項(xiàng)目五 網(wǎng)絡(luò)安全配置與管理

《網(wǎng)絡(luò)設(shè)備配置與管理項(xiàng)目教程》高等職業(yè)技術(shù)教育計(jì)算機(jī)相關(guān)專業(yè)目錄項(xiàng)目五網(wǎng)絡(luò)安全配置與管理任務(wù)一交換機(jī)端口接入安全配置標(biāo)準(zhǔn)ACL配置擴(kuò)展ACL配置任務(wù)一任務(wù)二教學(xué)目標(biāo)、知識(shí)點(diǎn)：1．了解交換機(jī)端口安全功能。2．掌握交換機(jī)端口安全的配置方法。3．了解標(biāo)準(zhǔn)訪問控制列表ACL、擴(kuò)展訪問控制列表ACL。項(xiàng)目五網(wǎng)絡(luò)安全配置與管理任務(wù)一交換機(jī)端口接入安全配置5.1任務(wù)陳述5.1知識(shí)點(diǎn)5.1.1交換機(jī)安全端口概述5.1.2安全端口地址綁定5.2任務(wù)實(shí)施任務(wù)一交換機(jī)端口接入安全配置5.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴(kuò)大，公司網(wǎng)絡(luò)的子網(wǎng)數(shù)量也在增加，公司網(wǎng)絡(luò)的安全性與可靠性越來越重要，公司領(lǐng)導(dǎo)安排小李把公司的網(wǎng)絡(luò)進(jìn)行優(yōu)化，對接入終端要進(jìn)行相應(yīng)的端口安全管理與配置，同時(shí)也要滿足不同用戶的訪問需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實(shí)施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應(yīng)配置呢？5.1知識(shí)點(diǎn)5.1.1交換機(jī)安全端口概述交換機(jī)的端口是連接網(wǎng)絡(luò)終端設(shè)備的重要關(guān)口，加強(qiáng)交換機(jī)的端口安全是提高整個(gè)網(wǎng)絡(luò)安全的關(guān)鍵，默認(rèn)情況下，交換機(jī)的所有端口都是完全開放的，不提供任何安全檢查措施，允許所有的數(shù)據(jù)流通過，因此，交換機(jī)安全端口技術(shù)是網(wǎng)絡(luò)安全防范中常用的接入安全技術(shù)之一，為保護(hù)網(wǎng)絡(luò)內(nèi)的用戶安全，對交換機(jī)的端口增加安全訪問功能，可以有效保護(hù)網(wǎng)絡(luò)安全，通常交換機(jī)的端口安全保護(hù)是工作在交換機(jī)二層端口上的安全特性。5.1.2安全端口地址綁定在網(wǎng)絡(luò)中的不安全因素非常多，大部分網(wǎng)絡(luò)攻擊都采用欺騙源IP地址或源MAC地址的方法，對網(wǎng)絡(luò)核心設(shè)備進(jìn)行連續(xù)數(shù)據(jù)包的攻擊，從而消耗網(wǎng)絡(luò)核心設(shè)備的資源，常見的的有MAC地址攻擊、RP攻擊、DHCP攻擊等，這些針對交換機(jī)端口產(chǎn)生的攻擊行為，可以啟用交換機(jī)端口的安全功能來進(jìn)行防范，為了避免這些攻擊，可以采取如下措施。1.交換機(jī)安全端口地址綁定端口安全功能通過報(bào)文的源MAC地址或者源MAC+源IP或者僅源IP來限定報(bào)文是否可以進(jìn)入交換機(jī)的端口，您可以靜態(tài)設(shè)置特定的MAC地址，靜態(tài)IP+MAC綁定或者僅IP綁定，或者動(dòng)態(tài)學(xué)習(xí)限定個(gè)數(shù)的MAC地址來控制報(bào)文是否可以進(jìn)入端口，使能端口安全功能的端口稱為安全端口。只有源MAC地址為端口安全地址表中配置或者配置綁定的IP+MAC地址，或者配置的僅IP綁定地址，或者學(xué)習(xí)到的MAC地址的報(bào)文才可以進(jìn)入交換機(jī)通信，其他報(bào)文將被丟棄，如圖5.1所示。5.1.2安全端口地址綁定2.安全端口連接個(gè)數(shù)交換機(jī)的端口安全功能還表現(xiàn)在可以限制一個(gè)端口上連接安全地址的連接個(gè)數(shù)，如果一個(gè)端口被配置為安全端口，并且配置有最大連接數(shù)量，則當(dāng)連接的安全地址的數(shù)目達(dá)到允許的最大個(gè)數(shù)時(shí)，或者該端口收到一個(gè)源地址不屬于該端口的安全地址時(shí)，交換機(jī)就將產(chǎn)生一個(gè)安全違例通知，交換機(jī)將會(huì)按照事先定義的違例處理方式進(jìn)行操作。安全端口設(shè)置最大連接數(shù)是為了防止過多的用戶接入網(wǎng)絡(luò)，如果將交換機(jī)上某個(gè)端口只配置一個(gè)安全地址，則連接到這個(gè)端口的計(jì)算機(jī)將獨(dú)享該端口的全部帶寬。3.安全端口違例處理方式當(dāng)產(chǎn)生安全違例時(shí)，可以選擇多種方式來處理違例，針對不同的網(wǎng)絡(luò)安全需要，采用不同的安全違例處理模式，相關(guān)的含義，如表5.1所示。5.1.2安全端口地址綁定5.2任務(wù)實(shí)施在網(wǎng)絡(luò)中MAC地址是設(shè)備中不變的物理地址，控制了MAC地址接入就控制了交換機(jī)的端口接入，所以，端口安全也就是MAC地址的安全。在交換機(jī)中，內(nèi)容可尋址內(nèi)存（ContentAddressableMemory，CAM）表又叫MAC地址表，其中記錄了與交換機(jī)相連的設(shè)備的MAC地址、端口號(hào)、所屬VLAN等對應(yīng)關(guān)系。配置交換機(jī)安全端口，交換機(jī)SW2連接主機(jī)PC1和主機(jī)PC2，交換機(jī)SW3連接主機(jī)PC3和主機(jī)PC4，其端口連接狀態(tài)如圖5.2所示。任務(wù)二訪問控制列表ACL配置5.1任務(wù)陳述5.1知識(shí)點(diǎn)5.1.1訪問控制列表ACL概述5.1.2標(biāo)準(zhǔn)訪問控制列表ACL5.1.3擴(kuò)展訪問控制列表ACL5.2任務(wù)實(shí)施5.2.1配置標(biāo)準(zhǔn)訪問控制列表ACL5.2.2配置擴(kuò)展訪問控制列表ACL任務(wù)二訪問控制列表ACL配置5.1任務(wù)陳述小李是公司的網(wǎng)絡(luò)工程師，隨著公司規(guī)模的不斷擴(kuò)大，公司網(wǎng)絡(luò)的安全性與可靠性越來越重要，公司領(lǐng)導(dǎo)安排小李把公司的網(wǎng)絡(luò)進(jìn)行優(yōu)化，針對不同部門的業(yè)務(wù)流量，制定相應(yīng)訪問策略，同時(shí)也要滿足不同用戶的訪問需求。小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡(luò)實(shí)施方案，那么他將如何完成網(wǎng)絡(luò)設(shè)備的相應(yīng)配置呢？5.1知識(shí)點(diǎn)5.1.1訪問控制列表ACL概述訪問控制列表ACL（AccessControlList）是由一條或多條規(guī)則組成的集合，所謂規(guī)則，是指描述報(bào)文匹配條件的判斷語句，這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)等，ACL本質(zhì)上是一種報(bào)文過濾器，規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報(bào)文通過。訪問控制列表ACL是一種基于包過濾的訪問控制技術(shù)，它可以根據(jù)設(shè)定的條件對接口上的數(shù)據(jù)包進(jìn)行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應(yīng)用于路由器和三層交換機(jī)，借助于訪問控制列表，可以有效地控制用戶對網(wǎng)絡(luò)的訪問，用來告訴路由器哪些數(shù)據(jù)可以接收，哪些數(shù)據(jù)是需要被拒絕并丟棄，從而最大程度地保障網(wǎng)絡(luò)安全。ACL的定義是基于協(xié)議的，它適用于所有的路由協(xié)議，如IP、IPX等。它在路由器上讀取數(shù)據(jù)包頭中的信息，如源地址、目的地址、使用的協(xié)議、源端口、目的端口等，并根據(jù)預(yù)先定義好的規(guī)則對包進(jìn)行過濾，從而達(dá)到對網(wǎng)絡(luò)訪問的精確、靈活控制。5.1.1訪問控制列表ACL概述訪問控制列表由一系列包過濾規(guī)則組成，每條規(guī)則明確地定義對指定類型的數(shù)據(jù)進(jìn)行的操作（允許、拒絕等），訪問控制列表可關(guān)聯(lián)作用于三層接口、VLAN，并且具有方向性。當(dāng)設(shè)備收到一個(gè)需要進(jìn)行訪問控制列表處理的數(shù)據(jù)分組時(shí)，會(huì)按照訪問控制列表的列表項(xiàng)自頂向下進(jìn)行順序處理。一旦找到匹配項(xiàng)，列表中的后續(xù)語句就不再處理，如果列表中沒有匹配項(xiàng)，則此分組將會(huì)被丟棄。ACL可以應(yīng)用于諸多業(yè)務(wù)模塊，其中最基本的ACL應(yīng)用，就是在簡化流策略/流策略中應(yīng)用ACL，使設(shè)備能夠基于全局、VLAN或接口下發(fā)ACL，實(shí)現(xiàn)對轉(zhuǎn)發(fā)報(bào)文的過濾。此外，ACL還可以應(yīng)用在Telnet、FTP、路由等模塊。1.匹配過程路由器接口的訪問控制取決于應(yīng)用在其上的ACL。數(shù)據(jù)在進(jìn)（出）網(wǎng)絡(luò)前，路由器會(huì)根據(jù)ACL對其進(jìn)行匹配，匹配成功將對數(shù)據(jù)進(jìn)行過濾或轉(zhuǎn)發(fā)，匹配失敗則丟棄數(shù)據(jù)。ACL實(shí)質(zhì)上是一系列帶有自上而下邏輯順序的判斷語句。當(dāng)數(shù)據(jù)到達(dá)路由器接口時(shí)，ACL首先將數(shù)據(jù)與第1條語句進(jìn)行比較，如果條件符合將直接進(jìn)入控制策略，后面的語句將被忽略不再檢查；如果與第一條語句條件不符合，則將數(shù)據(jù)交給第2條語句進(jìn)行比較，符合條件將直接進(jìn)入控制策略，不符合條件則繼續(xù)交給下一條語句。以此類推,如果數(shù)據(jù)到達(dá)最后一條語句仍然不匹配，即所有判斷語句條件都不符合，則拒絕并丟棄該數(shù)據(jù),如圖5.4所示。5.1.1訪問控制列表ACL概述1.匹配過程5.1.1訪問控制列表ACL概述5.2任務(wù)實(shí)施5.2.1配置標(biāo)準(zhǔn)訪問控制列表ACL（1）配置標(biāo)準(zhǔn)ACL，相關(guān)端口與IP地址配置如圖5.7所示，進(jìn)行網(wǎng)絡(luò)拓?fù)溥B接。配置網(wǎng)段中的主機(jī)，只允許訪問FTP服務(wù)器，不可以訪問Web服務(wù)器；配置網(wǎng)段中的主機(jī)，既可以訪問FTP服務(wù)器，也可以訪問Web服務(wù)器；全網(wǎng)使