第六講園區(qū)網(wǎng)安全

園區(qū)網(wǎng)安全Contents思考與練習(xí)訪問控制列表交換機(jī)端口安全園區(qū)網(wǎng)安全隱患引言Hubeiuniversityoftechnology園區(qū)網(wǎng)安全隱患Hubeiuniversityoftechnology園區(qū)網(wǎng)的常見安全隱患網(wǎng)絡(luò)安全的隱患是指計算機(jī)或其他通信設(shè)備利用網(wǎng)絡(luò)進(jìn)行交互時可能會受到的竊聽、攻擊或破壞，它是指具有侵犯系統(tǒng)安全或危害系統(tǒng)資源的潛在的環(huán)境、條件或事件。園區(qū)網(wǎng)絡(luò)安全隱患包括的范圍比較廣，如自然火災(zāi)、意外事故、人為行為（如使用不當(dāng)、安全意識差等）、黑客行為、內(nèi)部泄密、外部泄密、信息丟失、電子監(jiān)聽（信息流量分析、信息竊取等）和信息戰(zhàn)等。非人為或自然力造成的硬件故障、電源故障、軟件錯誤、火災(zāi)、水災(zāi)、風(fēng)暴和工業(yè)事故等。人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞。來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊和破壞。Hubeiuniversityoftechnology人的威脅最為嚴(yán)重人自然災(zāi)害惡意非惡意不熟練的員工（外部）黑客威脅（內(nèi)部）不滿的員工（外部）戰(zhàn)爭Hubeiuniversityoftechnology漏洞物理自然硬件軟件媒介通訊人External

attackerCorporateAssetsInternal

attackerIncorrect

permissionsVirusHubeiuniversityoftechnology網(wǎng)絡(luò)安全的演化第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲波及全球的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)地區(qū)網(wǎng)絡(luò)多個網(wǎng)絡(luò)單個網(wǎng)絡(luò)單臺計算機(jī)周天分鐘秒影響的目標(biāo)和范圍1980s1990s今天未來安全事件對我們的威脅越來越快第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲第一代引導(dǎo)性病毒第二代宏病毒DOS電子郵件有限的黑客攻擊第三代網(wǎng)絡(luò)DOS攻擊混合威脅（蠕蟲+病毒+特洛伊）廣泛的系統(tǒng)黑客攻擊下一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施黑客攻擊瞬間威脅大規(guī)模蠕蟲DDoS破壞有效負(fù)載的病毒和蠕蟲1980s1990s今天1980s1990s未來今天1980s1990sHubeiuniversityoftechnology園區(qū)網(wǎng)安全解決方案的整體思路制定一個嚴(yán)格的安全策略可以通過交換機(jī)端口安全、配置訪問控制列表ACL、在防火墻實(shí)現(xiàn)包過濾等技術(shù)來實(shí)現(xiàn)一套可行的園區(qū)網(wǎng)安全解決方案。宣傳教育Hubeiuniversityoftechnology現(xiàn)有網(wǎng)絡(luò)安全防御體制現(xiàn)有網(wǎng)絡(luò)安全體制IDS68%殺毒軟件99%防火墻98%ACL71%Hubeiuniversityoftechnology交換機(jī)端口安全Hubeiuniversityoftechnology交換機(jī)端口安全概述交換機(jī)的端口安全機(jī)制是工作在交換機(jī)二層端口上的一個安全特性只允許特定MAC地址的設(shè)備接入到網(wǎng)絡(luò)中，從而防止用戶將非法或未授權(quán)的設(shè)備接入網(wǎng)絡(luò)。限制端口接入的設(shè)備數(shù)量，防止用戶將過多的設(shè)備接入到網(wǎng)絡(luò)中。配置端口安全存在以下限制：一個安全端口必須是一個Access端口，及連接終端設(shè)備的端口，而非Trunk端口。一個安全端口不能是一個聚合端口（AggregatePort）。一個安全端口不能是SPAN的目的端口。Hubeiuniversityoftechnology補(bǔ)充——關(guān)于SPANSPAN技術(shù)主要是用來監(jiān)控交換機(jī)上的數(shù)據(jù)流，大體分為兩種類型，本地SPAN和遠(yuǎn)程SPAN.----LocalSwitchedPortAnalyzer(SPAN)andRemoteSPAN(RSPAN)，實(shí)現(xiàn)方法上稍有不同。利用SPAN技術(shù)我們可以把交換機(jī)上某些想要被監(jiān)控端口（以下簡稱受控端口）的數(shù)據(jù)流COPY或MIRROR一份，發(fā)送給連接在監(jiān)控端口上的流量分析儀，比如CISCO的IDS或是裝了SNIFFER工具的PC.受控端口和監(jiān)控端口可以在同一臺交換機(jī)上（本地SPAN），也可以在不同的交換機(jī)上（遠(yuǎn)程SPAN）。Hubeiuniversityoftechnology交換機(jī)端口安全概述當(dāng)配置完成端口安全之后，如果當(dāng)違例產(chǎn)生時，可以設(shè)置下面幾種針對違例的處理模式：protect：當(dāng)安全地址個數(shù)滿后，安全端口將丟棄未知名地址(不是該端口的安全地址中的任何一個)的包restrict：當(dāng)違例產(chǎn)生時，交換機(jī)不但丟棄接收到的幀（MAC地址不在安全地址表中），而且將發(fā)送一個SNMPTrap報文shutdown：當(dāng)違例產(chǎn)生時，交換機(jī)將丟棄接收到的幀（MAC地址不在安全地址表中），發(fā)送一個SNMPTrap報文，而且將端口關(guān)閉。Hubeiuniversityoftechnology端口安全的配置Switch(conifg-if)#switchportport-securitySwitch(conifg-if)#

switchportport-securitymaximum

numberSwitch(conifg-if)#

switchportport-securityviolation{protect|restrict|shutdown}設(shè)置接口上安全地址的最大個數(shù)打開該接口的端口安全功能設(shè)配置處理違例的方式Hubeiuniversityoftechnology配置安全端口上的安全地址Switch(conifg-if)#switchportport-security[mac-address

mac-address[ip-address

ip-address]Switch(conifg)#errdisablerecoverySwitch(conifg)#errdisablerecoveryintervaltime配置安全端口上的安全地址當(dāng)端口由于違規(guī)操作而進(jìn)入“err-disabled”狀態(tài)后，必須在全局模式下使用如下命令手工將其恢復(fù)為UP狀態(tài)：設(shè)置端口從“err-disabled”狀態(tài)自動恢復(fù)所等待的時間HubeiuniversityoftechnologySwitch(conifg-if)#switchportport-securityaging{static|time

time}Switch(conifg-if)#noswitchportport-securityagingtimeSwitch(conifg-if)#noswitchportport-securityagingstatic

配置安全地址的老化時間使老化時間僅應(yīng)用于動態(tài)學(xué)習(xí)到的安全地址關(guān)閉一個接口的安全地址老化功能（老化時間為0）Hubeiuniversityoftechnology查看端口安全信息Router#showport-securityinterface[interface-id]Router#showport-securityaddress

Router#showport-security

顯示所有接口的安全設(shè)置狀態(tài)、違例處理等信息來查看安全地址信息，顯示安全地址及老化時間顯示所有安全端口的統(tǒng)計信息，包括最大安全地址數(shù)，當(dāng)前安全地址數(shù)以及違例處理方式等Hubeiuniversityoftechnology訪問控制列表Hubeiuniversityoftechnology通過本小結(jié)的學(xué)習(xí)，您應(yīng)該掌握以下內(nèi)容：

識別IP訪問列表的主要作用和工作流程配置標(biāo)準(zhǔn)的IP訪問列表利用訪問列表控制虛擬會話的建立配置擴(kuò)展的IP訪問列表查看IP訪問列表訪問控制列表概述訪問表（accesslist）是一個有序的語句集，它通過匹配報文中信息與訪問表參數(shù)，來允許報文通過（permit）或拒絕（deny）報文通過某個接口。Hubeiuniversityoftechnology訪問控制列表概述訪問控制列表總的說起來有下面三個作用:安全控制

允許一些符合匹配規(guī)則的數(shù)據(jù)包通過訪問的同時而拒絕另一部分不符合匹配規(guī)則的數(shù)據(jù)包。流量過濾

防止一些不必要的數(shù)據(jù)包通過路由器，來提高網(wǎng)絡(luò)帶寬的利用率。數(shù)據(jù)流量標(biāo)識此功能是對公司有兩條或兩條以上的網(wǎng)絡(luò)鏈路時，訪問控制列表與路由策略等來實(shí)現(xiàn)分工，讓不同的數(shù)據(jù)包選擇不同的鏈路。HubeiuniversityoftechnologyACL工作原理及規(guī)則ACL語句有兩個組件：一個是條件，一個是操作。條件：條件基本上是一個組規(guī)則，定義了要在數(shù)據(jù)包內(nèi)容中查找什么來確定數(shù)據(jù)包是否匹配。

每條ACL語句中只可以列出一個條件，但是可以將ACL語句組合在一起形成一個列表或策略，語句使用標(biāo)號或名稱來分組。access-list1deny3access-list1permit55HubeiuniversityoftechnologyACL工作原理及規(guī)則操作：當(dāng)ACL語句條件與比較的數(shù)據(jù)包內(nèi)容匹配時，可以采取允許和拒絕兩個操作。ACL語句從上往下一次執(zhí)行，當(dāng)ACL語句找到一個匹配時，則不會再處理其他語句。每個ACL最后都有一條看不見的語句，稱為“隱式的拒絕”語句，這條語句的作用是丟棄數(shù)據(jù)包，如果一個數(shù)據(jù)包和列表中的每條語句都不匹配，則該數(shù)據(jù)包被丟棄。

access-list1deny3access-list1permit55(implicitdenyall)(access-list1deny55)Hubeiuniversityoftechnology出端口方向上的訪問列表ACL工作原理及規(guī)則入站ACL出端口方向上的訪問列表ACL工作原理及規(guī)則出站ACL訪問列表配置指南基本規(guī)則、準(zhǔn)則和限制ACL語句按名稱或編號分組；每條ACL語句都只有一組條件和操作，如果需要多個條件或多個行動，則必須生成多個ACL語句；如果一條語句的條件中沒有找到匹配，則處理列表中的下一條語句；如果在ACL組的一條語句中找到匹配，則不再處理后面的語句；如果處理了列表中的所有語句而沒有指定匹配，不可見到的隱式拒絕語句拒絕該數(shù)據(jù)包；由于在ACL語句組的最后隱式拒絕，所以至少要有一個允許操作，否則，所有數(shù)據(jù)包都會被拒絕；語句的順序很重要，約束性最強(qiáng)的語句應(yīng)該放在列表的頂部，約束性最弱的語句應(yīng)該放在列表的底部；Hubeiuniversityoftechnology訪問列表配置指南基本規(guī)則、準(zhǔn)則和限制一個空的ACL組允許所有數(shù)據(jù)包，空的ACL組已經(jīng)在路由器上被激活，但不包含語句的ACL，要使隱式拒絕語句起作用，則在ACL中至少要有一條允許或拒絕語句；只能在每個接口、每個協(xié)議、每個方向上應(yīng)用一個ACL；在數(shù)據(jù)包被路由到其它接口之前，處理入站ACL；在數(shù)據(jù)包被路由到接口之后，而在數(shù)據(jù)包離開接口之前，處理出站ACL；當(dāng)ACL應(yīng)用到一個接口時，這會影響通過接口的流量，但ACL不會過濾路由器本身產(chǎn)生的流量。Hubeiuniversityoftechnology訪問列表配置指南ACL放置在什么位置（課本256面圖10-8）只過濾數(shù)據(jù)包源地址的ACL應(yīng)該放置在離目的地盡可能近的地方；過濾數(shù)據(jù)包的源地址和目的地址以及其他信息的ACL，則應(yīng)該放在離源地址盡可能近的地方；只過濾數(shù)據(jù)包中的源地址的ACL有兩個局限性：即使ACL應(yīng)用到路由器C的E0，任何用戶A來的流量都將被禁止訪問該網(wǎng)段的任何資源，包括數(shù)據(jù)庫服務(wù)器。流量要經(jīng)過所有到達(dá)目的地的途徑，它在即將到達(dá)目的地時被丟棄，這是對帶寬的浪費(fèi)。HubeiuniversityoftechnologyACL的種類兩種基本的ACL：標(biāo)準(zhǔn)ACL和擴(kuò)展ACL標(biāo)準(zhǔn)IPACL只能過濾IP數(shù)據(jù)包頭中的源IP地址擴(kuò)展IPACL可以過濾源IP地址、目的IP地址、協(xié)議（TCP/IP）、協(xié)議信息（端口號、標(biāo)志代碼）等，Hubeiuniversityoftechnology標(biāo)準(zhǔn)ACL標(biāo)準(zhǔn)ACL只能過濾IP數(shù)據(jù)包頭中的源IP地址標(biāo)準(zhǔn)ACL通常用在路由器配置以下功能：

限制通過VTY線路對路由器的訪問（telnet、SSH）；限制通過HTTP或HTTPS對路由器的訪問；過濾路由更新。Hubeiuniversityoftechnology標(biāo)準(zhǔn)ACL通過兩種方式創(chuàng)建標(biāo)準(zhǔn)ACL：編號或名稱一、使用編號使用編號創(chuàng)建ACL在接口上應(yīng)用In：當(dāng)流量從網(wǎng)絡(luò)網(wǎng)段進(jìn)入路由器接口時Out：當(dāng)流量離開接口到網(wǎng)絡(luò)網(wǎng)段時Router(config)#access-list

listnumber{permit|deny}[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology標(biāo)準(zhǔn)ACL二、使用命名定義ACL名稱定義規(guī)則在接口上應(yīng)用Router(config)#ipaccess-liststandard

nameRouter(config-std-nacl)#deny|permit

[源地址IP][wildcard–mask]Router(config-if)#ipaccess-group{name}{in|out}Hubeiuniversityoftechnology擴(kuò)展訪問控制列表擴(kuò)展的IP訪問表用于擴(kuò)展報文過濾能力。一個擴(kuò)展的IP訪問表允許用戶根據(jù)如下內(nèi)容過濾報文：源和目的地址、協(xié)議、源和目的端口以及在特定報文字段中允許進(jìn)行特殊位比較的各種選項。Hubeiuniversityoftechnology擴(kuò)展訪問控制列表可以通過兩種方式為擴(kuò)展ACL語句分組：通過編號或名稱編號的擴(kuò)展ACL創(chuàng)建擴(kuò)展ACL接口上應(yīng)用Router(config)#access-list[listnumber

]{permit|deny}[協(xié)議][源IP地址][源地址子網(wǎng)掩碼][目的IP地址][目的IP地址子網(wǎng)掩碼][目的端口號]Router(config-if)#ipaccess-group{listnumber}{in|out}Hubeiuniversityoftechnology擴(kuò)展訪問控制列表命名的擴(kuò)展ACL定義擴(kuò)展ACL名稱定義規(guī)則在接口上應(yīng)用Router(config)#ip

acess-listextended

nameRouter(config-if)#ipaccess-group{name}{in|out}Router(conig-ext-nacl)#{permit|deny}[協(xié)議][源IP地址][源地址子網(wǎng)掩碼][目的IP地址][目的IP地址子網(wǎng)掩碼][目的端口號]Hubeiuniversityoftechnology配置標(biāo)準(zhǔn)ACL示例Hubeiuniversityoftechnology配置擴(kuò)展ACL示例Hubeiuniversity