版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
園區(qū)網(wǎng)安全Contents思考與練習(xí)訪問控制列表交換機(jī)端口安全園區(qū)網(wǎng)安全隱患引言Hubeiuniversityoftechnology園區(qū)網(wǎng)安全隱患Hubeiuniversityoftechnology園區(qū)網(wǎng)的常見安全隱患網(wǎng)絡(luò)安全的隱患是指計(jì)算機(jī)或其他通信設(shè)備利用網(wǎng)絡(luò)進(jìn)行交互時(shí)可能會(huì)受到的竊聽、攻擊或破壞,它是指具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。園區(qū)網(wǎng)絡(luò)安全隱患包括的范圍比較廣,如自然火災(zāi)、意外事故、人為行為(如使用不當(dāng)、安全意識(shí)差等)、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽(信息流量分析、信息竊取等)和信息戰(zhàn)等。非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。Hubeiuniversityoftechnology人的威脅最為嚴(yán)重人自然災(zāi)害惡意非惡意不熟練的員工(外部)黑客威脅(內(nèi)部)不滿的員工(外部)戰(zhàn)爭(zhēng)Hubeiuniversityoftechnology漏洞物理自然硬件軟件媒介通訊人External
attackerCorporateAssetsInternal
attackerIncorrect
permissionsVirusHubeiuniversityoftechnology網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅(蠕蟲+病毒+特洛伊)廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對(duì)我們的威脅越來越快第三代網(wǎng)絡(luò)DOS攻擊混合威脅(蠕蟲+病毒+特洛伊)廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅(蠕蟲+病毒+特洛伊)廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅(蠕蟲+病毒+特洛伊)廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲1980s1990s今天1980s1990s未來今天1980s1990sHubeiuniversityoftechnology園區(qū)網(wǎng)安全解決方案的整體思路制定一個(gè)嚴(yán)格的安全策略可以通過交換機(jī)端口安全、配置訪問控制列表ACL、在防火墻實(shí)現(xiàn)包過濾等技術(shù)來實(shí)現(xiàn)一套可行的園區(qū)網(wǎng)安全解決方案。宣傳教育Hubeiuniversityoftechnology現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL71%Hubeiuniversityoftechnology交換機(jī)端口安全Hubeiuniversityoftechnology交換機(jī)端口安全概述交換機(jī)的端口安全機(jī)制是工作在交換機(jī)二層端口上的一個(gè)安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中,從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量,防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。配置端口安全存在以下限制:一個(gè)安全端口必須是一個(gè)Access端口,及連接終端設(shè)備的端口,而非Trunk端口。一個(gè)安全端口不能是一個(gè)聚合端口(AggregatePort)。一個(gè)安全端口不能是SPAN的目的端口。Hubeiuniversityoftechnology補(bǔ)充——關(guān)于SPANSPAN技術(shù)主要是用來監(jiān)控交換機(jī)上的數(shù)據(jù)流,大體分為兩種類型,本地SPAN和遠(yuǎn)程SPAN.----LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN),實(shí)現(xiàn)方法上稍有不同。利用SPAN技術(shù)我們可以把交換機(jī)上某些想要被監(jiān)控端口(以下簡(jiǎn)稱受控端口)的數(shù)據(jù)流COPY或MIRROR一份,發(fā)送給連接在監(jiān)控端口上的流量分析儀,比如CISCO的IDS或是裝了SNIFFER工具的PC.受控端口和監(jiān)控端口可以在同一臺(tái)交換機(jī)上(本地SPAN),也可以在不同的交換機(jī)上(遠(yuǎn)程SPAN)。Hubeiuniversityoftechnology交換機(jī)端口安全概述當(dāng)配置完成端口安全之后,如果當(dāng)違例產(chǎn)生時(shí),可以設(shè)置下面幾種針對(duì)違例的處理模式:protect:當(dāng)安全地址個(gè)數(shù)滿后,安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個(gè))的包restrict:當(dāng)違例產(chǎn)生時(shí),交換機(jī)不但丟棄接收到的幀(MAC地址不在安全地址表中),而且將發(fā)送一個(gè)SNMPTrap報(bào)文shutdown:當(dāng)違例產(chǎn)生時(shí),交換機(jī)將丟棄接收到的幀(MAC地址不在安全地址表中),發(fā)送一個(gè)SNMPTrap報(bào)文,而且將端口關(guān)閉。Hubeiuniversityoftechnology端口安全的配置Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#
switchportport-securitymaximum
numberSwitch(conifg-if)#
switchportport-securityviolation{protect|restrict|shutdown}設(shè)置接口上安全地址的最大個(gè)數(shù)打開該接口的端口安全功能設(shè)配置處理違例的方式Hubeiuniversityoftechnology配置安全端口上的安全地址Switch(conifg-if)#switchportport-security[mac-address
mac-address[ip-address
ip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltime配置安全端口上的安全地址當(dāng)端口由于違規(guī)操作而進(jìn)入“err-disabled”狀態(tài)后,必須在全局模式下使用如下命令手工將其恢復(fù)為UP狀態(tài):設(shè)置端口從“err-disabled”狀態(tài)自動(dòng)恢復(fù)所等待的時(shí)間HubeiuniversityoftechnologySwitch(conifg-if)#switchportport-securityaging{static|time
time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic
配置安全地址的老化時(shí)間使老化時(shí)間僅應(yīng)用于動(dòng)態(tài)學(xué)習(xí)到的安全地址關(guān)閉一個(gè)接口的安全地址老化功能(老化時(shí)間為0)Hubeiuniversityoftechnology查看端口安全信息Router#showport-securityinterface[interface-id]Router#showport-securityaddress
Router#showport-security
顯示所有接口的安全設(shè)置狀態(tài)、違例處理等信息來查看安全地址信息,顯示安全地址及老化時(shí)間顯示所有安全端口的統(tǒng)計(jì)信息,包括最大安全地址數(shù),當(dāng)前安全地址數(shù)以及違例處理方式等Hubeiuniversityoftechnology訪問控制列表Hubeiuniversityoftechnology通過本小結(jié)的學(xué)習(xí),您應(yīng)該掌握以下內(nèi)容:
識(shí)別IP訪問列表的主要作用和工作流程配置標(biāo)準(zhǔn)的IP訪問列表利用訪問列表控制虛擬會(huì)話的建立配置擴(kuò)展的IP訪問列表查看IP訪問列表訪問控制列表概述訪問表(accesslist)是一個(gè)有序的語句集,它通過匹配報(bào)文中信息與訪問表參數(shù),來允許報(bào)文通過(permit)或拒絕(deny)報(bào)文通過某個(gè)接口。Hubeiuniversityoftechnology訪問控制列表概述訪問控制列表總的說起來有下面三個(gè)作用:安全控制
允許一些符合匹配規(guī)則的數(shù)據(jù)包通過訪問的同時(shí)而拒絕另一部分不符合匹配規(guī)則的數(shù)據(jù)包。流量過濾
防止一些不必要的數(shù)據(jù)包通過路由器,來提高網(wǎng)絡(luò)帶寬的利用率。數(shù)據(jù)流量標(biāo)識(shí)此功能是對(duì)公司有兩條或兩條以上的網(wǎng)絡(luò)鏈路時(shí),訪問控制列表與路由策略等來實(shí)現(xiàn)分工,讓不同的數(shù)據(jù)包選擇不同的鏈路。HubeiuniversityoftechnologyACL工作原理及規(guī)則ACL語句有兩個(gè)組件:一個(gè)是條件,一個(gè)是操作。條件:條件基本上是一個(gè)組規(guī)則,定義了要在數(shù)據(jù)包內(nèi)容中查找什么來確定數(shù)據(jù)包是否匹配。
每條ACL語句中只可以列出一個(gè)條件,但是可以將ACL語句組合在一起形成一個(gè)列表或策略,語句使用標(biāo)號(hào)或名稱來分組。access-list1deny3access-list1permit55HubeiuniversityoftechnologyACL工作原理及規(guī)則操作:當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時(shí),可以采取允許和拒絕兩個(gè)操作。ACL語句從上往下一次執(zhí)行,當(dāng)ACL語句找到一個(gè)匹配時(shí),則不會(huì)再處理其他語句。每個(gè)ACL最后都有一條看不見的語句,稱為“隱式的拒絕”語句,這條語句的作用是丟棄數(shù)據(jù)包,如果一個(gè)數(shù)據(jù)包和列表中的每條語句都不匹配,則該數(shù)據(jù)包被丟棄。
access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)Hubeiuniversityoftechnology出端口方向上的訪問列表ACL工作原理及規(guī)則入站ACL出端口方向上的訪問列表ACL工作原理及規(guī)則出站ACL訪問列表配置指南基本規(guī)則、準(zhǔn)則和限制ACL語句按名稱或編號(hào)分組;每條ACL語句都只有一組條件和操作,如果需要多個(gè)條件或多個(gè)行動(dòng),則必須生成多個(gè)ACL語句;如果一條語句的條件中沒有找到匹配,則處理列表中的下一條語句;如果在ACL組的一條語句中找到匹配,則不再處理后面的語句;如果處理了列表中的所有語句而沒有指定匹配,不可見到的隱式拒絕語句拒絕該數(shù)據(jù)包;由于在ACL語句組的最后隱式拒絕,所以至少要有一個(gè)允許操作,否則,所有數(shù)據(jù)包都會(huì)被拒絕;語句的順序很重要,約束性最強(qiáng)的語句應(yīng)該放在列表的頂部,約束性最弱的語句應(yīng)該放在列表的底部;Hubeiuniversityoftechnology訪問列表配置指南基本規(guī)則、準(zhǔn)則和限制一個(gè)空的ACL組允許所有數(shù)據(jù)包,空的ACL組已經(jīng)在路由器上被激活,但不包含語句的ACL,要使隱式拒絕語句起作用,則在ACL中至少要有一條允許或拒絕語句;只能在每個(gè)接口、每個(gè)協(xié)議、每個(gè)方向上應(yīng)用一個(gè)ACL;在數(shù)據(jù)包被路由到其它接口之前,處理入站ACL;在數(shù)據(jù)包被路由到接口之后,而在數(shù)據(jù)包離開接口之前,處理出站ACL;當(dāng)ACL應(yīng)用到一個(gè)接口時(shí),這會(huì)影響通過接口的流量,但ACL不會(huì)過濾路由器本身產(chǎn)生的流量。Hubeiuniversityoftechnology訪問列表配置指南ACL放置在什么位置(課本256面圖10-8)只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方;過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL,則應(yīng)該放在離源地址盡可能近的地方;只過濾數(shù)據(jù)包中的源地址的ACL有兩個(gè)局限性:即使ACL應(yīng)用到路由器C的E0,任何用戶A來的流量都將被禁止訪問該網(wǎng)段的任何資源,包括數(shù)據(jù)庫服務(wù)器。流量要經(jīng)過所有到達(dá)目的地的途徑,它在即將到達(dá)目的地時(shí)被丟棄,這是對(duì)帶寬的浪費(fèi)。HubeiuniversityoftechnologyACL的種類兩種基本的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL標(biāo)準(zhǔn)IPACL只能過濾IP數(shù)據(jù)包頭中的源IP地址擴(kuò)展IPACL可以過濾源IP地址、目的IP地址、協(xié)議(TCP/IP)、協(xié)議信息(端口號(hào)、標(biāo)志代碼)等,Hubeiuniversityoftechnology標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址標(biāo)準(zhǔn)ACL通常用在路由器配置以下功能:
限制通過VTY線路對(duì)路由器的訪問(telnet、SSH);限制通過HTTP或HTTPS對(duì)路由器的訪問;過濾路由更新。Hubeiuniversityoftechnology標(biāo)準(zhǔn)ACL通過兩種方式創(chuàng)建標(biāo)準(zhǔn)ACL:編號(hào)或名稱一、使用編號(hào)使用編號(hào)創(chuàng)建ACL在接口上應(yīng)用In:當(dāng)流量從網(wǎng)絡(luò)網(wǎng)段進(jìn)入路由器接口時(shí)Out:當(dāng)流量離開接口到網(wǎng)絡(luò)網(wǎng)段時(shí)Router(config)#access-list
listnumber{permit|deny}[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology標(biāo)準(zhǔn)ACL二、使用命名定義ACL名稱定義規(guī)則在接口上應(yīng)用Router(config)#ipaccess-liststandard
nameRouter(config-std-nacl)#deny|permit
[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{name}{in|out}Hubeiuniversityoftechnology擴(kuò)展訪問控制列表擴(kuò)展的IP訪問表用于擴(kuò)展報(bào)文過濾能力。一個(gè)擴(kuò)展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報(bào)文:源和目的地址、協(xié)議、源和目的端口以及在特定報(bào)文字段中允許進(jìn)行特殊位比較的各種選項(xiàng)。Hubeiuniversityoftechnology擴(kuò)展訪問控制列表可以通過兩種方式為擴(kuò)展ACL語句分組:通過編號(hào)或名稱編號(hào)的擴(kuò)展ACL創(chuàng)建擴(kuò)展ACL接口上應(yīng)用Router(config)#access-list[listnumber
]{permit|deny}[協(xié)議][源IP地址][源地址子網(wǎng)掩碼][目的IP地址][目的IP地址子網(wǎng)掩碼][目的端口號(hào)]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology擴(kuò)展訪問控制列表命名的擴(kuò)展ACL定義擴(kuò)展ACL名稱定義規(guī)則在接口上應(yīng)用Router(config)#ip
acess-listextended
nameRouter(config-if)#ipaccess-group{name}{in|out}Router(conig-ext-nacl)#{permit|deny}[協(xié)議][源IP地址][源地址子網(wǎng)掩碼][目的IP地址][目的IP地址子網(wǎng)掩碼][目的端口號(hào)]Hubeiuniversityoftechnology配置標(biāo)準(zhǔn)ACL示例Hubeiuniversityoftechnology配置擴(kuò)展ACL示例Hubeiuniversity
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- JJF(陜) 068-2021 礦用風(fēng)速傳感器校準(zhǔn)規(guī)范
- 《馬兜鈴科蓼科》課件
- 藝術(shù)課程與學(xué)生心理健康的關(guān)系計(jì)劃
- 應(yīng)急管理與保安工作的整合計(jì)劃
- 功能輸注裝置相關(guān)行業(yè)投資規(guī)劃報(bào)告
- 基礎(chǔ)研究與科學(xué)創(chuàng)新投資合同三篇
- 水環(huán)境管理與區(qū)域協(xié)調(diào)發(fā)展計(jì)劃
- 《液壓與氣動(dòng)》課件 1油箱
- 生物知識(shí)點(diǎn)微課制作計(jì)劃
- 醫(yī)院修繕科工作總結(jié)計(jì)劃
- 政教主任校會(huì)講話稿(三)
- 陸游-(生平)知識(shí)講解課件
- 第六單元作文素材:批判與觀察 高一語文作文 (統(tǒng)編版必修下冊(cè))
- 正弦函數(shù)的圖像和性質(zhì)(公開課)課件
- 外研版四年級(jí)英語下冊(cè)全冊(cè)復(fù)習(xí)教案
- 某教育局空調(diào)線路施工方案-組織設(shè)計(jì)
- 醫(yī)療糾紛預(yù)防和處理?xiàng)l例相關(guān)知識(shí)考核試題及答案
- 水磨鉆挖孔施工方案
- 雙重預(yù)防體系建設(shè)全套文件非煤礦山
- 食品化學(xué)復(fù)習(xí)題(附答案)
- 新概念英語第一冊(cè)教師用書
評(píng)論
0/150
提交評(píng)論