15 元
下载资源

园区网的安全(路由器和交换机的配置)课件

上传人:陈** 文档编号:253078934 上传时间:2024-11-28 格式:PPT 页数:63 大小:2.02MB
返回 下载 相关 举报
园区网的安全(路由器和交换机的配置)课件_第1页
第1页 / 共63页
园区网的安全(路由器和交换机的配置)课件_第2页
第2页 / 共63页
园区网的安全(路由器和交换机的配置)课件_第3页
第3页 / 共63页
点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络设备管理与调试,项目8,园区网的安全,通过本章的学习,希望你能够:,(1)了解园区网的安全隐患,(2)掌握交换机端口安全原理及配置方法,(3)掌握ACL的工作原理及配置方法,教学目标,园区网的常见安全隐患,网络安全的隐患是指计算机或其他通信设备利用网络进行交互可能受到的窃听、攻击或破坏,它是指具有侵犯系统安全或危害系统资源的潜在的环境、条件或事件。,园区网络安全隐患包括的范围比较广、如自然自灾、意外事件、人为行为(如使用不当,安全意识等)、黑客行为、内部泄密、外部泄密、信息丢失、电子监听(信息流量分析、信息窃取等)和信息战等。,非为人或自然办造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。,人为但属于操作人员无意的失误造成的数据丢失或损坏。,来自园区网外部和内部人员的恶意攻击和破坏。,园区网安全解决方案的整体思路,制定一个严格的安全策略,可以通过交换机端口安全、配置访问控件列表,ACL,、在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。,宣传教育,模块1 交换机端口安全,8.1.1 教学目标,了解交换机端口在网络安全中的重要作用,掌握交换机端口安全功能配置方法,具体如下:,(1)认识交换机端口安全功能用途,(2)掌握交换机端口安全功能配置方法,. 工作任务,你是某公司的网络管理员,公司要求对网络进行严格控制。为了防止公司内部用户的,IP,地址冲突,防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的,IP,地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机。,8.1.3. 相关实践知识,公司网络接入交换机的所有端口配置最大连接数为,1,,并对公司每台主机连接的交换机端口进行,IP+MAC,地址绑定,模拟网络拓朴结构如图,8.1,所示。假设,PC1,的,IP,地址为,,,PC2,的,IP,地址为,,,PC3,的,IP,地址为,。,图8.1交换机端口安全功能配置,第1步:配置交换机端口的最大连接数限制,SwitchA#,configure,terminal,SwitchA(config)#,interface range fastethernet 0/1-23,SwitchA(config)#,switch mode access,SwitchA(config-if-range)#,switchport port-security,SwitchA(config-if-range)#,switchport port-security maximum 1,SwitchA(config-if-range)#,switchport port-security violation shutdown,SwitchA(config-if-range)#,end,SwitchA#,show,port-security,第2步:配置交换机端口的地址绑定,SwitchA#,configure,terminal,SwitchA(config)#,interface fastethernet 0/1,SwitchA(config-if)#,switchport port-security,SwitchA(config-if)#,switchport port-security mac-address 0006.1bde.13b4 ip,SwitchA(config-if)# no shutdown,SwitchA(config-if)#,end,SwitchA#,show,port-security address,. 相关理论知识,交换机端口安全,利用交换机的端口安全功能实现,防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如,MAC,地址攻击、,ARP,攻击、,IP/MAC,地址欺骗等。,交换机端口安全的基本功能,限制交换机端口的最大连接数,端口的安全地址绑定,交换机端口安全概述,交换机的端口安全机制是工作在交换机二层端口上的一个安全特性,只允许选定,MAC,地址的设备接入到网络中,从而防止用户将非法或未授权的设备接入网络。,限制端口接入的设备数量、防止用户将过多的设备接入到网络中。,配置端口安全存在以下限制,一个安全端口必须是一个,Access,端口,及连接终端设备的端口,而非,Trunk,端口。,一个安全端口不能是一个聚合端口(,Aggregate Port,)。,一个安全端口不能是,SPAN,的目的端口。,交换机端口安全概述,当配置完成端口安全之后,如果当违例产生时,可以设置下面几种针对违例的处理模式:,protect,:当安全地址个数满后,安全端口将丢弃未知名地址,(,不是该端口的安全地址中的任何一个,),的包,restrict,:当违例产生时,交换机不但丢弃接收到的帧(,MAC,地址不在安全地址表中),而且将发送一个,SNMP Trap,报文,shutdown,:当违例产生时,交换机将丢弃接收到的帧(,MAC,地址不在安全地址表中),发送一个,SNMP Trap,通知。,端口安全的配置,1、打开该接口的端口安全功能,Switch(conifg-if)#,switchportport-security,2、设置接口上安全地址的最大个数,Switch(conifg-if)#,switchport port-security maximun,number,3、配置处理违例的方式,Switch(conifg-if)#,switchport port-security violation,protect,|restrict|shutdown,案例1:,在交换机商品,fa0/3,上配置端口安全功能,设置最大地址个数为,8,,设置违例方式为,protect,。,Switch# configure terminal,Switch(config)# interface fastethernet 0/3,Switch(config-if)#,switchport mode access,Switch(config-if)#,switchport port-security,Switch(config-if)#,switchport port-security maximum 8,Switch(config-if)#,switchport port-security violation protect,Switch(config-if)# end,配置安全端口上的安全地址,配置安全端口上的安全地址,Switch(conifg-if)#,switchportport-security mac-address,mac-address,ip address,ip address,当端口由于违例操作而进入“,err-disabled”,状态后,必须在全局模式下使用命令手工将其恢复为,UP,状态,Switch(conifg-if)#,errdisable recovery,设置端口从“,err-disabled”,状态自动恢复所等待的时间,Switch(conifg-if)#,errdisable recovery interval,time,配置安全地址的老化时间,Switch(conifg-if)#,switchportport-security aging static|time,time,关闭一个接口的安全地址老化功能(老化时间为,0,),Switch(conifg-if)#,no switchport port-security aging time,使老化时间仅应用于动态学习到的安全地址,Switch(conifg-if)#,no switchport port-security aging,static,案例2:,在交换机端口,fastethernet 0/3,上配置一个安全地址:,,并为其绑定一个,IP,地址:,。,Switch# configure terminal,Switch(config)# interface fastethernet 0/3,Switch(config-if)#,switchport mode access,Switch(config-if)#,switchport port-security,Switch(config-if)#,Switch(config-if)# end,查看端口安全信息,显示所有接口的安全设置状态,违例处理等信息,Switch#,show port-security interface,interface-id,来查看安全地址信息,显示安全地址及老化时间,Switch#,show port-security address,显示所有安全端口的统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等。,Switch#,show port-security,查看配置信息,查看所有接口的安全统计信息,包括最大安全地址数,当前安全地址数以及违例处理方式等。,Switch#,show port-security,查看安全地址信息,Switch#,show port-security address,模块2 IP访问控制列表,8.2.1 教学目标,(1)了解IP标准访问控制列表的功能及用途,(2)掌握路由器IP标准访问控制列表配置技能,(3)掌握交换机IP标准访问控制列表配置技能,. 工作任务,你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的,3,个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。,8.2.3. 相关实践知识,首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器,RouterB,配置,IP,标准访问控制列表,允许,网段(校办企业财务科)主机发出的数据包通过,不允许,网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器,RouterB,的,Fa 0,端口,如图,8.2,所示。,图8.2路由器IP标准访问控制列表,第1步:基本配置,路由器RouterA:,R enable,R #configure terminal,R(config)#hostname RouterA,RouterA (config)# line vty 0 4,RouterA (config-line)#login,RouterA (config-line)#password 100,RouterA (config-line)#exit,RouterA (config)# enable password 100,RouterA (config)#interface fastethernet 0,RouterA (config-if)#ip,RouterA (config-if)#no shutdown,RouterA (config-if)#Exit,RouterA (config)#interface fastethernet 1,RouterA (config-if)#ip,RouterA (config-if)#no shutdown,RouterA (config-if)#Exit,RouterA (config)#interface fastethernet 2,RouterA (config-if)#ip,RouterA (config-if)#no shutdown,RouterA (config-if)#Exit,RouterA (config)#ip,路由器RouterB同理配置,第2步:在路由器RouterB上配置IP标准访问控制列表,RouterB (config)#,access,RouterB (config)#,access,验证测试,RouterB #show access-list 1,第3步:应用在路由器RouterB的Fa 0接口输出方向上,RouterB (config)#interface fastethernet 0,RouterB (config-if)#ip access-group 1 out,验证测试,RouterB #show ip interface fastethernet 0,8.2.4. 相关理论知识,访问控制列表概述,访问表(,ACL,)是一个有序的语句集,它通过匹配报文中信息与访问表参数,来允许报文通过或拒绝报文通过某个接口。,为什么要使用访问列表,访问列表,访问控制表的作用,内网布置安全策略,保证内网安全权限的资源访问,内网访问外网时,进行安全的数据过滤,防止常见病毒、木马、攻击对用户的破坏,ACL工作原理及步骤,ACL,语句有两个组件:一个是条件,一个是操作,条件:条件基本上是一个组规则,操作:当,ACL,语句条件与比较的数据包内容匹配时,可以采取允许和拒绝两个操作。,定义访问列表的步骤,第一步:定义规则(那些数据允许通过,哪些数据不允许通过),第二步:将规则应用在路由器(或交换机)的接口上。,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制,1,、入,栈应用(,in,),经某接口进入设备内部的数据包进行安全规则过滤,2,、出,栈应用,设备从某接口向外发送数据时进行安全规则过滤,一个接口在一个方向只能应用一组访问控制列表,访问列表的入栈应用,访问列表的出栈应用,图8.2以ICMP信息通知源发送方,IP ACL的基本规则,一切未被允许的就是禁止的,定义访问控制列表规则时,最终的缺省规则是拒绝所有数据包通过,按规则链来进行匹配,使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配,规则匹配原则,从头到尾,至顶向下的匹配方式,匹配成功马上停止,立刻使用该规则的“允许,/,拒绝”,IP 访问列表配置注意事项,一个端口在一个方向上只能应用一组,ACL,锐捷全系列交换机可针对物理接口和,SVI,接口应用,ACL,针对物理接口,只能配置入栈应用(,IN,),针对,SVI,(虚拟,VLAN,)接口,可以配置入栈(,IN,)和现出栈(,Out,)应用,访问列表的缺省规则:拒绝所有,ACL的种类,两种基本的,ACL,:标准,ACL,和扩展,ACL,标准,IP ACL,只能过滤,IP,数据包头中的源,IP,地址,扩展,IP ACL,可以过滤源,IP,地址、目的,IP,地址、协议(,TCP/IP,)、协议信息(端口号、标志代码)等。,标准ACL,标准,ACL,只能过滤,IP,数据包头中的源,IP,地址,标准,ACL,通常用在路由器配置以下功能:,限制通过,VTY,线路对路由器的访问(,telnet,、,SSH,),限制通过,HTTP,或,HTTPS,对路由器的访问,过滤路由更新,标准ACL,通过两种方式创建标准ACL:编号或名称,1、使用编号创建ACL,Route(config)#,access-list, ,permit,|,deny, address wildcard-mask,2、在接口上应用,Route(config-if)#,ip access-group,id|name,in,|,out,标准ACL(使用命名),定义ACL名称,Route(config)#,ip access-list standard name,定义规则,Route(config-std-nacl)#,deny,|,permit,source wildcard|any,在接口上应用,Route(configif)#,ip access-group,id|name ,in|out,IP标准访问列表配置实例(一),禁止网段用户访问网段,配置:,(access-list 1 deng any),Interface s1/2,Ip access-group 1 out,IP标准访问列表配置实例(二),需求:,你是某校园网管,领导要你对网络数据流量进行控制,要求校长可以访问账务的主机,但老师机不可以访问,配置:,ip access-list standard abc,IP标准访问列表配置实例(三),以下图的结构为例,介绍标准,ACL,的使用,实例,1,:,E0,端口只允许来自于网络,的数据报被转发,其余的将被阻止。,实例,2,:,E0,端口不允许来自特定地址,的数据流,其它的数据流将被转发。,实例,3,:,E0,端口不允许来自于特定子网,的数据,而转发其它的数据。,实例1:只允许指定的网络数据,实例,1,:,E0,端口只允许来自于网络,的数据报被转发,其余的将被阻止。,Interface e0,Ip access-group 1 out,实例2:禁止来自特定地址的数据,实例,2,:,E0,端口不允许来自特定地址,的数据流,其它的数据流将被转发。,Interface ethernet 0,Ip access-group 1 out,实例3:禁止来自特定子网的数据,E0,端口不允许来自于特定子网,的数据,而转发其它的数据。,access-list 1 permit any,Int ethernet 0,Ip access-group 1 out,any命令,使用二进制通配掩码很不方便,某些通配掩码可以使用给写形式替代。这些缩写形式,减少了在配置地址检查条件时候的键入量。,假如想允许任何目标地址都被允许,为了检查任何地址,需要输入,。要使,ACL,忽略任意值,通配掩码为,。可以使用缩写形式,来指定相同的测试条件,等价于,Route(config)# access-list 1 permit any,host命令,当想匹配,IP,地址中所有的位时,,Cisco IOS,允许使用另一个,ACL,通配掩码的缩写。,假如希望一个特定的,IP,地址,在,ACL,的检查中获得允许。为了指明这个主机地址,将输入整个地址(如,)。然后,为了指明,ACL,将检查地址中的所有的位,相应的通配掩码的各位将设置成,0,(即,)。可以使用综合形式来完成这个 任务,等价于,扩展访问控制列表,扩展的,IP,访问表用于扩展报文过滤能力。一个扩展的,IP,访问表允许用户根据如下内容过滤报文:源和目的地址、协议、源和目的端口以及在特定报文字段中允许进行特殊位比较的各种选项。,扩展访问控制列表,可以通过两种方式为扩展,ACL,语句分组:通过编号或名称,创建扩展,ACL,Route(config)#,access-list, ,permit,|,deny, protocol,source,source-wildcard-mask,destination,destination-widcard-mask,operator,operand,Route(config-if),ip access-group,id | name ,in,|,out,接口上应用,扩展访问控制列表,定义扩展ACL名称,Route(config)#,ip access-list extended name,Route(config-if),ip access-group,id | name ,in,|,out,接口上应用,定义规则,Route(config-ex-nacl)# ,deny,|,permit, protocol source source-wildcard |,host,source |,any, ,operator,port ,IP扩展访问列表配置实例(一),如何创建一条扩展,ACL,有一条,ACL,,用于允许指定网络(,)的所有主机以,HTTP,访问服务器,,但拒绝其它所有主机使用网络,Route(config)#,access-list 103 permit tcp 192.168.0.0 0.0.255.255 host 172.168.12.3 eq www,Route#,show access-list 103,IP扩展访问列表配置实例(二),利用ACL隔离冲击波病毒,access-list 115 deny udp any any eq 69,access-list 115 deny tcp any any eq 135,access-list 115 deny udp any any eq 135,access-list 115 deny udp any any eq 137,access-list 115 deny udp any any eq 138,access-list 115 deny tcp any any eq 139,access-list 115 deny tcp any any eq 445,access-list 115 deny tcp any any eq 593,access-list 115 deny tcp any any eq 4444,access-list 115 permit ip any any,interface ,ip access-group 115 in,ip access-group 115 out,IP扩展访问列表配置实例(二),以下图的结构为例,介绍扩展,ACL,的使用,实例,1,:在,E0,端口,禁止转出来自,子网的,FTP,数据流到,子网,其它的数据流将被转发。,实例,2,:在,E0,端口,禁止转出来自,子网的,Telnet,数据流,其它的数据流将被转发。,实例1:禁止转出FTP数据,在,E0,端口,禁止转出来自,子网的,FTP,数据流到,子网,其它的数据流将被转发。,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21,第一个ACL命令用“deny”禁止来自子网的FTP-DATA数据流到,access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21,第二个ACL命令用“deny”禁止来自子网的FTP数据流到,access-list 101 permit ip any any,interface ethernet 0,ip access-group 101 out,实例2:禁止转出Telnet数据,在,E0,端口,禁止转出来自,子网的,Telnet,数据流,其它的数据流将被转发。,access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23,第一个ACL命令用“deny”禁止来自子网的Telnet数据流,access-list 101 permit ip any any,第二个ACL命令表示允许任何的数据流,interface ethernet 0,最后将ACL 101 关联到端口E0,ip access-group 101 out,Route(config)#interface fa0/1,Route(config-if)#ip access-group 1 out,Route(config)#ip access-list standard permit_network,Route(config-std-nacl)#exit,Route(config)#interface fa0/1,Route(config-if)#ip access-group permit_network out,示例,Route(config)#access-list 100 permit tcp any host 200.1.1.1 eq ftp,Route(config)#access-list 100 permit tcp any host 200.1.1.1 eq ftp-data,Route(config)#access-list 100 permit tcp any host 200.1.1.1 eq www,Route(config)#access-list 100 permit tcp any host 200.1.1.1 eq smtp,Route(config)#access-list 100 permit tcp any host 200.1.1.1 eq pop3,Route(config)#access-list 100 permit udp any host 200.1.1.1 eq 53,Route(config)#interface fa0/1,Route(config)#ip access-group 100 in,验证ACL配置,显示所有协议的所有ACL,Route#,show accesss-list,查看接口应用的ACL情况,Route# show ip access-group,ACL的放置,ACL,可以用于控制数据流,消除不需要的数据流,依赖于,ACL,旋转的位置,可以减少不必要的数据流。如在远离目的端,禁止某些数据流,可以减少使用到达目的端的网络资源。,ACL,放置的规则是:尽量将扩展,ACL,放置在靠近被拒绝的数据源。标准,ACL,不能指定目标地址,所以需要把标准,ACL,旋转在尽量靠近目标的地方,总结,园区网的安全隐患有很多种,有人为的,也有非人为的,也有来自园区网外部和内部人员的恶意攻击和破坏。,可以通过交换机端口安全、配置访问控制列表,ACL,,在防火墙实现包过滤等技术来实现一套可行的园区网安全解决方案。,访问控制列表包括标准的访问控制列表和扩展的访问控制列表,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > PPT模板库


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!