網(wǎng)絡(luò)互聯(lián)技術(shù)第5章網(wǎng)絡(luò)安全技術(shù)課件

網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)2023/10/3網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)2023/8/2網(wǎng)絡(luò)互聯(lián)1中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是在原來(lái)分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。但在使用過(guò)程中，網(wǎng)絡(luò)安全面臨很多隱患，需要經(jīng)行安全規(guī)劃。新規(guī)劃學(xué)院網(wǎng)絡(luò)安全的實(shí)施整體規(guī)劃，通過(guò)在交換機(jī)設(shè)備上增加訪問(wèn)控制列表技術(shù)，實(shí)現(xiàn)學(xué)院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學(xué)院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。

工程任務(wù)：保護(hù)園區(qū)網(wǎng)絡(luò)安全網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是2組件一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)安全組件三：交換機(jī)端口安全技術(shù)組件四：訪問(wèn)控制列表安全技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)組件一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)3組件一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)組件一：網(wǎng)絡(luò)攻擊行為保護(hù)園區(qū)網(wǎng)絡(luò)安全網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第54復(fù)雜程度Internet飛速增長(zhǎng)InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)復(fù)雜程度Internet飛速增長(zhǎng)InternetEmail5第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲(chóng)+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲(chóng)DDoS破壞有效負(fù)載的病毒和蠕蟲(chóng)波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響目標(biāo)1980s1990s今天未來(lái)安全事件對(duì)我們的威脅越來(lái)越快網(wǎng)絡(luò)安全的演化網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)第一代第二代第三代下一代波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)周天分鐘秒影響目6網(wǎng)絡(luò)安全隱患網(wǎng)絡(luò)安全隱患是指借助計(jì)算機(jī)或其他通信設(shè)備，利用網(wǎng)絡(luò)開(kāi)放性和匿名性的特征，在進(jìn)行網(wǎng)絡(luò)交互操作時(shí)，進(jìn)行的竊聽(tīng)、攻擊或其它破壞行為，具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的危險(xiǎn)。企業(yè)內(nèi)部網(wǎng)絡(luò)安全隱患包括的范圍更廣泛，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識(shí)等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽(tīng)（信息流量分析、信息竊取等）和信息戰(zhàn)等。一般根據(jù)網(wǎng)絡(luò)安全隱患源頭可分為以下幾類：（1）非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。（2）人為但屬于操作人員無(wú)意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來(lái)自企業(yè)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)安全隱患網(wǎng)絡(luò)安全隱患是指借助計(jì)算機(jī)或其他通信設(shè)備，利用7常見(jiàn)網(wǎng)絡(luò)管理中存在的安全問(wèn)題（1）機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的控制中心，經(jīng)常發(fā)生的安全問(wèn)題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。（2）病毒的侵入。Internet開(kāi)拓性的發(fā)展，使病毒傳播發(fā)展成為災(zāi)難。據(jù)美國(guó)國(guó)家計(jì)算機(jī)安全協(xié)會(huì)（NCSA）最近一項(xiàng)調(diào)查發(fā)現(xiàn)，幾乎100%的美國(guó)大公司都曾在他們的網(wǎng)絡(luò)中經(jīng)歷過(guò)計(jì)算機(jī)病毒的危害。（3）黑客的攻擊。得益于Internet的開(kāi)放性和匿名性，也給Internet應(yīng)用造成了很多漏洞，從而給別有用心的人有可乘之機(jī)，來(lái)自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊都給目前網(wǎng)絡(luò)造成了很大的隱患。（4）管理不健全造成的安全漏洞。網(wǎng)絡(luò)安全不僅僅是技術(shù)問(wèn)題，更是一個(gè)管理問(wèn)題。它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。網(wǎng)絡(luò)安全技術(shù)只是實(shí)現(xiàn)網(wǎng)絡(luò)安全的工具。要解決網(wǎng)絡(luò)安全問(wèn)題，必須要有綜合的解決方案。網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)常見(jiàn)網(wǎng)絡(luò)管理中存在的安全問(wèn)題（1）機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備8網(wǎng)絡(luò)攻擊行為常見(jiàn)的攻擊措施主要有：獲取網(wǎng)絡(luò)口令放置特洛伊木馬程序WWW欺騙技術(shù)電子郵件攻擊通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)拒絕服務(wù)攻擊DDOS網(wǎng)絡(luò)監(jiān)聽(tīng)尋找系統(tǒng)漏洞利用賬號(hào)進(jìn)行攻擊偷取特權(quán)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)攻擊行為常見(jiàn)的攻擊措施主要有：網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章9手段多樣的網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)手段多樣的網(wǎng)絡(luò)攻擊：網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)10攻擊不可避免攻擊工具體系化網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)攻擊不可避免攻擊工具體系化網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技11網(wǎng)絡(luò)進(jìn)攻簡(jiǎn)單化

全球超過(guò)26萬(wàn)黑客站點(diǎn),提供系統(tǒng)漏洞和攻擊知識(shí)越來(lái)越多易使用攻擊軟件出現(xiàn)年輕人對(duì)網(wǎng)絡(luò)攻擊好奇心年輕人的叛逆心理網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)進(jìn)攻簡(jiǎn)單化全球超過(guò)26萬(wàn)黑客站點(diǎn),提供系統(tǒng)漏洞和12大量的攻擊工具隨手拾來(lái)攻擊工具更加“人性化”網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)大量的攻擊工具隨手拾來(lái)攻擊工具更加“人性化”網(wǎng)絡(luò)互聯(lián)技術(shù)PP13現(xiàn)有網(wǎng)絡(luò)安全防御體制入侵檢測(cè)系統(tǒng)IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)現(xiàn)有網(wǎng)絡(luò)安全入侵檢測(cè)系統(tǒng)殺毒軟件防火墻ACL現(xiàn)有網(wǎng)絡(luò)安全體制14VPN

虛擬專用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)現(xiàn)有網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)VPN虛擬專用網(wǎng)防火墻包過(guò)濾防病毒入侵檢測(cè)現(xiàn)有網(wǎng)絡(luò)安全技術(shù)15保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)安全網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)安全網(wǎng)絡(luò)互聯(lián)技術(shù)PP16管理交換機(jī)控制臺(tái)安全

對(duì)于大多數(shù)企業(yè)內(nèi)部網(wǎng)來(lái)說(shuō)，連接網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的互聯(lián)設(shè)備，是整個(gè)網(wǎng)絡(luò)規(guī)劃中最需要重要保護(hù)的對(duì)象。大多數(shù)網(wǎng)絡(luò)都有一、二個(gè)主要的接入點(diǎn)，對(duì)這個(gè)接入點(diǎn)的破壞，直接造成整個(gè)網(wǎng)絡(luò)癱瘓。如果網(wǎng)絡(luò)互聯(lián)設(shè)備沒(méi)有很好的安全防護(hù)措施，來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊或者惡作劇式的破壞，對(duì)網(wǎng)絡(luò)的打擊將是最致命的。因此設(shè)置恰當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備防護(hù)措施是保護(hù)網(wǎng)絡(luò)安全的重要手段之一。據(jù)國(guó)外調(diào)查顯示，80%的安全破壞事件都是由薄弱的口令引起的，因此為網(wǎng)絡(luò)互聯(lián)設(shè)備，配置一個(gè)恰當(dāng)口令，是保護(hù)網(wǎng)絡(luò)不受侵犯最根本的保護(hù)。網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)管理交換機(jī)控制臺(tái)安全對(duì)于大多數(shù)企業(yè)內(nèi)部網(wǎng)來(lái)說(shuō)，連接網(wǎng)絡(luò)中各17配置交換機(jī)的登陸密碼S2126G(config)#enablesecretlevel10star

“0”表示輸入的是明文形式的口令，1為分配等級(jí)配置交換機(jī)的特權(quán)密碼S2126G(config)#enablesecretlevel150Star

“0”表示輸入的是明文形式的口令，15為分配等級(jí)等級(jí)1分配給特權(quán)模式;等級(jí)15分配給全局模式，登級(jí)2-14分配給不同的命令;保護(hù)交換機(jī)控制臺(tái)的安全措施

網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)配置交換機(jī)的登陸密碼保護(hù)交換機(jī)控制臺(tái)的安全措施網(wǎng)絡(luò)互聯(lián)技18配置交換機(jī)遠(yuǎn)程登錄的安全措施Switch(config)#enablesecretlevel10star！配置遠(yuǎn)程登陸密碼

Switch(config)#enablesecretlevel150star！配置進(jìn)入特權(quán)模式密碼Switch(config)#interfacevlan1！配置遠(yuǎn)程登錄地址Switch(config-if)#noshutdownSwitch(config-if)#ipaddressSwitch(config-if)#end注：兩個(gè)密碼缺一不可網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)配置交換機(jī)遠(yuǎn)程登錄的安全措施Switch(config)#e19路由器控制臺(tái)安全

保護(hù)路由器控制臺(tái)的安全措施

配置路由器控制臺(tái)密碼Router（config）#lineconcole0Router（config-line）#loginRouter（config-line）#passwordstar配置路由器的特權(quán)登錄密碼：Router（config）#enablepasswordstarRouter（config）#enablesecretstar“password”表示輸入的是明文形式的口令，“secret”為密文形式的口令，密文有最高優(yōu)先級(jí)別。網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)路由器控制臺(tái)安全保護(hù)路由器控制臺(tái)的安全措施網(wǎng)絡(luò)互聯(lián)技20

保護(hù)路由器遠(yuǎn)程登陸登錄的安全措施Router#configureterminalRouter（config）#Router（config）#lineVTY04Router（config-line）#loginRouter（config-line）#passwordstar網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)保護(hù)路由器遠(yuǎn)程登陸登錄的安全措施網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第521保護(hù)園區(qū)網(wǎng)絡(luò)安全組件三：交換機(jī)端口安全技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)保護(hù)園區(qū)網(wǎng)絡(luò)安全組件三：交換機(jī)端口安全技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PP22FF.FF.FF.FF.FF.FF廣播MAC地址00.d0.f8.00.07.3c前3個(gè)字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)備制造廠商的后3個(gè)字節(jié)：網(wǎng)絡(luò)設(shè)備制造廠商自行分配的，不重復(fù)，生產(chǎn)時(shí)寫入設(shè)備MAC地址：鏈路層唯一標(biāo)識(shí)接入交換機(jī)MACPortA1B2C3MAC地址表：空間有限MAC地址網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)FF.FF.FF.FF.FF.FF廣播MAC地址00.23攻擊：

MAC地址表空間是有限，MAC攻擊會(huì)占滿交換機(jī)地址表;

使得單播包在交換機(jī)內(nèi)部也變成廣播包,向所有端口轉(zhuǎn)發(fā)，每個(gè)連在端口上的客戶端都可以收到該報(bào)文;交換機(jī)變成了一個(gè)Hub，用戶的信息傳輸也沒(méi)有安全保障了。MAC地址攻擊網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)攻擊：MAC地址攻擊網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)24交換機(jī)端口安全功能交換機(jī)的端口安全功能，可以防止網(wǎng)絡(luò)內(nèi)部攻擊,如MAC地址攻擊、ARP攻擊、IP/MAC欺騙等。交換機(jī)端口安全的基本功能1、限制端口最大連接數(shù)，控制惡意擴(kuò)展接入例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購(gòu)買小型交換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)造成破壞。2、端口安全地址綁定,解決網(wǎng)中IP地址沖突、ARP欺騙例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，可以解決學(xué)生隨意更改IP地址，造成IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行ARP地址欺騙。網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)交換機(jī)端口安全功能交換機(jī)的端口安全功能，可以防止網(wǎng)絡(luò)內(nèi)部攻擊25交換機(jī)端口安全內(nèi)容

安全端口收到不屬于端口上安全地址包時(shí)，一個(gè)安全違例將產(chǎn)生。

當(dāng)安全違例產(chǎn)生時(shí)，可以選擇多種方式來(lái)處理違例：Protect：安全端口將丟棄未知地址的包（不是該端口的安全地址中的任何一個(gè)）。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)交換機(jī)端口安全內(nèi)容安全端口收到不屬于端口上安全地址包時(shí)26配置端口的最大連接數(shù)配置fa1/3端口安全功能，設(shè)置最大地址個(gè)數(shù)為8，違例方式為protect。Switch(config)#interfacefa1/3Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotect網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)配置端口的最大連接數(shù)配置fa1/3端口安全功能，網(wǎng)絡(luò)互聯(lián)技27綁定端口安全地址

配置fa0/3安全功能，綁定MAC為00d0.f800.073c，IP為02Switch(config)#interfacefa0/3

Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)綁定端口安全地址配置fa0/3安全功能，綁定MAC為0028驗(yàn)證命令

查看接口安全信息Switch#showport-securitySecurePortMaxSecureAddr（count）CurrentAddr（count）SecurityAction---------------------------------------------------------------fa0/381Protect

查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)---------------------------------------------------------------------------------------100d0.f800.073c02ConfiguredFa0/381網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)驗(yàn)證命令查看接口安全信息網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全29實(shí)習(xí)項(xiàng)目：配置交換機(jī)端口安全

【工作任務(wù)】如圖所示，模擬是中北大學(xué)中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院為了防止學(xué)院內(nèi)部用戶的IP地址沖突，防止學(xué)院內(nèi)部的網(wǎng)絡(luò)攻擊行為，學(xué)院領(lǐng)導(dǎo)要求網(wǎng)絡(luò)中心的管理員，為學(xué)院中每一臺(tái)電腦分配固定IP地址（如為某位老師分配的IP地址是5/24，該主機(jī)的MAC地址是00-06-1B-DE-13-B4），并限制只允許學(xué)院內(nèi)部的員工才可以使用網(wǎng)絡(luò)，并不得隨意連接其他主機(jī)。?！卷?xiàng)目設(shè)備】交換機(jī)（1臺(tái)），PC(1臺(tái))、網(wǎng)線（1條）【實(shí)施過(guò)程】…………網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)實(shí)習(xí)項(xiàng)目：配置交換機(jī)端口安全【工作任務(wù)】網(wǎng)絡(luò)互聯(lián)技術(shù)PPT30網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)31arp綁定運(yùn)行->cmdtelnet51輸入用戶名uuuuuu輸入密碼mmmmmmshowiparp顯示ARP狀況en進(jìn)入編輯configt進(jìn)入配置編輯狀態(tài)showmac-顯示mac號(hào)后處的交換口arpip地址mac地址arpagi0/4綁定某IP的mac地址于交換機(jī)4口上end結(jié)束編輯wr寫入配置文件中exit退出noarpip解開(kāi)綁定網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)arp綁定網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)32保護(hù)園區(qū)網(wǎng)絡(luò)安全組件四：訪問(wèn)控制列表技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)保護(hù)園區(qū)網(wǎng)絡(luò)安全組件四：訪問(wèn)控制列表技術(shù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT33ISP1、什么是訪問(wèn)列表ACL對(duì)經(jīng)過(guò)設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過(guò)濾?！蘁TP網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)ISP1、什么是訪問(wèn)列表√FTP網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)34RG-S2126RG-S3512G/RG-S4009RG-NBR1000InternetRG-S2126不同部門所屬VLAN不同12221112技術(shù)部VLAN20財(cái)務(wù)部VLAN10隔離病毒源隔離外網(wǎng)病毒2、為什么要使用訪問(wèn)列表網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)RG-S2126RG-S3512G/RG-S4009RG-353、訪問(wèn)列表的組成

定義訪問(wèn)列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過(guò)，哪些不允許）第二步：將規(guī)則應(yīng)用在設(shè)備接口／ＶＬＡＮ上

訪問(wèn)控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)3、訪問(wèn)列表的組成定義訪問(wèn)列表的步驟網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第364、訪問(wèn)列表規(guī)則的應(yīng)用訪問(wèn)列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制：1.入棧應(yīng)用（in）2.出棧應(yīng)用（out）網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)4、訪問(wèn)列表規(guī)則的應(yīng)用訪問(wèn)列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控375、ACL的基本準(zhǔn)則

一切未被允許的就是禁止的

路由器缺省允許所有的信息流通過(guò);防火墻缺省封鎖所有的信息流，對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放。

按規(guī)則鏈來(lái)進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配

從頭到尾，至頂向下的匹配方式

匹配成功馬上停止

立刻使用該規(guī)則的“允許、拒絕……”網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)5、ACL的基本準(zhǔn)則一切未被允許的就是禁止的網(wǎng)絡(luò)互聯(lián)技38Y拒絕Y是否匹配

測(cè)試條件1?允許N拒絕允許是否匹配

測(cè)試條件2?拒絕是否匹配

最后一個(gè)

測(cè)試條件

?YYNYY允許被系統(tǒng)隱

含拒絕N6、一個(gè)訪問(wèn)列表多個(gè)測(cè)試條件網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)Y拒絕Y是否匹配

測(cè)試條件1允許N拒絕允許是否匹配

測(cè)試條件39

標(biāo)準(zhǔn)訪問(wèn)列表根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義

擴(kuò)展訪問(wèn)列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義7、ACL分類網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)訪問(wèn)列表7、ACL分類網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)40

標(biāo)準(zhǔn)訪問(wèn)列表只根據(jù)源IP地址，進(jìn)行數(shù)據(jù)包的過(guò)濾。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段教研網(wǎng)段8、標(biāo)準(zhǔn)列表規(guī)則定義網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)訪問(wèn)列表學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段教研網(wǎng)段8、標(biāo)準(zhǔn)列表規(guī)則411）定義標(biāo)準(zhǔn)ACLRouter(config)#access-list<1-99>{permit|deny}源地址[反掩碼]Switch(config)#Ipaccess-list<1-99>{permit|deny}源地址[反掩碼]反掩碼是一個(gè)32比特位。其中0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。55表示所有IP地址，全為1說(shuō)明所有32位都不檢查，可以用any來(lái)取代。表示所有32位都要進(jìn)行匹配，這樣只表示一個(gè)IP地址，可以用host表示。2）應(yīng)用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)1）定義標(biāo)準(zhǔn)ACL網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)42access-list1permit

55access-list1deny55interfaceserial0ipaccess-group1outF0S0F1InternetIP標(biāo)準(zhǔn)訪問(wèn)列表配置實(shí)例1只允許網(wǎng)絡(luò)中的計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)絡(luò)網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)access-list1permit172.16.3.43IP標(biāo)準(zhǔn)訪問(wèn)列表配置實(shí)例2阻止5主機(jī)通過(guò)E0訪問(wèn)網(wǎng)絡(luò)，而允許其他的機(jī)器訪問(wèn)Router（config）#access-list1denyhost5Router（config）#access-list1permitanyRouter（config）#interfaceethernet0Router（config-if）#ipaccess-group1in

網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)IP標(biāo)準(zhǔn)訪問(wèn)列表配置實(shí)例2阻止544實(shí)習(xí)項(xiàng)目：配置標(biāo)準(zhǔn)訪問(wèn)列表控制網(wǎng)絡(luò)流量

【工作任務(wù)】如圖所示的網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場(chǎng)景，要實(shí)現(xiàn)學(xué)生網(wǎng)（）和行政辦公網(wǎng)（）的隔離，可以在其中R1路由器上做標(biāo)準(zhǔn)ACL技術(shù)控制，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離【項(xiàng)目設(shè)備】路由器（2臺(tái)）；網(wǎng)線（若干）；測(cè)試PC（2臺(tái)）；【實(shí)施過(guò)程】…………網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)實(shí)習(xí)項(xiàng)目：配置標(biāo)準(zhǔn)訪問(wèn)列表控制網(wǎng)絡(luò)流量【工作任務(wù)】網(wǎng)絡(luò)互聯(lián)459、擴(kuò)展型訪問(wèn)控制列表擴(kuò)展型訪問(wèn)控制列表（ExtendedIPACL）在數(shù)據(jù)包的過(guò)濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的ACL更強(qiáng)大的數(shù)據(jù)包檢查功能。擴(kuò)展ACL不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址、源端口，目的端口、建立連接和IP優(yōu)先級(jí)等特征信息。利用這些選項(xiàng)對(duì)數(shù)據(jù)包特征信息進(jìn)行匹配。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段郵件serverWEBserver網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)9、擴(kuò)展型訪問(wèn)控制列表擴(kuò)展型訪問(wèn)控制列表（Extended46IP擴(kuò)展訪問(wèn)列表的配置1、定義擴(kuò)展的ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議

源地址反掩碼[源端口]目的地址反掩碼[目的端口]2、應(yīng)用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)IP擴(kuò)展訪問(wèn)列表的配置1、定義擴(kuò)展的ACL網(wǎng)絡(luò)互聯(lián)技術(shù)47IP擴(kuò)展訪問(wèn)列表配置實(shí)例允許網(wǎng)絡(luò)內(nèi)所有主機(jī)訪問(wèn)HTTP服務(wù)器，拒絕其它主機(jī)使用網(wǎng)絡(luò)。

Switch(config)#access-list111permittcp55hosteqwwwSwitch(config)#access-list111denyipanyanySwitch#showaccess-lists網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)IP擴(kuò)展訪問(wèn)列表配置實(shí)例允許網(wǎng)絡(luò)192.168.048項(xiàng)目：配置擴(kuò)展訪問(wèn)列表保護(hù)服務(wù)器安全

【工作任務(wù)】如圖所示網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場(chǎng)景，要實(shí)現(xiàn)教師網(wǎng)（）和學(xué)生網(wǎng)（）之間的互相連通，但不允許學(xué)生網(wǎng)訪問(wèn)教師網(wǎng)中的FTP服務(wù)器，可以在路由器R2上做擴(kuò)展ACL技術(shù)控制，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離【項(xiàng)目設(shè)備】路由器（2臺(tái)）；網(wǎng)線（若干）；測(cè)試PC（2臺(tái)）；【實(shí)施過(guò)程】…………網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)項(xiàng)目：配置擴(kuò)展訪問(wèn)列表保護(hù)服務(wù)器安全【工作任務(wù)】網(wǎng)絡(luò)互聯(lián)技4910、命名訪問(wèn)控制列表命名ACL不使用編號(hào)而使用字符串來(lái)定義規(guī)則。在網(wǎng)絡(luò)管理過(guò)程中，隨時(shí)根據(jù)網(wǎng)絡(luò)變化修改某一條規(guī)則，調(diào)整用戶訪問(wèn)權(quán)限。通過(guò)字符串組成的名字直觀地表示特定ACL；不受編號(hào)ACL中100條限制；可以方便的對(duì)ACL進(jìn)行修改，無(wú)需刪除重新配置

網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)10、命名訪問(wèn)控制列表命名ACL不使用編號(hào)而使用字符串來(lái)定50命名訪問(wèn)控制列表的配置1、定義命名ACL

ipaccess-list{standard|extended}name

{deny|permit}protocolsourcewildcarddestinationwildcard[operatorport]2、應(yīng)用ACL到接口Router(config-if)#ipaccess-groupname{in|out}網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)命名訪問(wèn)控制列表的配置1、定義命名ACL網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第51配置命名標(biāo)準(zhǔn)訪問(wèn)控制列表Switch#configureterminalSwitch（config）#ipaccess-liststandarddeny-host-192.168.l2.xSwitch（config-std-nacl）#deny55Switch（config-std-nacl）#permitanySwit