第8章 網(wǎng)絡(luò)系統(tǒng)安全部署課件

校園網(wǎng)建設(shè)狀況自評(píng)報(bào)告

楊威山西師范大學(xué)網(wǎng)絡(luò)信息中心網(wǎng)絡(luò)系統(tǒng)集成與工程設(shè)計(jì)編著：楊威王云劉景宜第8章

人民郵電出版社

2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署

本章知識(shí)要點(diǎn)：網(wǎng)絡(luò)威脅與對(duì)策，服務(wù)器威脅與對(duì)策802.1x協(xié)議及工作機(jī)制，基于RADIUS的認(rèn)證計(jì)費(fèi)，幾種認(rèn)證方式比較防止IP地址盜用，802.1x+RADIUS的應(yīng)用網(wǎng)絡(luò)防病毒技術(shù)、毒策略與案例使用路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界使用網(wǎng)絡(luò)DMZ，構(gòu)建入侵檢測系統(tǒng)路由器認(rèn)證技術(shù)及應(yīng)用標(biāo)準(zhǔn)訪問列表，擴(kuò)展訪問列表與應(yīng)用PIX防火墻的配置與應(yīng)用雙址路由防火墻的應(yīng)用

第8章網(wǎng)絡(luò)系統(tǒng)安全部署

2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署本章重點(diǎn)：802.1x協(xié)議及工作機(jī)制基于RADIUS的認(rèn)證計(jì)費(fèi)網(wǎng)絡(luò)防病毒技術(shù)與策略使用路由器+防火墻保護(hù)網(wǎng)絡(luò)邊界構(gòu)建入侵檢測系統(tǒng)擴(kuò)展訪問列表與應(yīng)用PIX防火墻的配置與應(yīng)用本章難點(diǎn)：構(gòu)建入侵檢測系統(tǒng)擴(kuò)展訪問列表與應(yīng)用PIX防火墻的配置與應(yīng)用

第8章網(wǎng)絡(luò)系統(tǒng)安全部署

2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.1網(wǎng)絡(luò)安全威脅與對(duì)策網(wǎng)絡(luò)的組成元素網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)節(jié)點(diǎn)網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備元素說明：該元素由網(wǎng)絡(luò)交換機(jī)、路由器、防火墻等網(wǎng)絡(luò)傳輸設(shè)備組成，進(jìn)行用戶網(wǎng)絡(luò)數(shù)據(jù)的交換處理。元素說明：該元素由網(wǎng)絡(luò)服務(wù)器，用戶網(wǎng)絡(luò)客戶端等網(wǎng)絡(luò)終端設(shè)備組成。網(wǎng)絡(luò)傳輸網(wǎng)絡(luò)終端

設(shè)備網(wǎng)絡(luò)終端

設(shè)備現(xiàn)有網(wǎng)絡(luò)中存在的問題導(dǎo)致這些問題的原因是什么現(xiàn)有網(wǎng)絡(luò)安全體制網(wǎng)絡(luò)安全的演化病毒的演化趨勢木馬程序、黑客應(yīng)用安全網(wǎng)絡(luò)安全保護(hù)需求網(wǎng)絡(luò)安全保護(hù)對(duì)策2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署撥號(hào)用戶B撥號(hào)用戶C撥號(hào)用戶A撥號(hào)用戶DInternet垃圾郵件病毒破壞黑客攻擊資源濫用信息泄密DOS攻擊不良信息終端安全信息丟失未授權(quán)接入非法外聯(lián)監(jiān)控安全事件處理IT系統(tǒng)運(yùn)維面臨的問題2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署導(dǎo)致這些問題的原因是什么？

病毒泛濫：計(jì)算機(jī)病毒的感染率比例非常高，高達(dá)89.73%

軟件漏洞：軟件系統(tǒng)中的漏洞也不斷被發(fā)現(xiàn)，從漏洞公布到出現(xiàn)攻擊代碼的時(shí)間為5.8天黑客攻擊：世界上目前有20多萬個(gè)黑客網(wǎng)站，各種黑客工具隨時(shí)都可以找到，攻擊方法達(dá)幾千種之多。

移動(dòng)用戶越來越多：網(wǎng)絡(luò)用戶往往跨越多個(gè)工作區(qū)域以上相關(guān)數(shù)據(jù)來自Symantec。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL（規(guī)則控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey資料來源： ComputerSecurityInstitute2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對(duì)我們的威脅越來越快2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署病毒的演化趨勢

攻擊和威脅轉(zhuǎn)移到服務(wù)器和網(wǎng)關(guān)，對(duì)防毒體系提出新的挑戰(zhàn)IDC,2004郵件/互聯(lián)網(wǎng)CodeRedNimdafunloveKlez20012002郵件Melissa19992000LoveLetter1969物理介質(zhì)Brain19861998CIHSQLSlammer20032004沖擊波震蕩波2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署病毒發(fā)展史1990199119941996199819992000200120022003主流病毒行態(tài)木馬、蠕蟲2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署病毒發(fā)展史（續(xù)1）引導(dǎo)區(qū)病毒臺(tái)式電腦第1代第2代第3代第4代臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦LAN服務(wù)器基于文件的病毒郵件群發(fā)病毒

互聯(lián)網(wǎng)防毒墻電子郵件

服務(wù)器墻臺(tái)式電腦筆記本電腦網(wǎng)絡(luò)病毒

互聯(lián)網(wǎng)防毒墻服務(wù)器服務(wù)器服務(wù)器服務(wù)器臺(tái)式電腦臺(tái)式電腦臺(tái)式電腦筆記本電腦已打補(bǔ)丁的機(jī)器網(wǎng)絡(luò)擁堵2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署Internet攻擊模式WORM_SASSER.A染毒電腦未修補(bǔ)漏洞的系統(tǒng)已修補(bǔ)漏洞的系統(tǒng)隨機(jī)攻擊隨機(jī)攻擊隨機(jī)攻擊被感染不被感染不被感染被感染被感染不被感染不被感染2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署病毒出現(xiàn)越來越快

沖擊波2003年8月11日補(bǔ)?。篗S03-0262003年7月16日補(bǔ)?。?/p>

MS02-0392002年7月24日蠕蟲王2003年1月25日時(shí)間間隔26天185天336天尼姆達(dá)補(bǔ)?。?/p>

MS00-0782000年10月17日2001年9月18日震蕩波2004年5月1日補(bǔ)丁：MS04-011

2004年4月13日18

天2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署網(wǎng)絡(luò)病毒的特征通過攻擊操作系統(tǒng)或應(yīng)用軟件的已知安全漏洞來獲得控制權(quán)在本地硬盤上并不留下文件由于其在網(wǎng)絡(luò)上進(jìn)行掃描的動(dòng)作，可能會(huì)引起嚴(yán)重的網(wǎng)絡(luò)負(fù)載如果攻擊是屬于常規(guī)的應(yīng)用，例如SQL,IIS等就可能穿過防火墻2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署木馬程序等間諜軟件成為網(wǎng)絡(luò)與信息安全保密的重要隱患.在現(xiàn)在的工作中發(fā)現(xiàn),越來越多的木馬程序植入到我國重要信息系統(tǒng)中,根據(jù)保守估計(jì),國內(nèi)80%的網(wǎng)絡(luò)系統(tǒng),都存在木馬程序和間諜軟件問題.中國地區(qū)危害最為嚴(yán)重的十種木馬病毒，分別是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、BOT系列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬系統(tǒng)漏洞就像給了木馬病毒一把鑰匙，使它能夠很輕易在電腦中埋伏下來，而木馬病毒又會(huì)欺騙用戶偽裝成“好人”，達(dá)到其偷取隱私信息的險(xiǎn)惡目的木馬程序2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署

木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針對(duì)以上各種現(xiàn)象的危害越來越多，木馬病毒已成為威脅數(shù)字娛樂的大敵根據(jù)木馬病毒的特點(diǎn)與其危害范圍來講，木馬病毒又分為以下五大類別：針對(duì)網(wǎng)游的木馬病毒、針對(duì)網(wǎng)上銀行的木馬病毒、針對(duì)即時(shí)通訊工具的木馬病毒、給計(jì)算機(jī)開后門的木馬病毒、推廣廣告的木馬病毒。木馬程序2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署

黑客攻擊愈加猖獗據(jù)國家計(jì)算機(jī)應(yīng)急處理協(xié)調(diào)中心（CNCERT/CC）統(tǒng)計(jì)：2003年，我國互聯(lián)網(wǎng)內(nèi)共有272萬臺(tái)主機(jī)受到攻擊，造成的損失數(shù)以億計(jì)；攻擊向縱深發(fā)展,以經(jīng)濟(jì)和商業(yè)利益為目的的網(wǎng)絡(luò)攻擊行為漸為主流2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署垃圾郵件成為公害據(jù)中國互聯(lián)網(wǎng)中心統(tǒng)計(jì)，現(xiàn)在，我國用戶平均每周受到的垃圾郵件數(shù)超過郵件總數(shù)的60%，部分企業(yè)每年為此投入上百萬元的設(shè)備和人力，垃圾郵件泛濫造成嚴(yán)重后果它不但阻塞網(wǎng)絡(luò),降低系統(tǒng)效率和生產(chǎn)力,同時(shí)有些郵件還包括色情和反動(dòng)的內(nèi)容2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署垃圾郵件的發(fā)展速度和趨勢數(shù)據(jù)來源：Radicati，2004.62024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署應(yīng)用安全設(shè)計(jì)階段開發(fā)階段實(shí)施階段使用階段管理制度監(jiān)督機(jī)制使用方法在應(yīng)用安全問題中,在Windows平臺(tái)上利用Windows系統(tǒng)新漏洞的攻擊占70%左右,30%的安全問題與Linux相關(guān)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署移動(dòng)用戶D廣域網(wǎng)如何進(jìn)行信息系統(tǒng)的等級(jí)化保護(hù)？

各信息系統(tǒng)依據(jù)重要程度的等級(jí)需要?jiǎng)澐植煌踩珡?qiáng)度的安全域，采取不同的安全控制措施和制定安全策略2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署完成安全設(shè)施的重新部署或響應(yīng)如何從全局角度對(duì)安全狀況分析、評(píng)估與管理獲得全局安全視圖制定安全策略指導(dǎo)或自動(dòng)Internetp用戶如何管理現(xiàn)有安全資源并執(zhí)行策略機(jī)制？補(bǔ)丁服務(wù)器p打補(bǔ)丁了嗎？更新補(bǔ)丁了嗎？ppppppppppp困境無法知道哪些機(jī)器沒有安裝漏洞補(bǔ)丁知道哪些機(jī)器但是找不到機(jī)器在哪里機(jī)器太多不知如何做起系統(tǒng)安全漏洞微軟每周都有數(shù)個(gè)修正檔需要更新2003年Windows2000Server有50個(gè)漏洞補(bǔ)丁2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署Internet用戶如何防止內(nèi)部信息的泄露？未經(jīng)安全檢查與過濾，違規(guī)接入內(nèi)部網(wǎng)絡(luò)私自撥號(hào)上網(wǎng)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署Internet用戶如何實(shí)現(xiàn)積極防御和綜合防范？怎樣定位病毒源或者攻擊源，怎樣實(shí)時(shí)監(jiān)控病毒與攻擊2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署我們怎么辦?2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段教學(xué)網(wǎng)段1網(wǎng)站OA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群Internet保戶網(wǎng)絡(luò)與基礎(chǔ)設(shè)施的安全1、網(wǎng)絡(luò)設(shè)備2、通訊設(shè)備3、通訊線路4、可用性5、機(jī)密性6、完整性7、可管理性保護(hù)邊界與外部連接邊界進(jìn)出數(shù)據(jù)流的有效控制與監(jiān)視保護(hù)計(jì)算環(huán)境操作系統(tǒng)數(shù)據(jù)庫系統(tǒng)終端保護(hù)應(yīng)用業(yè)務(wù)系統(tǒng)辦公自動(dòng)化系統(tǒng)其他應(yīng)用系統(tǒng)......網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)需求教學(xué)網(wǎng)段5內(nèi)部辦公N2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署Intranet2邊界處的訪問控制4邊界處的病毒與惡意代碼防護(hù)5邊界內(nèi)部的網(wǎng)絡(luò)掃描與撥號(hào)監(jiān)控3邊界處的網(wǎng)絡(luò)入侵檢測1邊界處的認(rèn)證與授權(quán)網(wǎng)絡(luò)邊界與外部連接的保護(hù)需求6邊界處的垃圾郵件和內(nèi)容過濾2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署計(jì)算環(huán)境的保護(hù)需求1基于主機(jī)的入侵檢測2基于主機(jī)的惡意代碼和病毒檢測3主機(jī)脆弱性掃描4主機(jī)系統(tǒng)加固5主機(jī)文件完整性檢查6主機(jī)用戶認(rèn)證與授權(quán)7主機(jī)數(shù)據(jù)存儲(chǔ)安全8主機(jī)訪問控制2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署DMZ?E-Mail

??HTTPIntranet學(xué)校網(wǎng)絡(luò)教學(xué)區(qū)教務(wù)區(qū)財(cái)務(wù)部人事部路由Internet中繼管理分析&實(shí)施策略安全隱患外部/個(gè)體外部/組織內(nèi)部/個(gè)體內(nèi)部/組織關(guān)閉安全維護(hù)“后門”更改缺省的系統(tǒng)口令Modem用戶安全培訓(xùn)授權(quán)復(fù)查入侵檢測實(shí)時(shí)監(jiān)控安裝認(rèn)證&授權(quán)數(shù)據(jù)文件加密添加所有操作系統(tǒng)Patch2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署看不懂進(jìn)不來拿不走改不了跑不了可審查信息安全的目的打不垮2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署采取的解決辦法一對(duì)于非法訪問及攻擊類

-----在非可信網(wǎng)絡(luò)接口處安裝訪問控制防火墻、蠕蟲墻、Dos/DDos墻、IPsecVPN、SSLVPN、內(nèi)容過濾系統(tǒng)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署領(lǐng)導(dǎo)網(wǎng)段Internet防火墻、IPSECVPN、SSLVPN、內(nèi)容過濾等防DOS/DDOS設(shè)備個(gè)人安全套件語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段52024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署采取的解決辦法二對(duì)于病毒、蠕蟲、木馬類

-----實(shí)施全網(wǎng)絡(luò)防病毒系統(tǒng)對(duì)于垃圾郵件類

-----在網(wǎng)關(guān)處實(shí)施防垃圾郵件系統(tǒng)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署Internet郵件過濾網(wǎng)關(guān)、反垃圾郵件系統(tǒng)在MAIL系統(tǒng)中郵件病毒過濾系統(tǒng)、反垃圾郵件系統(tǒng)領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段52024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署采取的解決辦法三對(duì)于內(nèi)部信息泄露、非法外聯(lián)、內(nèi)部攻擊類

-----在各網(wǎng)絡(luò)中安裝IDS系統(tǒng)

-----在系統(tǒng)中安裝安全隱患掃描系統(tǒng)

-----在系統(tǒng)中安裝事件分析響應(yīng)系統(tǒng)

-----在主機(jī)中安裝資源管理系統(tǒng)

-----在主機(jī)中安裝防火墻系統(tǒng)

-----在重要主機(jī)中安裝內(nèi)容過濾系統(tǒng)

-----在重要主機(jī)中安裝VPN系統(tǒng)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署人事商務(wù)網(wǎng)段Internet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段52024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署采取的解決辦法四對(duì)于系統(tǒng)統(tǒng)一管理、信息分析、事件分析響應(yīng)

-----在網(wǎng)絡(luò)中配置管理系統(tǒng)

-----在網(wǎng)絡(luò)中配置信息審計(jì)系統(tǒng)

-----在網(wǎng)絡(luò)中配置日志審計(jì)系統(tǒng)

-----在網(wǎng)絡(luò)中補(bǔ)丁分發(fā)系統(tǒng)

-----在網(wǎng)絡(luò)中配置安全管理中心2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署銷售體系網(wǎng)段NInternet安全審計(jì)中心領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3教學(xué)網(wǎng)段2教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段52024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署安全管理中心專家?guī)霫nternet領(lǐng)導(dǎo)網(wǎng)段語音教室網(wǎng)段財(cái)務(wù)網(wǎng)段多媒體教室網(wǎng)段內(nèi)部辦公網(wǎng)段1數(shù)字圖書館網(wǎng)段內(nèi)部辦公NOA網(wǎng)段教學(xué)網(wǎng)段3安服網(wǎng)段教學(xué)網(wǎng)段4網(wǎng)管網(wǎng)段校園網(wǎng)服務(wù)器群教學(xué)網(wǎng)段52024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署問題時(shí)間2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2網(wǎng)絡(luò)安全接入與認(rèn)證802.1x協(xié)議及工作機(jī)制基于RADIUS的認(rèn)證計(jì)費(fèi)基于802.1x的認(rèn)證計(jì)費(fèi)幾種認(rèn)證方式比較防止IP地址盜用

802.1x+RADIUS的應(yīng)用案例

2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2.1802.1x協(xié)議及工作機(jī)制802.1x協(xié)議稱為基于端口的訪問控制協(xié)議（PortBasedNetworkAccessControlProtocol），該協(xié)議的核心內(nèi)容如下圖所示?？拷脩粢粋?cè)的以太網(wǎng)交換機(jī)上放置一個(gè)EAP（ExtensibleAuthenticationProtocol，可擴(kuò)展的認(rèn)證協(xié)議）代理，用戶PC機(jī)運(yùn)行EAPoE（EAPoverEthernet）的客戶端軟件與交換機(jī)通信。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署802.1x協(xié)議包括三個(gè)重要部分：客戶端請求系統(tǒng)（SupplicantSystem）認(rèn)證系統(tǒng)（AuthenticatorSystem）認(rèn)證服務(wù)器（AuthenticationServerSystem）8.2.1802.1x協(xié)議及工作機(jī)制上圖描述了三者之間的關(guān)系以及互相之間的通信?？蛻魴C(jī)安裝一個(gè)EAPoE客戶端軟件，該軟件支持交換機(jī)端口的接入控制，用戶通過啟動(dòng)客戶端軟件發(fā)起802.1x協(xié)議的認(rèn)證過程。認(rèn)證系統(tǒng)通常為支持802.1x協(xié)議的交換機(jī)。該交換機(jī)有兩個(gè)邏輯端口：受控端口和非受控端口。非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞EAPoE協(xié)議幀，保證客戶端始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過之后才導(dǎo)通，用于傳遞網(wǎng)絡(luò)信息。如果用戶未通過認(rèn)證，受控端口處于非導(dǎo)通狀態(tài)，則用戶無法訪問網(wǎng)絡(luò)信息。受控端口可配置為雙向受控和僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2.2基于RADIUS的認(rèn)證計(jì)費(fèi)衡量RADIUS的標(biāo)準(zhǔn)

RADIUS的性能是用戶該關(guān)注的地方，比如，能接受多少請求以及能處理多少事務(wù)。同時(shí)遵循標(biāo)準(zhǔn)，并具備良好的與接入控制設(shè)備的互操作性是RADIUS服務(wù)器好壞的重要指標(biāo)。安全性也是關(guān)注的重點(diǎn)，服務(wù)器在和網(wǎng)絡(luò)接入服務(wù)器（NAS，NetworkAccessServers）通信的過程中是如何保證安全和完整性的。另外，RADIUS是否能夠讓管理員實(shí)現(xiàn)諸多管理安全特性和策略是非常重要的一環(huán)。是否支持強(qiáng)制時(shí)間配額，這種功能使網(wǎng)絡(luò)管理員可以限制用戶或用戶組能夠通過RADIUS服務(wù)器接入網(wǎng)絡(luò)多長時(shí)間。RADIUS服務(wù)器是否都通過ODBC或JDBC，利用SQLServer數(shù)據(jù)庫保存和訪問用戶配置文件。

RADIUS認(rèn)證系統(tǒng)的組成RADIUS是一種C/S結(jié)構(gòu)的協(xié)議。RadiusClient一般是指與NAS通信的、處理用戶上網(wǎng)驗(yàn)證的軟件；RadiusServer一般是指認(rèn)證服務(wù)器上的計(jì)費(fèi)和用戶驗(yàn)證軟件。Server與Client通信進(jìn)行認(rèn)證處理，這兩個(gè)軟件都是遵循RFC相關(guān)Radius協(xié)議設(shè)計(jì)的。RADIUS的客戶端最初就是NAS，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。如下圖。

RADIUS的工作原理用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、口令等相關(guān)信息。其中用戶口令是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播。RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證。如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問。如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2.3基于802.1x的認(rèn)證計(jì)費(fèi)（1）用戶開始上網(wǎng)時(shí)，啟動(dòng)802.1x客戶端軟件。該軟件查詢網(wǎng)絡(luò)上能處理EAPoE數(shù)據(jù)包的交換機(jī)。當(dāng)支持802.1x協(xié)議的交換機(jī)接收到EAPoE數(shù)據(jù)包時(shí)，就會(huì)向請求者發(fā)送響應(yīng)的包，要求用戶輸入登錄用戶名及口令。（2）客戶端收到交換機(jī)的響應(yīng)后，提供身份標(biāo)識(shí)給認(rèn)證服務(wù)器。由于此時(shí)客戶端還未經(jīng)過驗(yàn)證，因此認(rèn)證流只能從交換機(jī)未受控邏輯端口經(jīng)過。交換機(jī)通過EAP協(xié)議將認(rèn)證流轉(zhuǎn)發(fā)到AAA服務(wù)器，進(jìn)行認(rèn)證。（3）如果認(rèn)證通過，則認(rèn)證系統(tǒng)的交換機(jī)的受控邏輯端口打開。（4）客戶端軟件發(fā)起DHCP請求，經(jīng)認(rèn)證交換機(jī)轉(zhuǎn)發(fā)到DHCPServer。（5）DHCPServer為用戶分配IP地址。（6）DHCPServer分配的地址信息返回給認(rèn)證系統(tǒng)的服務(wù)器，服務(wù)器記錄用戶的相關(guān)信息，如用戶ID，MAC，IP地址等信息，并建立動(dòng)態(tài)的ACL訪問列表，以限制用戶的權(quán)限。（7）當(dāng)認(rèn)證交換機(jī)檢測到用戶的上網(wǎng)流量，就會(huì)向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息，開始對(duì)用戶計(jì)費(fèi)。（8）當(dāng)用戶退出網(wǎng)絡(luò)時(shí)間，可用鼠標(biāo)點(diǎn)擊客戶端軟件（在用戶上網(wǎng)期間，該軟件處于運(yùn)行狀態(tài)）的“退出”按鈕。認(rèn)證系統(tǒng)檢測到該數(shù)據(jù)包后，會(huì)通知AAA（Authentication，Authorization，Accounting）服務(wù)器停止計(jì)費(fèi)，并刪除用戶的相關(guān)信息（如MAC和IP地址），受控邏輯端口關(guān)閉。用戶進(jìn)入再認(rèn)證狀態(tài)。（9）如果上網(wǎng)的PC機(jī)異常死機(jī)，當(dāng)驗(yàn)證設(shè)備檢測不到PC機(jī)在線狀態(tài)后，則認(rèn)為用戶已經(jīng)下線，即向認(rèn)證服務(wù)器發(fā)送終止計(jì)費(fèi)的信息。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2.4幾種認(rèn)證方式比較PPPoE：

PPPoE的本質(zhì)就是在以太網(wǎng)上運(yùn)行PPP協(xié)議。由于PPP協(xié)議認(rèn)證過程的第一階段是發(fā)現(xiàn)階段，廣播只能在二層網(wǎng)絡(luò)，才能發(fā)現(xiàn)寬帶接入服務(wù)器。因此，也就決定了在客戶機(jī)和服務(wù)器之間，不能有路由器或三層交換機(jī)。另外，由于PPPoE點(diǎn)對(duì)點(diǎn)的本質(zhì)，在客戶機(jī)和服務(wù)器之間，限制了組播協(xié)議存在。這樣，將會(huì)在一定程度上，影響視頻業(yè)務(wù)的開展。除此之外，PPP協(xié)議需要再次封裝到以太網(wǎng)中，所以效率較低。

Web＋DHCP：采用旁路方式網(wǎng)絡(luò)架構(gòu)時(shí)，不能對(duì)用戶進(jìn)行類似帶寬管理。另外，DHCP是動(dòng)態(tài)分配IP地址，但其本身的成熟度加上設(shè)備對(duì)這種方式支持力度還較小，故在防止用戶盜用IP地址等方面，還需要額外的手段來控制。除此之外，用戶連接性差，易用性不夠好。802.1x：802.1x協(xié)議為二層協(xié)議，不需要到達(dá)三層，而且接入交換機(jī)無須支持802.1q的VLAN，對(duì)設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本。業(yè)務(wù)報(bào)文直接承載在正常的二層報(bào)文上，用戶通過認(rèn)證后，業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離，對(duì)后續(xù)的數(shù)據(jù)包處理沒有特殊要求。在認(rèn)證過程中，802.1x不用封裝幀到以太網(wǎng)中，效率相對(duì)較高。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2.5防止IP地址盜用1.使用ARP命令（1）使用操作系統(tǒng)的ARP命令進(jìn)入“MS-DOS方式”或“命令提示符”，在命令提示符下輸入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆綁在一起。這樣，就不會(huì)出現(xiàn)客戶機(jī)IP地址被盜用而不能正常使用網(wǎng)絡(luò)的情況發(fā)生。ARP命令僅對(duì)局域網(wǎng)的上網(wǎng)服務(wù)器、客戶機(jī)的靜態(tài)IP地址有效。當(dāng)被綁定IP地址的計(jì)算機(jī)宕機(jī)后，地址幫綁定關(guān)系解除。如果采用Modem撥號(hào)上網(wǎng)或是動(dòng)態(tài)IP地址就不起作用。ARP命令的參數(shù)的功能如下：ARP-s-d-a-s：將相應(yīng)的IP地址與物理地址的捆綁，如以上所舉的例子。-d：刪除相應(yīng)的IP地址與物理地址的捆綁。-a：通過查詢ARP協(xié)議表顯示IP地址和對(duì)應(yīng)物理地址的情況。（2）使用交換機(jī)的ARP命令例如，Cisco的二層和三層交換機(jī)。在二層交換機(jī)只能綁定與該交換機(jī)IP地址具有相同網(wǎng)絡(luò)地址的IP地址。在三層交換機(jī)可以綁定該設(shè)備所有VLAN的IP地址。交換機(jī)支持靜態(tài)綁定和動(dòng)態(tài)幫綁定，一般采用靜態(tài)綁定。其綁定操作過程是：采用Telnet命令或Console口連接交換機(jī)，進(jìn)入特權(quán)模式；輸入config，進(jìn)入全局配置模式；輸入綁定命令：arp0010.5CAD.72E3arpa；至此，即可完成綁定。綁定的解除，在全局配置模式下輸入：noarp即可。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2.5防止IP地址盜用2.使用802.1x的安全接入與Radius認(rèn)證（1）采用IP和賬號(hào)綁定，防止靜態(tài)IP沖突

用戶進(jìn)行802.1x認(rèn)證時(shí)，用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用賬號(hào)密碼試圖通過認(rèn)證時(shí)，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)和其IP做了綁定，認(rèn)證服務(wù)器對(duì)其不予通過認(rèn)證，從而同樣不會(huì)造成IP沖突。當(dāng)用戶使用正確的賬號(hào)IP通過認(rèn)證后，再更改IP時(shí)，Radius客戶端軟件能夠檢測到IP的更改，即刻剔除用戶下線，從而不會(huì)造成IP沖突。（2）采用客戶IP屬性校驗(yàn)，防止動(dòng)態(tài)IP沖突

用戶進(jìn)行802.1X認(rèn)證前不用動(dòng)態(tài)獲得IP，而是靜態(tài)指定。認(rèn)證前用戶還沒有通過認(rèn)證，該用戶與網(wǎng)絡(luò)是隔離的，其指定的IP不會(huì)與別的用戶IP沖突。當(dāng)用戶使用賬號(hào)密碼試圖通過認(rèn)證，因?yàn)檎J(rèn)證服務(wù)器端該用戶賬號(hào)的IP屬性是動(dòng)態(tài)IP，認(rèn)證報(bào)文中該用戶的IP屬性確是靜態(tài)IP，則認(rèn)證服務(wù)器對(duì)其不予通過認(rèn)證，從而同樣不會(huì)造成IP沖突。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.2.6802.1x+RADIUS的應(yīng)用案例2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.3網(wǎng)絡(luò)病毒及防御瑞星網(wǎng)絡(luò)版的防殺毒系統(tǒng)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.4保護(hù)網(wǎng)絡(luò)邊界網(wǎng)絡(luò)邊界防火墻和路由器應(yīng)用使用網(wǎng)絡(luò)DMZ構(gòu)建入侵檢測系統(tǒng)路由器認(rèn)證技術(shù)及應(yīng)用

2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署防火墻和路由器應(yīng)用

-1邊界安全設(shè)備叫做防火墻。防火墻阻止試圖對(duì)組織內(nèi)部網(wǎng)絡(luò)進(jìn)行掃描，阻止企圖闖入網(wǎng)絡(luò)的活動(dòng)，防止外部進(jìn)行拒絕服務(wù)（DoS，DenialofService）攻擊，禁止一定范圍內(nèi)黑客利用Internet來探測用戶內(nèi)部網(wǎng)絡(luò)的行為。阻塞和篩選規(guī)則由網(wǎng)管員所在機(jī)構(gòu)的安全策略來決定。防火墻也可以用來保護(hù)在Intranet中的資源不會(huì)受到攻擊。不管在網(wǎng)絡(luò)中每一段用的是什么類型的網(wǎng)絡(luò)（公共的或私有的）或系統(tǒng)，防火墻都能把網(wǎng)絡(luò)中的各個(gè)段隔離開并進(jìn)行保護(hù)。

雙防火墻體系結(jié)構(gòu)

2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署防火墻和路由器應(yīng)用

-2防火墻通常與連接兩個(gè)圍繞著防火墻網(wǎng)絡(luò)中的邊界路由器一起協(xié)同工作（下圖），邊界路由器是安全的第一道屏障。通常的做法是，將路由器設(shè)置為執(zhí)報(bào)文篩選和NAT，而讓防火墻來完成特定的端口阻塞和報(bào)文檢查，這樣的配置將整體上提高網(wǎng)絡(luò)的性能。根據(jù)這個(gè)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)置防火墻，最安全也是最簡單的方法就是：首先阻塞所有的端口號(hào)并且檢查所有的報(bào)文，然后對(duì)需要提供的服務(wù)有選擇地開放其端口號(hào)。通常來說，要想讓一臺(tái)Web服務(wù)器在Internet上僅能夠被匿名訪問，只開放80端口（http協(xié)議）或443端口（https–SSL協(xié)議）即可。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署使用網(wǎng)絡(luò)DMZ

把Web服務(wù)器放在DMZ中，必須保證Web服務(wù)器與的Intranet處于不同的子網(wǎng)。這樣當(dāng)網(wǎng)絡(luò)流量進(jìn)入路由器時(shí)，連接到Internet上的路由器和防火墻就能對(duì)網(wǎng)絡(luò)流量進(jìn)行篩選和檢查了。這樣，就證實(shí)了DMZ是一種安全性較高的措施；所以除了Web服務(wù)器，還應(yīng)該考慮把E-mail（SMTP/POP）服務(wù)器和FTP服務(wù)器等，也一同放在DMZ中。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.4.3構(gòu)建入侵檢測系統(tǒng)入侵檢測系統(tǒng)可分為基于網(wǎng)絡(luò)的IDS，基于主機(jī)的IDS、分布式IDS和智能IDS?；诰W(wǎng)絡(luò)的IDS適應(yīng)能力強(qiáng)，其開發(fā)難度略小于其他幾種。根據(jù)CIDF規(guī)范，一般從功能上將入侵檢測系統(tǒng)劃分為四個(gè)基本部分：數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)分析子系統(tǒng)、控制臺(tái)子系統(tǒng)、數(shù)據(jù)庫管理子系統(tǒng)，如下圖所示。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署構(gòu)建入侵檢測系統(tǒng)建構(gòu)步驟獲取libpcap和tcpdump審計(jì)蹤跡是IDS的數(shù)據(jù)來源，而數(shù)據(jù)采集機(jī)制是實(shí)現(xiàn)IDS的基礎(chǔ)，否則，入侵檢測就無從談起。數(shù)據(jù)采集子系統(tǒng)位于IDS的最底層，其主要目的是從網(wǎng)絡(luò)環(huán)境中獲取事件，并向其他部分提供事件。目前比較流行的做法是：使用libpcap和tcpdump，將網(wǎng)卡置于“混雜”模式，捕獲某個(gè)網(wǎng)段上所有的數(shù)據(jù)流。libpcap和tcpdump在網(wǎng)上廣為流傳，讀者可以到相關(guān)網(wǎng)站下載。

libpcap是Unix或Linux從內(nèi)核捕獲網(wǎng)絡(luò)數(shù)據(jù)包的必備工具，它是獨(dú)立于系統(tǒng)的API接口，為底層網(wǎng)絡(luò)監(jiān)控提供了一個(gè)可移植的框架，可用于網(wǎng)絡(luò)統(tǒng)計(jì)收集、安全監(jiān)控、網(wǎng)絡(luò)調(diào)試等應(yīng)用。

tcpdump是用于網(wǎng)絡(luò)監(jiān)控的工具，是Unix上常用的sniffer。它的實(shí)現(xiàn)基于libpcap接口，通過應(yīng)用布爾表達(dá)式進(jìn)行過濾轉(zhuǎn)換、包獲取和包顯示等功能。tcpdump可以幫助網(wǎng)管員描述系統(tǒng)的正常行為，并最終識(shí)別出那些不正常的行為。當(dāng)然，它只是有益于收集關(guān)于某網(wǎng)段上的數(shù)據(jù)流（網(wǎng)絡(luò)流類型、連接等）信息，至于分析網(wǎng)絡(luò)活動(dòng)是否正常，那是程序員和管理員所要做的工作。

構(gòu)建并配置探測器，實(shí)現(xiàn)數(shù)據(jù)采集

應(yīng)根據(jù)自己網(wǎng)絡(luò)的具體情況，選用合適的軟件及硬件設(shè)備。如果網(wǎng)絡(luò)數(shù)據(jù)流量很小，用一般的PC機(jī)安裝Linux即可，如果所監(jiān)控的網(wǎng)絡(luò)流量非常大，則需要用一臺(tái)性能較高的機(jī)器。在Linux服務(wù)器上開出一個(gè)日志分區(qū)，用于采集數(shù)據(jù)的存儲(chǔ)。①創(chuàng)建libpcap庫。從網(wǎng)上下載的通常都是libpcap.tar.z的壓縮包，所以，應(yīng)先將其解壓縮、解包，然后執(zhí)行配置腳本，創(chuàng)建適合于自己系統(tǒng)環(huán)境的Makefile，再用make命令創(chuàng)建ibpcap庫。libpcap安裝完畢之后，將生成一個(gè)libpcap庫三個(gè)include文件和一個(gè)man頁面（即用戶手冊）。②創(chuàng)建tcpdump。與創(chuàng)建libpcap的過程一樣，先將壓縮包解壓縮、解包到與libpcap相同的父目錄下，然后配置、安裝tcpdump。

建立數(shù)據(jù)分析模塊數(shù)據(jù)分析模塊相當(dāng)于IDS的大腦，必須具備高度的“智慧”和“判斷能力”。所以，在設(shè)計(jì)此模塊之前，需要對(duì)各種網(wǎng)絡(luò)協(xié)議、系統(tǒng)漏洞、攻擊手法、可疑行為等有一個(gè)很清晰、深入的研究，然后制訂出相應(yīng)的安全規(guī)則庫和安全策略；再分別建立濫用檢測模型和異常檢測模型，讓機(jī)器模擬人腦的分析過程，識(shí)別確知特征的攻擊和異常行為，最后將分析結(jié)果形成報(bào)警消息，發(fā)送給控制管理中心。設(shè)計(jì)數(shù)據(jù)分析模塊的工作量浩大，需要特別注意三個(gè)問題：①應(yīng)優(yōu)化檢測模型和算法的設(shè)計(jì)，確保系統(tǒng)的執(zhí)行效率；②安全規(guī)則的制訂要充分考慮包容性和可擴(kuò)展性，以提高系統(tǒng)的伸縮性；③報(bào)警消息要遵循特定的標(biāo)準(zhǔn)格式，增強(qiáng)其共享與互操作能力，切忌隨意制訂消息格式的不規(guī)范做法。

構(gòu)建控制臺(tái)子系統(tǒng)

控制臺(tái)子系統(tǒng)的主要任務(wù)有兩個(gè)：①管理數(shù)據(jù)采集分析中心，以友好、便于查詢的方式顯示數(shù)據(jù)采集分析中心發(fā)送過來的警報(bào)消息；②根據(jù)安全策略進(jìn)行一系列的響應(yīng)動(dòng)作，以阻止非法行為，確保網(wǎng)絡(luò)的安全?？刂婆_(tái)子系統(tǒng)的設(shè)計(jì)重點(diǎn)是：警報(bào)信息查詢、探測器管理、規(guī)則管理及用戶管理。

構(gòu)建數(shù)據(jù)庫管理子系統(tǒng)

該模塊的數(shù)據(jù)來源有兩個(gè)：①數(shù)據(jù)分析子系統(tǒng)發(fā)來的報(bào)警信息及其他重要信息；②管理員經(jīng)過條件查詢后對(duì)查詢結(jié)果處理所得的數(shù)據(jù)，如生成的本地文件、格式報(bào)表等。

聯(lián)調(diào)

以上幾步完成之后，一個(gè)IDS的最基本框架已被實(shí)現(xiàn)。但要使這個(gè)IDS順利地運(yùn)轉(zhuǎn)起來，還需要保持各個(gè)部分之間安全、順暢地通信和交互，這就是聯(lián)調(diào)工作所要解決的問題。首先，要實(shí)現(xiàn)數(shù)據(jù)采集分析中心和控制管理中心之間的通信，二者之間是雙向的通信。控制管理中心顯示、整理數(shù)據(jù)采集分析中心發(fā)送過來的分析結(jié)果及其他信息，數(shù)據(jù)采集分析中心接收控制管理中心發(fā)來的配置、管理等命令。注意確保這二者之間通信的安全性，最好對(duì)通信數(shù)據(jù)流進(jìn)行加密操作，以防止被竊聽或篡改。同時(shí)，控制管理中心的控制臺(tái)子系統(tǒng)和數(shù)據(jù)庫子系統(tǒng)之間也有大量的交互操作，如警報(bào)信息查詢、網(wǎng)絡(luò)事件重建等。聯(lián)調(diào)通過之后，一個(gè)基本的IDS就搭建完畢。后面要做的就是不斷完善各部分功能，尤其是提高系統(tǒng)的檢測能力。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.4.5路由器認(rèn)證技術(shù)及應(yīng)用1.OSPF協(xié)議

OSPF（OpenShortestPathFirst）是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議（IGP，InteriorGatewayProtocol），用于在單一自治系統(tǒng)（AS，AutonomousSystem）內(nèi)決策路由。與RIP相對(duì)，OSPF是鏈路狀態(tài)路由協(xié)議，而RIP是距離向量路由協(xié)議。任務(wù)命令指定使用OSPF協(xié)議routerospfprocess-id1指定與該路由器相連的網(wǎng)絡(luò)networkaddress

wildcard-maskareaarea-id指定與該路由器相鄰的節(jié)點(diǎn)地址neighborip-address2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署OSPF基本配置舉例由4臺(tái)Cisco2621路由器組成的網(wǎng)絡(luò)互連拓?fù)?，如上圖所示。路由器之間的連接采用OSPF協(xié)議，組成3個(gè)區(qū)域。路由器子網(wǎng)IPv4地址設(shè)置，如上圖所示。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署OSPF基本配置舉例

Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52routerospf100networkarea0network283area1Router2:interfaceethernet0ipaddress592interfaceserial0ipaddress52routerospf200networkarea0network43area2Router3:interfaceethernet0ipaddress3092routerospf300network283area1Router4:interfaceethernet0ipaddress692routerospf400network43area12024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署使用身份驗(yàn)證

為了安全的原因，可以在相同OSPF區(qū)域的路由器上啟用身份驗(yàn)證的功能，只有經(jīng)過身份驗(yàn)證的同一區(qū)域的路由器才能互相通告路由信息。在默認(rèn)情況下OSPF不使用區(qū)域驗(yàn)證。通過兩種方法可啟用身份驗(yàn)證功能，純文本身份驗(yàn)證和消息摘要(md5)身份驗(yàn)證。純文本身份驗(yàn)證傳送的身份驗(yàn)證口令為純文本，它會(huì)被網(wǎng)絡(luò)探測器確定，所以不安全，不建議使用。而消息摘要(md5)身份驗(yàn)證在傳輸身份驗(yàn)證口令前，要對(duì)口令進(jìn)行加密，因此一般建議使用此種方法進(jìn)行身份驗(yàn)證。使用身份驗(yàn)證時(shí)，區(qū)域內(nèi)所有的路由器接口必須使用相同的身份驗(yàn)證方法。為起用身份驗(yàn)證，必須在路由器接口配置模式下，為區(qū)域的每個(gè)路由器接口配置口令。如上表所示。任務(wù)命令指定身份驗(yàn)證areaarea-idauthentication[message-digest]使用純文本身份驗(yàn)證ipospfauthentication-keypassword使用消息摘要(md5)身份驗(yàn)證ipospfmessage-digest-keykeyidmd5key2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署身份驗(yàn)證案例例1.使用純文本身份驗(yàn)證：Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52ipospfauthentication-keyciscorouterospf100networkarea0network283area1area0authenticationRouter2:interfaceethernet0ipaddress592interfaceserial0ipaddress52ipospfauthentication-keyciscorouterospf200networkarea0network43area2area0authentication例2.消息摘要（md5）身份驗(yàn)證：Router1:interfaceethernet0ipaddress2992interfaceserial0ipaddress52ipospfmessage-digest-key1md5ciscorouterospf100networkarea0network283area1area0authenticationmessage-digestRouter2:interfaceethernet0ipaddress592interfaceserial0ipaddress52ipospfmessage-digest-key1md5ciscorouterospf200networkarea0network43area2area0authenticationmessage-digest2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.5訪問控制列表與應(yīng)用ACL概貌ACL配置擴(kuò)展ACLACL應(yīng)用2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署什么是ACL?ACL是針對(duì)路由器處理數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)的一組規(guī)則，路由器利用這組規(guī)則來決定數(shù)據(jù)報(bào)允許轉(zhuǎn)發(fā)還是拒絕轉(zhuǎn)發(fā)如果不設(shè)置ACL路由器將轉(zhuǎn)發(fā)網(wǎng)絡(luò)鏈路上所有數(shù)據(jù)報(bào)，當(dāng)網(wǎng)絡(luò)管理設(shè)置了ACL以后可以決定哪些數(shù)據(jù)報(bào)可以轉(zhuǎn)發(fā)那些不可以可以利用下列參數(shù)允許或拒絕發(fā)送數(shù)據(jù)報(bào)：源地址目的地址上層協(xié)議(例如：TCP&UDP端口號(hào))ACL可以應(yīng)用于該路由器上所有的可路由協(xié)議，對(duì)于一個(gè)接口上的不同網(wǎng)絡(luò)協(xié)議需要配置不同的ACL2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署使用ACL檢測數(shù)據(jù)報(bào)為了決定是轉(zhuǎn)發(fā)還是拒絕數(shù)據(jù)報(bào)，路由器按照ACL中各條語句的順序來依次匹配該數(shù)據(jù)報(bào)當(dāng)數(shù)據(jù)報(bào)與一條語句的條件匹配了，則將忽略ACL中的剩余所有語句的匹配處理，該數(shù)據(jù)報(bào)將按照當(dāng)前語句的設(shè)定來進(jìn)行轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)的處理在ACL的最后都有一條缺省的“denyany”語句如果ACL中的所有顯式語句沒有匹配上，那么將匹配這條缺省的語句ACL可以實(shí)時(shí)的創(chuàng)建，即實(shí)時(shí)有效的；因此不能單獨(dú)修改其中的任何一條或幾條，只能全部重寫因此，不要在路由器上直接編寫一個(gè)大型的ACL，最好使用文字編輯器編寫好整個(gè)ACL后傳送到路由器上，傳送的方法有多種：TFTP、HyperTerm軟件的“PastetoHost”功能2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署路由器如何使用ACL（出站）檢查數(shù)據(jù)報(bào)是否可以被路由，可路由地將在路由表中查詢路由檢查出站接口的ACL如果沒有ACL，將數(shù)據(jù)報(bào)交換到出站的接口如果有ACL，按照ACL語句的次序檢測數(shù)據(jù)報(bào)直至有了匹配條件，按照匹配條件的語句對(duì)數(shù)據(jù)報(bào)進(jìn)行數(shù)據(jù)報(bào)的允許轉(zhuǎn)發(fā)或拒絕轉(zhuǎn)發(fā)如果沒有任何語句匹配，將怎樣？——使用缺省的“denyany”(拒絕所有)語句2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署出站標(biāo)準(zhǔn)ACL處理流程出站數(shù)據(jù)報(bào)進(jìn)行路由表的查詢接口有ACL?源地址匹配？列表中的下一項(xiàng)更多的項(xiàng)目？執(zhí)行條件允許Permit拒絕Deny否否無是是有向源站發(fā)送ICMP信息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署在全局配置模式下按序輸入ACL語句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out兩個(gè)基本的步驟（標(biāo)準(zhǔn)ACL）2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署access-list-number參數(shù)ACL有多種類型，access-list-number與ACL的類型有關(guān)下表顯示了主要的一些ACL類型與access-list-number的關(guān)系A(chǔ)CL類型access-list-number標(biāo)準(zhǔn)IP1to99擴(kuò)展IP100to199AppleTalk600to699標(biāo)準(zhǔn)IPX800to899擴(kuò)展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署permit/deny參數(shù)在輸入了access-list命令并選擇了正確的

access-list-number后，需要使用permit或

deny參數(shù)來選擇希望路由器采取的動(dòng)作PermitDeny向源站發(fā)送ICMP消息轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署{test-conditions}參數(shù)在ACL的{testconditions}部分，需要根據(jù)存取列表的不同輸入不同的參數(shù)使用最多的是希望控制的IP地址和通配符掩碼IP地址可以是子網(wǎng)、一組地址或單一節(jié)點(diǎn)地址路由器使用通配符掩碼來決定檢查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩碼2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署通配符掩碼通配符掩碼指定了路由器在匹配地址時(shí)檢查哪些位忽略哪些位通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位，這與子網(wǎng)掩碼中的意義是完全不同的0二進(jìn)制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩碼)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署通配符掩碼2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署之后若干張幻燈片中將練習(xí)處理通配符掩碼，類似于子網(wǎng)掩碼，這需要一段時(shí)間掌握計(jì)算表示下列網(wǎng)絡(luò)中的所有節(jié)點(diǎn)的通配符掩碼：

答案：55這個(gè)通配符掩碼與C類地址的子網(wǎng)掩碼正好相反注意：針對(duì)整個(gè)網(wǎng)絡(luò)或子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼一般都是這樣的通配符掩碼練習(xí)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署計(jì)算表示下列子網(wǎng)中所有節(jié)點(diǎn)的通配符掩碼：224答案是：211與24正好相反二進(jìn)制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)為了證明通配符掩碼的工作，請看.32子網(wǎng)中的節(jié)點(diǎn)地址——511000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩碼通配符掩碼練習(xí)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署在下面的例子中，藍(lán)色的位是必須匹配檢查的位11000000.00000101.00000101.00110111(5)節(jié)點(diǎn)地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩碼必須牢記：通配符掩碼中為“0”的位表示需要檢查的位，為“1”的位表示忽略檢查的位在本例中，根據(jù)通配符掩碼中為0的位，比較數(shù)據(jù)報(bào)的源地址和控制的IP地址中相關(guān)的各個(gè)位，當(dāng)每位都相同時(shí)，說明兩者匹配針對(duì)掩碼為92的4子網(wǎng)的控制IP地址和通配符掩碼?答案：43通配符掩碼練習(xí)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署針對(duì)掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對(duì)掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55針對(duì)掩碼為的子網(wǎng)的控制IP地址和通配符掩碼?答案：55通配符掩碼練習(xí)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署計(jì)算控制的IP地址和通配符掩碼是比較復(fù)雜的，尤其是控制網(wǎng)絡(luò)中的一部分節(jié)點(diǎn)時(shí)為了控制網(wǎng)絡(luò)中一部分節(jié)點(diǎn)往往需要在二進(jìn)制方式下進(jìn)行計(jì)算例如：學(xué)生使用到27地址范圍，教師使用28到55地址范圍。這些地址處在相同的網(wǎng)絡(luò)中/24怎樣來計(jì)算？控制一段地址范圍內(nèi)的節(jié)點(diǎn)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署對(duì)于學(xué)生使用的地址范圍首先，以二進(jìn)制方式寫出第一個(gè)和最后一個(gè)節(jié)點(diǎn)地址。由于前三個(gè)8位組是相同的，所以可以忽略它們，在通配符掩碼中相應(yīng)的位必須為“0”第一個(gè)地址：最后一個(gè)地址：其次，查找前面的兩者相同的位(下圖的藍(lán)色部分)00這些相同的位將與前面的網(wǎng)絡(luò)地址部分(192.5.5)一樣進(jìn)行匹配檢驗(yàn)例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署第三，計(jì)算剩余節(jié)點(diǎn)地址部分的十進(jìn)制值(127)最后，決定控制的IP地址和通配符掩碼控制的IP地址可以使用所控制范圍內(nèi)的任何一個(gè)節(jié)點(diǎn)地址，但約定俗成的使用所控制范圍的第一個(gè)節(jié)點(diǎn)地址相對(duì)于上述相同的位在通配符掩碼中為“0”27對(duì)于教師部分地址：28(10000000)到55(11111111)答案：2827請思考兩者的不同例子：地址區(qū)域到.127和.128到.255控制一段地址范圍內(nèi)的節(jié)點(diǎn)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署控制網(wǎng)絡(luò)/24中的所有偶數(shù)地址的控制IP地址和通配符掩碼？答案：54控制網(wǎng)絡(luò)/24中的所有奇數(shù)地址的控制IP地址和通配符掩碼？答案：54控制一段地址范圍內(nèi)的節(jié)點(diǎn)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署由于ACL末尾都有一個(gè)隱含的“denyany”語句，需要在ACL前面部分寫入其他“允許”的語句使用上面的例子，如果不允許學(xué)生訪問而其他的訪問都允許，需要如下兩條語句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一條語句通常用來防止由于隱含語句使得所有網(wǎng)絡(luò)功能失效，為了方便輸入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署眾多情況下，網(wǎng)絡(luò)管理員需要在ACL處理單獨(dú)節(jié)點(diǎn)的情況，可以使用兩種命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署標(biāo)準(zhǔn)ACL不處理目的地相關(guān)參數(shù)，因此，標(biāo)準(zhǔn)ACL應(yīng)該放置在最接近目的地的地點(diǎn)請參考下圖來考慮上述放置地點(diǎn)的原因，如果將語句“deny55”放置在Lab-A路由器的E0接口上時(shí)，網(wǎng)絡(luò)中的數(shù)據(jù)通訊情況這樣所有網(wǎng)絡(luò)向外的通訊數(shù)據(jù)全部被拒絕標(biāo)準(zhǔn)ACL的正確放置位置2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署擴(kuò)展ACL的編號(hào)為100–199，擴(kuò)展ACL增強(qiáng)了標(biāo)準(zhǔn)ACL的功能增強(qiáng)ACL可以基于下列參數(shù)進(jìn)行網(wǎng)絡(luò)傳輸?shù)倪^濾目的地址IP協(xié)議可以使用協(xié)議的名字來設(shè)定檢測的網(wǎng)絡(luò)協(xié)議或路由協(xié)議，例如：icmp、rip和igrpTCP/IP協(xié)議族中的上層協(xié)議可以使用名稱來表示上層協(xié)議，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)來處理部分協(xié)議例如：希望允許除了http之外的所有通訊，其余語句是permitipanyanyneg80擴(kuò)展ACL概貌2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署在全局配置模式下逐條輸入ACL語句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中將接口劃分到各個(gè)ACL中(與標(biāo)準(zhǔn)ACL的語法一樣)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out兩個(gè)步驟（擴(kuò)展ACL）2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署access-list-number

從100到199中選擇一個(gè){protocol|protocol-number}

對(duì)于CCNA，僅僅需要了解ip和tcp——實(shí)際上有更多的參數(shù)選項(xiàng){sourcesource-wildcard}與標(biāo)準(zhǔn)ACL相同{destinationdestination-wildcard}與標(biāo)準(zhǔn)ACL相同，但是是指定傳輸?shù)哪康腫protocol-specificoptions]本參數(shù)用來指定需要過濾的協(xié)議擴(kuò)展的參數(shù)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署請復(fù)習(xí)TCP和UDP的端口號(hào)也可以使用名稱來代替端口號(hào)，例如：使用telnet來代替端口號(hào)23端口號(hào)協(xié)議名稱21FTP23Telnet25SMTP53DNS6980TFTPWWW端口號(hào)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署由于擴(kuò)展ACL可以控制目的地地址，所以應(yīng)該放置在盡量接近數(shù)據(jù)發(fā)送源放置擴(kuò)展ACL的正確位置2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署放置擴(kuò)展ACL的正確位置在下圖中，需要設(shè)定網(wǎng)絡(luò)中的所有節(jié)點(diǎn)不能訪問地址為4服務(wù)器在哪個(gè)路由器的哪個(gè)接口上放置ACL?在RouterC的E0接口上放置這將防止中的所有機(jī)器訪問4，但是他們可以繼續(xù)訪問Internet2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署Router-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署在CiscoIOS可以命名ACL；當(dāng)在一個(gè)路由器上使用多于99個(gè)ACL時(shí)這個(gè)功能特別有用當(dāng)輸入一個(gè)命名的ACL，不需要緊接著輸入access-list和access-list-number參數(shù)下例中，ACL的名字是over_and，并被使用在接口的出站處理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0.........Lab-A(config-if)#ipaccess-groupover_andout命名的ACL2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署Show命令showaccess-lists顯示在路由器上的所有配置好的ACLshowaccess-lists{name|number}顯示指定的ACLshowipinterface顯示接口上使用的ACL——入站和出站showrunning-config顯示當(dāng)前的路由器的整個(gè)配置驗(yàn)證ACL2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署ACL不檢查路由器本身自己產(chǎn)生的數(shù)據(jù)報(bào)ACL只檢查其他來源的數(shù)據(jù)報(bào)ACL的特點(diǎn)2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署擴(kuò)展ACL的應(yīng)用

某企業(yè)網(wǎng)絡(luò)信息中心拓?fù)浣Y(jié)構(gòu)下圖所示。非軍事區(qū)（DMZ）包括交換機(jī)、企業(yè)WWW服務(wù)器、E-Mail服務(wù)器、防火墻、路由器（Cisco2651）和Internet專線連接設(shè)施。企業(yè)內(nèi)網(wǎng)包括認(rèn)證和計(jì)費(fèi)系統(tǒng)（RADIUS）、網(wǎng)絡(luò)OA系統(tǒng)、ERP系統(tǒng)、核心交換機(jī)（Catalyst4506）和匯聚交換機(jī)（Catalyst2950G）等設(shè)施。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署外網(wǎng)擴(kuò)展訪問控制列表/*僅允許DMZ區(qū)服務(wù)器的匿名端口開放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護(hù)內(nèi)網(wǎng)主機(jī)的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyanyeq135access-list110denyudpanyanyeq135access-list110denyudpanyanyeqnetbios-nsaccess-list110denyudpanyanyeqnetbios-dgmaccess-list110denyudpanyanyeq445access-list110denytcpanyanyeq593access-list110denyudpanyanyeq593access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110denyudpanyanyeq6667access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany/*將此訪問控制列表應(yīng)用于邊界路由器的外網(wǎng)接口*/interfaces0/0ipaccess-group110in2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署內(nèi)網(wǎng)擴(kuò)展訪問控制列表為了防止內(nèi)網(wǎng)用戶攻擊或網(wǎng)絡(luò)病毒攻擊內(nèi)網(wǎng)服務(wù)器和主機(jī)的敏感端口，在三層交換機(jī)設(shè)置第二道安全屏障。擴(kuò)展訪問控制列表配置如下：/*僅允許內(nèi)網(wǎng)服務(wù)器的匿名端口開放*/access-list102permittcphost212.207.160.access-list102permittcpanyhosteqwwwaccess-list102permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhostaccess-list102denyipanyhost/*保護(hù)內(nèi)網(wǎng)主機(jī)的敏感端口，防止病毒、特洛伊木馬和蠕蟲的攻擊*/以下部分與路由器配置相同。/*將此訪問控制列表應(yīng)用于三層交換機(jī)的各個(gè)VLAN接口*/interfaceVlan20descriptionvlan20ipaddressipaccess-group102in2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.6防火墻的配置與應(yīng)用桌面型防火墻普通百兆防火墻防火墻+VPN高端百兆防火墻高端千兆防火墻8.6.1PIX防火墻的配置8.6.2PIX防火墻的應(yīng)用8.6.3雙址路由防火墻的應(yīng)用天融信系列安全產(chǎn)品2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署8.6.1PIX防火墻的配置防火墻通常具有至少三個(gè)接口，這樣就產(chǎn)生了三個(gè)網(wǎng)絡(luò)。（1）內(nèi)部區(qū)域（內(nèi)網(wǎng)）。內(nèi)部區(qū)域通常就是指企業(yè)內(nèi)部網(wǎng)絡(luò)或者是企業(yè)內(nèi)部網(wǎng)絡(luò)的一部分。它是互連網(wǎng)絡(luò)的信任區(qū)域，即受到了防火墻的保護(hù)。（2）外部區(qū)域（外網(wǎng)）。外部區(qū)域通常指Internet或者非企業(yè)內(nèi)部網(wǎng)絡(luò)。它是互連網(wǎng)絡(luò)中不被信任的區(qū)域，當(dāng)外部區(qū)域想要訪問內(nèi)部區(qū)域的主機(jī)和服務(wù)時(shí)，通過防火墻，就可以實(shí)現(xiàn)有限制的訪問。（3）停火區(qū)（DMZ）。?；饏^(qū)是一個(gè)隔離的網(wǎng)絡(luò)，或幾個(gè)網(wǎng)絡(luò)。位于?；饏^(qū)中的主機(jī)或服務(wù)器被稱為堡壘主機(jī)。一般在停火區(qū)內(nèi)可以放置Web服務(wù)器，Mail服務(wù)器等。?；饏^(qū)對(duì)于外部用戶通常是可以訪問的，這種方式讓外部用戶可以訪問企業(yè)的公開信息，但卻不允許他們訪問企業(yè)內(nèi)部網(wǎng)絡(luò)。PIX防火墻提供四種管理訪問模式：（1）非特權(quán)模式。PIX防火墻開機(jī)自檢后，就是處于這種模式，系統(tǒng)顯示為pixfirewall>。（2）特權(quán)模式。輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置，顯示為pixfirewall#。（3）配置模式。輸入configureterminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行，顯示為pixfirewall(config)#。（4）監(jiān)視模式。PIX防火墻在開機(jī)或重啟過程中，按住Escape鍵或發(fā)送一個(gè)“Break”字符，進(jìn)入監(jiān)視模式。這里可以更新操作系統(tǒng)映像和口令恢復(fù)，顯示為monitor>。配置PIX防火墻有六個(gè)基本命令：nameif，interface，ipaddress，nat，global，route。這些命令在配置PIX時(shí)是必須的。2024/7/18第8章網(wǎng)絡(luò)系統(tǒng)安全部署PIX525防火墻配置的基本步驟（1）配置防火墻接口的名字，并指定安全級(jí)別（nameif）。Pix525(config)#nameifethernet0outsidesecurity0Pix525(config)#nameifethernet1insidesecurity100Pix525(config)#nameifdmzsecurity50在缺省配置中，以太網(wǎng)0被命名為外部接口（outside），安全級(jí)別是0；以太網(wǎng)1被命名為內(nèi)部接口（inside），安全級(jí)別是100。安全級(jí)別取值范圍為1～99，數(shù)字越大安全級(jí)別越高。若添加新的接口，語句可以這樣寫：Pix525(config)#nameifpix/intf3security40（安全級(jí)別任取）（2）配置以太口參數(shù)（interface）Pix525(config)#interfaceethernet0auto（auto選項(xiàng)表明系統(tǒng)自適應(yīng)網(wǎng)卡類型）Pix525(config)#interfaceethernet1100full（100full選項(xiàng)表示100Mbps以太網(wǎng)全雙工通信）Pix525(config)#interfaceethernet1100fullshutdown（shutdown選項(xiàng)表示關(guān)閉這個(gè)接口，若啟用接口去掉shutdown）（3）配置內(nèi)外網(wǎng)卡的IP地址（ipaddress）Pix525(config)#ipaddressout