（中職）中小型網(wǎng)絡構建與管理綜合實訓教程項目六　構建安全的網(wǎng)絡教學課件

1、YCF正版可修改PPT（中職）中小型網(wǎng)絡構建與管理綜合實訓教程項目六構建安全的網(wǎng)絡教學課件項目六構建安全的網(wǎng)絡任務一保障網(wǎng)絡設備的安全任務二保障網(wǎng)絡區(qū)域的安全任務三提高整個網(wǎng)絡的安全返回任務一保障網(wǎng)絡設備的安全.任務分析為了保證網(wǎng)絡接入設備安全,可以在接入交換機端口上對網(wǎng)絡中所有接入用戶認證,保證網(wǎng)絡中只有合法用戶才可以接入內部網(wǎng)絡.在接入設備上啟動端口安全功能,將特定主機MAC地址和IP綁定在端口上,并配置交換機端口最大連接數(shù),限制在交換機端口下主機的接入臺數(shù).另外,在每臺設備上設置管理員登錄口令,防止非管理員用戶登錄到網(wǎng)絡查看設備配置信息.下一頁返回任務一保障網(wǎng)絡設備的安全.知識準備.交換

2、機端口安全知識二層交換機安全主要表現(xiàn)在端口安全上,在交換機端口上檢查所有接入計算機的合法性,如圖所示.利用交換機端口安全功能,防止局域網(wǎng)內部攻擊,如MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等.另外,還可以實施交換機其他安全,例如病毒防護、入侵檢測等.通過交換機某個端口上限制接入設備的MAC地址或IP地址,將MAC和IP地址與交換機端口綁定,設置安全接入地址,控制對該端口的接入訪問.交換機配置安全端口功能,并配置安全地址,如果該端口發(fā)現(xiàn)主機MAC地址與交換機上指定的MAC地址不同,交換機產(chǎn)生一個安全違例,相應端口將關閉,不轉發(fā)該數(shù)據(jù)包.上一頁下一頁返回任務一保障網(wǎng)絡設備的安全.配置交換機

3、端口安全. 端口安全最大連接數(shù)配置(1)interface interface- id/進入接口配置模式(2)switchport port- security/打開該接口的端口安全功能(3)switchport port- security maximum value/設置接口上安全地址的最大個數(shù),范圍是1128,缺省值為128(4)switchport port- security violationprotect|restrict |shutdown/設置處理違例的方式上一頁下一頁返回任務一保障網(wǎng)絡設備的安全注意:端口安全功能只能在Access端口上進行配置.當端口因為違例而被關閉后,在

4、全局配置模式下使用命令errdisable recovery來將接口從錯誤狀態(tài)中恢復過來. 端口的安全地址綁定(1)switchport port- security/打開該接口的端口安全功能(2)switchport port- security mac- address mac- addressip- address ip- address/手工配置接口上的安全地址上一頁下一頁返回任務一保障網(wǎng)絡設備的安全.配置交換機控制臺密碼安全交換機的控制臺是管理交換機的入口,通過管理交換機的console控制臺端口登錄權限,實現(xiàn)對交換機的安全控制和管理.配置交換機控制臺安全操作如下:()配置交換機的登

5、錄密碼.Switch(config)# enable secret level 1 0 sec/表示輸入的明文形式的口令,為分配等級.()配置交換機的特權密碼.Switch(config)# enable secret level 15 0 SEC/表示輸入的明文形式的口令,為分配等級.上一頁下一頁返回任務一保障網(wǎng)絡設備的安全.任務實施.任務場景某公司要求對網(wǎng)絡進行嚴格控制.為了防止公司內部用戶的IP地址沖突,防止公司內部的網(wǎng)絡攻擊和破壞行為,為每一位員工分配了固定的IP地址,并且限制只允許公司員工主機可以使用網(wǎng)絡,不得隨意連接其他主機.如圖所示.設備與環(huán)境銳捷交換機RGS臺、計算機臺、網(wǎng)線若

6、干.上一頁下一頁返回任務一保障網(wǎng)絡設備的安全.操作步驟步驟:配置交換機端口的最大連接數(shù)限制.SW(config)# inter rang f0/1 24/進行一組端口的配置模式SW(config- if- range)# switchportport- security/開啟交換機的端口安全功能步驟:查看PC、PC的IP和MAC地址信息.在主機上打開CMD命令提示符窗口,執(zhí)行ipconfig/all命令.如圖所示.步驟:配置交換機端口的地址綁定.上一頁下一頁返回任務一保障網(wǎng)絡設備的安全步驟:在PC、PC上相互ping對方,如圖所示.步驟:在F/接口上做MAC地址綁定.步驟:把PC連接到F/接口

7、上.注意事項交換機端口安全功能只能在Access接口進行配置,不能對于Trunk接口進行配置.交換機最大連接數(shù)限制取值范圍是,默認是.交換機最大連接數(shù)限制默認的處理方式是protect.上一頁返回任務二保障網(wǎng)絡區(qū)域的安全.任務分析為了解決上述網(wǎng)絡問題,可以在路由器上作適當設置,通過配置ACL,過濾掉非法訪問的數(shù)據(jù)包.知識準備.訪問控制列表技術.ACL概述訪問控制列表(Access Control Lists,ACL)是控制流入、流出路由器數(shù)據(jù)包的一種方法,它通過在數(shù)據(jù)包流出或流入路由器時讀取包頭中的信息,如源地址、目的地址、源端口、目的端口及上層協(xié)議等,根據(jù)預先定義的規(guī)則決定哪些數(shù)據(jù)包可以接收

8、、哪些數(shù)據(jù)包需要拒絕,從而實現(xiàn)控制網(wǎng)絡數(shù)據(jù)流量、流向的作用.下一頁返回任務二保障網(wǎng)絡區(qū)域的安全早期僅在路由器上支持ACL技術,近年來已經(jīng)擴展到三層交換機,現(xiàn)在有些最新的二層交換機也開始支持ACL技術.當數(shù)據(jù)包經(jīng)過路由器時,都可以利用ACL來允許或拒絕對某一個網(wǎng)絡或子網(wǎng)的訪問.ACL在網(wǎng)絡中的使用如圖所示.ACL的工作原理ACL由一系列的表項組成,我們稱之為接入控制列表表表項(Access Control Entry,ACE).這些表項主要定義了數(shù)據(jù)包進入路由器接口或通過路由器轉發(fā)和流出路由器接口的行為,過濾流入或流出路由器上的數(shù)據(jù)包.如圖所示.無論是否使用了ACL,處理過程的開始都是一樣的.當

9、一個數(shù)據(jù)包進入路由器的某一個接口,路由器首先檢查該數(shù)據(jù)包是否可路由或可橋接.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全.ACL的作用ACL的主要作用有:一是保護資源節(jié)點,阻止非法用戶對資源節(jié)點的訪問,例如限制一些用戶只能訪問萬維網(wǎng)和電子郵件服務,其他的服務如Telnet則禁止;二是限制特定的用戶結點所具備的訪問權限.如圖所示,只允許主機A 訪問財務部,而禁止主機B訪問.訪問控制列表分類根據(jù)控制網(wǎng)絡的程度的不同,ACL技術分為標準ACL (Standard IP ACL)和擴展ACL (Extended IP ACL)兩種. 標準ACL標準ACL只檢查可以被路由的數(shù)據(jù)包的源地址,從而允許或拒絕基于

10、網(wǎng)絡、子網(wǎng)或主機IP地址的某一協(xié)議通過路由器.其工作過程如圖所示.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全. 擴展ACL擴展ACL更具靈活性,安全控制范圍更為廣闊,處理方式更為多樣化,控制功能也更強,使用更為廣泛.它基于分組的源地址、目的地址、協(xié)議類型、端口號和應用來決定允許或拒絕訪問.其工作流程如圖所示. 命名ACL標準ACL和擴展ACL使用數(shù)字編號來標識,命名ACL一般使用字符串來代替數(shù)字,方便用戶識別其功能和記憶.與編號ACL相比,命名ACL沒有ACL編號范圍限制,同時可以自由刪除ACL中一條語句,而不必刪除整個ACL.命名ACL也分為標準ACL和擴展ACL兩種.上一頁下一頁返回任務二保

11、障網(wǎng)絡區(qū)域的安全.配置訪問控制列表. 配置ACL的步驟配置ACL的過程可以分為兩步:第一步:在全局配置模式下,使用accesslist命令創(chuàng)建ACL過濾規(guī)則;第二部:在接口配置模式下,使用accessgroup命令,把配置好的ACL規(guī)則應用到某一端口上.該端口將檢查指定方向上通過的數(shù)據(jù)包. 配置標準ACL標準ACL對IP數(shù)據(jù)包中的源IP地址進行控制,所有標準ACL規(guī)則的編制都是在全局模式下生成的.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全()生成標準ACL規(guī)則的格式.access- list list numberpermit|deny address wildcard- mask其中:List

12、number是標準ACL的數(shù)字編號,范圍為;Permit和deny表示允許或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過;Address是源地址,wildcardmask為反掩碼.()在接口上應用編制好的訪問控制規(guī)則.Router(config- if)# ip access- group access- list- numberin|out其中,in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包,缺省為out.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全. 配置擴展ACL擴展ACL不僅可以對數(shù)據(jù)包中的源IP地址進行控制,還可以對目的地址、協(xié)議及端口號進行控制.()編制擴展ACL的檢查規(guī)則.Access- list l

13、istnumber permit|deny protocol source source- wild-card- mask destination destination- wildcard- maskoperator operand其中:listnumber為;protocol是指定的協(xié)議,如TCP、UDP、IP等;operator和operand用于指定端口號范圍,默認為全部端口號,只有TCP和UDP協(xié)議需要指定端口范圍.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全()在接口上應用編制好的訪問控制規(guī)則.與標準ACL相同,例如把上述配置好的ACL應用在接口Fa/上,配置命令為:Router# c

14、onfigureRouter(config)# interface Fastethernet 0/1Router(config- if)# ip access- group1 in/在Fa0/1 上應該改規(guī)則Router(config- if)# no shutdown. 配置命名ACL()創(chuàng)建標準命名ACL.在全局配置模式下,通過如下命令,創(chuàng)建一個標準命名ACL.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全()創(chuàng)建擴展命名ACL.在全局配置模式下,通過如下命令創(chuàng)建一個擴展的命名ACL,其配置命令如下:ip access- list extended namedeny |permit protoc

15、ol source source- wildcard | host source | any operator port ()將編制好的規(guī)則應用于指定端口.ip access- group namein | out上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全.任務實施.任務場景一如圖所示為公司財務部與銷售部網(wǎng)絡連接場景圖,運用標準ACL技術,禁止銷售部訪問財務部網(wǎng)絡;某些安全性要求比較高的主機或網(wǎng)絡需要進行訪問控制,其他的很多應用都可以使用訪問控制列表提供操作條件,在本例中禁止./ (銷售)對PC (財務)的訪問.設備與環(huán)境銳捷路由器臺、計算機臺、網(wǎng)線根、串口線根.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)

16、域的安全.操作步驟步驟:基本配置.步驟:路由配置,保證網(wǎng)絡的連通性.步驟:PC能與PC連通.如圖所示.步驟:配置訪問控制列表禁止PC所在網(wǎng)段對PC的訪問.步驟:將訪問控制列表應用在相應的接口.步驟:驗證.步驟:測試.如圖所示.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全.任務場景二實驗拓撲圖如圖所示,應用擴展ACL禁止銷售部主機訪問財務部網(wǎng)絡;可以針對目標IP地址進行控制,針對某些服務進行控制,可以針對某些協(xié)議進行控制,本例中禁止PC (銷售)telnet到PC (財務),但能Ping.設備與環(huán)境銳捷路由器臺、計算機臺、網(wǎng)線根、串口線根.操作步驟步驟:對路由器進行基本配置,并加路由保證網(wǎng)絡是連通的

17、,此配置請參照標準訪問控制列表.步驟:在R上設置擴展訪問控制列表.上一頁下一頁返回任務二保障網(wǎng)絡區(qū)域的安全步驟:查看訪問列表.步驟:驗證.如圖所示.注意事項:擴展訪問控制列表通常放在離源比較近的地方.擴展訪問控制列表可以基于源、目標IP、協(xié)議、端口等條件過濾.上一頁返回任務三提高整個網(wǎng)絡的安全.任務分析為了限制外部網(wǎng)絡非法對企業(yè)網(wǎng)內部資源的訪問,在網(wǎng)絡接入Internet接口處安裝防火墻.知識準備.認識防火墻. 防火墻概述防火墻(Firewall)是指設置在不同網(wǎng)絡(如可信任的企業(yè)內部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間實現(xiàn)訪問控制的一個或一組硬件或軟件系統(tǒng),英文名字為“Firewall”.它

18、是一道“門檻”,能有效地把互聯(lián)網(wǎng)與內部網(wǎng)隔開,如圖所示,從而保護內部網(wǎng)免受非法用戶的入侵.在某種意義上,防火墻就像一個私人俱樂部的看門人,他檢查每個人的ID,并確保只有俱樂部會員才能通過該門進入,如圖所示.下一頁返回任務三提高整個網(wǎng)絡的安全一般來說,防火墻包括幾個不同的組成部分(如圖所示).過濾器(filter)(有時也稱屏蔽)用于阻斷一定類型的通信傳輸.網(wǎng)關是一臺或一組機器,它提供中繼服務,以補償過濾器的影響.駐有網(wǎng)關的網(wǎng)絡常被叫作非軍事區(qū)(Demilitarized Zone,DMZ).DMZ中的網(wǎng)關有時還由一個內部網(wǎng)關(internal gateway)協(xié)助工作. 防火墻功能無論什么類型

19、的防火墻,都有一些基本功能.防火墻主要的功能如下:()管理和控制網(wǎng)絡流量:通過檢查報文監(jiān)控已經(jīng)存在的連接,根據(jù)報文檢查結果和檢測到的連接來過濾以達到該目的.上一頁下一頁返回任務三提高整個網(wǎng)絡的安全()認證連接:防火墻用一系列機制執(zhí)行認證,首先,嘗試初始化一個連接的用戶在防火墻允許建立連接之前可以被提示需要一個用戶名和密碼;其次,可以使用證書和公共密鑰實現(xiàn)認證機制.通過實施認證,確保連接是否被允許.()擔當中間媒介:防火墻可以通過配置擔當兩條主機進行通信的媒介,可以稱之為代理.代理的職能就是偽裝成需要被保護的主機,發(fā)送或接收報文,確保外部主機不能直接和被保護的主機通信來隔離被保護的主機,以免其遭

20、受威脅.()保護資源:通過使用接入訪問控制規(guī)則、狀態(tài)化報文檢查、應用代理或結合以上所有方法去阻止被保護的主機被惡意訪問或者惡意流量感染.上一頁下一頁返回任務三提高整個網(wǎng)絡的安全()記錄和報告事件:防火墻日志可以被查詢以用來確定在一個安全時間中發(fā)生了什么,也可以被用于防火墻排錯,來幫助確定導致問題發(fā)生的原因.它還有一種報警機制,當策略被違反的時候通知管理員以便做出相應的決定.防火墻種類按照形態(tài)來分,防火墻分成兩種:軟件防火墻和硬件防火墻.軟件防火墻僅獲得Firewall軟件,需要準備額外的OS平臺,其安全性依賴底層的OS.另外,軟件防火墻的網(wǎng)絡適應性較差,主要以路由模式工作.但它的網(wǎng)絡穩(wěn)定性高,

21、軟件分發(fā)、升級比較方便.硬件防火墻包括硬件設備和防火墻軟件,使用專用的OS平臺,其安全性完全取決于專用的OS.硬件防火墻的網(wǎng)絡適應性強,支持多種接入模式,穩(wěn)定性較高,但升級、更新不夠靈活.上一頁下一頁返回任務三提高整個網(wǎng)絡的安全按照保護對象來分,防火墻又分為:網(wǎng)絡防火墻和單機防火墻,如圖、圖所示.單機防火墻只能保護單臺主機,安全策略相對分散,安全功能也比較簡單,普通用戶就可以維護,安全隱患較大,但策略設置靈活;網(wǎng)絡防火墻保護的是整個網(wǎng)絡,其安全策略集中,安全功能復雜多樣,專業(yè)管理員進行維護,安全隱患小,策略設置較為復雜.單機防火墻是網(wǎng)絡防火墻的有益補充,但不能代替網(wǎng)絡防火墻為內部網(wǎng)絡提供強大的

22、保護功能.根據(jù)防火墻實現(xiàn)技術不同,又可以分為包過濾防火墻、應用代理防火墻和復合型防火墻等幾種.)包過濾防火墻.包過濾型防火墻是第一代的防火墻,作用于網(wǎng)絡層和傳輸層之間,基于路由器并提供數(shù)據(jù)包過濾的功能,所以路由器一般都有集成第一代的防火墻.上一頁下一頁返回任務三提高整個網(wǎng)絡的安全)應用代理防火墻.應用代理型防火墻也被稱為代理服務器,工作在應用層,其關鍵技術是應用代理技術.代理型防火墻分為兩代,第一代是應用網(wǎng)關型代理防火墻.)復合型防火墻.第二代代理型防火墻稱為自適應代理防火墻,它結合了代理型防火墻的安全性和包過濾防火墻的高性能特點,可以在毫不影響安全性的前提下將代理型防火墻的性能提高倍以上.由

23、于它結合了代理型和包過濾型防火墻的兩樣技術,因此稱為自適應代理服務器和動態(tài)包過濾器.上一頁下一頁返回任務三提高整個網(wǎng)絡的安全.任務實施.任務場景根據(jù)公司網(wǎng)絡的安全要求在混合模式下配置防火墻,公司的安全要求:僅有少量公網(wǎng)地址.LAN、WAN和DMZ為私有地址,且在同一子網(wǎng).禁止外網(wǎng)到內網(wǎng)和WAN的連接.限制內網(wǎng)到外網(wǎng)的連接,即只開放有限的服務,比如瀏覽網(wǎng)頁、收發(fā)郵件、下載文件、DNS、ping等.限制內網(wǎng)到WAN的連接,只允許訪問FTPSer的FTP服務.上一頁下一頁返回任務三提高整個網(wǎng)絡的安全限制DMZ到WAN的連接,只允許Mail Ser訪問Data Ser的SQL (TCP)服務.DMZ區(qū)對內外網(wǎng)提供服務,比如WWW 服務、郵件服務等.IP地址分配.LAN、DMZ、WAN 網(wǎng)段:./; 防火墻虛擬設備br 接口IP:.;WAN 網(wǎng)段:./.通過防火墻劃分不同等級的安全區(qū)域,默認不同安全區(qū)域互相不能訪問,根據(jù)安