網(wǎng)絡(luò)組建與維護(hù) 第6版 課件 項(xiàng)目6 企業(yè)網(wǎng)絡(luò)安全

網(wǎng)絡(luò)組建與維護(hù)項(xiàng)目6

企業(yè)網(wǎng)絡(luò)安全網(wǎng)絡(luò)組建與維護(hù)學(xué)習(xí)目標(biāo)了解掌握理解1．了解企業(yè)網(wǎng)絡(luò)安全需求121．掌握訪問(wèn)控制列表的原理及部署；2．掌握防火墻的工作原理和基本用途1．理解訪問(wèn)控制列表的概念；2．理解兩種訪問(wèn)控制列表的區(qū)別；3．理解防火墻的概念；3能力目標(biāo)了解掌握理解1．了解企業(yè)網(wǎng)絡(luò)安全部署121．熟練配置訪問(wèn)控制列表；2．能準(zhǔn)確的部署訪問(wèn)控制列表；3．熟練防火基本配置；4．能熟練使用防火墻部署安全策略。1．能根據(jù)企業(yè)需求規(guī)劃訪問(wèn)控制策略；3目錄任務(wù)1用訪問(wèn)控制列表實(shí)施網(wǎng)絡(luò)安全任務(wù)2防火墻配置PART01任務(wù)1用訪問(wèn)控制列表實(shí)施網(wǎng)絡(luò)安全校園網(wǎng)安全服務(wù)的重要任務(wù)之一就是阻止內(nèi)網(wǎng)用戶肆意訪問(wèn)網(wǎng)絡(luò)中的任意位置，特別是網(wǎng)絡(luò)中的敏感區(qū)域。為此管理員需要限制學(xué)生宿舍訪問(wèn)主校區(qū)，但又不能影響教工區(qū)域訪問(wèn)主校區(qū)；此外，位于主校區(qū)的服務(wù)器提供了WWW服務(wù)和FTP服務(wù)，教工宿舍區(qū)的用戶可以訪問(wèn)WWW服務(wù)，但不允許訪問(wèn)FTP服務(wù)。任務(wù)要求要求相關(guān)知識(shí)訪問(wèn)控制列表訪問(wèn)控制列表分類訪問(wèn)控制列表配置6.1.1訪問(wèn)控制列表訪問(wèn)控制列表的作用是根據(jù)需要控制不安全的訪問(wèn)，使其不可以訪問(wèn)敏感數(shù)據(jù)，同時(shí)不影響正常的數(shù)據(jù)訪問(wèn)。為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的（如圖6.1所示）。圖6.1訪問(wèn)控制列表作用示意圖ACL的執(zhí)行過(guò)程一個(gè)端口執(zhí)行哪條ACL，這需要按照列表中的條件語(yǔ)句執(zhí)行順序來(lái)判斷。如果一個(gè)數(shù)據(jù)包的報(bào)頭跟表中某個(gè)條件判斷語(yǔ)句相匹配，那么后面的語(yǔ)句就將被忽略，不再進(jìn)行檢查。如果所有的ACL判斷語(yǔ)句都檢測(cè)完畢，仍沒(méi)有匹配的語(yǔ)句出口，則該數(shù)據(jù)包將視為被拒絕而被丟棄。6.1.2訪問(wèn)控制列表分類訪問(wèn)控制列表有標(biāo)準(zhǔn)訪問(wèn)控制及擴(kuò)展訪問(wèn)控制兩類1．標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只針對(duì)數(shù)據(jù)包的源IP地址進(jìn)行過(guò)濾，對(duì)上層信息不能予以區(qū)分。亦即只根據(jù)源IP地址決定允許或拒數(shù)據(jù)報(bào)通過(guò)，而不考慮數(shù)據(jù)包中包含的目的地址和端口等信息。標(biāo)準(zhǔn)ACL可用編號(hào)或名字標(biāo)識(shí)。編號(hào)范圍是（1-99），標(biāo)準(zhǔn)ACL的基本語(yǔ)法是：access-listlist-numberdeny/permitsource[source-wildcard]Or:Ipaccess-liststandardname–Permit/denysource_ip其中：list-number：為ACL的編號(hào)，范圍是（1-99）。permit：表示允許。deny：表示拒絕。source：是要允許或拒絕的源地址。source-wildcard：是源地址適用的通配符。standardname：標(biāo)準(zhǔn)ACL名6.1.2訪問(wèn)控制列表分類需要注意的是，ACL末尾隱含了“denyany”，它將阻止所有其它流量，故在設(shè)置ACL的時(shí)候，必須考慮到通信的實(shí)際要求，避免隱含的“denyany”使得合法的通信被阻斷。標(biāo)準(zhǔn)ACL配置后，需使用ipaccess-group命令將其關(guān)聯(lián)到接口，如：Router(config-if)#ipaccess-group{access-list-name}{in|out}其中，“in”或“out”表示流量相對(duì)接口的方向是“進(jìn)”或是“出”。6.1.2訪問(wèn)控制列表分類2．?dāng)U展ACL擴(kuò)展訪問(wèn)控制可以針對(duì)數(shù)據(jù)的源及目的IP地址進(jìn)行過(guò)濾，也可識(shí)別傳輸層的協(xié)議類型及協(xié)議端口號(hào)，并據(jù)此進(jìn)行過(guò)濾。亦即擴(kuò)展ACL可以根據(jù)多種屬性（例如，協(xié)議類型、源和IP地址、目的IP地址、源TCP或UDP端口、目的TCP或UDP端口）過(guò)濾IP數(shù)據(jù)包，并可依據(jù)協(xié)議類型信息（可選）進(jìn)行更為精確的控制。6.1.2訪問(wèn)控制列表分類擴(kuò)展ACL可用編號(hào)或名字標(biāo)識(shí)。擴(kuò)展ACL的編號(hào)范圍是（100-199）定義擴(kuò)展ACL的基本語(yǔ)法為：Router(config)#access-listlist-numberdeny/permitprotocolsource[source-wildcard][operator][port-num]destination[destination-wildcard][operator][port-num]Or；Ipaccess-listextendedname–Permit/denyprotocol_namesource_ipwildcardmaskdestination_ipwildcardmaskeq/gt/lcprotocol_number其中：list-number為ACL的編號(hào)，范圍是（100-199）；extendedname為擴(kuò)展ACL名；擴(kuò)展ACL還增加了協(xié)議(protocol)，操作符（operator，如eq表示等于），端口號(hào)(port-num)，目的地址（destination）等字段。任務(wù)實(shí)施實(shí)施環(huán)境如圖6.2所示，位于分校區(qū)的路由器連接了教工宿舍區(qū)和學(xué)生宿舍區(qū)。在網(wǎng)絡(luò)連通之后，管理員需要限制學(xué)生宿舍訪問(wèn)主校區(qū)的辦公網(wǎng)絡(luò)，但又不能影響教工區(qū)域訪問(wèn)辦公網(wǎng)絡(luò)。此外，位于主校區(qū)的服務(wù)器提供了WWW服務(wù)和FTP服務(wù)，WWW服務(wù)對(duì)教工和學(xué)生宿舍區(qū)開(kāi)放，但FTP只對(duì)教工宿舍區(qū)開(kāi)放，不對(duì)學(xué)生開(kāi)放。本任務(wù)需要在路由器上部署訪問(wèn)控制列表，實(shí)現(xiàn)上述訪問(wèn)控制要求。圖6.2實(shí)施網(wǎng)絡(luò)訪問(wèn)控制任務(wù)實(shí)施IP地址的規(guī)劃和網(wǎng)絡(luò)的訪問(wèn)控制要求如表6.2所示。校區(qū)設(shè)備接口IP描述訪問(wèn)控制主校區(qū)Router-AS0/0/0DCE/24連接遠(yuǎn)程網(wǎng)絡(luò)無(wú)F0/0/24連接辦公區(qū)無(wú)F0/1連接服務(wù)器無(wú)PC1網(wǎng)卡0用于測(cè)試無(wú)Server網(wǎng)卡00服務(wù)器無(wú)分校區(qū)Router-BS0/0/0DTE/24連接遠(yuǎn)程網(wǎng)絡(luò)無(wú)F0/0/24連接教工區(qū)無(wú)F0/1/24連接學(xué)生區(qū)無(wú)PC2網(wǎng)卡0用于測(cè)試不允許訪問(wèn)辦公區(qū)PC3網(wǎng)卡0用于測(cè)試允許訪問(wèn)WWW不允許訪問(wèn)FTP不允許訪問(wèn)辦公區(qū)任務(wù)實(shí)施實(shí)施設(shè)備Cisco2811路由器2臺(tái)、V.35DCE電纜一根、V.35DTE電纜一根、交換機(jī)3臺(tái)、計(jì)算機(jī)3臺(tái)。操作步驟1．物理連接2．網(wǎng)絡(luò)連通性配置3．配置訪問(wèn)控制列表，限制學(xué)生宿舍訪問(wèn)主校區(qū)。（1）為了限制學(xué)生宿舍區(qū)訪問(wèn)主校區(qū)，僅需要根據(jù)源IP地址即可拒絕此類流量，因此可以通過(guò)部署標(biāo)準(zhǔn)訪問(wèn)控制列表實(shí)現(xiàn)。具體配置如下：配置RouterA的訪問(wèn)控制列表:RouterA(config)#access-list10deny55\\定義編號(hào)為10的標(biāo)準(zhǔn)訪問(wèn)列表，拒絕網(wǎng)段RouterA(config)#access-list10permitany\\注意列表都隱含了denyany，所以必須添加permitany任務(wù)實(shí)施操作步驟（2）根據(jù)標(biāo)準(zhǔn)訪問(wèn)控制列表的部署原則，它應(yīng)盡可能靠近目的網(wǎng)絡(luò)，故這一列表部署在Router-A的F0/0的出口方向。將訪問(wèn)列表綁定在相應(yīng)的接口上：RouterA(config)#interfacef0/0\\距離目標(biāo)最近的接口RouterA(config-if)#ipaccess-group10out\\綁定在該接口的out方向RouterA(config-if)#（3）對(duì)標(biāo)準(zhǔn)訪問(wèn)控制列表做以下測(cè)試：PC3pingPC1；再PC2pingPC1。4．定義訪問(wèn)控制列表，實(shí)現(xiàn)WWW服務(wù)對(duì)教工宿舍區(qū)和學(xué)生宿舍區(qū)開(kāi)放，F(xiàn)TP只對(duì)教工宿舍區(qū)開(kāi)放。需要定義一個(gè)擴(kuò)展訪問(wèn)控制列表，允許來(lái)自教工宿舍區(qū)IP的WEB服務(wù)器HTTP服務(wù)請(qǐng)求和FTP請(qǐng)求，允許來(lái)自學(xué)生宿舍區(qū)IP的WEB服務(wù)器HTTP服務(wù)請(qǐng)求但拒絕其FTP請(qǐng)求，具體配置如下：任務(wù)實(shí)施操作步驟（1）配置RouterB的訪問(wèn)控制列表:RouterB(config)#access-list100permittcp5500eq80\\定義編號(hào)為100的擴(kuò)展訪問(wèn)列表，允許教工訪問(wèn)WWW服務(wù)器RouterB(config)#access-list100permittcp5500eq21\\允許教工訪問(wèn)FTP服務(wù)器RouterB(config)#access-list100permittcp5500eq80\\允許學(xué)生訪問(wèn)WWW服務(wù)器RouterB(config)#access-list100permittcp5500eq21\\拒絕學(xué)生訪問(wèn)FTP服務(wù)器（2）根據(jù)標(biāo)準(zhǔn)訪問(wèn)控制列表的部署原則，它應(yīng)盡可能靠近源網(wǎng)絡(luò)，故這一列表應(yīng)位于Router-B的S0/0/0的出口方向。將訪問(wèn)列表綁定在相應(yīng)的接口上:RouterB(config)#interfaces0/0/0\\距離源比較近的接口RouterB(config-if)#ipaccess-group100out\\綁定在該接口的in方向RouterB(config-if)#exit（3）對(duì)擴(kuò)展訪問(wèn)控制列表做以下測(cè)試：學(xué)生宿舍區(qū)PC3可以訪問(wèn)WWW服務(wù)，但不能訪問(wèn)FTP服務(wù)。教工宿舍區(qū)PC2可以訪問(wèn)WWW服務(wù)和FTP服務(wù)。任務(wù)實(shí)施（2）根據(jù)標(biāo)準(zhǔn)訪問(wèn)控制列表的部署原則，它應(yīng)盡可能靠近源網(wǎng)絡(luò)，故這一列表應(yīng)位于Router-B的S0/0/0的出口方向。將訪問(wèn)列表綁定在相應(yīng)的接口上:RouterB(config)#interfaces0/0/0\\距離源比較近的接口RouterB(config-if)#ipaccess-group100out\\綁定在該接口的in方向RouterB(config-if)#exit（3）對(duì)擴(kuò)展訪問(wèn)控制列表做以下測(cè)試：學(xué)生宿舍區(qū)PC3可以訪問(wèn)WWW服務(wù)，但不能訪問(wèn)FTP服務(wù)。教工宿舍區(qū)PC2可以訪問(wèn)WWW服務(wù)和FTP服務(wù)。操作步驟PART02任務(wù)2防火墻配置學(xué)校的校園網(wǎng)內(nèi)網(wǎng)部分已完成了組建工作，接下來(lái)就是接入Internet了。但是Internet是一個(gè)充滿不安全因素的復(fù)雜環(huán)境，為了使校園網(wǎng)不受到來(lái)自Internet的入侵，同時(shí)還能使得內(nèi)網(wǎng)用戶安全訪問(wèn)Internet，本任務(wù)要求對(duì)網(wǎng)絡(luò)邊界防火墻進(jìn)行合理配置，滿足企業(yè)安全需求。任務(wù)要求要求相關(guān)知識(shí)防火墻概念及原理防火墻的構(gòu)建防火墻的分類防火墻在網(wǎng)絡(luò)中的部署6.2.1防火墻概念及原理防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般情況下，防火墻保護(hù)網(wǎng)絡(luò)包括在阻止非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)的同時(shí)允許合法用戶無(wú)妨礙地訪問(wèn)網(wǎng)絡(luò)資源。

防火墻具有如下特性：1）所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻；2）所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)；3）防火墻自身具有較強(qiáng)的抗攻擊能力。6.2.2防火墻的構(gòu)建防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般情況下，防火墻保護(hù)網(wǎng)絡(luò)包括在阻止非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)的同時(shí)允許合法用戶無(wú)妨礙地訪問(wèn)網(wǎng)絡(luò)資源。

防火墻具有如下特性：1）所有進(jìn)出網(wǎng)絡(luò)的通信流都應(yīng)該通過(guò)防火墻；2）所有穿過(guò)防火墻的通信流都必須有安全策略和計(jì)劃的確認(rèn)和授權(quán)；3）防火墻自身具有較強(qiáng)的抗攻擊能力。6.2.2防火墻的構(gòu)建防火墻的設(shè)置，主要有以下的幾種類型︰防火墻網(wǎng)絡(luò)架構(gòu)一中，防火墻把內(nèi)網(wǎng)與外網(wǎng)隔離（如圖6.3所示）。在構(gòu)架二中服務(wù)器群組不受防火墻的保護(hù)（如圖6.4所示）。圖6.3防火墻網(wǎng)絡(luò)架構(gòu)1圖6.4防火墻網(wǎng)絡(luò)架構(gòu)26.2.2防火墻的構(gòu)建圖6.5防火墻網(wǎng)絡(luò)架構(gòu)3防火墻也可以用在企業(yè)內(nèi)部，區(qū)隔不同的部門(mén)或組織，如架構(gòu)三；在防火墻上制定網(wǎng)絡(luò)安全的政策，決定哪些信息可以在部門(mén)之間流通，由防火墻阻絕不當(dāng)?shù)男畔⒘魍?，以確保各部門(mén)或組織的網(wǎng)絡(luò)安全。6.2.3防火墻的分類防火墻可根據(jù)技術(shù)防范的方式和側(cè)重點(diǎn)的不同而分為多種類型，但總體來(lái)講可分為包過(guò)濾、應(yīng)用級(jí)網(wǎng)關(guān)和代理服務(wù)等幾大類型。1．?dāng)?shù)據(jù)包過(guò)濾型防火墻數(shù)據(jù)包過(guò)濾（PacketFiltering）技術(shù)是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)包進(jìn)行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過(guò)濾邏輯，被稱為訪問(wèn)控制表（AccessControlTable）。通過(guò)檢查數(shù)據(jù)流中每個(gè)數(shù)據(jù)包的源地址、目的地址、所用的端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò)。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。6.2.3防火墻的分類2．應(yīng)用級(jí)網(wǎng)關(guān)型防火墻應(yīng)用級(jí)網(wǎng)關(guān)（ApplicationLevelGateways）是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過(guò)濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過(guò)濾邏輯，并在過(guò)濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。3．代理服務(wù)型防火墻代理服務(wù)（ProxyService）也稱鏈路級(jí)網(wǎng)關(guān)或TCP通道（CircuitLevelGatewaysorTCPTunnels），也有人將它歸于應(yīng)用級(jí)網(wǎng)關(guān)一類。它是針對(duì)數(shù)據(jù)包過(guò)濾和應(yīng)用網(wǎng)關(guān)技術(shù)存在的缺點(diǎn)而引入的防火墻技術(shù)，其特點(diǎn)是將所有跨越防火墻的網(wǎng)絡(luò)通信鏈路分為兩段。防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)間應(yīng)用層的“鏈接”，由兩個(gè)終止代理服務(wù)器上的“鏈接”來(lái)實(shí)現(xiàn)，外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。4．復(fù)合型防火墻由于對(duì)更高安全性的要求，常把基于包過(guò)濾的方法與基于應(yīng)用代理的方法結(jié)合起來(lái)，形成復(fù)合型防火墻產(chǎn)品。這種結(jié)合通常是以下兩種方案。屏蔽主機(jī)防火墻體系結(jié)構(gòu)；屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)。6.2.4防火墻在網(wǎng)絡(luò)中的部署究竟在什么地方安裝防火墻才能達(dá)到對(duì)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控的目的呢？1）應(yīng)該將防火墻安裝在公司內(nèi)部網(wǎng)絡(luò)與外部Internet的唯一接口處，以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵。2）如果公司擁有規(guī)模較大的內(nèi)部網(wǎng)絡(luò)，并且設(shè)置有虛擬局域網(wǎng)（VLAN），則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻，防止機(jī)密信息向外泄漏。3）公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻。如果有條件，還應(yīng)該將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)（VPN）?？傊惭b防火墻有一個(gè)基本原則，那就是：無(wú)論是內(nèi)部網(wǎng)絡(luò)之間還是內(nèi)部網(wǎng)絡(luò)與外部公網(wǎng)之間的連接處，只要存在惡意侵入的可能，都應(yīng)該安裝防火墻，做到防患于未然。任務(wù)實(shí)施實(shí)施環(huán)境校園網(wǎng)要接入Internet，必須保證內(nèi)網(wǎng)用戶不受到來(lái)自Internet的入侵，同時(shí)還能使得內(nèi)網(wǎng)用戶安全訪問(wèn)服務(wù)器區(qū)和Internet，而來(lái)自Internet的用戶也可以訪問(wèn)服務(wù)器區(qū)。本任務(wù)即在網(wǎng)絡(luò)邊界處安裝一臺(tái)防火墻，并部署相應(yīng)的安全規(guī)則。1．網(wǎng)絡(luò)拓?fù)渚W(wǎng)絡(luò)拓?fù)淙鐖D6.6所示：圖6.6防火墻配置實(shí)例任務(wù)實(shí)施用戶需求（1）內(nèi)網(wǎng)用戶（PC1和PC2）可以訪問(wèn)互聯(lián)網(wǎng)上的所有服務(wù)；（2）內(nèi)網(wǎng)用戶（PC1和PC2）可以訪問(wèn)DMZ區(qū)的WWW服務(wù)器、DNS服務(wù)器、E-Mail服務(wù)器和FTP服務(wù)器；（3）外網(wǎng)用戶可以訪問(wèn)DMZ區(qū)的WWW服務(wù)器、DNS服務(wù)器、E-Mail服務(wù)器和FTP服務(wù)器；（4）PC1作為防火墻的網(wǎng)絡(luò)管理員；（5）沒(méi)有明確允許的網(wǎng)絡(luò)服務(wù)和訪問(wèn)方向全部禁止；（6）內(nèi)網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)做動(dòng)態(tài)NAT，轉(zhuǎn)換成防火墻外網(wǎng)口地址；（7）DMZ區(qū)的服務(wù)器訪問(wèn)互聯(lián)網(wǎng)做靜態(tài)NAT，4臺(tái)服務(wù)器轉(zhuǎn)換成4個(gè)合法IP地址。任務(wù)實(shí)施實(shí)