網(wǎng)絡(luò)安全控制培訓(xùn)講義課件_第1頁(yè)
網(wǎng)絡(luò)安全控制培訓(xùn)講義課件_第2頁(yè)
網(wǎng)絡(luò)安全控制培訓(xùn)講義課件_第3頁(yè)
網(wǎng)絡(luò)安全控制培訓(xùn)講義課件_第4頁(yè)
網(wǎng)絡(luò)安全控制培訓(xùn)講義課件_第5頁(yè)
已閱讀5頁(yè),還剩131頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

網(wǎng)絡(luò)安全控制網(wǎng)絡(luò)安全控制本章內(nèi)容ACLARP檢查DHCP監(jiān)聽(tīng)DAI本章內(nèi)容ACL課程議題ACL提供網(wǎng)絡(luò)安全課程議題ACL提供網(wǎng)絡(luò)安全ACL概述什么是ACLACL是對(duì)經(jīng)過(guò)路由器與交換機(jī)的數(shù)據(jù)進(jìn)行過(guò)濾的一種強(qiáng)大的訪問(wèn)控制工具ACL的作用拒絕、允許特定的數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)設(shè)備防止攻擊訪問(wèn)控制節(jié)省帶寬…對(duì)特定的數(shù)據(jù)流、報(bào)文、路由條目等進(jìn)行匹配和標(biāo)識(shí),以用于其它目的路由過(guò)濾QoSRoute-map…ACL概述什么是ACLACL的分類根據(jù)過(guò)濾層次基于IP的ACL(IPACL)基于MAC的ACL(MACACL)專家ACL(ExpertACL)根據(jù)過(guò)濾字段(元素)標(biāo)準(zhǔn)ACL(標(biāo)準(zhǔn)IPACL)擴(kuò)展ACL(擴(kuò)展IPACL、MACACL、專家ACL)根據(jù)命名規(guī)則編號(hào)ACL名稱ACLACL的分類根據(jù)過(guò)濾層次ACL的工作機(jī)制ACL的工作機(jī)制由一組訪問(wèn)控制規(guī)則組成(ACL規(guī)則)網(wǎng)絡(luò)設(shè)備根據(jù)ACL規(guī)則檢查收到或發(fā)送的報(bào)文,并采取相應(yīng)操作ACL規(guī)則匹配順序從上至下當(dāng)報(bào)文匹配某條規(guī)則后,將執(zhí)行操作,跳出匹配過(guò)程任何ACL的默認(rèn)操作是“拒絕所有”ACL的工作機(jī)制ACL的工作機(jī)制ACL的應(yīng)用定義ACL定義ACL規(guī)則將ACL應(yīng)用到網(wǎng)絡(luò)設(shè)備的接口ACL的應(yīng)用規(guī)則接口的一個(gè)方向只能應(yīng)用一個(gè)ACLIn方向:對(duì)接口收到的數(shù)據(jù)進(jìn)行檢查Out方向:對(duì)從接口發(fā)送出去的數(shù)據(jù)進(jìn)行檢查ACL不對(duì)本地生成的外出的數(shù)據(jù)進(jìn)行檢查!ACL的應(yīng)用定義ACL標(biāo)準(zhǔn)IPACL編號(hào)規(guī)則1~99和1300~1399過(guò)濾元素僅源IP地址信息用于簡(jiǎn)單的訪問(wèn)控制、路由過(guò)濾等標(biāo)準(zhǔn)IPACL編號(hào)規(guī)則配置標(biāo)準(zhǔn)IPACL配置ACL規(guī)則access-listaccess-list-number

{permit|deny}

{any|

source

source-wildcard

}

[time-rangetime-range-name]

Router(config)#應(yīng)用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#in表示應(yīng)用到接口的入方向,對(duì)收到的報(bào)文進(jìn)行檢查out表示應(yīng)用到接口的外出方向,對(duì)發(fā)送的報(bào)文進(jìn)行檢查配置標(biāo)準(zhǔn)IPACL配置ACL規(guī)則access-lista標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不可以訪問(wèn)服務(wù)器,其它主機(jī)訪問(wèn)服務(wù)器不受限制。標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不擴(kuò)展IPACL編號(hào)規(guī)則100~199和2000~2699過(guò)濾元素源IP地址、目的IP地址、協(xié)議、源端口、目的端口用于高級(jí)的、精確的訪問(wèn)控制擴(kuò)展IPACL編號(hào)規(guī)則配置擴(kuò)展IPACL配置ACL規(guī)則access-listaccess-list-number{deny|permit}protocol

{any|sourcesource-wildcard}[operatorport

]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Router(config)#應(yīng)用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置擴(kuò)展IPACL配置ACL規(guī)則access-lista擴(kuò)展IPACL配置示例為公司的文件服務(wù)器,要求網(wǎng)段中的主機(jī)能夠訪問(wèn)中的FTP服務(wù)和WEB服務(wù),而對(duì)服務(wù)器的其它服務(wù)禁止訪問(wèn)。擴(kuò)展IPACL配置示例為公司的文件服務(wù)名稱IPACL配置標(biāo)準(zhǔn)名稱ACLipaccess-liststandard{name|access-list-number}

Router(config)#應(yīng)用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置ACL規(guī)則{permit|deny}{any|sourcesource-wildcard}[time-range

time-range-name]

Router(config-std-nacl)#名稱IPACL配置標(biāo)準(zhǔn)名稱ACLipaccess-lis名稱IPACL(續(xù))配置擴(kuò)展名稱ACLipaccess-listextended{name|access-list-number}

Router(config)#應(yīng)用名稱ACLipaccess-groupname{in|out}

Router(config-if)#配置ACL規(guī)則{permit|deny}protocol{any|sourcesource-wildcard

}

[operatorport]{any|destinationdestination-wildcard}[operatorport][time-range

time-range-name][dscp

dscp][fragment]

Router(config-ext-nacl)#名稱IPACL(續(xù))配置擴(kuò)展名稱ACLipaccess-名稱IPACL配置示例名稱IPACL配置示例基于MAC的ACL標(biāo)識(shí)方式編號(hào):700~799名稱過(guò)濾元素源MAC地址、目的MAC地址、以太網(wǎng)類型基于MAC的ACL標(biāo)識(shí)方式配置MACACL配置MACACLmacaccess-listextended{name|access-list-number}

Switch(config)#應(yīng)用MACACLmacaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL規(guī)則{permit|deny}{any|hostsource-mac-address}{any|host

destination-mac-address}[ethernet-type

][time-range

time-range-name]

Switch(config-mac-nacl)#配置MACACL配置MACACLmacaccess-lMACACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000a-000a)能夠訪問(wèn)財(cái)務(wù)服務(wù)器(000d-000d-000d)。MACACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000aMACACL配置示例MACACL配置示例專家ACL標(biāo)識(shí)方式編號(hào):2700~2899名稱過(guò)濾元素源MAC地址、目的MAC地址、以太網(wǎng)類型、源IP地址、目的IP地址、協(xié)議、源端口、目的端口用于復(fù)雜的、高級(jí)的訪問(wèn)控制專家ACL標(biāo)識(shí)方式配置專家ACL配置專家ACLexpertaccess-listextended{name|access-list-number}

Switch(config)#應(yīng)用MACACLexpertaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL規(guī)則{permit|deny}[protocol|ethernet-type][VIDvid

][{any|sourcesource-wildcard}

]{host

source-mac-address|any}[operatorport]

[{any|destinationdestination-wildcard}]

{host

destination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Switch(config-exp-nacl)#配置專家ACL配置專家ACLexpertaccess-li專家ACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000a-000a)能夠訪問(wèn)財(cái)務(wù)服務(wù)器(000d-000d-000d)的TCP5555端口。專家ACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000a-0專家ACL配置示例專家ACL配置示例基于時(shí)間的ACL基于時(shí)間的ACL對(duì)于不同的時(shí)間段實(shí)施不同的訪問(wèn)控制規(guī)則在原有ACL的基礎(chǔ)上應(yīng)用時(shí)間段任何類型的ACL都可以應(yīng)用時(shí)間段時(shí)間段絕對(duì)時(shí)間段(absolute)周期時(shí)間段(periodic)混合時(shí)間段基于時(shí)間的ACL基于時(shí)間的ACL配置時(shí)間段配置時(shí)間段time-rangetime-range-name

Router(config)#配置絕對(duì)時(shí)間absolute{start

timedate[end

timedate]|end

timedate}

Router(config-time-range)#start

timedate:表示時(shí)間段的起始時(shí)間。time表示時(shí)間,格式為“hh:mm”。date表示日期,格式為“日月年”

endtimedate:表示時(shí)間段的結(jié)束時(shí)間,格式與起始時(shí)間相同示例:absolutestart08:001Jan2007end10:001Feb2008配置時(shí)間段配置時(shí)間段time-rangetime-rang配置時(shí)間段(續(xù))配置周期時(shí)間periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week:表示一個(gè)星期內(nèi)的一天或者幾天,Monday,Tuesday,Wednesday,Thursday,F(xiàn)riday,Saturday,Sundayhh:mm:表示時(shí)間weekdays:表示周一到周五weekend:表示周六到周日daily:表示一周中的每一天示例:periodicweekdays09:00to18:00配置時(shí)間段(續(xù))配置周期時(shí)間periodicday-of-配置時(shí)間段(續(xù))應(yīng)用時(shí)間段在ACL規(guī)則中使用time-range參數(shù)引用時(shí)間段只有配置了time-range的規(guī)則才會(huì)在指定的時(shí)間段內(nèi)生效,其它未引用時(shí)間段的規(guī)則將不受影響確保設(shè)備的系統(tǒng)時(shí)間的正確!配置時(shí)間段(續(xù))應(yīng)用時(shí)間段基于時(shí)間的ACL配置示例在上班時(shí)間(9:00~18:00)不允許員工的主機(jī)(/24)訪問(wèn)Internet,下班時(shí)間可以訪問(wèn)Internet上的Web服務(wù)?;跁r(shí)間的ACL配置示例在上班時(shí)間(9:00~18:00)不ACL的修改和維護(hù)傳統(tǒng)編號(hào)ACL的修改問(wèn)題新規(guī)則添加到ACL的末尾刪除所有ACL規(guī)則重新編寫導(dǎo)出配置文件進(jìn)行修改將ACL規(guī)則復(fù)制到編輯工具進(jìn)行修改ACL配置模式使用ipaccess-list命令進(jìn)入ACL配置模式可以刪除特定的ACL規(guī)則在任意位置插入新的ACL規(guī)則ACL的修改和維護(hù)傳統(tǒng)編號(hào)ACL的修改問(wèn)題添加和刪除ACL規(guī)則添加ACL規(guī)則sequence-number{permit|deny}……

Router(config-ext-nacl)#sequence-number

:規(guī)則在ACL中的序號(hào),即排序的位置默認(rèn)根據(jù)序號(hào)從小到大進(jìn)行排序刪除ACL規(guī)則nosequence-numberRouter(config-ext-nacl)#添加和刪除ACL規(guī)則添加ACL規(guī)則sequence-numb添加ACL規(guī)則配置示例添加ACL規(guī)則配置示例刪除ACL規(guī)則配置示例刪除ACL規(guī)則配置示例ACL規(guī)則的重編號(hào)ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

Router(config)#starting-sequence-number:ACL規(guī)則的起始序號(hào)值,默認(rèn)為10increment-number:ACL規(guī)則的遞增序號(hào)值,默認(rèn)為10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

expertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

ACL規(guī)則的重編號(hào)ipaccess-listresequACL規(guī)則重編號(hào)配置示例ACL規(guī)則重編號(hào)配置示例查看ACL信息showrunning-configRouter#showaccess-lists[name|access-list-number]查看ACL配置信息查看ACL配置信息示例查看ACL信息showrunning-configRout查看ACL信息(續(xù))showaccess-group[interfaceinterface]

Router#查看所有ACL的應(yīng)用信息showipaccess-group[interfaceinterface]

Router#查看IPACL的應(yīng)用信息showmacaccess-group[interfaceinterface]

Router#查看MACACL的應(yīng)用信息showexpertaccess-group[interfaceinterface]

Router#查看專家ACL的應(yīng)用信息查看ACL信息(續(xù))showaccess-group[查看ACL信息示例查看ACL信息示例課程議題ARP檢查課程議題ARP檢查ARP協(xié)議ARP的作用將IP地址映射到MAC地址ARP協(xié)議ARP的作用ARP欺騙攻擊ARP的弱點(diǎn)ARP無(wú)驗(yàn)證機(jī)制,請(qǐng)求者不能判斷收到的ARP應(yīng)答是否合法ARP欺騙攻擊ARP的弱點(diǎn)ARP中間人攻擊ARP中間人攻擊攻擊者不但偽造網(wǎng)關(guān),而且進(jìn)行數(shù)據(jù)重定向ARP中間人攻擊ARP中間人攻擊ARP檢查ARP檢查的作用防止ARP欺騙基于端口安全檢查ARP報(bào)文中的IP地址是否合法,若不合法,則丟棄報(bào)文ARP檢查ARP檢查的作用配置ARP檢查手工恢復(fù)端口狀態(tài)port-securityarp-check

Switch(config)#啟用端口安全switchportport-security

Switch(config-if)#默認(rèn)情況下,關(guān)閉ARP檢查功能

配置安全I(xiàn)P地址switchportport-securitymac-addressmac-addressip-address

ip-addressSwitch(config-if)#這里配置的ip-address為端口所接入設(shè)備的真實(shí)IP地址

配置ARP檢查手工恢復(fù)端口狀態(tài)port-securityaARP檢查配置示例ARP檢查配置示例查看ARP檢查狀態(tài)查看ARP檢查狀態(tài)showport-securityarp-check

Switch#查看ARP檢查示例查看ARP檢查狀態(tài)查看ARP檢查狀態(tài)showport-se課程議題DHCP監(jiān)聽(tīng)課程議題DHCP監(jiān)聽(tīng)DHCP攻擊DHCP的弱點(diǎn)DHCP無(wú)驗(yàn)證機(jī)制DHCP攻擊攻擊者使用偽DHCP服務(wù)器為網(wǎng)絡(luò)分配地址攻擊者可以發(fā)動(dòng)一個(gè)DHCPDoS攻擊DHCP攻擊DHCP的弱點(diǎn)DHCP攻擊(續(xù))DHCP攻擊(續(xù))DHCPSnoopingDHCPSnooping的作用過(guò)濾偽(非法)DHCP服務(wù)器發(fā)送的DHCP報(bào)文DHCPSnooping的工作機(jī)制信任(Trust)端口允許所有DHCP報(bào)文通過(guò)非信任(Untrust)端口只允許DHCPDiscovery、DHCPRequest報(bào)文通過(guò),過(guò)濾DHCPOffer報(bào)文建立DHCP監(jiān)聽(tīng)數(shù)據(jù)庫(kù)包含客戶端的IP地址、MAC地址、連接的端口、VLAN號(hào)、地址租用期限等信息

DHCPSnoopingDHCPSnooping的作用DHCPSnooping的部署信任(Trust)端口用于連接合法的DHCP服務(wù)器和上行鏈路端口非信任(Untrust)端口用于連接DHCP客戶端和其它接入端口DHCPSnooping的部署信任(Trust)端口配置DHCPSnooping啟用DHCPSnoopingipdhcpsnooping

Switch(config)#配置端口為信任端口ipdhcpsnoopingtrust

Switch(config-if)#默認(rèn)情況下,關(guān)閉DHCPSnooping

默認(rèn)情況下,所有端口都為Untrust端口

配置DHCPSnooping啟用DHCPSnooping配置DHCPSnooping(續(xù))手工配置DHCPSnooping表項(xiàng)ipdhcpsnoopingbindingmac-addressvlanvlan-idipip-addressinterfaceinterface

Switch(config)#將DHCPSnooping數(shù)據(jù)庫(kù)寫入到Flash文件ipdhcpsnoopingdatabasewrite-to-flash

Switch(config)#默認(rèn)情況下,關(guān)閉DHCPSnooping

DHCP監(jiān)聽(tīng)數(shù)據(jù)庫(kù)的信息是動(dòng)態(tài)的,通過(guò)寫入Flash,可以避免由于系統(tǒng)的重新啟動(dòng)導(dǎo)致數(shù)據(jù)庫(kù)中的信息丟失配置DHCPSnooping(續(xù))手工配置DHCPSno配置DHCPSnooping(續(xù))配置自動(dòng)寫入DHCPSnooping綁定信息ipdhcpsnoopingdatabasewrite-delay

seconds

Switch(config)#配置驗(yàn)證Untrust端口檢查DHCP報(bào)文的源MAC地址ipdhcpsnoopingverifymac-address

Switch(config)#默認(rèn)情況下,不檢查DHCP報(bào)文的源MAC地址可以避免攻擊者發(fā)送偽造源MAC地址的DHCP報(bào)文,導(dǎo)致DHCPDoS攻擊配置DHCPSnooping(續(xù))配置自動(dòng)寫入DHCPSDHCPSnooping配置示例DHCPSnooping配置示例查看DHCPSnooping狀態(tài)查看DHCPSnooping配置信息showipdhcpsnooping

Switch#查看DHCPSnooping數(shù)據(jù)庫(kù)信息showipdhcpsnoopingbinding

Switch#此信息將顯示動(dòng)態(tài)與靜態(tài)的綁定表項(xiàng)只有Untrust端口才會(huì)存在綁定表項(xiàng)清除DHCPSnooping數(shù)據(jù)庫(kù)clearipdhcpsnoopingbinding

Switch#靜態(tài)的綁定表項(xiàng)不會(huì)被刪除查看DHCPSnooping狀態(tài)查看DHCPSnoopi查看DHCPSnooping狀態(tài)示例查看DHCPSnooping狀態(tài)示例課程議題DAI課程議題DAIDAI概述DAI(DynamicARPInspection)與ARP檢查一樣,用于防止ARP欺騙ARP檢查需要靜態(tài)配置安全地址不適用于動(dòng)態(tài)IP地址環(huán)境不適用與移動(dòng)環(huán)境DAI依賴于DHCPSnooping數(shù)據(jù)庫(kù)要使用DAI,需要部署DHCP環(huán)境DAITrust端口不檢查ARP報(bào)文DAIUntrust端口檢查所有收到的ARP報(bào)文DAI概述DAI(DynamicARPInspectioDAI部署Trust端口連接交換機(jī)間的上行鏈路與DHCPServerUntrust端口連接DHCP客戶端端口狀態(tài)需要與DHCPSnooping端口狀態(tài)一致DHCPSnoopingTrust端口不存在綁定表項(xiàng)建議在DHCP環(huán)境中部署DAIDAI部署Trust端口配置DAI啟用DHCPSnooping并設(shè)置端口狀態(tài)ipdhcpsnooping

Switch(config)#ipdhcpsnoopingtrust

Switch(config-if)#啟用DAIiparpinspection

Switch(config)#默認(rèn)情況下,關(guān)閉DAI配置DAI啟用DHCPSnooping并設(shè)置端口狀態(tài)ip配置DAI(續(xù))在VLAN中啟用DAIiparpinspectionvlanvlan-range

Switch(config)#iparpinspection

trust

Switch(config-if)#配置端口狀態(tài)只有對(duì)VLAN啟用了DAI,才會(huì)檢查此VLAN收到的ARP報(bào)文默認(rèn)情況下,所有端口都為Untrust端口配置DAI(續(xù))在VLAN中啟用DAIiparpinsp配置DAI(續(xù))配置Untrust端口的ARP限速iparpinspectionlimit-ratepps

Switch(config-if)#iparpinspectionlimit-ratenone

Switch(config-if)#取消接口ARP限速默認(rèn)情況下,Untrust端口的ARP速率閾值為15ppsTrust端口的ARP速率閾值永遠(yuǎn)為0,即不限速,雖然可以對(duì)其進(jìn)行配置對(duì)于Trunk端口,可以提高速率閾值或者取消限速配置DAI(續(xù))配置Untrust端口的ARP限速iparDAI配置示例DAI配置示例查看DAI狀態(tài)查看DAI配置信息showiparpinspectionvlan[

vlan-range

]

Switch#showiparpinspectioninterface[interface]

Switch#查看接口的DAI信息查看DAI狀態(tài)查看DAI配置信息showiparpin查看DAI狀態(tài)示例查看DAI狀態(tài)示例Q&AQ&A演講完畢,謝謝觀看!演講完畢,謝謝觀看!網(wǎng)絡(luò)安全控制網(wǎng)絡(luò)安全控制本章內(nèi)容ACLARP檢查DHCP監(jiān)聽(tīng)DAI本章內(nèi)容ACL課程議題ACL提供網(wǎng)絡(luò)安全課程議題ACL提供網(wǎng)絡(luò)安全ACL概述什么是ACLACL是對(duì)經(jīng)過(guò)路由器與交換機(jī)的數(shù)據(jù)進(jìn)行過(guò)濾的一種強(qiáng)大的訪問(wèn)控制工具ACL的作用拒絕、允許特定的數(shù)據(jù)流通過(guò)網(wǎng)絡(luò)設(shè)備防止攻擊訪問(wèn)控制節(jié)省帶寬…對(duì)特定的數(shù)據(jù)流、報(bào)文、路由條目等進(jìn)行匹配和標(biāo)識(shí),以用于其它目的路由過(guò)濾QoSRoute-map…ACL概述什么是ACLACL的分類根據(jù)過(guò)濾層次基于IP的ACL(IPACL)基于MAC的ACL(MACACL)專家ACL(ExpertACL)根據(jù)過(guò)濾字段(元素)標(biāo)準(zhǔn)ACL(標(biāo)準(zhǔn)IPACL)擴(kuò)展ACL(擴(kuò)展IPACL、MACACL、專家ACL)根據(jù)命名規(guī)則編號(hào)ACL名稱ACLACL的分類根據(jù)過(guò)濾層次ACL的工作機(jī)制ACL的工作機(jī)制由一組訪問(wèn)控制規(guī)則組成(ACL規(guī)則)網(wǎng)絡(luò)設(shè)備根據(jù)ACL規(guī)則檢查收到或發(fā)送的報(bào)文,并采取相應(yīng)操作ACL規(guī)則匹配順序從上至下當(dāng)報(bào)文匹配某條規(guī)則后,將執(zhí)行操作,跳出匹配過(guò)程任何ACL的默認(rèn)操作是“拒絕所有”ACL的工作機(jī)制ACL的工作機(jī)制ACL的應(yīng)用定義ACL定義ACL規(guī)則將ACL應(yīng)用到網(wǎng)絡(luò)設(shè)備的接口ACL的應(yīng)用規(guī)則接口的一個(gè)方向只能應(yīng)用一個(gè)ACLIn方向:對(duì)接口收到的數(shù)據(jù)進(jìn)行檢查Out方向:對(duì)從接口發(fā)送出去的數(shù)據(jù)進(jìn)行檢查ACL不對(duì)本地生成的外出的數(shù)據(jù)進(jìn)行檢查!ACL的應(yīng)用定義ACL標(biāo)準(zhǔn)IPACL編號(hào)規(guī)則1~99和1300~1399過(guò)濾元素僅源IP地址信息用于簡(jiǎn)單的訪問(wèn)控制、路由過(guò)濾等標(biāo)準(zhǔn)IPACL編號(hào)規(guī)則配置標(biāo)準(zhǔn)IPACL配置ACL規(guī)則access-listaccess-list-number

{permit|deny}

{any|

source

source-wildcard

}

[time-rangetime-range-name]

Router(config)#應(yīng)用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#in表示應(yīng)用到接口的入方向,對(duì)收到的報(bào)文進(jìn)行檢查out表示應(yīng)用到接口的外出方向,對(duì)發(fā)送的報(bào)文進(jìn)行檢查配置標(biāo)準(zhǔn)IPACL配置ACL規(guī)則access-lista標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不可以訪問(wèn)服務(wù)器,其它主機(jī)訪問(wèn)服務(wù)器不受限制。標(biāo)準(zhǔn)IPACL配置示例要求網(wǎng)段的主機(jī)不擴(kuò)展IPACL編號(hào)規(guī)則100~199和2000~2699過(guò)濾元素源IP地址、目的IP地址、協(xié)議、源端口、目的端口用于高級(jí)的、精確的訪問(wèn)控制擴(kuò)展IPACL編號(hào)規(guī)則配置擴(kuò)展IPACL配置ACL規(guī)則access-listaccess-list-number{deny|permit}protocol

{any|sourcesource-wildcard}[operatorport

]{any|destinationdestination-wildcard}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Router(config)#應(yīng)用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置擴(kuò)展IPACL配置ACL規(guī)則access-lista擴(kuò)展IPACL配置示例為公司的文件服務(wù)器,要求網(wǎng)段中的主機(jī)能夠訪問(wèn)中的FTP服務(wù)和WEB服務(wù),而對(duì)服務(wù)器的其它服務(wù)禁止訪問(wèn)。擴(kuò)展IPACL配置示例為公司的文件服務(wù)名稱IPACL配置標(biāo)準(zhǔn)名稱ACLipaccess-liststandard{name|access-list-number}

Router(config)#應(yīng)用ACLipaccess-groupaccess-list-number{in|out}

Router(config-if)#配置ACL規(guī)則{permit|deny}{any|sourcesource-wildcard}[time-range

time-range-name]

Router(config-std-nacl)#名稱IPACL配置標(biāo)準(zhǔn)名稱ACLipaccess-lis名稱IPACL(續(xù))配置擴(kuò)展名稱ACLipaccess-listextended{name|access-list-number}

Router(config)#應(yīng)用名稱ACLipaccess-groupname{in|out}

Router(config-if)#配置ACL規(guī)則{permit|deny}protocol{any|sourcesource-wildcard

}

[operatorport]{any|destinationdestination-wildcard}[operatorport][time-range

time-range-name][dscp

dscp][fragment]

Router(config-ext-nacl)#名稱IPACL(續(xù))配置擴(kuò)展名稱ACLipaccess-名稱IPACL配置示例名稱IPACL配置示例基于MAC的ACL標(biāo)識(shí)方式編號(hào):700~799名稱過(guò)濾元素源MAC地址、目的MAC地址、以太網(wǎng)類型基于MAC的ACL標(biāo)識(shí)方式配置MACACL配置MACACLmacaccess-listextended{name|access-list-number}

Switch(config)#應(yīng)用MACACLmacaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL規(guī)則{permit|deny}{any|hostsource-mac-address}{any|host

destination-mac-address}[ethernet-type

][time-range

time-range-name]

Switch(config-mac-nacl)#配置MACACL配置MACACLmacaccess-lMACACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000a-000a)能夠訪問(wèn)財(cái)務(wù)服務(wù)器(000d-000d-000d)。MACACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000aMACACL配置示例MACACL配置示例專家ACL標(biāo)識(shí)方式編號(hào):2700~2899名稱過(guò)濾元素源MAC地址、目的MAC地址、以太網(wǎng)類型、源IP地址、目的IP地址、協(xié)議、源端口、目的端口用于復(fù)雜的、高級(jí)的訪問(wèn)控制專家ACL標(biāo)識(shí)方式配置專家ACL配置專家ACLexpertaccess-listextended{name|access-list-number}

Switch(config)#應(yīng)用MACACLexpertaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL規(guī)則{permit|deny}[protocol|ethernet-type][VIDvid

][{any|sourcesource-wildcard}

]{host

source-mac-address|any}[operatorport]

[{any|destinationdestination-wildcard}]

{host

destination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Switch(config-exp-nacl)#配置專家ACL配置專家ACLexpertaccess-li專家ACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000a-000a)能夠訪問(wèn)財(cái)務(wù)服務(wù)器(000d-000d-000d)的TCP5555端口。專家ACL配置示例只允許財(cái)務(wù)部的主機(jī)(000a-000a-0專家ACL配置示例專家ACL配置示例基于時(shí)間的ACL基于時(shí)間的ACL對(duì)于不同的時(shí)間段實(shí)施不同的訪問(wèn)控制規(guī)則在原有ACL的基礎(chǔ)上應(yīng)用時(shí)間段任何類型的ACL都可以應(yīng)用時(shí)間段時(shí)間段絕對(duì)時(shí)間段(absolute)周期時(shí)間段(periodic)混合時(shí)間段基于時(shí)間的ACL基于時(shí)間的ACL配置時(shí)間段配置時(shí)間段time-rangetime-range-name

Router(config)#配置絕對(duì)時(shí)間absolute{start

timedate[end

timedate]|end

timedate}

Router(config-time-range)#start

timedate:表示時(shí)間段的起始時(shí)間。time表示時(shí)間,格式為“hh:mm”。date表示日期,格式為“日月年”

endtimedate:表示時(shí)間段的結(jié)束時(shí)間,格式與起始時(shí)間相同示例:absolutestart08:001Jan2007end10:001Feb2008配置時(shí)間段配置時(shí)間段time-rangetime-rang配置時(shí)間段(續(xù))配置周期時(shí)間periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week:表示一個(gè)星期內(nèi)的一天或者幾天,Monday,Tuesday,Wednesday,Thursday,F(xiàn)riday,Saturday,Sundayhh:mm:表示時(shí)間weekdays:表示周一到周五weekend:表示周六到周日daily:表示一周中的每一天示例:periodicweekdays09:00to18:00配置時(shí)間段(續(xù))配置周期時(shí)間periodicday-of-配置時(shí)間段(續(xù))應(yīng)用時(shí)間段在ACL規(guī)則中使用time-range參數(shù)引用時(shí)間段只有配置了time-range的規(guī)則才會(huì)在指定的時(shí)間段內(nèi)生效,其它未引用時(shí)間段的規(guī)則將不受影響確保設(shè)備的系統(tǒng)時(shí)間的正確!配置時(shí)間段(續(xù))應(yīng)用時(shí)間段基于時(shí)間的ACL配置示例在上班時(shí)間(9:00~18:00)不允許員工的主機(jī)(/24)訪問(wèn)Internet,下班時(shí)間可以訪問(wèn)Internet上的Web服務(wù)?;跁r(shí)間的ACL配置示例在上班時(shí)間(9:00~18:00)不ACL的修改和維護(hù)傳統(tǒng)編號(hào)ACL的修改問(wèn)題新規(guī)則添加到ACL的末尾刪除所有ACL規(guī)則重新編寫導(dǎo)出配置文件進(jìn)行修改將ACL規(guī)則復(fù)制到編輯工具進(jìn)行修改ACL配置模式使用ipaccess-list命令進(jìn)入ACL配置模式可以刪除特定的ACL規(guī)則在任意位置插入新的ACL規(guī)則ACL的修改和維護(hù)傳統(tǒng)編號(hào)ACL的修改問(wèn)題添加和刪除ACL規(guī)則添加ACL規(guī)則sequence-number{permit|deny}……

Router(config-ext-nacl)#sequence-number

:規(guī)則在ACL中的序號(hào),即排序的位置默認(rèn)根據(jù)序號(hào)從小到大進(jìn)行排序刪除ACL規(guī)則nosequence-numberRouter(config-ext-nacl)#添加和刪除ACL規(guī)則添加ACL規(guī)則sequence-numb添加ACL規(guī)則配置示例添加ACL規(guī)則配置示例刪除ACL規(guī)則配置示例刪除ACL規(guī)則配置示例ACL規(guī)則的重編號(hào)ipaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

Router(config)#starting-sequence-number:ACL規(guī)則的起始序號(hào)值,默認(rèn)為10increment-number:ACL規(guī)則的遞增序號(hào)值,默認(rèn)為10macaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

expertaccess-listresequence{name|access-list-number}starting-sequence-numberincrement-number

ACL規(guī)則的重編號(hào)ipaccess-listresequACL規(guī)則重編號(hào)配置示例ACL規(guī)則重編號(hào)配置示例查看ACL信息showrunning-configRouter#showaccess-lists[name|access-list-number]查看ACL配置信息查看ACL配置信息示例查看ACL信息showrunning-configRout查看ACL信息(續(xù))showaccess-group[interfaceinterface]

Router#查看所有ACL的應(yīng)用信息showipaccess-group[interfaceinterface]

Router#查看IPACL的應(yīng)用信息showmacaccess-group[interfaceinterface]

Router#查看MACACL的應(yīng)用信息showexpertaccess-group[interfaceinterface]

Router#查看專家ACL的應(yīng)用信息查看ACL信息(續(xù))showaccess-group[查看ACL信息示例查看ACL信息示例課程議題ARP檢查課程議題ARP檢查ARP協(xié)議ARP的作用將IP地址映射到MAC地址ARP協(xié)議ARP的作用ARP欺騙攻擊ARP的弱點(diǎn)ARP無(wú)驗(yàn)證機(jī)制,請(qǐng)求者不能判斷收到的ARP應(yīng)答是否合法ARP欺騙攻擊ARP的弱點(diǎn)ARP中間人攻擊ARP中間人攻擊攻擊者不但偽造網(wǎng)關(guān),而且進(jìn)行數(shù)據(jù)重定向ARP中間人攻擊ARP中間人攻擊ARP檢查ARP檢查的作用防止ARP欺騙基于端口安全檢查ARP報(bào)文中的IP地址是否合法,若不合法,則丟棄報(bào)文ARP檢查ARP檢查的作用配置ARP檢查手工恢復(fù)端口狀態(tài)port-securityarp-check

Switch(config)#啟用端口安全switchportport-security

Switch(config-if)#默認(rèn)情況下,關(guān)閉ARP檢查功能

配置安全I(xiàn)P地址switchportport-securitymac-addressmac-addressip-address

ip-addressSwitch(config-if)#這里配置的ip-address為端口所接入設(shè)備的真實(shí)IP地址

配置ARP檢查手工恢復(fù)端口狀態(tài)port-securityaARP檢查配置示例ARP檢查配置示例查看ARP檢查狀態(tài)查看ARP檢查狀態(tài)showport-securityarp-check

Switch#查看ARP檢查示例查看ARP檢查狀態(tài)查看ARP檢查狀態(tài)showport-se課程議題DHCP監(jiān)聽(tīng)課程議題DHCP監(jiān)聽(tīng)DHCP攻擊DHCP的弱點(diǎn)DHCP無(wú)驗(yàn)證機(jī)制DHCP攻擊攻擊者使用偽DHCP服務(wù)器為網(wǎng)絡(luò)分配地址攻擊者可以發(fā)動(dòng)一個(gè)DHCPDoS攻擊DHCP攻擊DHCP的弱點(diǎn)DHCP攻擊(續(xù))DHCP攻擊(續(xù))DHCPSnoopingDHCPSnooping的作用過(guò)濾偽(非法)DHCP服務(wù)器發(fā)送的DHCP報(bào)文DHCPSnooping的工作機(jī)制信任(Trust)端口允許所有DHCP報(bào)文通過(guò)非信任(Untrust)端口只允許DHCPDiscovery、DHCPRequest報(bào)文通過(guò),過(guò)濾DHCPOffer報(bào)文建立DHCP監(jiān)聽(tīng)數(shù)據(jù)庫(kù)包含客戶端的IP地址、MAC地址、連接的端口、VLAN號(hào)、地址租用期限等信息

DHCPSnoopingDHCPSnooping的作用DHCPSnooping的部署信任(Trust)端口用于連接合法的DHCP服務(wù)器和上行鏈路端口非信任(Untrust)端口用于連接DHCP客戶端和其它接入端口DHCPSnooping的部署信任(Trust)端口配置DHCPSnooping啟用DHCPSnoopingipdhcpsnooping

Switch(config)#配置端口為信任端口ipdhcpsnoopingtrust

Switch(config-if)#默認(rèn)情況下,關(guān)閉DHCPSnooping

默認(rèn)情況下,所有端口都為Untrust端口

配置DHCPSnooping啟用DHCPSnooping配置DHCPSnooping(續(xù))手工配置DHCPSnooping表項(xiàng)ipdhcpsnoopingbindingmac-addressvlanvlan-idipip-addressinterfaceinterface

Switch(config)#將DHCPSnooping數(shù)據(jù)庫(kù)寫入到Flash文件ipdhcpsnoopingdatabasewrite-to-flash

Switch(config)#默認(rèn)情況下,關(guān)閉DH

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論