网络工程设计与系统集成(3)第8章

网络工程设计与系统集成杨威

人民邮电出版社

（第3版）NetworkEngineeringDesignandSystemIntegration（3ndEdition）“十二五”普通高等教育本科国家级规划教材

普通高等教育“十一五”国家级规划教材

1山西师范大学网络信息中心问题思考你的电脑安全？

电脑访问Internet时，受到安全威胁怎么办？如何解决防御病毒、黑客攻击？

学习目标：（1）了解网络安全面临的问题，解决问题的技术与方法。识别802.1x+Radius及其他的网络准入/准出控制技术的差异，熟悉防止IP地址盗用方法。能够按照网络准入/准出控制需求，设计网络准入/准出控制技术方案。（2）熟悉WindowsServer2008的安全功能，会安装与配置WindowsServer2008操作系统的安全机制。理解IIS的安全机制，熟悉Web服务器安全设置方法，能够充分运用WindowsServer2008的安全机制，设置Web服务器的安全机制。（3）识别防火墙、路由器在网络边界安全中的作用，理解建立网络DMZ的方法。会使用路由器的标准、扩展访问控制列表，建立网络边界安全规则及保护内网服务器的安全。能够根据中小型网络安全的需求，设计中小型网络安全技术方案。第8章网络安全技术与应用本章重点：802.1x协议及工作机制常用的网络安全技术措施防止IP地址盗用，网络防病毒技术使用路由器+防火墙保护网络边界扩展访问列表与应用,NAT协议保护内网的安全WindowsServer2008操作系统安全加固技术，Web服务器安全设置技术本章难点：使用路由器+防火墙保护网络边界扩展访问列表与应用第8章网络安全技术与应用网络安全概述网络准入与准出控制操作系统安全设置Web网站安全设置保护网络边界安全第8章网络安全技术与应用源码类目标码类一对一攻击兑变式攻击非法权限类蠕虫类(侵占资源)传染类操作系统类文件类攻击手段一对一攻击兑变式攻击蠕虫类(侵占资源)源码类操作系统类文件类传染类目标码类系统欺骗拒绝服务入侵特洛伊木马窃取非法权限类系统欺骗特洛伊木马拒绝服务入侵窃取8.1.1网络安全威胁

非法权限类特洛伊木马系统欺骗拒绝服务入侵窃取

一种未经授权的程序，或在合法程序中有一段未经授权的程序代码，或在合法程序中包含有一段用户不了解的程序功能。上述程序对用户来说具有恶意的行为。PKZIP300特洛伊木马非法权限类信息窃取类逻辑炸弹类陷阱入口类功能欺骗类木马病毒有可能洗劫用户网上银行存款、造成网络游戏玩家装备丢失、被黑客利用执行不法行为等。如今，针对以上各种现象的危害越来越多，木马病毒已成为威胁数字娱乐的大敌根据木马病毒的特点与其危害范围来讲，木马病毒又分为以下五大类别：针对网游的木马病毒、针对网上银行的木马病毒、针对即时通讯工具的木马病毒、给计算机开后门的木马病毒、推广广告的木马病毒。木马程序网站挂马从“挂马”这个词中可以知道，这和木马脱离不了关系。挂马就是黑客入侵了一些网站后，将自己编写的网页木马嵌入被黑网站的主页中，利用被黑网站的流量将自己的网页木马传播开去，以达到自己不可告人的目的。挂马使用的木马大致可以分为两类。一类是以远程控制为目的的木马，黑客使用这种木马进行挂马攻击，其目的是对某些网站实施拒绝服务攻击或达到其他目的。另一类是键盘记录木马，通常称其为盗号木马，这类木马用于盗取用户的游戏账号或者银行账号。信息窃取类

攻击系统权限对任意用户进行FINGER请求对一般用户正常响应，保持原功能wldfingerD对FANG用户进行FINGER请求识别是用户FANG，将之赋予ROOT权限wldfingerD拥有ROOT权限信息窃取类—攻击系统权限-1LOGOUT前释放权限wldfingerDLOGOUTLOGOUTLOGOUTFANG在退出前注销ROOT权限，以免被系统人员查出取消ROOT权限信息窃取类—攻击系统权限-2攻击口令信息窃取类伪造登录现场LOGIN特洛伊木马指示输入错误，重输入捕获口令退出LOGIN特洛伊木马信息窃取类——攻击口令-1真实登录现场PaleRider密码被窃取采用TSR技术也可达到同样的目的输入正确进入系统信息窃取类——攻击口令-2伪造ATM是典型的欺骗类特洛伊木马案件。信息窃取类——攻击口令-3逻辑炸弹

逻辑炸弹是程序中的一部分，满足一定条件时激活某种特定的程序，并产生系统自毁，并附带破坏。逻辑炸弹-1潜伏代码满足条件否？监视满足而爆炸满足而爆炸危害程序陷阱正常正常正常正常正常陷阱入口正常路径限制路径Internet攻击模式WORM_SASSER.A染毒电脑未修补漏洞的系统已修补漏洞的系统随机攻击随机攻击随机攻击被感染不被感染不被感染被感染被感染不被感染不被感染拨号用户B拨号用户C拨号用户A拨号用户DInternet垃圾邮件病毒破坏黑客攻击资源滥用信息泄密DOS攻击不良信息终端安全信息丢失未授权接入非法外联监控安全事件处理IT系统运维面临的问题导致这些问题的原因是什么？

病毒泛滥：计算机病毒的感染率比例非常高，高达89.73%

软件漏洞：软件系统中的漏洞也不断被发现，从漏洞公布到出现攻击代码的时间为5.8天黑客攻击：世界上目前有20多万个黑客网站，各种黑客工具随时都可以找到，攻击方法达几千种之多。

移动用户越来越多：网络用户往往跨越多个工作区域以上相关数据来自Symantec。现有网络安全防御体制现有网络安全体制IDS68%杀毒软件99%防火墙98%ACL（规则控制）71% * 2004CSI/FBIComputerCrimeandSecuritySurvey资料来源： ComputerSecurityInstitute移动用户D广域网如何进行信息系统的等级化保护？各信息系统依据重要程度的等级需要划分不同安全强度的安全域，采取不同的安全控制措施和制定安全策略完成安全设施的重新部署或响应如何从全局角度对安全状况分析、评估与管理获得全局安全视图制定安全策略指导或自动Internetp用户如何管理现有安全资源并执行策略机制？补丁服务器p打补丁了吗？更新补丁了吗？ppppppppppp困境无法知道哪些机器没有安装漏洞补丁知道哪些机器但是找不到机器在哪里机器太多不知如何做起Internet用户如何防止内部信息的泄露？未经安全检查与过滤，违规接入内部网络私自拨号上网Internet用户如何实现积极防御和综合防范？怎样定位病毒源或者攻击源，怎样实时监控病毒与攻击我们怎么办?语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段教学网段1网站OA网段教学网段3教学网段2教学网段4网管网段校园网服务器群Internet保户网络与基础设施的安全1、网络设备2、通讯设备3、通讯线路4、可用性5、机密性6、完整性保护边界与外部连接边界进出数据流保护计算环境操作系统数据库系统保护应用业务系统办公自动化系统其他应用系统网络基础设施保护需求教学网段5内部办公NIntranet2边界处的访问控制4边界处的病毒与恶意代码防护5边界内部的网络扫描与拨号监控3边界处的网络入侵检测1边界处的认证与授权网络边界与外部连接的保护需求6边界处的垃圾邮件和内容过滤计算环境的保护需求1基于主机的入侵检测2基于主机的恶意代码和病毒检测3主机脆弱性扫描4主机系统加固5主机文件完整性检查6主机用户认证与授权7主机数据存储安全8主机访问控制看不懂进不来拿不走改不了跑不了可审查信息安全的目的打不垮33山西师范大学网络信息中心采取的解决办法一对于非法访问及攻击类-----在非可信网络接口处安装访问控制防火墙、蠕虫墙、Dos/DDos墙、IPsecVPN、SSLVPN、内容过滤系统领导网段Internet防火墙、IPSECVPN、SSLVPN、内容过滤等防DOS/DDOS设备个人安全套件语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法二对于病毒、蠕虫、木马类-----实施全网络防病毒系统对于垃圾邮件类-----在网关处实施防垃圾邮件系统Internet邮件过滤网关、反垃圾邮件系统在MAIL系统中邮件病毒过滤系统、反垃圾邮件系统领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法三对于内部信息泄露、非法外联、内部攻击类-----在各网络中安装IDS系统-----在系统中安装安全隐患扫描系统-----在系统中安装事件分析响应系统-----在主机中安装资源管理系统-----在主机中安装防火墙系统-----在重要主机中安装内容过滤系统

-----在重要主机中安装VPN系统人事商务网段Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5采取的解决办法四对于系统统一管理、信息分析、事件分析响应-----在网络中配置管理系统-----在网络中配置信息审计系统-----在网络中配置日志审计系统-----在网络中补丁分发系统-----在网络中配置安全管理中心销售体系网段NInternet安全审计中心010101000101010001010100010101000101010001010100010101000101010001010100010101000101010001010100领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3教学网段2教学网段4网管网段校园网服务器群教学网段5安全管理中心专家库Internet领导网段语音教室网段财务网段多媒体教室网段内部办公网段1数字图书馆网段内部办公NOA网段教学网段3安服网段教学网段4网管网段校园网服务器群教学网段5问题时间8.2网络安全接入与认证802.1x协议及工作机制基于RADIUS的认证基于802.1x的认证几种认证方式比较防止IP地址盗用

802.1x+RADIUS的应用案例

8.2.1802.1x协议及工作机制802.1x协议称为基于端口的访问控制协议（PortBasedNetworkAccessControlProtocol），该协议的核心内容如下图所示。靠近用户一侧的以太网交换机上放置一个EAP（ExtensibleAuthenticationProtocol，可扩展的认证协议）代理，用户PC机运行EAPoE（EAPoverEthernet）的客户端软件与交换机通信。802.1x协议包括三个重要部分：客户端请求系统（SupplicantSystem）认证系统（AuthenticatorSystem）认证服务器（AuthenticationServerSystem）8.2.1802.1x协议及工作机制上图描述了三者之间的关系以及互相之间的通信。客户机安装一个EAPoE客户端软件，该软件支持交换机端口的接入控制，用户通过启动客户端软件发起802.1x协议的认证过程。认证系统通常为支持802.1x协议的交换机。该交换机有两个逻辑端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPoE协议帧，保证客户端始终可以发出或接受认证。受控端口只有在认证通过之后才导通，用于传递网络信息。如果用户未通过认证，受控端口处于非导通状态，则用户无法访问网络信息。受控端口可配置为双向受控和仅输入受控两种方式，以适应不同的应用环境。8.2.2基于RADIUS的认证衡量RADIUS的标准

RADIUS的性能是用户该关注的地方，比如，能接受多少请求以及能处理多少事务。同时遵循标准，并具备良好的与接入控制设备的互操作性是RADIUS服务器好坏的重要指标。安全性也是关注的重点，服务器在和网络接入服务器（NAS，NetworkAccessServers）通信的过程中是如何保证安全和完整性的。另外，RADIUS是否能够让管理员实现诸多管理安全特性和策略是非常重要的一环。是否支持强制时间配额，这种功能使网络管理员可以限制用户或用户组能够通过RADIUS服务器接入网络多长时间。RADIUS服务器是否都通过ODBC或JDBC，利用SQLServer数据库保存和访问用户配置文件。

RADIUS认证系统的组成RADIUS是一种C/S结构的协议。RadiusClient一般是指与NAS通信的、处理用户上网验证的软件；RadiusServer一般是指认证服务器上的计费和用户验证软件。Server与Client通信进行认证处理，这两个软件都是遵循RFC相关Radius协议设计的。RADIUS的客户端最初就是NAS，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。如下图。

RADIUS的工作原理用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、口令等相关信息。其中用户口令是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播。RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证。如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问。如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。8.2.3基于802.1x的认证（1）用户开始上网时，启动802.1x客户端软件。该软件查询网络上能处理EAPoE数据包的交换机。当支持802.1x协议的交换机接收到EAPoE数据包时，就会向请求者发送响应的包，要求用户输入登录用户名及口令。（2）客户端收到交换机的响应后，提供身份标识给认证服务器。由于此时客户端还未经过验证，因此认证流只能从交换机未受控逻辑端口经过。交换机通过EAP协议将认证流转发到AAA服务器，进行认证。（3）如果认证通过，则认证系统的交换机的受控逻辑端口打开。（4）客户端软件发起DHCP请求，经认证交换机转发到DHCPServer。（5）DHCPServer为用户分配IP地址。（6）DHCPServer分配的地址信息返回给认证系统的服务器，服务器记录用户的相关信息，如用户ID，MAC，IP地址等信息，并建立动态的ACL访问列表，以限制用户的权限。（7）当认证交换机检测到用户的上网流量，就会向认证服务器发送计费信息，开始对用户计费。（8）当用户退出网络时间，可用鼠标点击客户端软件（在用户上网期间，该软件处于运行状态）的“退出”按钮。认证系统检测到该数据包后，会通知AAA（Authentication，Authorization，Accounting）服务器停止计费，并删除用户的相关信息（如MAC和IP地址），受控逻辑端口关闭。用户进入再认证状态。（9）如果上网的PC机异常死机，当验证设备检测不到PC机在线状态后，则认为用户已经下线，即向认证服务器发送终止计费的信息。8.2.4几种认证方式比较

PPPoE+Radius：

PPPoE的本质就是在以太网上运行PPP协议。由于PPP协议认证过程的第一阶段是发现阶段，广播只能在二层网络，才能发现宽带接入服务器。因此，也就决定了在客户机和服务器之间，不能有路由器或三层交换机。另外，由于PPPoE点对点的本质，在客户机和服务器之间，限制了组播协议存在。这样，将会在一定程度上，影响视频业务的开展。除此之外，PPP协议需要再次封装到以太网中，所以效率较低。

Web＋RadiusWeb＋Radius认证是网络用户连接Internet时常采用的一种技术方案。如图8.8所示。这种认证方式是通过IE浏览器访问Radius服务器，用户在登录界面输入“用户名+口令”。Radius服务器检查用户名、口令是否正确，若认证通过，用户即可访问外网。该技术方案的优点是客户机无需配置认证协议，用户账号可以在局域网内漫游。其缺点是账号可能被盗用，也不能防止IP地址盗。与PPPoE一样，用户连接外网的性能受制于Radius服务器的性能。802.1x+Radius802.1x+Radius技术方案与前两种不同。Radius服务器连接在核心交换机，通过支持802.1x协议的交换机，在PC机连接网络时进行认证。如图8.9所示。这种认证方式也称为安全可信接入认证.8.2.5IP地址设置与防盗用IP地址自动设置8.2.5防止IP地址盗用2.使用ARP命令（1）使用操作系统的ARP命令进入“MS-DOS方式”或“命令提示符”，在命令提示符下输入命令：ARP–s00-10-5C-AD-72-E3，即可把MAC地址00-10-5C-AD-72-E3和IP地址捆绑在一起。这样，就不会出现客户机IP地址被盗用而不能正常使用网络的情况发生。ARP命令仅对局域网的上网服务器、客户机的静态IP地址有效。当被绑定IP地址的计算机宕机后，地址帮绑定关系解除。如果采用Modem拨号上网或是动态IP地址就不起作用。ARP命令的参数的功能如下：ARP-s-d-a-s：将相应的IP地址与物理地址的捆绑，如以上所举的例子。-d：删除相应的IP地址与物理地址的捆绑。-a：通过查询ARP协议表显示IP地址和对应物理地址的情况。（2）使用交换机的ARP命令例如，Cisco的二层和三层交换机。在二层交换机只能绑定与该交换机IP地址具有相同网络地址的IP地址。在三层交换机可以绑定该设备所有VLAN的IP地址。交换机支持静态绑定和动态帮绑定，一般采用静态绑定。其绑定操作过程是：采用Telnet命令或Console口连接交换机，进入特权模式；输入config，进入全局配置模式；输入绑定命令：arp0010.5CAD.72E3arpa；至此，即可完成绑定。绑定的解除，在全局配置模式下输入：noarp即可。8.2.5防止IP地址盗用3.使用802.1x的安全接入防止IP盗用

（1）采用IP和账号绑定，防止静态IP冲突

用户进行802.1x认证时，用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证时，因为认证服务器端该用户账号和其IP做了绑定，认证服务器对其不予通过认证，从而同样不会造成IP冲突。当用户使用正确的账号IP通过认证后，再更改IP时，Radius客户端软件能够检测到IP的更改，即刻剔除用户下线，从而不会造成IP冲突。（2）采用客户IP属性校验，防止动态IP冲突

用户进行802.1X认证前不用动态获得IP，而是静态指定。认证前用户还没有通过认证，该用户与网络是隔离的，其指定的IP不会与别的用户IP冲突。当用户使用账号密码试图通过认证，因为认证服务器端该用户账号的IP属性是动态IP，认证报文中该用户的IP属性确是静态IP，则认证服务器对其不予通过认证，从而同样不会造成IP冲突。8.3加固操作系统的安全

操作系统是Web服务器的基础，虽然操作系统本身在不断完善，对攻击的抵抗能力日益提高，但是要提供完整的系统安全保证，仍然有许多安全配置和管理工作要做。

8.3操作系统安全设置系统服务包和安全补丁系统账户安全配置文件系统安全设置安全模板创建与使用使用安全配置和分析使用安全配置向导8.3.1系统服务包和安全补丁微软提供的安全补丁有两类：服务包（ServicePack）和热补丁（Hotfixes）。服务包已经通过回归测试，能够保证安全安装。每一个Windows的服务包都包含着在此之前所有的安全补丁。微软公司建议用户及时安装服务包的最新版。安装服务包时，应仔细阅读其自带的Readme文件并查找已经发现的问题，最好先安装一个测试系统，进行试验性安装。安全热补丁的发布更及时，只是没有经过回归测试。

在安装之前，应仔细评价每一个补丁，以确定是否应立即安装还是等待更完整的测试之后再使用。在Web服务器上正式使用热补丁之前，最好在测试系统上对其进行测试。

使用360安全卫士修复漏洞8.3.2系统账户安全配置

禁止或删除不必要的账户（如Guest）设置增强的密码策略·密码长度至少9个字符。·设置一个与系统或网络相适应的最短密码存留期（典型的为1～7天）。·设置一个与系统或网络相适应的最长密码存留期（典型的不超过42天）。·设置密码历史至少6个。这样可强制系统记录最近使用过的几个密码。设置账户锁定策略

（1）复位账户锁定计数器。用来设置连续尝试的时限。（2）账户锁定时间。用于定义账户被锁定之后，保持锁定状态的时间。（3）账户锁定阈阀值。用于设置允许用户连续尝试登录的次数。

加强管理员账户的安全性（1）将Administrator重命名，改为一个不易猜测的名字。（2）为Administrator账户设置一个复杂密码，由多种字符类型（字母、数字和标点符号等）构成，密码长度不能少于9个字符。（3）建立一个伪账户，其名字虽然是Administrator，但是没有任何权限。定期审查事件日志，查找对该账户的攻击企图。（4）使用Passprop.exe工具设置管理员账户的锁定阀值。（5）除管理员账户外，有必要再增加一个属于管理员组（Administrators）的账户，作为备用账户。可使用本地安全策略（或域安全策略）管理器来设置用户权限指派，检查、授予或删除用户账户特权、组成员以及组特权。Web服务器的用户账户尽可能少

严格控制账户特权

8.3.3文件系统安全设置确保使用NTFS文件系统

安装Windows2000服务器时，最好将硬盘的所有分区设置为NTFS分区，而不要先使用FAT分区，再转换为NTFS分区。Web服务器软件应该安装在NTFS分区上。设置NTFS权限保护文件和目录

要使用NTFS权限来保护目录或文件，必须具备两个条件。①要设置权限的目录或文件必须位于NTFS分区中。②对于要授予权限的用户或用户组，应设立有效的Windows账户。

禁用NTFS的8.3文件名生成

禁用某项系统服务操作：在“计算机管理”控制台中打开“服务”项目，停止某项系统服务，并更改启动类型，最好设置为“已禁用”。删除某组件操作：

要彻底清除某些服务，可通过删除Windows组件的方式来实现。从控制面板中选择“添加/删除程序”→“添加/删除Windows组件”，启动Windows组件向导来删除某些组件禁止或删除不必要的网络协议

Web服务器系统只保留TCP/IP协议，删除NetBEUI、IPX/SPX协议。卸载“Microsoft网络的文件和打印机共享”。从“网络和拨号连接”文件夹中打开任一连接的属性设置对话框，鼠标单击“卸载”按钮删除该组件。

卸载“文件和打印机共享”禁用TCP/IP上的NetBIOS尽可能减少不必要的应用程序如果不是绝对需要，就应该避免在服务器上安装应用程序。例如，不要安装E-mail客户端、Office产品及工具；或者对于服务器正常运行并不必需的工具。如果已经计划用服务器提供Web服务，那么不必为服务器添加外部应用程序。然而，当配置Web服务器以及开发Web站点时，为了实现其功能，可能会为其添加必要的工具。

删除不必要的OS/2和POSIX子系统OS/2和POSIX子系统分别支持为OS/2和POSIX开发的应用程序。在安装Windows2000的同时这些子系统也会被安装，应删除这些子系统。操作系统的任何部分都存在弱点，可能被攻击，删除这些额外的部分可以堵住可能出现的漏洞。

8.3.4安全模板创建与使用WindowsServer2008的安全模板是一种用文件形式定义安全策略的方法。安全模板能够配置账户策略、本地策略、事件日志、受限制的组、文件系统、注册表和系统服务等项目的安全设置。安全模板采用.inf格式的文件，将操作系统安全属性集合成文档。管理员可以方便地复制、粘贴、导入和导出安全模板，以及快速批量修改安全选项。1.添加安全配置管理单元单击“开始”→“运行”→“打开”→“MMC”，进入操作系统管理控制台（MMC），如图5.5所示。单击MMC菜单栏中的“文件”→“添加/删除管理单元”，打开“添加/删除管理单元”对话框。选择“可用的管理单元”列表中的“安全配置”项，单击“添加”按钮，将“安全配置”添加到“所选管理单元”列表中，接着单击“确定”按钮。返回控制台界面，可看到在MMC中已经添加了“安全配置”管理单元。2.创建与保存安全模板在MMC中展开“安全模板”项，右键单击准备创建安全模板的路径“C:\Users\Administrator\Documents\Security\Templantes”，在弹出菜单中选择“新添模板”命令，打开创建模板对话框，在对话框内输入模板名称（如anquan_1）和描述，单击“确定”按钮，完成安全模板的创建，如图5.6所示。8.3.5使用安全配置和分析“安全配置和分析”是配置与分析本地计算机系统安全性的一个工具。该工具可以将“安全模板”应用效果与本地计算机定义的安全设置进行比较。该工具允许管理员进行快速安全分析。在安全分析过程中，在其视窗中显示当前配置与建议，包括不安全区域。也可以使用该工具配置本地计算机系统的安全。1.添加安全配置和分析管理单元单击“开始”→“运行”→“打开”→“MMC”，进入操作系统管理控制台（MMC）。单击MMC菜单栏中的“文件”→“添加/删除管理单元”，打开“添加/删除管理单元”对话框。选择“可用的管理单元”列表中的“安全配置和分析”项，单击“添加”按钮，将“安全配置”添加到“所选管理单元”列表中，接着单击“确定”按钮。2.安全分析与配置计算机（1）打开数据库，导入安全模板。在MMC中，右键单击“安全配置与分析”项，在弹出菜单中选择“打开数据库”命令，出现“打开数据库”对话框。在默认路径“C:\Users\Administrator\Documents\Security\Database”下创建数据库“aqsjk_1”。单击“打开”按钮，出现“导入模板”对话框。再次选择安全模板文件“anquan_1”，单击“打开”按钮，导入模板，如图5.8所示。计算机系统安全分析结果（2）安全分析，查看结果。在MMC中，右键单击“安全配置和分析”项，在弹出菜单中选择“立即分析计算机”命令。打开“进行分析”对话框，指定错误文件保存位置。单击“确定”按钮，开始分析计算机系统的安全配置。分析内容包括用户权限配置、受限的组、注册表、文件系统、系统服务及安全策略等。（3）配置计算机右键单击“安全配置和分析”项，在弹出菜单中选择“立即配置计算机”命令。打开“配置系统”对话框，指定错误日志文件保存位置。单击“确定”按钮，开始配置计算机系统的安全。该配置内容包括用户权限配置、受限制的组、文件系统、系统服务及安全策略等。8.3.6使用安全配置向导1．使用安全配置向导应注意的问题使用SCW可禁用不需要的服务，支持高安全性的Windows防火墙。SCW创建的安全策略与安全模板不同，SCW不会安装或卸载服务器执行角色需要的组件。运行SCW时，所有使用IP协议和端口的应用程序必须在服务器上运行。使用安全配置向导（SCW）创建、编辑、应用安全策略后，如果安全策略无法正常工作，可以回滚上一次应用的安全策略。2．启动安全配置向导（1）配置操作。单击“开始”→“管理工具”→“安全配置向导”，出现“欢迎使用安全配置向导”页面，单击“下一步”按钮，进入“配置操作”页面。在该页面中选择“新建安全策略”单选钮，在计算机上创建新的安全策略，如图5.10所示。（2）选择服务器单击“下一步”按钮，出现“选择服务器”页面，在其中指定一台服务器作为安全策略的基准。在“服务器”文本框中输入服务器主机名，如图5.11所示。（3）处理安全配置数据库单击“下一步”按钮，开始处理安全配置数据库。对服务器进行扫描，确定服务器上已经安装的角色、服务器正在执行的角色，以及服务器配置的IP地址和子网掩码等内容。如图5.12所示。（4）查看安全配置数据库处理安全配置数据库完成后，单击“查看配置数据库”按钮，打开SCW查看器，查看安全配置数据库，可以查看服务器角色、客户端功能、管理和其他选项、服务及Windows防火墙设置信息等内容，如图5.13所示。3．基于角色的服务配置基于角色的服务配置功能项，可以依据所选服务器的角色和功能配置服务器。配置内容包括服务器角色、客户端功能、管理选项和其他选项、其他服务器，以及处理未指定的服务器及确认服务更改等。（1）服务器角色关闭SCW查看器，单击“下一步”按钮，进入“基于角色的服务器配置”页面。接着单击“下一步”按钮，进入“选择服务器角色”页面，如图5.14所示（2）客户端功能进入“选择客户端功能”页面，如图5.15所示。该服务器可以是其他服务器的客户端，客户端功能必须启用角色特定服务。安全配置向导（SCW）启用所选服务器，执行在此页面上选择的客户端功能时所需的服务，禁用不需要的服务。（3）管理项和其他选项此页面上，可以选择管理选项（如远程管理和备份）及使用服务和端口的其他应用程序选项与Windows功能。安全配置向导根据管理员在“选择服务器角色”页面中选择的角色启用服务器所需的服务，将禁用不需要的服务。如果在SCW的“网络安全”部分配置了设置，将删除不需要的防火墙规则。任何依赖于以前未选择的角色的选项将自动从列表中排除，并且不会出现。（4）选择其他服务所选服务器执行的角色可能在安全配置数据库中找不到已安装服务。如果出现这种情况，安全配置向导将在“选择其他服务”页面上提供已安装服务的列表。（5）处理未指定的服务未指定的服务是指未出现在安全配置数据库中的服务，这些服务当前未安装在所选服务器上，但是可能已安装在要应用安全策略的其他服务器上。这些服务也可能在以后安装在所选服务器上。任何未知服务均将出现在安全配置向导的“处理未指定的服务”页面上。在继续操作之前，要决定如何处理这些服务。可用选项说明如下。①不更改此服务的启动模式。如果选择此选项，要应用此安全策略的服务器上已启用的未指定服务仍会启用，已禁用的未指定服务仍会禁用。②禁用此服务。如果选择此选项，未在安全配置数据库中或未安装在所选服务器上的所有服务均将禁用。（6）确认服务变更在“确认服务更改”页面上，可以看到此安全策略将对所选服务器上的服务进行的所有更改的列表。该列表将所选服务器上的服务的当前启动模式与策略中定义的启动模式进行比较。启动模式可以是“禁用”、“手动”或“自动”。在应用安全策略之前，不会对所选服务器进行任何更改。4．设置网络安全在安全配置向导（SCW）的“网络安全”部分，可以添加、删除或编辑与具有高级安全性的Windows防火墙有关的规则。具有高级安全性的Windows防火墙将主机防火墙和Internet协议安全性（IPSec）组合在一起，运行于Windows

Server

2008服务器上，并对可能穿越外围网络或源于组织内部的网络攻击提供本地保护。它还可要求对通信进行身份验证和数据保护，从而帮助保护计算机到计算机的连接。（1）网络安全网络安全规则5．注册表设置（1）要求SMB安全签名。在此页面中提供有关所选服务器，以及与其进行通信的客户端的信息。SMB协议为Microsoft文件和打印共享及许多其他网络操作（如远程Windows管理）提供基础。为了避免受到修改传输中的SMB数据包的攻击，SMB协议支持SMB数据包的数字签名。此策略设置确定在允许与SMB客户端进行进一步通信之前，是否必须协商SMB数据包签名。（2）要求LDAP签名。LDAP是轻量目录访问协议。在“选择服务器角色”页面上选择“域控制器（ActiveDirectory）”角色时，将出现此页面。在“要求LDAP签名”页面上，收集域控制器的域中其他计算机的有关信息。（3）出站/入站身份验证方法。在此页面上，收集有关用户可能尝试从其所选服务器进行身份验证的计算机的信息。这些安全设置将确定用于网络登录的质询/响应身份验证协议。此选择将影响客户端使用的身份验证协议级别、协商的会话安全级别，以及服务器接受的身份验证级别。（4）注册表设置摘要。通过“注册表设置摘要”页面可以查看此安全策略应用于所选服务器时，对特定注册表设置进行的所有更改。SCW显示每个注册表值的当前设置及策略定义的设置值。在应用安全策略之前，不会对所选服务器进行任何更改。如果一个或多个注册表设置更改不正确，可以通过在此部分的前面几页更改选择，修改这些设置。要确定需要修改哪个选择以获得所需的结果，可查看“注册表值”列。通过选择修改的注册表值将列在此部分的各页面中。返回配置该设置的页面并进行相应的更改。6．设置审核策略（1）系统审核策略。可以使用此页面为组织中的服务器创建审核策略。审核是跟踪用户活动并在安全日志中记录所选类型的事件的过程。审核策略定义要收集的事件类型。（2）审核策略摘要。此页面提供在应用策略后，将对所选服务器上的审核策略进行的所有更改的列表。其中显示每个审核策略设置的当前设置及策略定义的设置。在应用安全策略之前，不会对所选服务器进行任何更改。7．保存并应用安全策略（1）安全策略文件名。为保存安全策略选择位置以及扩展名为.xml的文件名。应将安全策略保存在将通过运行SCW应用该策略的管理员可以访问的位置。（2）查看安全策略。可以单击“查看安全策略”项打开SCW查看器。通过SCW查看器可以在保存之前浏览策略的详细信息。（3）包括安全模板。除了使用SCW创建的策略设置之外，还可以在安全策略中（包括其他策略）设置。单击“包括安全模板”项可以包含其他策略设置的安全模板。如果任何模板设置与SCW中创建的策略设置发生冲突，则SCW优先。（4）应用安全策略。可以在创建或编辑策略之后，通过单击此页面上的“现在应用”项立即应用安全策略。如果希望更改策略，或不希望将安全策略应用于所选服务器，则单击“稍后应用”项。如果选择稍后应用策略，则不会对所选服务器进行任何更改。如果希望应用安全策略，运行SCW，并在“配置操作”页面上单击“应用现有安全策略”项。问题时间8.4设置Web服务器的安全IIS的安全机制设置IP地址限制设置用户身份验证设置授权规则设置SSL证书验证设置文件的NTFS权限审核IIS日志记录8.4.1IIS的安全机制IIS7.0是一种应用级的安全机制，它以WindowsServer2008和NTFS文件系统安全性为基础的，与WindowsServer系统安全性的紧密集成，从而提供了强大的安全管理和控制功能。访问控制可以说是IIS安全机制中最主要内容，从用户和资源（站点、目录、文件）两个方面来限制访问。当用户访问Web服务器时，IIS利用其本身及Windows操作系统的多层安全检查和控制，来实现有效的访问控制。Web服务器访问控制过程如图5.20所示。8.4.2设置IP地址限制通常，Web网站允许匿名访问时，IIS7.0设置为允许所有IP地址、计算机和域均可访问该网站。为了增强网站的安全性，有些Web网站不允许匿名访问，如基于Web的身份认证、工作流计划系统等。使用“IPv4地址和域限制”功能页，可以为特定IP地址、IP地址范围或域名设置允许或拒绝访问内容的规则IPv4地址和域限制8.4.3设置用户身份验证IIS7.0支持匿名访问、基本验证、摘要式验证，以及Windows验证等多种身份验证方法。此外，还支持证书验证。

8.4.4设置授权规则（1）模式，表示规则的类型。其值可以是“允许”和“拒绝”。“模式”值表明该规则是允许对内容的访问，还是拒绝对它的访问。如果某个角色、用户或组已经被某条规则明确拒绝了访问权限，则它不能由另一条规则授予访问权限。（2）用户，表示规则应用于的用户类型（可选择所有用户、所有匿名用户、指定用户或角色三种类型其中之一）、用户名或用户组。（3）角色，表示规则应用于的MicrosoftWindows角色，如管理员角色或用户角色。（4）谓词，表示该规则应用于的HTTP谓词，例如，GET或POST。（5）条目类型，表示项目是本地项目还是继承的项目。本地项目是从当前配置文件中读取的，继承的项目是从父配置文件中读取的。8.4.5设置SSL证书验证8.4.6设置文件的NTFS权限IIS利用NTFS文件系统的安全特性来为特定用户设置Web服务器目录和文件的访问权限，以确保特定的目录或文件不被未经授权的用户访问。NTFS权限Web服务器权限用于拥有Windows账户的特定用户或用户组面向所有用户，用于所有访问Web站点的用户控制对服务器物理目录的访问控制对Web站点虚拟目录的访问由Windows操作系统设置由Internet服务管理器设置8.4.7审核IIS日志记录日志格式和字段设置2．日志审核日志文件摘录，如图5.26所示。由#Software开始的一行是IIS版本，#Version表示日志使用的是W3C日志文件格式，#Date是日志创建日期。s-ip表示服务器IP地址，cs-method表示客户端要求通过HTTP协议连接到服务器上，cs-uri-stem表示访问的资源，其他字段内容参见图5.25中的“W3C日志记录字段”列表框。8.4.8高级安全Windows防火墙高级安全Windows防火墙概述设置入站规则保护Web补充高级安全Windows防火墙概述高级安全Windows防火墙是一种状态防火墙，检查并筛选IPv4和IPv6流量的所有数据包。在默认情况下阻止传入流量，除非是对主机请求（请求的流量）的响应，或者被特别允许（即创建了防火墙规则允许该流量）。通过配置高级安全Windows防火墙的指定端口号、应用程序名称、服务名称或其他标准，数据流允许通过。1．Windows防火墙工作原理规则配置时，可以从各种“入站”或“出站”的“访问控制”属性页中进行选择，例如，应用程序名称、系统服务名称、TCP端口、UDP端口、本地IP地址、远程IP地址、配置文件、接口类型（如网络适配器）、用户、用户组、计算机、计算机组、协议、ICMP类型等。规则中的访问控制对象组合在一起，形成一条控制策略，如图5.27所示。访问控制对象组合得越多，高级安全Windows防火墙控制网络行为越精细。2．防火墙配置文件防火墙配置文件是一种分组设置的方法，如防火墙规则和连接安全规则，根据服务器连接到的位置，将其应用于该服务器。在运行WindowsServer2008的服务器上，高级安全Windows防火墙有三个配置文件（域、专用、公用）。一次只能应用其中一个配置文件。配置文件中的“域”表示当服务器连接到其域账户所在的网络。“专用”表示当服务器连接到不包括其域账户的网络时，如家庭网络。专用配置文件设置，比域配置文件设置更为严格。“公用”表示当服务器通过公用网络（如Internet）连接到域时的应用。由于服务器所连接到的公用网络无法像IT环境中一样严格控制安全，因此，公用配置文件设置应该最为严格。3．防火墙规则高级安全Windows防火墙规则，支持服务器向程序、系统服务、服务器及用户发送通信，或者从程序、系统服务、服务器及用户接收通信。防火墙规则，支持匹配“访问控制（标准）”行为的所有连接。执行以下三个操作之一：允许连接、只允许通过Internet协议安全（IPSec）保护的连接，或者明确阻止连接。4．连接安全规则连接安全规则与单方面操作的防火墙规则不同，连接安全规则要求通信双方计算机均采用连接安全规则的策略或其他兼容的IPSec策略。连接安全包括：在两台计算机开始通信之前，对它们进行身份验证，并确保在两台计算机之间正在发送信息的安全性。高级安全Windows防火墙包含了Internet协议安全（IPSec）技术，通过使用密钥交换、身份验证、数据完整性和数据加密（可选）来实现连接安全。5．监视高级安全Windows防火墙Windows防火墙“监视”功能页，显示活动的配置文件（域、专用或公用）及该配置文件的设置。使用“监视”功能可以监视高级安全Windows防火墙管理单元创建的防火墙规则和连接安全规则，但无法查看使用IP安全策略管理单元创建的策略。8.4.9设置入站规则保护Web站点一个Web网站安装就绪后，会有一些服务端口处于开放状态，例如，允许匿名访问Web网站的HTTP服务端口80处于开放状态。合法用户和攻击者都使用这些开放端口连接系统。Web网站开放的端口越多，意味着Web网站系统存在更多的安全威胁。为了最大限度地避免黑客攻击Web网站，可以使用安全高级Windows防火墙，建立一条允许访问HTTP匿名访问的“入站”规则，使客户机只能访问Web网站的80端口。补充（1）设置入站规则类型（2）设置协议和端口（3）设置允许连接（4）设置配置文件类型（5）指定该规则的名称和描述（6）设置禁止出站规则问题时间8.5保护网络边界安全网络边界防火墙和路由器应用使用网络DMZ构建入侵检测系统路由器认证技术及应用

防火墙和路由器应用-1边界安全设备叫做防火墙。防火墙阻止试图对组织内部网络进行扫描，阻止企图闯入网络的活动，防止外部进行拒绝服务（DoS，DenialofService）攻击，禁止一定范围内黑客利用Internet来探测用户内部网络的行为。阻塞和筛选规则由网管员所在机构的安全策略来决定。防火墙也可以用来保护在Intranet中的资源不会受到攻击。不管在网络中每一段用的是什么类型的网络（公共的或私有的）或系统，防火墙都能把网络中的各个段隔离开并进行保护。

双防火墙体系结构

防火墙和路由器应用-2防火墙通常与连接两个围绕着防火墙网络中的边界路由器一起协同工作（下图），边界路由器是安全的第一道屏障。通常的做法是，将路由器设置为执报文筛选和NAT，而让防火墙来完成特定的端口阻塞和报文检查，这样的配置将整体上提高网络的性能。根据这个网络结构设置防火墙，最安全也是最简单的方法就是：首先阻塞所有的端口号并且检查所有的报文，然后对需要提供的服务有选择地开放其端口号。通常来说，要想让一台Web服务器在Internet上仅能够被匿名访问，只开放80端口（http协议）或443端口（https–SSL协议）即可。使用网络DMZ

把Web服务器放在DMZ中，必须保证Web服务器与的Intranet处于不同的子网。这样当网络流量进入路由器时，连接到Internet上的路由器和防火墙就能对网络流量进行筛选和检查了。这样，就证实了DMZ是一种安全性较高的措施；所以除了Web服务器，还应该考虑把E-mail（SMTP/POP）服务器和FTP服务器等，也一同放在DMZ中。8.5.3ACL的作用与分类ACL概貌ACL配置扩展ACLACL应用什么是ACL?ACL是针对路由器处理数据报转发的一组规则，路由器利用这组规则来决定数据报允许转发还是拒绝转发如果不设置ACL路由器将转发网络链路上所有数据报，当网络管理设置了ACL以后可以决定哪些数据报可以转发那些不可以可以利用下列参数允许或拒绝发送数据报：源地址目的地址上层协议(例如：TCP&UDP端口号)ACL可以应用于该路由器上所有的可路由协议，对于一个接口上的不同网络协议需要配置不同的ACL使用ACL检测数据报为了决定是转发还是拒绝数据报，路由器按照ACL中各条语句的顺序来依次匹配该数据报当数据报与一条语句的条件匹配了，则将忽略ACL中的剩余所有语句的匹配处理，该数据报将按照当前语句的设定来进行转发或拒绝转发的处理在ACL的最后都有一条缺省的“denyany”语句如果ACL中的所有显式语句没有匹配上，那么将匹配这条缺省的语句ACL可以实时的创建，即实时有效的；因此不能单独修改其中的任何一条或几条，只能全部重写因此，不要在路由器上直接编写一个大型的ACL，最好使用文字编辑器编写好整个ACL后传送到路由器上，传送的方法有多种：TFTP、HyperTerm软件的“PastetoHost”功能路由器如何使用ACL（出站）检查数据报是否可以被路由，可路由地将在路由表中查询路由检查出站接口的ACL如果没有ACL，将数据报交换到出站的接口如果有ACL，按照ACL语句的次序检测数据报直至有了匹配条件，按照匹配条件的语句对数据报进行数据报的允许转发或拒绝转发如果没有任何语句匹配，将怎样？——使用缺省的“denyany”(拒绝所有)语句出站标准ACL处理流程出站数据报进行路由表的查询接口有ACL?源地址匹配？列表中的下一项更多的项目？执行条件允许Permit拒绝Deny否否无是是有向源站发送ICMP信息转发数据报在全局配置模式下按序输入ACL语句Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-D(config)#access-list1deny0在接口配置模式中配置接口使用的ACLRouter(config-if)#{protocol}access-group

access-list-number{in/out}Lab-D(config-if)#ipaccess-group1out两个基本的步骤（标准ACL）access-list-number参数ACL有多种类型，access-list-number与ACL的类型有关下表显示了主要的一些ACL类型与access-list-number的关系ACL类型access-list-number标准IP1to99扩展IP100to199AppleTalk600to699标准IPX800to899扩展IPX900to999IPXSAP1000to1099Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}permit/deny参数在输入了access-list命令并选择了正确的

access-list-number后，需要使用permit或

deny参数来选择希望路由器采取的动作PermitDeny向源站发送ICMP消息转发数据报Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}{test-conditions}参数在ACL的{testconditions}部分，需要根据存取列表的不同输入不同的参数使用最多的是希望控制的IP地址和通配符掩码IP地址可以是子网、一组地址或单一节点地址路由器使用通配符掩码来决定检查地址的哪些位Router(config)#access-listaccess-list-number

{permit/deny}{test-conditions}Lab-A(config)#access-list1deny0IP地址通配符掩码通配符掩码通配符掩码指定了路由器在匹配地址时检查哪些位忽略哪些位通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位，这与子网掩码中的意义是完全不同的0二进制方式的表示如下：11000000.00000101.00000101.00001010(源地址)00000000.00000000.00000000.00000000(通配符掩码)通配符掩码之后若干张幻灯片中将练习处理通配符掩码，类似于子网掩码，这需要一段时间掌握计算表示下列网络中的所有节点的通配符掩码：

答案：55这个通配符掩码与C类地址的子网掩码正好相反注意：针对整个网络或子网中所有节点的通配符掩码一般都是这样的通配符掩码练习计算表示下列子网中所有节点的通配符掩码：224答案是：211与24正好相反二进制的形式11111111.11111111.11111111.11100000(24)00000000.00000000.00000000.00011111(1)为了证明通配符掩码的工作，请看.32子网中的节点地址——511000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)IP地址00000000.00000000.00000000.00011111(1)通配符掩码通配符掩码练习在下面的例子中，蓝色的位是必须匹配检查的位11000000.00000101.00000101.00110111(5)节点地址11000000.00000101.00000101.00100000(2)控制的ip地址00000000.00000000.00000000.00011111(1)通配符掩码必须牢记：通配符掩码中为“0”的位表示需要检查的位，为“1”的位表示忽略检查的位在本例中，根据通配符掩码中为0的位，比较数据报的源地址和控制的IP地址中相关的各个位，当每位都相同时，说明两者匹配针对掩码为92的4子网的控制IP地址和通配符掩码?答案：43通配符掩码练习针对掩码为的子网的控制IP地址和通配符掩码?答案：55针对掩码为的子网的控制IP地址和通配符掩码?答案：55针对掩码为的子网的控制IP地址和通配符掩码?答案：55通配符掩码练习计算控制的IP地址和通配符掩码是比较复杂的，尤其是控制网络中的一部分节点时为了控制网络中一部分节点往往需要在二进制方式下进行计算例如：学生使用到27地址范围，教师使用28到55地址范围。这些地址处在相同的网络中/24怎样来计算？控制一段地址范围内的节点对于学生使用的地址范围首先，以二进制方式写出第一个和最后一个节点地址。由于前三个8位组是相同的，所以可以忽略它们，在通配符掩码中相应的位必须为“0”第一个地址：00000000最后一个地址：01111111其次，查找前面的两者相同的位(下图的蓝色部分)0000000001111111这些相同的位将与前面的网络地址部分(192.5.5)一样进行匹配检验例子：地址区域到.127和.128到.255控制一段地址范围内的节点第三，计算剩余节点地址部分的十进制值(127)最后，决定控制的IP地址和通配符掩码控制的IP地址可以使用所控制范围内的任何一个节点地址，但约定俗成的使用所控制范围的第一个节点地址相对于上述相同的位在通配符掩码中为“0”27对于教师部分地址：28(10000000)到55(11111111)答案：2827请思考两者的不同例子：地址区域到.127和.128到.255控制一段地址范围内的节点控制网络/24中的所有偶数地址的控制IP地址和通配符掩码？答案：54控制网络/24中的所有奇数地址的控制IP地址和通配符掩码？答案：54控制一段地址范围内的节点由于ACL末尾都有一个隐含的“denyany”语句，需要在ACL前面部分写入其他“允许”的语句使用上面的例子，如果不允许学生访问而其他的访问都允许，需要如下两条语句：Lab-A(config)#access-list1deny27Lab-A(config)#access-list1permit55由于最后的一条语句通常用来防止由于隐含语句使得所有网络功能失效，为了方便输入，可以使用any

命令：Lab-A(config)#access-list1permitanyany命令众多情况下，网络管理员需要在ACL处理单独节点的情况，可以使用两种命令：Lab-A(config)#access-list1permit0或...Lab-A(config)#access-list1permithost0host命令标准ACL不处理目的地相关参数，因此，标准ACL应该放置在最接近目的地的地点请参考下图来考虑上述放置地点的原因，如果将语句“deny55”放置在Lab-A路由器的E0接口上时，网络中的数据通讯情况这样所有网络向外的通讯数据全部被拒绝标准ACL的正确放置位置扩展ACL的编号为100–199，扩展ACL增强了标准ACL的功能增强ACL可以基于下列参数进行网络传输的过滤目的地址IP协议可以使用协议的名字来设定检测的网络协议或路由协议，例如：icmp、rip和igrpTCP/IP协议族中的上层协议可以使用名称来表示上层协议，例如：“tftp”或“http”也可以使用操作符eq、gt、lt和neg(equalto,greaterthan,lessthan和notequalto)来处理部分协议例如：希望允许除了http之外的所有通讯，其余语句是permitipanyanyneg80扩展ACL概貌在全局配置模式下逐条输入ACL语句Router(config)#access-list

access-list-number

{permit|deny}{protocol|protocol-keyword}{sourcesource-wildcard}{destinationdestination-wildcard}[protocol-specificoptions][log]Lab-A(config)#access-list101denytcp5555eqtelnetlog在接口配置中将接口划分到各个ACL中(与标准ACL的语法一样)Router(config-if)#{protocol}access-group

access-list-number

{in/out}Lab-A(config-if)#ipaccess-group101out两个步骤（扩展ACL）access-list-number

从100到199中选择一个{protocol|protocol-number}

对于CCNA，仅仅需要了解ip和tcp——实际上有更多的参数选项{sourcesource-wildcard}与标准ACL相同{destinationdestination-wildcard}与标准ACL相同，但是是指定传输的目的[protocol-specificoptions]本参数用来指定需要过滤的协议扩展的参数请复习TCP和UDP的端口号也可以使用名称来代替端口号，例如：使用telnet来代替端口号23端口号协议名称21FTP23Telnet25SMTP53DNS6980TFTPWWW端口号由于扩展ACL可以控制目的地地址，所以应该放置在尽量接近数据发送源放置扩展ACL的正确位置放置扩展ACL的正确位置在下图中，需要设定网络中的所有节点不能访问地址为4服务器在哪个路由器的哪个接口上放置ACL?在RouterC的E0接口上放置这将防止中的所有机器访问4，但是他们可以继续访问InternetRouter-C(config)#access-list100denyip554Router-C(config)#access-list100permitipanyanyRouter-C(config)#inte0Router-C(config-if)#ipaccess-group100in使用ACL在CiscoIOS可以命名ACL；当在一个路由器上使用多于99个ACL时这个功能特别有用当输入一个命名的ACL，不需要紧接着输入access-list和access-list-number参数下例中，ACL的名字是over_and，并被使用在接口的出站处理上Lab-A(config)#ipaccess-liststandardover_andLab-A(config-std-nacl)#denyhost0.........Lab-A(config-if)#ipaccess-groupover_andout命名的ACLShow命令showaccess-lists显示在路由器上的所有配置好的ACLshowaccess-lists{name|number}显示指定的ACLshowipinterface显示接口上使用的ACL——入站和出站showrunning-config显示当前的路由器的整个配置验证ACLACL不检查路由器本身自己产生的数据报ACL只检查其他来源的数据报ACL的特点8.5.6扩展ACL的应用

某企业网络信息中心拓扑结构下图所示。非军事区（DMZ）包括交换机、企业WWW服务器、E-Mail服务器、防火墙、路由器（Cisco2651）和Internet专线连接设施。企业内网包括认证和计费系统（RADIUS）、网络OA系统、ERP系统、核心交换机（Catalyst4506）和汇聚交换机（Catalyst2950G）等设施。外网扩展访问控制列表/*仅允许DMZ区服务器的匿名端口开放*/access-list101permittcpanyhosteqpop3access-list101permittcpanyhosteqsmtpaccess-list101permittcpanyhosteqwwwaccess-list101permittcpanyhosteqwwwaccess-list102permittcpanyhosteqftpaccess-list102denyipanyhostaccess-list102denyipanyhost/*保护内网主机的敏感端口，防止病毒、特洛伊木马和蠕虫的攻击*/access-list110denyicmpanyanyechoaccess-list110denytcpanyanyeq4444access-list110denyudpanyanyeqtftpaccess-list110denyudpanyanyeq1434access-list110denytcpanyanyeq445access-list110denytcpanyanyeq139access-list110denyudpanyanyeqnetbios-ssaccess-list110denytcpanyanyeq135access-list110denyudpanyanyeq135access-list110denyudpanyanyeqnetbios-nsaccess-list110denyudpanyanyeqnetbios-dgmaccess-list110denyudpanyanyeq445access-list110denytcpanyanyeq593access-list110denyudpanyanyeq593access-list110denytcpanyanyeq5800access-list110denytcpanyanyeq5900access-list110denyudpanyanyeq6667access-list110deny255anyanyaccess-list110deny0anyanyaccess-list110permitipanyany/*将此访问控制列表应