RCNA認證課程-T009-園區(qū)網(wǎng)安全設計(v2.0)

第9章園區(qū)網(wǎng)的平安技術(shù)RCNA_T009教學目標通過本章學習使學員能夠： 1、了解常見的網(wǎng)絡平安隱患及常用防范技術(shù)； 2、熟悉交換機端口平安功能及配置 3、掌握基于IP的標準、擴展ACL技術(shù)進行網(wǎng)絡平安訪問控制。本章內(nèi)容網(wǎng)絡平安隱患交換機端口平安IP訪問控制列表課程議題網(wǎng)絡平安隱患常見的網(wǎng)絡攻擊：

網(wǎng)絡攻擊手段多種多樣，以上是最常見的幾種攻擊不可防止攻擊工具體系化

網(wǎng)絡攻擊原理日趨復雜，但攻擊卻變得越來越簡單易操作額外的不平安因素

DMZE-Mail

FileTransferHTTPIntranet企業(yè)網(wǎng)絡生產(chǎn)部工程部市場部人事部路由Internet中繼外部個體外部/組織內(nèi)部個體內(nèi)部/組織現(xiàn)有網(wǎng)絡平安體制現(xiàn)有網(wǎng)絡安全防御體制IDS/IPS68%殺毒軟件99%防火墻98%ACL71%VPN虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測課程議題交換機端口平安交換機端口平安利用交換機的端口平安功能實現(xiàn)防止局域網(wǎng)大局部的內(nèi)部攻擊對用戶、網(wǎng)絡設備造成的破壞，如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等。交換機端口平安的根本功能限制交換機端口的最大連接數(shù)端口的平安地址綁定交換機端口平安平安違例產(chǎn)生于以下情況：如果一個端口被配置為一個平安端口，當其平安地址的數(shù)目已經(jīng)到達允許的最大個數(shù)如果該端口收到一個源地址不屬于端口上的平安地址的包當平安違例產(chǎn)生時，你可以選擇多種方式來處理違例：Protect：當平安地址個數(shù)滿后，平安端口將丟棄未知名地址〔不是該端口的平安地址中的任何一個〕的包Restrict：當違例產(chǎn)生時，將發(fā)送一個Trap通知Shutdown：當違例產(chǎn)生時，將關(guān)閉端口并發(fā)送一個Trap通知配置平安端口端口平安最大連接數(shù)配置switchportport-security ！翻開該接口的端口平安功能switchportport-securitymaximumvalue ！設置接口上平安地址的最大個數(shù)，范圍是1－128，缺省值為128switchportport-securityviolation{protect|restrict|shutdown} ！設置處理違例的方式注意：1、端口平安功能只能在access端口上進行配置。2、當端口因為違例而被關(guān)閉后，在全局配置模式下使用命令errdisablerecovery來將接口從錯誤狀態(tài)中恢復過來。配置平安端口端口的平安地址綁定switchportport-security！翻開該接口的端口平安功能switchportport-securitymac-addressmac-addressip-addressip-address ！手工配置接口上的平安地址注意：1、端口平安功能只能在access端口上進行配置2、端口的平安地址綁定方式有:單MAC、單IP、MAC+IP案例〔一〕下面的例子是配置接口gigabitethernet1/3上的端口平安功能，設置最大地址個數(shù)為8，設置違例方式為protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end案例〔二〕下面的例子是配置接口fastethernet0/3上的端口平安功能，配置端口綁定地址，主機MAC為，IP為Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#end查看配置信息查看所有接口的平安統(tǒng)計信息，包括最大平安地址數(shù)，當前平安地址數(shù)以及違例處理方式等Switch#showport-securitySecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看平安地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381課程議題IP訪問控制列表什么是訪問列表IPAccess-list：IP訪問列表或訪問控制列表，簡稱IPACLACL就是對經(jīng)過網(wǎng)絡設備的數(shù)據(jù)包根據(jù)一定的規(guī)那么進行數(shù)據(jù)包的過濾ISP√

為什么要使用訪問列表內(nèi)網(wǎng)平安運行訪問外網(wǎng)的平安控制訪問列表訪問控制列表的作用：內(nèi)網(wǎng)布署平安策略，保證內(nèi)網(wǎng)平安權(quán)限的資源訪問內(nèi)網(wǎng)訪問外網(wǎng)時，進行平安的數(shù)據(jù)過濾防止常見病毒、木馬、攻擊對用戶的破壞訪問列表的組成定義訪問列表的步驟第一步，定義規(guī)那么〔哪些數(shù)據(jù)允許通過，哪些數(shù)據(jù)不允許通過〕第二步，將規(guī)那么應用在路由器〔或交換機〕的接口上訪問控制列表規(guī)那么的分類：1、標準訪問控制列表2、擴展訪問控制列表訪問列表規(guī)那么的應用路由器應用訪問列表對流經(jīng)接口的數(shù)據(jù)包進行控制1.入棧應用〔in〕經(jīng)某接口進入設備內(nèi)部的數(shù)據(jù)包進行平安規(guī)那么過濾2.出棧應用〔out〕設備從某接口向外發(fā)送數(shù)據(jù)時進行平安規(guī)那么過濾一個接口在一個方向只能應用一組訪問控制列表F1/0F1/1INOUT訪問列表的入棧應用NY是否允許

?Y是否應用

訪問列表

?N查找路由表進行選路轉(zhuǎn)發(fā)以ICMP信息通知源發(fā)送方以ICMP信息通知源發(fā)送方NY選擇出口

S0

路由表中是否存在記錄

?NY查看訪問列表

的陳述是否允許

?Y是否應用

訪問列表

?NS0S0

訪問列表的出棧應用IPACL的根本準那么一切未被允許的就是禁止的定義訪問控制列表規(guī)那么時，最終的缺省規(guī)那么是拒絕所有數(shù)據(jù)包通過按規(guī)那么鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配規(guī)那么匹配原那么從頭到尾，至頂向下的匹配方式匹配成功馬上停止立刻使用該規(guī)那么的“允許/拒絕……”Y拒絕Y是否匹配

規(guī)那么條件1?允許N拒絕允許是否匹配

規(guī)那么條件2?拒絕是否匹配

最后一個

條件

?YYNYY允許隱含拒絕N一個訪問列表多條過濾規(guī)那么訪問列表規(guī)那么的定義標準訪問列表根據(jù)數(shù)據(jù)包源IP地址進行規(guī)那么定義擴展訪問列表根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進行規(guī)那么定義源地址TCP/UDP數(shù)據(jù)IP

eg.HDLC1-99

號列表IP標準訪問列表目的地址源地址協(xié)議端口號IP擴展訪問列表TCP/UDP數(shù)據(jù)IP

eg.HDLC100-199

號列表

0表示檢查相應的地址比特

1表示不檢查相應的地址比特001111111286432168421000000000000111111111111反掩碼〔通配符〕IP標準訪問列表的配置1.定義標準ACL編號的標準訪問列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩碼]命名的標準訪問列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩碼]2.應用ACL到接口Router(config-if)#ipaccess-group<1-99>{in|out}F1/0S1/2F1/1IP標準訪問列表配置實例(一)配置：(access-list1denyany)interfaceserial1/2ipaccess-group1out標準訪問列表配置實例(二)需求：你是某校園網(wǎng)管，領(lǐng)導要你對網(wǎng)絡的數(shù)據(jù)流量進行控制,要求校長可以訪問財務的主機，但教師機不可以訪問。配置：財務教師F0/1F0/2F0/5F0/6F0/8F0/9F0/10校長IP擴展訪問列表的配置1.定義擴展的ACL編號的擴展ACLRouter(config)#access-list<100-199>{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]命名的擴展ACLipaccess-listextended{name}{permit/deny}協(xié)議源地址反掩碼[源端口]目的地址反掩碼[目的端口]2.應用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP擴展訪問列表配置實例(一)如何創(chuàng)立一條擴展ACL該ACL有一條ACE，用于允許指定網(wǎng)絡〔192.168.x..x〕的所有主機以HTTP訪問效勞器，但拒絕其它所有主機使用網(wǎng)絡Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103

access-list115denyudpanyanyeq69

access-list115denytcpanyanyeq135

access-list115denyudpanyanyeq135

access-list115denyudpanyanyeq137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

access-list115denytcpanyanyeq4444

access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115outIP擴展訪問列表配置實例(二)利用ACL隔離沖擊波病毒

訪問列表的驗證顯示全部的訪問列表R