RCNA09　园区网安全设计

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第,9,章 园区网的安全设计,锐捷认证网络工程师,RCNA,本章内容,网络安全隐患,交换机端口安全,IP,访问列表,课程议题,网络安全隐患,交换机端口安全,IP,访问列表,复杂程度,Internet,技术的飞速增长,Internet Email,Web,浏览,Intranet,站点,电子商务 电子政务,电子交易,时间,网络安全风险,安全需求和实际操作脱离,内部的安全隐患,动态的网络环境,有限的防御策略,安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,通讯,&,服务层,TCP/IP,IPX,X.25,Ethernet,FDDI,Router Configurations,Hubs/Switches,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,调制解调器,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,针对操作系统的攻击,操作系统,UNIX,Windows,Linux,Freebsd,Macintosh,Novell,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,针对应用服务的攻击,应用服务程序,Web,服务器,数据库系统,内部办公系统,网络浏览器,ERP,系统,办公文件程序,FTP SMTP POP3,SAP R/3,Oracle,DMZ,E-Mail File Transfer,HTTP,Intranet,企业网络,生产部,工程部,市场部,人事部,路由,Internet,中继,外部个体,外部,/,组织,内部个体,内部,/,组织,额外的不安全因素,网络的普及使学习网络进攻变得容易,全球超过,26,万个黑客站点提供系统漏洞和攻击知识,越来越多的容易使用的攻击软件的出现,第一代,引导性病毒,第二代,宏病毒,DOS,电子邮件,有限的黑客攻击,第三代,网络,DOS,攻击,混合威胁（蠕虫,+,病毒,+,特洛伊）,广泛的系统黑客攻击,下一代,网络基础设施黑客攻击,瞬间威胁,大规模蠕虫,DDoS,破坏有效负载的病毒和蠕虫,波及全球的网络基础架构,地区网络,多个网络,单个网络,单台计算机,周,天,分钟,秒,影响的目标和范围,1980s,1990s,今天,未来,安全事件对我们的,威胁,越来越快,网络安全的演化,现有网络安全,防御体制,IDS,68%,杀毒软件,99%,防火墙,98%,ACL,71%,现有网络安全体制,VPN,虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,网络安全隐患,交换机端口安全,IP,访问列表,交换机端口安全,利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如,MAC,地址攻击、,ARP,攻击、,IP/MAC,地址欺骗等。,交换机端口安全的基本功能,限制交换机端口的最大连接数,端口的安全地址绑定,交换机端口安全,如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后,;,如果该端口收到一个源地址不属于端口上的安全地址的包时，,一个安全违例将产生。,当安全违例产生时，你可以选择多种方式来处理违例：,Protect,：,当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。,RestrictTrap,：,当违例产生时，将发送一个,Trap,通知。,Shutdown,：,当违例产生时，将关闭端口并发送一个,Trap,通知。,配置安全端口,端口安全最大连接数配置,switchport,port-security,打开该接口的端口安全功能,switchport,port-security maximum,value,设置接口上安全地址的最大个数，范围是,1,128,，缺省值为,128,。,switchport,port-security violation,protect,|,restrict,|,shutdown,设置处理违例的方式,注：,1,、端口安全功能只能在,access,端口上进行配置。,2,、当端口因为违例而被关闭后，在全局配置模式下使,用命令,errdisable,recovery,来将接口从错误状态,中恢复过来。,配置安全端口,端口的安全地址绑定,switchport,port-security,打开该接口的端口安全功能,switchport,port-security,mac,-address,mac,-address,ip,-address,ip,-address,手工配置接口上的安全地址。,注：,1,、端口安全功能只能在,access,端口上进行配置。,2,、端口的安全地址绑定方式有,:,单,MAC,、单,IP,、,MAC+IP,端口安全配置示例,下面的例子是配置接口,gigabitethernet1/3,上的端口安全功能，设置最大地址个数为,8,，设置违例方式为,protect,。,Switch#configure terminal,Switch(config,)#interface,gigabitethernet,1/3,Switch(config,-if)#,switchport,mode access,Switch(config,-if)#,switchport,port-security,Switch(config,-if)#,switchport,port-security maximum 8,Switch(config,-if)#,switchport,port-security violation protect,Switch(config,-if)#end,端口安全配置示例,下面的例子是配置接口,fastethernet0/3,上的端口安全功能，配置端口绑定地址，主机,MAC,为,00d0.f800.073c,，,IP,为,192.168.12.202,Switch#configure terminal,Switch(config,)#interface,fastethernet,0/3,Switch(config,-if)#,switchport,mode access,Switch(config,-if)#,switchport,port-security,Switch(config,-if)#,switchport,port-security,mac,-address 00d0.f800.073c,ip,-address 192.168.12.202,Switch(config,-if)#end,验证命令,查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等。,Switch#show,port-security,Secure Port,MaxSecureAddr,（,count,）,CurrentAddr,（,count,）,Security Action,-,Gi1/3 8 1 Protect,验证命令,查看安全地址信息。,Switch#,show port-security address,Vlan,Mac Address IP Address Type Port Remaining,Age(mins,),-,1 00d0.f800.073c 192.168.12.202 Configured Fa0/3 8 1,课程议题,网络安全隐患,交换机端口安全,IP,访问列表,ISP,什么是访问列表,IP Access-list,：,IP,访问列表或访问控制列表，简称,IP ACL,IP ACL,就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。,为什么要使用访问列表,网络安全性,可以是路由器或三层交换机或防火墙,接入层交换机,RG-S2126,核心交换机,RG-S3512G/RG-S4009,服务器群,路由器,RG-NBR1000,Internet,交换机堆叠,接入层交换机,RG-S2126,不同部门所属,VLAN,不同,1,2,2,2,1,1,1,2,技术部,VLAN20,财务部,VLAN10,隔离病毒源,隔离外网病毒,WWW,EMAIL,FTP,为什么要使用访问列表,访问列表的组成,定义访问列表的步骤,第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）,第二步，将规则应用在路由器（或交换机）的接口上,访问控制列表的分类：,1,、标准访问控制列表,2,、扩展访问控制列表,访问控制列表规则元素,源,IP,、目的,IP,、源端口、目的端口、协议,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制,1.,入栈应用（,in,）,2.,出栈应用（,out,）,访问列表的入栈应用,N,Y,是否允许,?,Y,是否应用访问列表,?,N,查找路由表,进行选路转发,以,ICMP,信息通知源发送方,以,ICMP,信息通知源发送方,N,Y,选择出口,S0,路由表中是否存在记录,?,N,Y,查看访问列表的陈述,是否允许,?,Y,是否应用访问列表,?,N,S0,S0,访问列表的出栈应用,IP ACL,的基本准则,一切未被允许的就是禁止的。,路由器或三层交换机缺省允许所有的信息流通过,;,而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。,按规则链来进行匹配,使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配,从头到尾，至顶向下的匹配方式,匹配成功马上停止,立刻使用该规则的“允许、拒绝,”,Y,拒绝,Y,是否匹配测试条件,1,?,允许,N,拒绝,允许,是否匹配测试条件,2,?,拒绝,是否匹配最后一个测试条件,?,Y,Y,N,Y,Y,允许,被系统隐含拒绝,N,一个访问列表多个测试条件,访问列表规则的定义,标准访问列表,根据数据包源,IP,地址进行规则定义,扩展访问列表,根据数据包中源,IP,、目的,IP,、源端口、目的端口、协议进行规则定义,源地址,TCP/UDP,数据,IP,eg.HDLC,1-99,号列表,IP,标准访问列表,目的地址,源地址,协议,端口号,100-199,号列表,TCP/UDP,数据,IP,eg.HDLC,IP,扩展访问列表,0,表示检查相应的地址比特,1,表示不检查相应的地址比特,0,0,1,1,1,1,1,1,128,64,32,16,8,4,2,1,0,0,0,0,0,0,0,0,0,0,0,0,1,1,1,1,1,1,1,1,1,1,0,0,1,1,1,1,1,1,1,1,反掩码（通配符）,IP,标准访问列表的配置,1.,定义标准,ACL,编号的标准访问列表,Router(config)#access,-list ,permit|deny,源地址,反掩码,命名的标准访问列表,ip,access-list standard name,deny,source source-,wildcard|host,source|any,or permit source source-,wildcard|host,source|any,2.,应用,ACL,到接口,Router(config-if)#ip,access-group|name in|out,access-list 1 permit 172.16.3.0,0.0.0.255,(access-list 1 deny 0.0.0.0 255.255.255.255),interface serial 0,ip,access-group 1 out,172.16.3.0,172.16.4.0,F0,S0,F1,172.17.0.0,IP,标准访问列表配置实例,IP,扩展访问列表的配置,1.,定义扩展的,ACL,编号的扩展,ACL,Router(config)#access,-list permi