林的鼻祖式人物，中國黑客十年，謝朝霞做了10年的黑客，謝朝霞的地位沒因時間的消逝而褪去。

[北丐]萬濤

作為中國鷹派的創(chuàng)始人，在中日黑客抗戰(zhàn)、印尼排華戰(zhàn)爭、中美黑客大戰(zhàn)、反臺獨戰(zhàn)役，均有萬濤的身影，并扮演了重要的角色[西毒]黃鑫

他沒入侵過任何一部機器，沒黑過任何一個網(wǎng)站，沒參與任何愛國保衛(wèi)戰(zhàn)。但不妨礙黃鑫成為中國黑客江湖旗幟性人物之一，他被冠予木馬教父之名。常見的網(wǎng)絡(luò)攻擊： 網(wǎng)絡(luò)攻擊手段多種多樣，以上是最常見的幾種攻擊不可防止攻擊工具體系化網(wǎng)絡(luò)攻擊原理日趨復(fù)雜，但攻擊卻變得越來越簡單易操作額外的不平安因素

DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡(luò)生產(chǎn)部工程部市場部人事部路由Internet中繼外部個體外部/組織內(nèi)部個體內(nèi)部/組織現(xiàn)有網(wǎng)絡(luò)平安體制現(xiàn)有網(wǎng)絡(luò)安全防御體制IDS/IPS68%殺毒軟件99%防火墻98%ACL71%VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測園區(qū)網(wǎng)的常見平安隱患網(wǎng)絡(luò)平安的隱患是指計算機或其他通信設(shè)備利用網(wǎng)絡(luò)進行交互時可能會受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)平安或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。園區(qū)網(wǎng)絡(luò)平安隱患包括的范圍比較廣，如自然火災(zāi)、意外事故、人為行為〔如使用不當(dāng)、平安意識差等〕、黑客行為、內(nèi)部泄密、外部泄密、信息喪失、電子監(jiān)聽〔信息流量分析、信息竊取等〕和信息戰(zhàn)等。非人為或自然力造成的硬件故障、電源故障、軟件錯誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)喪失或損壞。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。園區(qū)網(wǎng)平安解決方案的整體思路制定一個嚴(yán)格的平安策略可以通過交換機端口平安、配置訪問控制列表ACL、在防火墻實現(xiàn)包過濾等技術(shù)來實現(xiàn)一套可行的園區(qū)網(wǎng)平安解決方案。宣傳教育課程議題交換機端口平安交換機端口平安利用交換機的端口平安功能實現(xiàn)防止局域網(wǎng)大局部的內(nèi)部攻擊對用戶、網(wǎng)絡(luò)設(shè)備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口平安的根本功能限制交換機端口的最大連接數(shù)端口的平安地址綁定交換機端口平安概述交換機的端口平安機制是工作在交換機二層端口上的一個平安特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。配置端口平安存在以下限制：一個平安端口必須是一個Access端口，及連接終端設(shè)備的端口，而非Trunk端口。一個平安端口不能是一個聚合端口〔AggregatePort〕。一個平安端口不能是SPAN的目的端口。交換機端口平安概述當(dāng)配置完成端口平安之后，如果當(dāng)違例產(chǎn)生時，可以設(shè)置下面幾種針對違例的處理模式：protect：當(dāng)平安地址個數(shù)滿后，平安端口將丟棄未知名地址(不是該端口的平安地址中的任何一個)的包restrict：當(dāng)違例產(chǎn)生時，交換機不但丟棄接收到的幀〔MAC地址不在平安地址表中〕，而且將發(fā)送一個SNMPTrap報文shutdown：當(dāng)違例產(chǎn)生時，交換機將丟棄接收到的幀〔MAC地址不在平安地址表中〕，發(fā)送一個SNMPTrap報文，而且將端口關(guān)閉。端口平安的配置Switch(conifg-if)#

switchportport-security

Switch(conifg-if)#switchportport-securitymaximum

number

Switch(conifg-if)#

switchportport-securityviolation

{protect|restrict|shutdown}1、翻開該接口的端口平安功能2、設(shè)置接口上平安地址的最大個數(shù)3、配置處理違例的方式案例〔一〕下面的例子是配置接口gigabitethernet1/3上的端口平安功能，設(shè)置最大地址個數(shù)為8，設(shè)置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end配置平安端口上的平安地址Switch(conifg-if)#

switchportport-security

[mac-address

mac-address[ip-address

ip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#

errdisablerecoveryinterval

time配置平安端口上的平安地址當(dāng)端口由于違規(guī)操作而進入“err-disabled〞狀態(tài)后，必須在全局模式下使用如下命令手工將其恢復(fù)為UP狀態(tài)設(shè)置端口從“err-disabled〞狀態(tài)自動恢復(fù)所等待的時間Switch(conifg-if)#

switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#

noswitchportport-securityagingstatic

配置平安地址的老化時間關(guān)閉一個接口的平安地址老化功能〔老化時間為0〕使老化時間僅應(yīng)用于動態(tài)學(xué)習(xí)到的平安地址案例〔二〕下面的例子是配置接口fastethernet0/3上的端口平安功能，配置端口綁定地址，主機MAC為，IP為Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-addressSwitch(config-if)#end查看端口平安信息Switch#

showport-securityinterface[interface-id]

Switch

#showport-securityaddress

Switch

#

showport-security

顯示所有接口的平安設(shè)置狀態(tài)、違例處理等信息來查看平安地址信息，顯示平安地址及老化時間顯示所有平安端口的統(tǒng)計信息，包括最大平安地址數(shù)，當(dāng)前平安地址數(shù)以及違例處理方式等查看配置信息查看所有接口的平安統(tǒng)計信息，包括最大平安地址數(shù)，當(dāng)前平安地址數(shù)以及違例處理方式等Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看平安地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381課程議題IP訪問控制列表訪問控制列表概述訪問表〔accesslist〕是一個有序的語句集，它通過匹配報文中信息與訪問表參數(shù)，來允許報文通過或拒絕報文通過某個接口。為什么要使用訪問列表內(nèi)網(wǎng)平安運行訪問外網(wǎng)的平安控制訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署平安策略，保證內(nèi)網(wǎng)平安權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時，進行平安的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對用戶的破壞ACL工作原理及步驟ACL語句有兩個組件：一個是條件，一個是操作。條件：條件根本上一個組規(guī)那么操作：當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時，可以采取允許和拒絕兩個操作。定義訪問列表的步驟第一步，定義規(guī)那么〔哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過〕第二步，將規(guī)那么應(yīng)用在路由器〔或交換機〕的接口上訪問列表規(guī)那么的應(yīng)用路由器應(yīng)用訪問列表對流經(jīng)接口的數(shù)據(jù)包進行控制1.入棧應(yīng)用〔in〕經(jīng)某接口進入設(shè)備內(nèi)部的數(shù)據(jù)包進行平安規(guī)那么過濾2.出棧應(yīng)用〔out〕設(shè)備從某接口向外發(fā)送數(shù)據(jù)時進行平安規(guī)那么過濾一個接口在一個方向只能應(yīng)用一組訪問控制列表F1/0F1/1INOUT訪問列表的入棧應(yīng)用NY是否允許

?Y是否應(yīng)用

訪問列表

?N查找路由表進行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應(yīng)用

訪問列表

?NS0S0訪問列表的出棧應(yīng)用IPACL的根本準(zhǔn)那么一切未被允許的就是禁止的定義訪問控制列表規(guī)那么時，最終的缺省規(guī)那么是拒絕所有數(shù)據(jù)包通過按規(guī)那么鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配規(guī)那么匹配原那么從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)那么的“允許/拒絕……〞IP訪問列表配置本卷須知1、一個端口在一個方向上只能應(yīng)用一組ACL2、銳捷全系列交換機可針對物理接口和SVI接口應(yīng)用ACL針對物理接口，只能配置入棧應(yīng)用(In)針對SVI〔虛擬VLAN〕接口，可以配置入?！睮n〕和出棧〔Out〕應(yīng)用3、訪問列表的缺省規(guī)那么是：拒絕所有ACL的種類兩種根本的ACL：標(biāo)準(zhǔn)ACL和擴展ACL標(biāo)準(zhǔn)IPACL只能過濾IP數(shù)據(jù)包頭中的源IP地址擴展IPACL可以過濾源IP地址、目的IP地址、協(xié)議〔TCP/IP〕、協(xié)議信息〔端口號、標(biāo)志代碼〕等，通配掩碼〔wildcardmask〕是分成4字節(jié)的32bit數(shù)。通配掩碼與IP地址位位配對，相應(yīng)位為0/1，用于表示如何對待IP地址中的相應(yīng)位。通配掩碼某位是0，表示檢查相應(yīng)bit位的值；通配掩碼某位是1，表示不檢查(忽略)相應(yīng)位的值。ACL使用通配掩碼來控制一個或者多個需要進行"允許"或者"禁止"檢查的IP地址。盡管都是32位，通配掩碼與子網(wǎng)掩碼不同。在子網(wǎng)掩碼中，0/1決定了相應(yīng)主機IP地址是網(wǎng)絡(luò)位、子網(wǎng)位還是主機位。在通配掩碼中，0/1決定ACL是否檢查或者忽略IP地址中的相應(yīng)位。通配掩碼通配掩碼舉例假設(shè)一個B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報訪問。通配掩碼舉例假設(shè)一個B類地址，有8位的子網(wǎng)地址。想使用通配掩碼，允許所有來自于網(wǎng)絡(luò)～網(wǎng)絡(luò)的數(shù)據(jù)報訪問。首先，檢查前面兩個字節(jié)(171.30)，通配掩碼中的前兩個字節(jié)位全為0。由于沒有興趣檢查主機地址，通配掩碼的最后一個字節(jié)位全為1。通配掩碼的第三個字節(jié)應(yīng)該是15(00001111)。與之相應(yīng)的通配掩碼是，將匹配子網(wǎng)到的IP地址。標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址標(biāo)準(zhǔn)ACL通常用在路由器配置以下功能：

限制通過VTY線路對路由器的訪問〔telnet、SSH〕；限制通過HTTP或HTTPS對路由器的訪問；過濾路由更新。標(biāo)準(zhǔn)ACLRouter(config)#

access-list

<1-99>{

permit|deny}address[wildcard–mask]Router(config-if)#ipaccess-group

{id|name}{in|out}通過兩種方式創(chuàng)立標(biāo)準(zhǔn)ACL：編號或名稱1、使用編號創(chuàng)立ACL2、在接口上應(yīng)用標(biāo)準(zhǔn)ACL〔使用命名〕Router(config)#

ipaccess-liststandard

nameRouter(config-std-nacl)#{deny|permit[source

wildcard|any]}Router(config-if)#

ipaccess-group

{id|name}{in|out}定義ACL名稱定義規(guī)那么在接口上應(yīng)用IP標(biāo)準(zhǔn)訪問列表配置實例(一)禁止網(wǎng)段用戶訪問網(wǎng)段配置：(access-list1denyany)interfaceserial1/2ipaccess-group1out/24/24F1/0S1/2F1/1/24能否將規(guī)那么應(yīng)用到F1/0端口？標(biāo)準(zhǔn)訪問列表配置實例(二)需求：你是某校園網(wǎng)管，領(lǐng)導(dǎo)要你對網(wǎng)絡(luò)的數(shù)據(jù)流量進行控制,要求校長可以訪問財務(wù)的主機，但教師機不可以訪問。配置：ipaccess-liststandardabcpermithost財務(wù)教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長以以下圖的結(jié)構(gòu)為例，介紹標(biāo)準(zhǔn)ACL的使用。實例1：E0端口只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)報被轉(zhuǎn)發(fā)，其余的將被阻止。實例2：E0端口不允許來自于特定地址的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實例3：E0端口不允許來自于特定子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。標(biāo)準(zhǔn)訪問列表配置實例(三)/24/243E0S0E1/24實例1：只允許指定的網(wǎng)絡(luò)數(shù)據(jù)E0和E1端口只允許來自于網(wǎng)絡(luò)的數(shù)據(jù)報被轉(zhuǎn)發(fā)，其余的將被阻止。第一個ACL命令用“permit〞允許來自于此指定網(wǎng)絡(luò)的數(shù)據(jù)流，通配掩碼說明要檢查匹配IP地址中的網(wǎng)絡(luò)位〔前16位〕。最后將ACL關(guān)聯(lián)到端口E0和E1。access-list1permit55(implicitdenyall-notvisibleinthelist)(access-list1deny55)interfaceethernet0ipaccess-group1outinterfaceethernet1ipaccess-group1out實例2：禁止來自特定地址的數(shù)據(jù)E0端口不允許來自于特定地址的數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個ACL命令用“deny〞禁止來自于此指定主機的數(shù)據(jù)流，通配掩碼說明要檢查匹配地址中的所有的位。第二個ACL命令中，“55〞IP地址和通配掩碼組合，表示允許來自于任何源的數(shù)據(jù)流。這個組合，也可以用關(guān)鍵字“any〞替代。最后將ACL關(guān)聯(lián)到端口E0。access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)interfaceethernet0ipaccess-group1out實例3：禁止來自特定子網(wǎng)的數(shù)據(jù)E0端口不允許來自于特定的子網(wǎng)的數(shù)據(jù)，而轉(zhuǎn)發(fā)其它的數(shù)據(jù)。第一個ACL命令用“deny〞禁止來自子網(wǎng)的數(shù)據(jù)流，通配掩碼，前三個字節(jié)表示IP地址中的前三個字節(jié)將被檢測。而最后一個字節(jié)全1，說明將不關(guān)心IP地址的主機局部。第二個ACL命令表示在之前沒有匹配的時候允許任何的源IP地址。最后將ACL關(guān)聯(lián)到端口E0。access-list1deny55access-list1permitany(implicitdenyall)

(access-list1deny55)interfaceethernet0ipaccess-group1outany命令使用二進制通配掩碼很不方便，某些通配掩碼可以使用縮寫形式替代。這些縮寫形式，減少了在配置地址檢查條件時候的鍵入量。假設(shè)想允許任何目標(biāo)地址都被允許，為了檢查任何地址，需要輸入。要使ACL忽略任意值，通配掩碼為：55?？梢允褂每s寫形式，來指定相同的測試條件。等價于Router(config)#access-list1permitanyhost命令當(dāng)想匹配IP地址中所有的位時，CiscoIOS允許使用另一個ACL通配掩碼的縮寫。假設(shè)希望一個特定的IP地址，在ACL的檢查中獲得允許。為了指明這個主機地址，將輸入整個地址〔如〕。然后，為了指明ACL將檢查地址中的所有的位，相應(yīng)的通配掩碼的各位將設(shè)置成0〔即〕?？梢允褂每s寫形式來完成這個任務(wù)。等價于any和host命令擴展訪問控制列表擴展的IP訪問表用于擴展報文過濾能力。一個擴展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報文：源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進行特殊位比較的各種選項。擴展訪問控制列表Router(config)#

access-list<100-199>{

permit|deny}protocol

source

source-wildcard–mask

destination

destination-wildcard–mask[operatoroperand]Router(config-if)#ipaccess-group

{id|name}{in|out}可以通過兩種方式為擴展ACL語句分組：通過編號或名稱創(chuàng)立擴展ACL接口上應(yīng)用擴展訪問控制列表〔命名的擴展ACL〕Router(config)#

ipacess-listextended

nameRouter(config-if)#ipaccess-group

{id|name}{in|out}Router(conig-ext-nacl)#{deny|permit}protocol{sourcesource-wildcard|hostsource|any}[operator

port]定義擴展ACL名稱定義規(guī)那么在接口上應(yīng)用IP擴展訪問列表配置實例(一)如何創(chuàng)立一條擴展ACL有一條ACL，用于允許指定網(wǎng)絡(luò)〔〕的所有主機以HTTP訪問效勞器，但拒絕其它所有主機使用網(wǎng)絡(luò)Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103

access-list115denyudpanyanyeq69access-list115denytcpanyanyeq135access-list115denyudpanyanyeq135access-list115denyudpanyanyeq137access-list115denyudpanyanyeq138access-list115denytcpanyanyeq139access-list115denyudpanyanyeq139access-list115denytcpanyanyeq445access-list115denytcpanyanyeq593access-list115denytcpanyanyeq4444access-list115permitipanyany

interface<type><number>ipaccess-group115inipaccess-group115outIP擴展訪問列表配置實例(二)利用ACL隔離沖擊波病毒IP擴展訪問列表配置實例(二)以以下圖的結(jié)構(gòu)為例，介紹擴展ACL的使用。實例1：在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。實例2：在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的Telnet數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。/24/243E0S0E1/24實例1：禁止轉(zhuǎn)出FTP數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的FTP數(shù)據(jù)流到子網(wǎng)，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個ACL命令用“deny〞禁止來自子網(wǎng)的FTP-DATA〔port=20〕數(shù)據(jù)流到子網(wǎng)。第二個ACL命令用“deny〞禁止來自子網(wǎng)的FTP〔port=21〕數(shù)據(jù)流到子網(wǎng)。第三個ACL命令表示允許任何的數(shù)據(jù)流。最后將此ACL101關(guān)聯(lián)到端口E0。access-list101denytcp5555eq21access-list101denytcp5555eq20access-list101permitipanyany(implicitdenyall)(access-list101denyip5555)interfaceethernet0ipaccess-group101out實例2：禁止轉(zhuǎn)出Telnet數(shù)據(jù)在E0端口，禁止轉(zhuǎn)出來自子網(wǎng)的Telnet數(shù)據(jù)流，其它的數(shù)據(jù)流將被轉(zhuǎn)發(fā)。第一個ACL命令用“deny〞禁止來自子網(wǎng)的Telnet(port=23)數(shù)據(jù)流。第二個ACL命令表示允許任何的數(shù)據(jù)流。