網(wǎng)絡(luò)互聯(lián)技術(shù)PPT第5章網(wǎng)絡(luò)安全技術(shù)

1、第五章 網(wǎng)絡(luò)安全技術(shù) 中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院新整合的校園網(wǎng)絡(luò)是在原來分院網(wǎng)絡(luò)基礎(chǔ)上整合各分院信息化建設(shè)也歷經(jīng)多年，具備完整應(yīng)用體系和物理架構(gòu)。但在使用過程中，網(wǎng)絡(luò)安全面臨很多隱患，需要經(jīng)行安全規(guī)劃。新規(guī)劃學(xué)院網(wǎng)絡(luò)安全的實(shí)施整體規(guī)劃，通過在交換機(jī)設(shè)備上增加訪問控制列表技術(shù)，實(shí)現(xiàn)學(xué)院內(nèi)部網(wǎng)絡(luò)設(shè)備之間安全防范，并增加防火墻設(shè)備增加學(xué)院網(wǎng)絡(luò)的整體安全建設(shè)規(guī)劃。 工程任務(wù)：保護(hù)園區(qū)網(wǎng)絡(luò)安全組件一：網(wǎng)絡(luò)攻擊行為 保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)安全 組件三：交換機(jī)端口安全技術(shù) 組件四：訪問控制列表安全技術(shù) 組件一：網(wǎng)絡(luò)攻擊行為 保護(hù)園區(qū)網(wǎng)絡(luò)安全復(fù)雜程度Internet飛速增長Internet E

2、mailWeb 瀏覽Intranet 站點(diǎn)電子商務(wù) 電子政務(wù)電子交易時(shí)間第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個(gè)網(wǎng)絡(luò)單個(gè)網(wǎng)絡(luò)單臺(tái)計(jì)算機(jī)周天分鐘秒影響目標(biāo)1980s1990s今天未來安全事件對(duì)我們的威脅越來越快網(wǎng)絡(luò)安全的演化網(wǎng)絡(luò)安全隱患 網(wǎng)絡(luò)安全隱患是指借助計(jì)算機(jī)或其他通信設(shè)備，利用網(wǎng)絡(luò)開放性和匿名性的特征，在進(jìn)行網(wǎng)絡(luò)交互操作時(shí)，進(jìn)行的竊聽、攻擊或其它破壞行為，具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的危險(xiǎn)。企業(yè)內(nèi)部

3、網(wǎng)絡(luò)安全隱患包括的范圍更廣泛，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識(shí)等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽（信息流量分析、信息竊取等）和信息戰(zhàn)等。一般根據(jù)網(wǎng)絡(luò)安全隱患源頭可分為以下幾類：（1）非人為或自然力造成的硬件故障、電源故障、軟件錯(cuò)誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。（2）人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。（3）來自企業(yè)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。常見網(wǎng)絡(luò)管理中存在的安全問題 （1）機(jī)房安全。機(jī)房是網(wǎng)絡(luò)設(shè)備運(yùn)行的控制中心，經(jīng)常發(fā)生的安全問題，如物理安全（火災(zāi)、雷擊、盜賊等）、電氣安全（停電、負(fù)載不均等）等情況。 （2）病毒的侵入。Inte

4、rnet開拓性的發(fā)展，使病毒傳播發(fā)展成為災(zāi)難。據(jù)美國國家計(jì)算機(jī)安全協(xié)會(huì)（NCSA）最近一項(xiàng)調(diào)查發(fā)現(xiàn)，幾乎100%的美國大公司都曾在他們的網(wǎng)絡(luò)中經(jīng)歷過計(jì)算機(jī)病毒的危害。（3）黑客的攻擊。得益于Internet的開放性和匿名性，也給Internet應(yīng)用造成了很多漏洞，從而給別有用心的人有可乘之機(jī)，來自企業(yè)網(wǎng)絡(luò)內(nèi)部或者外部的黑客攻擊都給目前網(wǎng)絡(luò)造成了很大的隱患。（4）管理不健全造成的安全漏洞。網(wǎng)絡(luò)安全不僅僅是技術(shù)問題，更是一個(gè)管理問題。它包含管理機(jī)構(gòu)、法律、技術(shù)、經(jīng)濟(jì)各方面。網(wǎng)絡(luò)安全技術(shù)只是實(shí)現(xiàn)網(wǎng)絡(luò)安全的工具。要解決網(wǎng)絡(luò)安全問題，必須要有綜合的解決方案。網(wǎng)絡(luò)攻擊行為 手段多樣的網(wǎng)絡(luò)攻擊：攻擊不可避免

5、攻擊工具體系化網(wǎng)絡(luò)進(jìn)攻簡單化 全球超過26萬黑客站點(diǎn), 提供系統(tǒng)漏洞和攻擊知識(shí) 越來越多易使用攻擊軟件出現(xiàn) 年輕人對(duì)網(wǎng)絡(luò)攻擊好奇心 年輕人的叛逆心理大量的攻擊工具隨手拾來攻擊工具更加“人性化”現(xiàn)有網(wǎng)絡(luò)安全防御體制入侵檢測系統(tǒng)IDS68%殺毒軟件99%防火墻98%ACL71%現(xiàn)有網(wǎng)絡(luò)安全體制VPN 虛擬專用網(wǎng)防火墻包過濾防病毒入侵檢測現(xiàn)有網(wǎng)絡(luò)安全技術(shù)保護(hù)園區(qū)網(wǎng)絡(luò)安全組件二：管理設(shè)備控制臺(tái)安全 管理交換機(jī)控制臺(tái)安全 對(duì)于大多數(shù)企業(yè)內(nèi)部網(wǎng)來說，連接網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)的互聯(lián)設(shè)備，是整個(gè)網(wǎng)絡(luò)規(guī)劃中最需要重要保護(hù)的對(duì)象。大多數(shù)網(wǎng)絡(luò)都有一、二個(gè)主要的接入點(diǎn)，對(duì)這個(gè)接入點(diǎn)的破壞，直接造成整個(gè)網(wǎng)絡(luò)癱瘓。如果網(wǎng)絡(luò)互聯(lián)

6、設(shè)備沒有很好的安全防護(hù)措施，來自網(wǎng)絡(luò)內(nèi)部的攻擊或者惡作劇式的破壞，對(duì)網(wǎng)絡(luò)的打擊將是最致命的。因此設(shè)置恰當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備防護(hù)措施是保護(hù)網(wǎng)絡(luò)安全的重要手段之一。據(jù)國外調(diào)查顯示，80%的安全破壞事件都是由薄弱的口令引起的，因此為網(wǎng)絡(luò)互聯(lián)設(shè)備，配置一個(gè)恰當(dāng)口令，是保護(hù)網(wǎng)絡(luò)不受侵犯最根本的保護(hù)。 配置交換機(jī)的登陸密碼S2126G(config)#enable secret level 1 0 star “0”表示輸入的是明文形式的口令，1為分配等級(jí) 配置交換機(jī)的特權(quán)密碼S2126G(config)#enable secret level 15 0 Star “0”表示輸入的是明文形式的口令， 15為分配等級(jí)

7、等級(jí)1分配給特權(quán)模式; 等級(jí)15分配給全局模式，登級(jí)2-14分配給不同的命令;保護(hù)交換機(jī)控制臺(tái)的安全措施 配置交換機(jī)遠(yuǎn)程登錄的安全措施Switch(config)#enable secret level 1 0 star ！配置遠(yuǎn)程登陸密碼 Switch (config)#enable secret level 15 0 star ！配置進(jìn)入特權(quán)模式密碼Switch (config)#interface vlan 1 ！配置遠(yuǎn)程登錄地址Switch (config-if)#no shutdownSwitch (config-if)#ip address Switch (config-if)#e

8、nd注：兩個(gè)密碼缺一不可路由器控制臺(tái)安全 保護(hù)路由器控制臺(tái)的安全措施 配置路由器控制臺(tái)密碼Router （config） # line concole 0Router （config-line） # loginRouter （config-line） # password star 配置路由器的特權(quán)登錄密碼：Router （config） # enable password starRouter （config） # enable secret star “password ”表示輸入的是明文形式的口令， “secret”為密文形式的口令，密文有最高優(yōu)先級(jí)別。 保護(hù)路由器遠(yuǎn)程登陸登錄的安全措施

9、 Router # configure terminalRouter （config） #Router （config） # line VTY 0 4Router （config-line） # loginRouter （config-line） # password star 保護(hù)園區(qū)網(wǎng)絡(luò)安全組件三：交換機(jī)端口安全技術(shù) FF.FF.FF.FF.FF.FF廣播MAC地址 00.d0.f8. 00.07.3c前3個(gè)字節(jié)：IEEE分配給網(wǎng)絡(luò)設(shè)備制造廠商的后3個(gè)字節(jié)：網(wǎng)絡(luò)設(shè)備制造廠商自行分配的，不重復(fù)，生產(chǎn)時(shí)寫入設(shè)備MAC地址：鏈路層唯一標(biāo)識(shí)接入交換機(jī)MAC Port A 1 B 2 C 3 MAC

10、地址表：空間有限MAC地址攻擊： MAC地址表空間是有限，MAC攻擊會(huì)占滿交換機(jī)地址表; 使得單播包在交換機(jī)內(nèi)部也變成廣播包, 向所有端口轉(zhuǎn)發(fā)，每個(gè)連在端口上的客戶端都可以收到該報(bào)文; 交換機(jī)變成了一個(gè)Hub，用戶的信息傳輸也沒有安全保障了。MAC地址攻擊交換機(jī)端口安全功能交換機(jī)的端口安全功能，可以防止網(wǎng)絡(luò)內(nèi)部攻擊, 如MAC地址攻擊、ARP攻擊、IP/MAC欺騙等。交換機(jī)端口安全的基本功能1、限制端口最大連接數(shù)，控制惡意擴(kuò)展接入例：學(xué)校宿舍網(wǎng)可以防止學(xué)生隨意購買小型交換機(jī)或HUB擴(kuò)展網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)造成破壞。2、端口安全地址綁定, 解決網(wǎng)中IP地址沖突、ARP欺騙例：在學(xué)校宿舍網(wǎng)內(nèi)端口地址綁定，

11、可以解決學(xué)生隨意更改IP地址，造成IP地址沖突，或者學(xué)生利用黑客工具，進(jìn)行ARP地址欺騙。交換機(jī)端口安全內(nèi)容 安全端口收到不屬于端口上安全地址包時(shí)，一個(gè)安全違例將產(chǎn)生。 當(dāng)安全違例產(chǎn)生時(shí)，可以選擇多種方式來處理違例：Protect：安全端口將丟棄未知地址的包（不是該端口的安全地址中的任何一個(gè)）。RestrictTrap：當(dāng)違例產(chǎn)生時(shí)，將發(fā)送一個(gè)Trap通知。Shutdown：當(dāng)違例產(chǎn)生時(shí)，將關(guān)閉端口并發(fā)送一個(gè)Trap通知。配置端口的最大連接數(shù) 配置fa1/3端口安全功能， 設(shè)置最大地址個(gè)數(shù)為8，違例方式為protect。Switch(config)# interface fa1/3 Switc

12、h(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect 綁定端口安全地址 配置fa0/3安全功能，綁定MAC為00d0.f800.073c，IP為02Switch(config)# interface fa 0/3 Switch(config-if)# switchport port-securitySwitch(config-if)# swi

13、tchport port-security mac-address 00d0.f800.073c ip-address 02驗(yàn)證命令 查看接口安全信息Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - - fa0/3 8 1 Protect 查看安全地址信息Switch# show port-security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - -

14、- - -1 00d0.f800.073c 02 Configured Fa0/3 8 1實(shí)習(xí)項(xiàng)目：配置交換機(jī)端口安全 【工作任務(wù)】 如圖所示，模擬是中北大學(xué)中北大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院為了防止學(xué)院內(nèi)部用戶的IP地址沖突，防止學(xué)院內(nèi)部的網(wǎng)絡(luò)攻擊行為，學(xué)院領(lǐng)導(dǎo)要求網(wǎng)絡(luò)中心的管理員，為學(xué)院中每一臺(tái)電腦分配固定IP地址（如為某位老師分配的IP地址是5/24，該主機(jī)的MAC地址是00-06-1B-DE-13-B4），并限制只允許學(xué)院內(nèi)部的員工才可以使用網(wǎng)絡(luò)，并不得隨意連接其他主機(jī)?！卷?xiàng)目設(shè)備】交換機(jī)（1臺(tái)），PC(1臺(tái))、網(wǎng)線（1條）【實(shí)施過程】arp綁定運(yùn)行-cmdtelnet 51輸入用戶名uuuu

15、uu輸入密碼 mmmmmmshow ip arp 顯示ARP狀況en 進(jìn)入編輯config t 進(jìn)入配置編輯狀態(tài)show mac- 顯示mac號(hào)后處的交換口arp ip地址 mac地址 arpa gi 0/4 綁定某IP的mac地址于交換機(jī)4口上end 結(jié)束編輯wr 寫入配置文件中exit 退出no arp ip解開綁定保護(hù)園區(qū)網(wǎng)絡(luò)安全組件四：訪問控制列表技術(shù) ISP1、什么是訪問列表 ACL對(duì)經(jīng)過設(shè)備的數(shù)據(jù)包，根據(jù)一定的規(guī)則，進(jìn)行數(shù)據(jù)包的過濾。FTPRG-S2126RG-S3512G /RG-S4009RG-NBR1000InternetRG-S2126不同部門所屬VLAN不同1222111

16、2技術(shù)部VLAN20財(cái)務(wù)部VLAN10隔離病毒源隔離外網(wǎng)病毒2、為什么要使用訪問列表3、訪問列表的組成 定義訪問列表的步驟第一步：定義規(guī)則（哪些數(shù)據(jù)允許通過，哪些不允許）第二步：將規(guī)則應(yīng)用在設(shè)備接口上 訪問控制列表規(guī)則元素源IP、目的IP、源端口、目的端口、協(xié)議、服務(wù) 4、訪問列表規(guī)則的應(yīng)用 訪問列表對(duì)流經(jīng)接口的數(shù)據(jù)包進(jìn)行控制： 1. 入棧應(yīng)用（in） 2. 出棧應(yīng)用（out）5、ACL的基本準(zhǔn)則 一切未被允許的就是禁止的 路由器缺省允許所有的信息流通過; 防火墻缺省封鎖所有的信息流，對(duì)希望提供的服務(wù)逐項(xiàng)開放。 按規(guī)則鏈來進(jìn)行匹配使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配 從

17、頭到尾，至頂向下的匹配方式 匹配成功馬上停止 立刻使用該規(guī)則的“允許、拒絕”Y拒絕Y是否匹配測試條件1?允許N拒絕允許是否匹配測試條件2?拒絕是否匹配最后一個(gè)測試條件?YYNYY允許被系統(tǒng)隱含拒絕N 6、一個(gè)訪問列表多個(gè)測試條件 標(biāo)準(zhǔn)訪問列表 根據(jù)數(shù)據(jù)包源IP地址進(jìn)行規(guī)則定義 擴(kuò)展訪問列表 根據(jù)數(shù)據(jù)包中源IP、目的IP、源端口、目的端口、協(xié)議進(jìn)行規(guī)則定義7、ACL分類 標(biāo)準(zhǔn)訪問列表 只根據(jù)源IP地址，進(jìn)行數(shù)據(jù)包的過濾。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段教研網(wǎng)段8、標(biāo)準(zhǔn)列表規(guī)則定義 1）定義標(biāo)準(zhǔn)ACLRouter(config)# access-list permit |deny 源地址 反掩碼Switch(c

18、onfig)# Ip access-list permit |deny 源地址 反掩碼反掩碼是一個(gè)32比特位。其中0表示“檢查相應(yīng)的位”，1表示“不檢查相應(yīng)的位”。 55表示所有IP地址，全為1說明所有32位都不檢查，可以用any來取代。 表示所有32位都要進(jìn)行匹配，這樣只表示一個(gè)IP地址，可以用host表示。 2）應(yīng)用ACL到接口Router(config-if)#ip access-group in | out access-list 1 permit 55access-list 1 deny 55interface serial 0ip access-group 1 outF0S0F1I

19、nternetIP標(biāo)準(zhǔn)訪問列表配置實(shí)例1只允許網(wǎng)絡(luò)中的計(jì)算機(jī)訪問互聯(lián)網(wǎng)絡(luò)IP標(biāo)準(zhǔn)訪問列表配置實(shí)例2 阻止5主機(jī)通過E0訪問網(wǎng)絡(luò)，而允許其他的機(jī)器訪問Router（config） # access-list 1 deny host 5Router（config） # access-list 1 permit anyRouter（config） # interface ethernet 0Router（config-if） # ip access-group 1 in 實(shí)習(xí)項(xiàng)目：配置標(biāo)準(zhǔn)訪問列表控制網(wǎng)絡(luò)流量 【工作任務(wù)】 如圖所示的網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作

20、場景，要實(shí)現(xiàn)學(xué)生網(wǎng)（）和行政辦公網(wǎng)（）的隔離，可以在其中R1路由器上做標(biāo)準(zhǔn)ACL技術(shù)控制，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離【項(xiàng)目設(shè)備】路由器（2臺(tái)）；網(wǎng)線（若干）；測試PC（2臺(tái)）；【實(shí)施過程】9、擴(kuò)展型訪問控制列表擴(kuò)展型訪問控制列表（Extended IP ACL ）在數(shù)據(jù)包的過濾和控制方面，增加了更多的精細(xì)度和靈活性，具有比標(biāo)準(zhǔn)的ACL更強(qiáng)大的數(shù)據(jù)包檢查功能。擴(kuò)展ACL不僅檢查數(shù)據(jù)包源IP地址，還檢查數(shù)據(jù)包中目的IP地址、源端口，目的端口、建立連接和IP優(yōu)先級(jí)等特征信息。利用這些選項(xiàng)對(duì)數(shù)據(jù)包特征信息進(jìn)行匹配 。學(xué)生網(wǎng)段校領(lǐng)導(dǎo)網(wǎng)段郵件serverWEBserverIP擴(kuò)展訪問列表的配置 1、定義擴(kuò)展的A

21、CLRouter(config)# access-list permit /deny 協(xié)議 源地址 反掩碼 源端口 目的地址 反掩碼 目的端口 2、應(yīng)用ACL到接口Router(config-if)#ip access-group in | out IP擴(kuò)展訪問列表配置實(shí)例項(xiàng)目：配置擴(kuò)展訪問列表保護(hù)服務(wù)器安全 【工作任務(wù)】 如圖所示網(wǎng)絡(luò)拓?fù)涫侵斜贝髮W(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院學(xué)院學(xué)生網(wǎng)和行政辦公網(wǎng)網(wǎng)絡(luò)工作場景，要實(shí)現(xiàn)教師網(wǎng)（）和學(xué)生網(wǎng)（）之間的互相連通，但不允許學(xué)生網(wǎng)訪問教師網(wǎng)中的FTP服務(wù)器，可以在路由器R2上做擴(kuò)展ACL技術(shù)控制，以實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離【項(xiàng)目設(shè)備】路由器（2臺(tái)）；網(wǎng)線（若干）；測試PC（2臺(tái)）；【實(shí)施過程】10、命名訪問控制列表 命名ACL不使用編號(hào)而使用字符串來定義規(guī)則。在網(wǎng)絡(luò)管理過程中，隨時(shí)根據(jù)網(wǎng)絡(luò)變化修改某一條規(guī)則，調(diào)整用戶訪問權(quán)限。通過字符串組成的名字直觀地表示特定ACL；不受編號(hào)ACL中100條限制；可以方便的對(duì)ACL進(jìn)行修改，無需刪除重新配置 命名訪問控制列表的配置1、定義命名ACL ip access-list standard | extended name deny | permit protocolsource wildcard destination wildcard operat