RCNA09 園區(qū)網(wǎng)安全設(shè)計(jì)_第1頁
RCNA09 園區(qū)網(wǎng)安全設(shè)計(jì)_第2頁
RCNA09 園區(qū)網(wǎng)安全設(shè)計(jì)_第3頁
RCNA09 園區(qū)網(wǎng)安全設(shè)計(jì)_第4頁
RCNA09 園區(qū)網(wǎng)安全設(shè)計(jì)_第5頁
已閱讀5頁,還剩32頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、第第9章章園區(qū)網(wǎng)安全設(shè)計(jì)園區(qū)網(wǎng)安全設(shè)計(jì) 銳捷認(rèn)證網(wǎng)絡(luò)工程師RCNA2園區(qū)網(wǎng)安全隱患園區(qū)網(wǎng)安全隱患 交換機(jī)端口安全交換機(jī)端口安全 如何在路由器配置訪問控制列表如何在路由器配置訪問控制列表ACL 防火墻基礎(chǔ)防火墻基礎(chǔ) 本章內(nèi)容3園區(qū)網(wǎng)常見安全隱患 非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。 人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞;。 來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。4威脅人自然災(zāi)害惡意非惡意不熟練的員工(外部)黑客威脅(內(nèi)部)不滿的員工(外部)戰(zhàn)爭5漏洞物理自然硬件軟件媒介通訊人External attackerCorporate Asse

2、tsInternal attackerIncorrect permissionsVirus6網(wǎng)絡(luò)安全的演化第一代第一代引導(dǎo)性病毒引導(dǎo)性病毒第二代第二代宏病毒宏病毒DOS電子郵件電子郵件有限的黑客有限的黑客攻擊攻擊第三代第三代網(wǎng)絡(luò)網(wǎng)絡(luò)DOS攻擊攻擊混合威脅(混合威脅(蠕蟲蠕蟲+病毒病毒+特洛伊)特洛伊)廣泛的系統(tǒng)廣泛的系統(tǒng)黑客攻擊黑客攻擊下一代下一代網(wǎng)絡(luò)基礎(chǔ)網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客設(shè)施黑客攻擊攻擊瞬間威脅瞬間威脅大規(guī)模蠕大規(guī)模蠕蟲蟲DDoS破壞有效破壞有效負(fù)載的病負(fù)載的病毒和蠕蟲毒和蠕蟲波及全球的波及全球的網(wǎng)絡(luò)基礎(chǔ)架網(wǎng)絡(luò)基礎(chǔ)架構(gòu)構(gòu)地區(qū)網(wǎng)絡(luò)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺計(jì)算機(jī)單臺計(jì)算機(jī)周周天

3、天分鐘分鐘秒秒影響的目標(biāo)影響的目標(biāo)和范圍和范圍1980s1990s今天今天未來未來安全事件對我們的安全事件對我們的威脅威脅越來越快越來越快7現(xiàn)有網(wǎng)絡(luò)安全現(xiàn)有網(wǎng)絡(luò)安全防御體制防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件殺毒軟件99%防火墻防火墻98%ACL71%8常見解決安全隱患的方案 交換機(jī)端口安全配置訪問控制列表ACL在防火墻實(shí)現(xiàn)包過濾 9交換機(jī)端口安全通過限制允許訪問交換機(jī)上某個(gè)端口的MAC地址以及IP(可選)來實(shí)現(xiàn)嚴(yán)格控制對該端口的輸入。當(dāng)你為安全端口打開了端口安全功能并配置了一些安全地址后,則除了源地址為這些安全地址的包外,這個(gè)端口將不轉(zhuǎn)發(fā)其它任何包。此外,你還可以限制一個(gè)端口上能包含

4、的安全地址最大個(gè)數(shù),如果你將最大個(gè)數(shù)設(shè)置為1,并且為該端口配置一個(gè)安全地址,則連接到這個(gè)口的工作站(其地址為配置的安全地址)將獨(dú)享該端口的全部帶寬。為了增強(qiáng)安全性,你可以將 MAC地址和IP地址綁定起來作為安全地址。 10交換機(jī)端口安全如果一個(gè)端口被配置為一個(gè)安全端口,當(dāng)其安全地址的數(shù)目已經(jīng)達(dá)到允許的最大個(gè)數(shù)后,如果該端口收到一個(gè)源地址不屬于端口上的安全地址的包時(shí),一個(gè)安全違例將產(chǎn)生。 當(dāng)安全違例產(chǎn)生時(shí),你可以選擇多種方式來處理違例:Protect:當(dāng)安全地址個(gè)數(shù)滿后,安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個(gè))的包。RestrictTrap:當(dāng)違例產(chǎn)生時(shí),將發(fā)送一個(gè)Trap通

5、知。Shutdown:當(dāng)違例產(chǎn)生時(shí),將關(guān)閉端口并發(fā)送一個(gè)Trap通知。 11配置安全端口 interface interface-id進(jìn)入接口配置模式。switchport mode access設(shè)置接口為access模式(如果確定接口已經(jīng)處于access模式,則此步驟可以省略)。switchport port-security打開該接口的端口安全功能switchport port-security maximum value 設(shè)置接口上安全地址的最大個(gè)數(shù),范圍是1128,缺省值為128。switchport port-security violationprotect| restrict |

6、 shutdown設(shè)置處理違例的方式當(dāng)端口因?yàn)檫`例而被關(guān)閉后,你可以在全局配置模式下使用命令errdisable recovery 來將接口從錯(cuò)誤狀態(tài)中恢復(fù)過來。switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。ip-address: 可選IP 為這個(gè)安全地址綁定的地址。12端口安全配置示例下面的例子說明了如何使能接口gigabitethernet1/3上的端口安全功能,設(shè)置最大地址個(gè)數(shù)為8,設(shè)置違例方式為protect。Switch# configure terminal Sw

7、itch(config)# interface gigabitethernet 1/3 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect Switch(config-if)# end13驗(yàn)證命令Switch# show port-security

8、 address Vlan Mac Address IP Address Type Port Remaining Age(mins) - - - - - - 1 00d0.f800.073c 02 Configured Gi1/3 8 1 00d0.f800.3cc9 Configured Gi1/1 7 14驗(yàn)證命令Switch#show port-security Secure Port MaxSecureAddr(count) CurrentAddr(count) Security Action - - - Gi1/1 128 1 Res

9、trict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect15訪問控制列表標(biāo)準(zhǔn)訪問控制列表擴(kuò)展訪問控制列表ISPIP Access-list:訪問列表或訪問控制列表,簡稱:訪問列表或訪問控制列表,簡稱IP ACL當(dāng)網(wǎng)絡(luò)訪問流量較大時(shí)當(dāng)網(wǎng)絡(luò)訪問流量較大時(shí),需要對網(wǎng)絡(luò)流量進(jìn)行管理需要對網(wǎng)絡(luò)流量進(jìn)行管理 為什么要使用訪問列表17 為什么要使用訪問列表公網(wǎng)互聯(lián)網(wǎng)用戶對外信息服務(wù)器員工上網(wǎng)拒絕信息服務(wù)器不能在上班時(shí)間進(jìn)行QQ,MSN等聊天訪問權(quán)限控制訪問權(quán)限控制18 為什么要使用訪問列表可以是路由器或三層交換機(jī)或防火墻網(wǎng)絡(luò)安全性網(wǎng)絡(luò)安全性19 路由器應(yīng)用訪問列表對流經(jīng)它的數(shù)

10、據(jù)包進(jìn)行限制路由器應(yīng)用訪問列表對流經(jīng)它的數(shù)據(jù)包進(jìn)行限制1.入棧應(yīng)用入棧應(yīng)用2.出棧應(yīng)用出棧應(yīng)用E0S0是否允許是否允許?源地址源地址目的地址目的地址協(xié)議協(xié)議 訪問列表的應(yīng)用以以ICMP信息通知源發(fā)送方信息通知源發(fā)送方NY選擇出口選擇出口S0路由表中是否路由表中是否存在記錄存在記錄?NY查看訪問列表查看訪問列表的陳述的陳述是否允許是否允許?Y是否應(yīng)用是否應(yīng)用訪問列表訪問列表?NS0S0 訪問列表的出棧應(yīng)用Y拒絕拒絕Y是否匹配是否匹配測試條件測試條件1?允許允許N拒絕拒絕允許允許是否匹配是否匹配測試條件測試條件2?拒絕拒絕是否匹配是否匹配最后一個(gè)最后一個(gè)測試條件測試條件?YYNYY允許允許被系統(tǒng)隱

11、被系統(tǒng)隱含拒絕含拒絕N 一個(gè)訪問列表多個(gè)測試條件22IP ACL的基本準(zhǔn)則一切未被允許的就是禁止的一切未被允許的就是禁止的。路由器或三層交換機(jī)缺省允許所有的信息流通過; 而防火墻缺省封鎖所有的信息流,然后對希望提供的服務(wù)逐項(xiàng)開放。按規(guī)則鏈來進(jìn)行匹配按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配從頭到尾,至頂向下的匹配方式從頭到尾,至頂向下的匹配方式匹配成功馬上停止匹配成功馬上停止立刻使用該規(guī)則的立刻使用該規(guī)則的“允許、拒絕允許、拒絕”源地址源地址TCP/UDP數(shù)據(jù)數(shù)據(jù)IPeg.HDLC1-99 號列表號列表 IP標(biāo)準(zhǔn)訪問列表目的地址目的地址源地址源地址協(xié)議協(xié)議端

12、口號端口號100-199號列表號列表 TCP/UDP數(shù)據(jù)數(shù)據(jù)IPeg.HDLC IP擴(kuò)展訪問列表 0表示檢查相應(yīng)的地址比特表示檢查相應(yīng)的地址比特 1表示不檢查相應(yīng)的地址比特表示不檢查相應(yīng)的地址比特00111111128643216842100000000000011111111110011111111 反掩碼1.定義標(biāo)準(zhǔn)定義標(biāo)準(zhǔn)ACL編號的標(biāo)準(zhǔn)訪問列表編號的標(biāo)準(zhǔn)訪問列表Router(config)#access-list permit|deny 源地址源地址 反掩碼反掩碼命名的標(biāo)準(zhǔn)訪問列表命名的標(biāo)準(zhǔn)訪問列表ip access-list standard namedenysource sourc

13、e-wildcard|hostsource|any orpermit source source-wildcard|hostsource|any2.應(yīng)用應(yīng)用ACL到接口到接口Router(config-if)#ip access-group |name in | out IP標(biāo)準(zhǔn)訪問列表的配置27access-list 1 permit 55(access-list 1 deny 55)interface fastethernet 0ip access-group 1 outinterface fastether

14、net 1ip access-group 1 outF0S0F1 IP標(biāo)準(zhǔn)訪問列表配置實(shí)例2.應(yīng)用應(yīng)用ACL到接口到接口Router(config-if)#ip access-group in | out 1.定義擴(kuò)展的定義擴(kuò)展的ACL編號的擴(kuò)展編號的擴(kuò)展ACLRouter(config)#access-list permit /deny 協(xié)議協(xié)議 源地址源地址 反掩碼反掩碼 源端口源端口 目的地址目的地址 反掩碼反掩碼 目的端口目的端口 命名的擴(kuò)展命名的擴(kuò)展ACLip access-list extended name deny|p

15、ermit protocolsource source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port IP擴(kuò)展訪問列表的配置下例顯示如何創(chuàng)建一條下例顯示如何創(chuàng)建一條Extended IP ACLExtended IP ACL,該,該ACLACL有一條有一條ACEACE,用于允許指定網(wǎng)絡(luò)(,用于允許指定網(wǎng)絡(luò)(68.x.xx.x)的所有主機(jī))的所有主機(jī)以以HTTPHTTP訪問服務(wù)器訪問服務(wù)器172.16

16、8.12.3,但拒絕其它所有主機(jī),但拒絕其它所有主機(jī)使用網(wǎng)絡(luò)。使用網(wǎng)絡(luò)。 Switch Switch (configconfig)# ip# ip access-list extended access-list extended allow_0 xc0a800_to_ allow_0 xc0a800_to_ Switch Switch (config-std-naclconfig-std-nacl)# permit tcp # permit tcp 55 host 172.168

17、.12.3 eq 55 host eq www www Switch Switch (config-std-naclconfig-std-nacl)#end #end Switch # show access-listsSwitch # show access-lists IP擴(kuò)展訪問列表配置實(shí)例30擴(kuò)展訪問列表的應(yīng)用access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any

18、any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115

19、permit ip any any interface ip access-group 115 in ip access-group 115 out 31顯示全部的訪問列表顯示全部的訪問列表Router#show access-lists顯示指定的訪問列表顯示指定的訪問列表Router#show access-lists 顯示接口的訪問列表應(yīng)用顯示接口的訪問列表應(yīng)用Router#show ip interface 訪問列表的驗(yàn)證32InternetInternetAccess DeniedUnauthorized ServiceUnauthorized Service(http, ftp, telnet)(http, ftp, telnet)Fir

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論