網(wǎng)絡系統(tǒng)集成（微課版） 課件 項目4 網(wǎng)絡安全設計

模塊四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.認識網(wǎng)絡系統(tǒng)安全01.課前評估DES加密算法的密鑰長度為56位，三重DES的密鑰長度為（）位。A．168 B．128 C．112 D．56流量分析屬于（）方式。A．被動攻擊 B．主動攻擊 C．物理攻擊 D．分發(fā)攻擊PPP的認證協(xié)議CHAP是一種（①）安全認證協(xié)議，發(fā)起挑戰(zhàn)的應該是（②）。①A．一次握手 B．兩次握手 C．三次握手 D．同時握手②A．連接方 B．被連接方 C．任意一方 D．第三方首先，應該明確網(wǎng)絡安全是一個動態(tài)過程，需要在網(wǎng)絡系統(tǒng)運行的過程中，不斷地檢測安全漏洞，并實施一定的安全加固措施。依據(jù)國家的《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859—1999）和相關(guān)的安全標準，可以從安全分層保護、安全策略和安全教育三方面考慮，采取以“積極防御”為首的方針進行規(guī)劃。網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然或者惡意的原因而遭受破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，網(wǎng)絡服務不中斷。網(wǎng)絡的安全及防范問題變得非常重要，需要解決使用者對網(wǎng)絡基礎設施的信心和責任感的問題，最終就是為了保障信息的機密性（Confidentiality）、完整性（Integrity）和可用性（Availability），這三者簡稱CIA三元組網(wǎng)絡安全設計是邏輯設計工作的重要內(nèi)容之一，在設計網(wǎng)絡體系時存在多種安全架構(gòu)模型，本模塊將依據(jù)美國國家安全局提出的信息安全保障技術(shù)框架（InformationAssuranceTechnicalFramework，IATF）進行網(wǎng)絡安全設計的介紹。當前使用的企業(yè)網(wǎng)、園區(qū)網(wǎng)和校園網(wǎng)等網(wǎng)絡的結(jié)構(gòu)一般劃分為內(nèi)網(wǎng)、外網(wǎng)和公共子網(wǎng)三個部分組織必須使用一種縱深防御的方法識別威脅（資產(chǎn)的任何潛在危險）并保護易受攻擊的資產(chǎn)（任何對組織而言有價值且必須加以保護的東西，包括服務器、基礎設施設備、終端設備和數(shù)據(jù)）。此方法在網(wǎng)絡邊緣、網(wǎng)絡內(nèi)部以及網(wǎng)絡端點上使用多個安全層。物理層安全:物理層安全指計算機網(wǎng)絡設施本身及其所在環(huán)境的安全網(wǎng)絡層安全:網(wǎng)絡層安全涉及網(wǎng)絡設備、數(shù)據(jù)、邊界等受到的各種威脅系統(tǒng)層安全:在系統(tǒng)層的安全隱患主要有操作系統(tǒng)漏洞、緩沖區(qū)溢出、弱口令以及不可信的訪問等應用層安全:應用層的任務主要有郵件服務、文件服務、數(shù)據(jù)庫、Web服務器等管理層安全:管理層是最為關(guān)鍵的一層，是協(xié)助以上安全措施的有力保障網(wǎng)絡安全設計原則:1.均衡性原則2．整體性原則3．一致性原則4．技術(shù)與管理相結(jié)合的原則5．動態(tài)發(fā)展原則6．易操作性原則網(wǎng)絡安全設計過程網(wǎng)絡安全系統(tǒng)集成一般經(jīng)歷如下過程：在對網(wǎng)絡風險分析的基礎上，在安全策略的指導下，決定所需的安全服務類型，選擇相應的安全機制，然后集成先進的安全技術(shù)，形成一個全面綜合的安全系統(tǒng)，建立相關(guān)的規(guī)章制度，并對安全系統(tǒng)進行審計評估和維護。1．確定需要保護的資產(chǎn)2．識別網(wǎng)絡環(huán)境中的威脅3.網(wǎng)絡安全需求分析:（1）業(yè)務管理的需要。（2）組織生產(chǎn)的需要。（3）信息安全等級保護的需要。（4）網(wǎng)絡安全需求的具體內(nèi)容。4.網(wǎng)絡安全風險分析（1）物理安全風險分析。（2）網(wǎng)絡安全風險分析。（3）系統(tǒng)安全風險分析。（4）應用安全風險分析。5.網(wǎng)絡安全策略制定需求分析和風險分析是安全策略的主要來源。安全組織通過安全策略向用戶、員工和管理人員告知其對保護技術(shù)和信息資產(chǎn)的要求。6.網(wǎng)絡安全機制設計（1）物理安全機制。（2）網(wǎng)絡系統(tǒng)安全機制。（3）信息安全機制的設計。7.網(wǎng)絡安全集成技術(shù)（1）身份認證技術(shù)。（2）信息加密技術(shù)。（3）訪問控制技術(shù)。（4）虛擬專用網(wǎng)絡技術(shù)。（5）網(wǎng)絡設備安全加固技術(shù)。（6）網(wǎng)絡防病毒技術(shù)。（7）網(wǎng)絡安全設備部署。1．（）組成了CIA三元組。A．機密性，完整性，保障 B．機密性，完整性，可用性C．機密性，綜合性，保障 D．機密性，綜合性，可用性2．某計算機遭到ARP病毒的攻擊，為臨時解決故障，可將網(wǎng)關(guān)IP地址與其MAC綁定，正確的命令是（）。A．a(chǎn)rp-a5400-22-aa-00-22-aa B．a(chǎn)rp-d5400-22-aa-00-22-aaC．a(chǎn)rp-r5400-22-aa-00-22-aa D．a(chǎn)rp-s5400-22-aa-00-22-aa思考題謝謝—網(wǎng)絡系統(tǒng)集成—模塊四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.實施網(wǎng)絡設備的安全訪問02.課前評估1．帶內(nèi)管理與帶外管理的區(qū)別是什么？2．列舉常見的密碼安全策略。3．計算機的COM端口與交換機的Console端口連接應使用（）線。4．使用遠程登錄方式配置交換機，必須進行的是（）。A．IP地址配置 B．主機地址配置C．服務器配置

D．網(wǎng)絡地址配置本節(jié)討論路由器的交互式訪問、口令保護和路由協(xié)議認證等安全機制，這些安全機制緩解了路由器因自身安全問題而給整個網(wǎng)絡帶來的漏洞和風險。交換機作為網(wǎng)絡環(huán)境中重要的轉(zhuǎn)發(fā)設備，一般都嵌入了各種安全模塊，實現(xiàn)了相當多的安全機制，包括各種類型的VLAN技術(shù)、端口安全技術(shù)、802.1X接入認證技術(shù)等，有些交換機還具有防范欺騙攻擊的功能，如DHCPSnooping、源地址防護和動態(tài)ARP檢測等。最后還介紹了網(wǎng)絡安全監(jiān)控工具，包括系統(tǒng)日志（Syslog）、網(wǎng)絡時間協(xié)議（NTP）和NetFlow等。網(wǎng)絡設備安全管理：交換機或路由器等網(wǎng)絡設備的訪問方式包括物理訪問和邏輯訪問兩種方式，可以通過控制臺（Console）端口或輔助（Auxiliary）端口來物理訪問CLI，也可以通過Telnet或SSH連接來邏輯訪問CLI。防止物理路由器被攻擊配置健壯的系統(tǒng)密碼虛擬登錄的安全配置配置健壯的系統(tǒng)訪問密碼1）最小長度：密碼的字符數(shù)越多，猜測密碼所需的時間就越長。2）組合字符：密碼應該是大小寫字母、數(shù)字、元字符（符號和空格）的組合。字符種類和數(shù)量越多，攻擊者需要嘗試的密碼組合就越多。

3）不要使用字典單詞：避免使用字典中出現(xiàn)的單詞，從而減少字典攻擊的成功率。

4）經(jīng)常變更密碼：經(jīng)常變更密碼可以限制密碼被破解后的有用性，從而降低整體損失。配置安全訪問端口密碼（1）嚴格控制Console端口的訪問。（2）禁用不需要的Auxiliary端口。（3）設置使能密碼。（4）加密配置文件中的密碼。（5）設置密碼最小長度。（6）創(chuàng)建本地用戶數(shù)據(jù)庫。遠程訪問網(wǎng)絡設備的安全配置Telnet的特點（1）所有的用戶名、密碼和數(shù)據(jù)都以明文的方式在公共網(wǎng)絡中傳輸。（2）用戶使用系統(tǒng)中的一個賬戶可以獲得更高的權(quán)限。（3）遠程攻擊者可以使Telnet服務癱瘓。攻擊者通過發(fā)起DoS攻擊，比如打開過多的虛假Telnet會話，就可以阻止合法用戶使用該服務。（4）遠程攻擊者可以找到啟用的用戶賬戶，而該賬戶可能屬于服務器可信域。遠程訪問網(wǎng)絡設備的安全配置SSH的特點1）SSH的運行過程。2）配置SSH前的準備工作。通過AAA本地認證方式使用SSH訪問網(wǎng)絡設備

AAA（認證、授權(quán)、審計）使用集中部署的標準化方法來質(zhì)詢用戶的認證憑證，審計用戶在網(wǎng)絡設備上的操作行為。(1)網(wǎng)絡基本配置

按照下圖所示的IP地址，在路由器上完成設備名稱、接口IP地址和靜態(tài)路由的配置；在PC和AAAServer上配置IP地址參數(shù)；在PC上ping通AAAServer的IP地址，確保網(wǎng)絡的連通性。通過AAA本地認證方式使用SSH訪問網(wǎng)絡設備(2)SSH的AAA本地認證方式配置(3)配置結(jié)果的驗證通過外部服務器認證方式使用SSH訪問網(wǎng)絡設備(1)網(wǎng)絡基本配置

按照下圖所示的IP地址，在路由器上完成設備名稱、接口IP地址和靜態(tài)路由的配置；在PC和AAAServer上配置IP地址參數(shù)；在PC上ping通AAAServer的IP地址，確保網(wǎng)絡的連通性。通過外部服務器認證方式使用SSH訪問網(wǎng)絡設備(2)外部服務器認證方式配置

設置客戶端的名稱為R2，客戶端IP地址為，服務器類型為Radius，認證密鑰為123456，單擊“添加”按鈕即可。添加用戶名為cqcet，密碼為cisco的用戶賬號，用于設備登錄的身份認證。(3)在路由器R2上配置AAA認證服務。(4)配置結(jié)果的驗證。（1）使用遠程登錄方式配置交換機，必須進行的是（）A．IP地址配置

B．主機地址配置C．服務器配置

D．網(wǎng)絡地址配置（2）下面是路由器帶外登錄方式的有（）。A．通過Telnet登錄

B．通過超級終端登錄C．通過Web方式登錄D．通過SNMP方式登錄（3）不是路由器上配置SSH所需的命令（）A．全局配置模式下的IP域名B．在VTY線路上傳輸SSHC．刪除一個VTY線路上的passwordD．加密密鑰在全局配置模式下生成RSA密碼思考題謝謝—網(wǎng)絡系統(tǒng)集成—模塊四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.保護接入層網(wǎng)絡訪問安全03.課前評估1．（）是訪問路由器的第一個關(guān)口，也是防御攻擊的第一道防線。A．VTY登錄端口 B．Console端口C．根端口

D．Auxiliary端口2．使用遠程登錄方式配置交換機，必須進行的是（）。A．IP地址配置 B．主機地址配置C．服務器配置

D．網(wǎng)絡地址配置實現(xiàn)內(nèi)部網(wǎng)絡安全的常見技術(shù)措施有端口安全、DHCPSnooping、動態(tài)ARP檢測、802.1X接入認證、緩解VLAN跳躍攻擊、STP防護、PVLAN、端口保護及抑制廣播風暴等，限于篇幅，本節(jié)只詳細討論端口安全、DHCPSnooping和802.1X接入認證等三項安全技術(shù)措施的部署與實現(xiàn)。本任務采用右圖所示的DHCPSnooping網(wǎng)絡拓撲結(jié)構(gòu)，Router模擬了一臺合法的DHCP服務器，向用戶PC動態(tài)分配IP地址。在交換機Switch上規(guī)劃了VLAN5，將端口Fa0/1、Fa0/2和Fa0/3劃分至VLAN5中。該網(wǎng)絡模擬了一臺攻擊服務器接入SwitchFa0/3的情況，將導致合法用戶主機獲取錯誤的IP地址。端口安全防護技術(shù)

端口安全特性會通過MAC地址表記錄連接到交換機端口的以太網(wǎng)MAC地址，并只允許某個MAC地址通過本端口通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過此端口時，端口安全特性會阻止它。使用端口安全特性可以防止未經(jīng)允許的設備訪問網(wǎng)絡，并增強安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填滿。DHCPSnooping

DHCP的主要作用是為主機動態(tài)分配IP地址信息，它的缺點是不具備驗證機制。如果非法的DHCP服務器連接到網(wǎng)絡，將向合法的客戶端提供錯誤IP配置參數(shù)，從而將客戶機的流量引向攻擊者所期望的目的地。使用802.1X實現(xiàn)安全訪問控制

在前面的學習中，使用安全端口、地址綁定及限制最大連接數(shù)等措施實現(xiàn)了網(wǎng)絡接入安全控制。但這些方法使用起來不夠靈活，不能針對客戶網(wǎng)絡實施接入管理。在簡單、廉價的以太網(wǎng)技術(shù)基礎上，提供用戶對網(wǎng)絡或設備訪問的合法性驗證，已經(jīng)成為業(yè)界關(guān)注的焦點，802.1X正是在這樣的背景下提出來的。規(guī)劃與實施端口安全機制

某企業(yè)采用如圖所示的端口安全網(wǎng)絡拓撲結(jié)構(gòu)，通過交換機與集線器的連接來擴展一個端口接入用戶終端的數(shù)量。這樣的網(wǎng)絡架構(gòu)存在非法用戶接入的安全風險，如MAC地址欺騙、交換機MAC地址表泛洪攻擊和IP地址資源耗盡。規(guī)劃與實施端口安全機制1）將交換機S1的Fa0/1-3端口配置為接入端口。2）配置端口安全參數(shù)。

設置端口接入的最大MAC地址數(shù)為1，分別在Fa0/1、Fa0/2和Fa0/3端口上設置shutdown、restrict和protect違例規(guī)則規(guī)劃與實施端口安全機制2）配置安全端口的安全地址。

在Fa0/1上配置靜態(tài)安全MAC地址，在Fa0/2上配置動態(tài)安全MAC地址，在Fa0/3上配置黏滯安全MAC地址使用802.1X實現(xiàn)安全訪問控制1．配置接口IP地址和主機IP地址2．升級交換機IOS3．配置RADIUS服務器4．在交換機上配置802.1X（1）（）最能描述MAC地址欺騙攻擊。A．更改攻擊主機的MAC地址以匹配合法主機的MAC地址B．用偽造的源MAC地址攻擊交換機C．強迫選舉非法根網(wǎng)橋D．大量流量淹沒局域網(wǎng)（2）802.1X是一項基于（）的安全技術(shù)。A．IP地址B．物理端口C．應用類型D．物理地址（3）（）緩解技術(shù)可以幫助防止MAC地址表泛洪攻擊。A．根防護B．PDU防護C．風暴控制D．端口安全思考題謝謝—網(wǎng)絡系統(tǒng)集成—模塊四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.課前評估1．當在交換機上啟用端口安全機制時，若超過允許的最大MAC地址數(shù)，則默認操作是（）。A．將端口的違反模式設置為限制B．清空MAC地址表，并將新的MAC地址輸入到該表中C．保持端口啟用狀態(tài)，但是帶寬將受到限制，直到舊的MAC地址過期D．關(guān)閉端口網(wǎng)絡在運行時會發(fā)生很多突發(fā)情況，因此需要對網(wǎng)絡設備進行監(jiān)控，管理員可以使用各種類型的數(shù)據(jù)來檢測、驗證和遏制漏洞攻擊。網(wǎng)絡運行監(jiān)控的主要措施是配置系統(tǒng)日志（Syslog）、網(wǎng)絡時間協(xié)議（NTP）和NetFlow等。系統(tǒng)日志信息格式簡介NTP使用權(quán)威時間源的層次結(jié)構(gòu)，為網(wǎng)絡上的設備共享時間信息，并且共享一致時間信息的設備消息可以提交到系統(tǒng)日志服務器上，NTP通常偵聽UDP的123端口。系統(tǒng)日志和網(wǎng)絡時間協(xié)議概述系統(tǒng)日志用于記錄來自網(wǎng)絡設備和終端的事件消息，有助于使安全監(jiān)控切實可行，運行日志的服務器通常偵聽UDP的514端口。流量分析工具NetFlowNetFlow是思科開發(fā)的一種協(xié)議，為IP應用提供一系列高效的重要服務，包括網(wǎng)絡流量統(tǒng)計、基于利用率的網(wǎng)絡賬單、網(wǎng)絡規(guī)劃、安全、拒絕服務監(jiān)控、網(wǎng)絡監(jiān)控，可提供有關(guān)網(wǎng)絡用戶、應用程序、高峰使用時間以及流量路由的重要信息。流量分析工具NetFlow

NetFlow不像完整的數(shù)據(jù)包捕獲一樣捕獲數(shù)據(jù)包的全部內(nèi)容，而是記錄有關(guān)數(shù)據(jù)包流的信息。例如，在Wireshark中可以查看完整的數(shù)據(jù)包捕獲，而NetFlow收集元數(shù)據(jù)或有關(guān)流的數(shù)據(jù)，而不是數(shù)據(jù)流本身，將高速緩存中的流量進行歸納總結(jié)，以更為直觀的圖形化方式在管理終端上顯示出來，如圖所示。（1）NTP的作用是什么?（2）系統(tǒng)日志的日志記錄服務具有哪些功能？（3）下列（）協(xié)議或服務用于自動同步路由器上的軟件時鐘。A．NTPB．DHCPC．DNSD．SNMP（4）（）不是NetFlow的特性。A．記錄IP流量的“W”問題B．記錄流經(jīng)和終止于路由器的流量C．降低設備CPU和內(nèi)存負載D．支持采樣思考題謝謝—網(wǎng)絡系統(tǒng)集成—模塊四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.實施網(wǎng)絡資源的訪問控制05.課前評估在下列日志管理命令中，能將日志信息寫入VTY的是（）。A．Router(config)#terminalmonitorB．Router(config)#loggingonC．Router(config)#logginghostD．Router(config)#loggingbufferedNTP使用的端口為（）。。A．UDP123B．TCP123C．TCP321D．UDP321網(wǎng)絡基礎設施定義了設備為實現(xiàn)端到端通信而連接到一起的方式，就像有多種規(guī)模的網(wǎng)絡一樣，構(gòu)建基礎設施也有多種方法。但是，為了實現(xiàn)網(wǎng)絡的可用性和安全性，網(wǎng)絡行業(yè)推薦了一些標準設計。如果希望一個子網(wǎng)中的主機能夠在整個組織網(wǎng)絡中進行通信，則必須要有一小堆服務器保護敏感數(shù)據(jù)，以及政府的隱私規(guī)則要求：不僅能通過用戶名和登錄名來保護訪問權(quán)限，還需要有將數(shù)據(jù)包傳遞到受保護主機或服務器的能力。訪問控制列表（ACL）為實現(xiàn)這些目標提供了有用的解決方案，并且可以運行在路由器或三層交換機設備上。訪問控制列表概述ACL是基于協(xié)議（主要是IP）有序匹配規(guī)則的過濾器列表（由若干條語句組成），每條規(guī)則（Rule）包括了過濾信息及匹配此規(guī)則時應采取的動作（允許或拒絕），規(guī)則包含的信息可以是IP地址、協(xié)議、端口號等條件的有效組合，如圖所示。限制網(wǎng)絡流量以提高網(wǎng)絡性能提供控制或優(yōu)化通信流量的手段提供基本的網(wǎng)絡訪問安全控制區(qū)分或匹配特定的數(shù)據(jù)流訪問控制列表的主要功能訪問控制列表的分類ACL類型數(shù)字擴展數(shù)字檢查項目IP標準ACL1~991300~1999源地址IP擴展ACL100~1992000~2699源地址、目的地址、協(xié)議、端口號及其他命名標準ACL名字源地址命名擴展ACL名字源地址、目的地址、協(xié)議、端口號及其他訪問控制列表的設置規(guī)則（1）當沒有配置ACL時，路由器默認允許所有數(shù)據(jù)包通過。（2）ACL對路由器自身產(chǎn)生的數(shù)據(jù)包不起作用。（3）對于每個協(xié)議，每個接口的每個方向只能設置一個ACL。（4）每個ACL中包含一條或多條語句，但是有先后順序之分。（5）每個ACL的末尾都隱含一條“拒絕所有流量”語句。（6）ACL條件中必須至少存在一條permit語句，否則將拒絕所有流量。（7）不能單獨刪除數(shù)字標識ACL中的一條語句。（8）可以在名稱標識ACL中單獨增加或刪除一條語句。訪問控制列表的匹配操作

通配符掩碼的概念:網(wǎng)絡中有幾種類型的掩碼。

在IP地址的表示中使用的是默認掩碼或子網(wǎng)掩碼（Mask）：網(wǎng)絡號為連續(xù)的1，主機號為連續(xù)的0，用來區(qū)分IP地址的網(wǎng)絡部分與主機部分；在OSPF路由進程宣告某一區(qū)域的直連網(wǎng)絡IP地址時使用的是反掩碼（Wildcard）：網(wǎng)絡號為連續(xù)的0，主機號為連續(xù)的1，用來確定同一區(qū)域內(nèi)主機IP地址的范圍，如OSPF中要求處于同一子網(wǎng)的主機才能建立鄰居關(guān)系；在ACL中使用通配符掩碼（Wildcard）：網(wǎng)絡號中的1可以不連續(xù)，用于指示路由器怎樣檢查數(shù)據(jù)包中的IP地址，用來匹配一個或者一組IP地址。訪問控制列表的匹配操作

（1）全0通配符掩碼。全0的通配符掩碼要求對應IP地址的所有位都必須匹配。例如表示的就是IP地址本身，在訪問列表中亦可表示為host。

（2）全1通配符掩碼。全1的通配符掩碼表示對應的IP地址的所有位都不必匹配。也就是說，IP地址可任意。例如55表示的就是任意主機的IP地址，在訪問列表中亦可表示為any。（1）寫出匹配/24，/24，/24，/24，…，/24的所有偶數(shù)路由條目的通配符掩碼。（2）使用一條ACL來匹配/24，/24，/24，/24，…，/24，/24，/24，/24這些IP地址的通配符掩碼思考題訪問控制列表配置命令簡介

（1）標準訪問控制列表配置命令。Router(config)#access-listaccess-list-numberdeny|permitsourcewildcard-mask

（2）擴展訪問控制列表配置命令access-listacess-list-numberdeny|permit|remarkprotocolsourcesource-wildcard-mask[operatorport|protocol-name]destinationdestination-wildcard-mask[operatorport|protocol-name]

[established]訪問控制列表的規(guī)劃與部署網(wǎng)絡安全策略是禁止源主機HOST1和目標主機HOST2之間的通信。(1)位置與方向(2)創(chuàng)建ACL(3)生效ACL（1）根據(jù)判斷條件不同，ACL分為（）和（）；根據(jù)標識方法不同，ACL分為（）和（)。（2）將ACL用作數(shù)據(jù)包過濾有何用途？（3）標準ACL和擴展ACL有什么區(qū)別？（4）標準ACL以（）作為判別條件。A．數(shù)據(jù)包的大小

B．數(shù)據(jù)包的源地址C．數(shù)據(jù)包的端口號

D．數(shù)據(jù)包的目的地址思考題謝謝—網(wǎng)絡系統(tǒng)集成—模塊四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.保護網(wǎng)絡邊界安全06.課前評估如圖所示，要求只允許主機0執(zhí)行ping命令測試到達主機0的網(wǎng)絡連通性，不允許反向ping測試，試寫出主要的ACL配置語句，并對結(jié)果進行分析網(wǎng)絡系統(tǒng)需要各種網(wǎng)絡安全設備來保護網(wǎng)絡邊界，使網(wǎng)絡免受外部的非法訪問。網(wǎng)絡邊界設備可能包括提供NAT功能的出口路由器、VPN功能的出口網(wǎng)關(guān)、防火墻、IDS（入侵檢測系統(tǒng)）和IPS（入侵防御系統(tǒng)）設備。防火墻和IDS或IPS是網(wǎng)絡邊界上的重要安全設備。防火墻，包括前面所講的網(wǎng)絡設備保護和ACL等都是根據(jù)配置規(guī)則來完成安全任務的，因此沒有一個網(wǎng)絡系統(tǒng)是無懈可擊的，但它們的目標都是相同的：降低惡意流量的風險，雖然惡意流量無法徹底從網(wǎng)絡中消除。對于網(wǎng)絡安全管理員來說，防止病毒、蠕蟲等進入網(wǎng)絡的一個方法是，不斷監(jiān)視網(wǎng)絡和分析網(wǎng)絡設備生成的日志文件。但這個方案不太容易擴展，手工分析日志文件信息需要消耗時間，并且對已經(jīng)開始的網(wǎng)絡攻擊的認識是有限的，因為在分析日志文件的時候，攻擊就已經(jīng)開始了。為了應對快速變化的攻擊，網(wǎng)絡系統(tǒng)結(jié)構(gòu)必須包括性價比高的檢測系統(tǒng)或防御系統(tǒng)，以智能地識別和防御惡意流量防火墻的通用特征所有防火墻共享一些通用屬性：（1）防火墻可抵御網(wǎng)絡攻擊。（2）防火墻是組織內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間唯一的中轉(zhuǎn)站，因為所有流量均流經(jīng)防火墻。（3）防火墻強制執(zhí)行訪問控制策略。在網(wǎng)絡中使用防火墻有以下好處：（1）防止將敏感的主機、資源和應用暴露給不受信任的用戶。（2）凈化協(xié)議流，防止協(xié)議缺陷被利用。（3）阻止來自服務器和客戶端的惡意數(shù)據(jù)。（4）通過將大多數(shù)網(wǎng)絡中的訪問控制功能轉(zhuǎn)移到防火墻上來降低安全管理的復雜性。數(shù)據(jù)包過濾（無狀態(tài)）防火墻代理防火墻（應用網(wǎng)關(guān)防火墻）狀態(tài)防火墻PPT下載/xiazai/防火墻的分類數(shù)據(jù)包過濾（無狀態(tài)）防火墻：

通常是能夠根據(jù)一組配置好的規(guī)則過濾某些數(shù)據(jù)包內(nèi)容（例如第3層信息，有時是第4層信息）的路由器狀態(tài)防火墻：最通用和最常用的防火墻。狀態(tài)防火墻使用狀態(tài)表中所維護的連接信息來提供有狀態(tài)數(shù)據(jù)包過濾，如圖所示。有狀態(tài)數(shù)據(jù)包過濾是在網(wǎng)絡層分類的防火墻架構(gòu)之上，其還可分析OSI第4層和第5層的流量。代理防火墻（應用網(wǎng)關(guān)防火墻）：

用于過濾OSI參考模型的第3、4、5和7層的信息。大多數(shù)防火墻控制和過濾是使用軟件完成的。當客戶端需要訪問遠程服務器時，將連接到代理服務器，代理服務器代表客戶端連接到遠程服務器，如圖所示。因此，服務器只看到來自代理服務器的連接防火墻產(chǎn)品選型（1）系統(tǒng)性能。防火墻系統(tǒng)性能參數(shù)主要是指防火墻的處理器的類型及主頻、內(nèi)存容量、閃存容量、存儲容量和類型等數(shù)據(jù)。（2）接口。接口數(shù)量關(guān)系到防火墻能夠支持的連接方式。（3）并發(fā)連接數(shù)。并發(fā)連接數(shù)是衡量防火墻性能的一個重要指標，是指防火墻或代理服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數(shù)目，反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，該參數(shù)值直接影響到防火墻所能支持的最大信息點數(shù)。（4）吞吐量。防火墻的主要功能就是對每個網(wǎng)絡中傳輸?shù)拿總€數(shù)據(jù)包進行過濾，因此需要消耗大量的資源。（5）安全過濾帶寬。安全過濾帶寬是指防火墻在某種加密算法標準下的整體過濾功能，如DES（56位）算法或3DES（168位）算法等。（6）支持用戶數(shù)。防火墻的用戶數(shù)限制分為固定用戶數(shù)限制和無用戶數(shù)限制兩種。防火墻的安全策略

硬件防火墻最少有3個接口：內(nèi)網(wǎng)口（高安全級別）、外網(wǎng)口（低安全級別）和DMZ口（中等安全級別），它們之間的關(guān)系應能滿足“外網(wǎng)口可以訪問DMZ口，不能直接訪問內(nèi)網(wǎng)口；DMZ口可以訪問外網(wǎng)口，不能訪問內(nèi)網(wǎng)口；內(nèi)網(wǎng)口可以訪問外網(wǎng)和DMZ口”，如圖所示。硬件防火墻的部署（1）單防火墻DMZ網(wǎng)絡結(jié)構(gòu)。硬件防火墻的部署（2）雙防火墻DMZ網(wǎng)絡結(jié)構(gòu)。硬件防火墻的部署（3）基于區(qū)域的策略防火墻。1.數(shù)據(jù)包過濾防火墻通過（）來確定數(shù)據(jù)包能否通過。A．路由表B．ARP表C．NAT表D．過濾規(guī)則2．數(shù)據(jù)包過濾防火墻會對通過防火墻的數(shù)據(jù)包進行檢查，只有滿足條件的數(shù)據(jù)包才能通過，對數(shù)據(jù)包的檢查內(nèi)容一般不包括（）。A．源地址B．目的地址C．協(xié)議D．有效載荷3．代理防火墻的功能是（）。A．代表客戶端連接到遠程服務器B．過濾橋接接口間的IP流量C．使用簽名來檢測網(wǎng)絡流量中的模式D．根據(jù)數(shù)據(jù)包報頭信息來丟棄或轉(zhuǎn)發(fā)流量思考題謝謝—網(wǎng)絡系統(tǒng)集成—項目四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.部署入侵檢測和防護系統(tǒng)07.復習舊課本任務采用圖4-38所示的IPS配置網(wǎng)絡拓撲結(jié)構(gòu)。具體要求如下。（1）在路由器R1中Fa0/0端口的輸出方向上設置入侵檢測機制，一旦檢測到終端C發(fā)送給終端A的ICMPECHO請求報文，就丟棄該請求報文，并向日志服務器發(fā)送警告信息。（2）在啟動該入侵規(guī)則后，如果終端C發(fā)起ping終端A的操作，則ping操作不僅無法完成，還會在日志服務器中記錄警告信息，而其他終端之間的ping操作依然能夠完成。入侵檢測和防御設備網(wǎng)絡要抵御快速演變的各類攻擊，就需要具有有效檢測和防御功能的系統(tǒng)設備，如IDS或IPS，通常將這類系統(tǒng)設備部署到網(wǎng)絡的入口點和出口點上。IDS和IPS技術(shù)使用簽名來檢測網(wǎng)絡流量中的濫用模式。簽名是IDS或IPS用來檢測惡意活動的一組規(guī)則，可用于檢測嚴重的安全漏洞、常見的網(wǎng)絡攻擊和收集信息。IDS和IPS技術(shù)均部署為傳感器，可以檢測原子簽名模式（單數(shù)據(jù)包）或組合簽名模式（多數(shù)據(jù)包）。（1）IDS的優(yōu)點和缺點。IDS的主要優(yōu)點是在離線模式下部署。IDS傳感器主要側(cè)重于識別可能發(fā)生的事件、記錄事件的相關(guān)信息以及報告事件，無法停止觸發(fā)數(shù)據(jù)包，并且不能保證停止連接。IDS傳感器不是以在線方式部署的，因此實施IDS更容易受到采用各種網(wǎng)絡攻擊方法的網(wǎng)絡安全規(guī)避技術(shù)的影響。（2）IPS的優(yōu)點和缺點。IPS的優(yōu)點在于可以配置為執(zhí)行數(shù)據(jù)包丟棄，以停止觸發(fā)數(shù)據(jù)包、與連接關(guān)聯(lián)的數(shù)據(jù)包或來自源IP地址的數(shù)據(jù)包。IDS和IPS的優(yōu)缺點IDS的部署策略IDS一般旁路連接在網(wǎng)絡中各個關(guān)鍵位置。IDS安裝在網(wǎng)絡邊界區(qū)域IDS系統(tǒng)安裝在服務器群區(qū)域IDS系統(tǒng)安裝在網(wǎng)絡主機區(qū)域IDS系統(tǒng)安裝在網(wǎng)絡核心層IDS的部署策略IPS的部署策略。IPS不但能夠檢測入侵的發(fā)生，而且還能實時終止入侵行為。IPS在網(wǎng)絡中采用串接式連接。IPS是網(wǎng)關(guān)型設備，最好串接在網(wǎng)絡的出口處，IPS經(jīng)常部署在網(wǎng)關(guān)出口的防火墻和路由器之間，監(jiān)控和保護內(nèi)部網(wǎng)絡，如圖所示。

1．IDS是一類重要的安全技術(shù)，其基本思想是（①），與其他網(wǎng)絡安全技術(shù)相比，IDS的最大特點是（②）。①A．過濾特定來源的數(shù)據(jù)包B．過濾發(fā)往特定對象的數(shù)據(jù)包C．利用網(wǎng)閘等隔離措施D．通過網(wǎng)絡行為判斷是否安全②A．準確度高B．防木馬效果最好C．能發(fā)現(xiàn)內(nèi)部誤操作D．能實現(xiàn)訪問控制思考題謝謝—網(wǎng)絡系統(tǒng)集成—項目四—網(wǎng)絡安全設計—實施網(wǎng)絡設備的安全訪問02.目錄CONTENTS認識網(wǎng)絡系統(tǒng)安全01.保護介入層網(wǎng)絡訪問安全03.監(jiān)控網(wǎng)絡設備運行狀態(tài)04.實施網(wǎng)絡資源的訪問控制05.保護網(wǎng)絡邊界安全06.部署入侵檢測和防護系統(tǒng)07.提高數(shù)據(jù)傳輸安全性08.提高數(shù)據(jù)傳輸安全性08.復習舊課根據(jù)網(wǎng)絡安全防范需求，需在不同位置部署不同的安全設備，進行不同的安全防范，為圖中的安全設備選擇相應的網(wǎng)絡安全設備。隨著現(xiàn)代信息技術(shù)的發(fā)展，越來越多的組織機構(gòu)將日常辦公平臺逐漸遷移到網(wǎng)絡平臺和統(tǒng)一應用平臺之上。在使用Internet作為基本傳輸媒體時，存在一些安全風險：如數(shù)據(jù)在傳輸?shù)倪^程中可能泄密；數(shù)據(jù)在傳輸?shù)倪^程中可能失真；數(shù)據(jù)的來源可能是偽造的；數(shù)據(jù)傳輸?shù)某杀究赡芎芨?。VPN可以使用全球網(wǎng)絡資源，在組織機構(gòu)的分支、移動和總部站點之間，構(gòu)建業(yè)務延伸的專用網(wǎng)絡。