锐捷认证网络工程师RCNA-第9章 园区网安全设计.ppt

第第9 9章章 园区网的安全设计园区网的安全设计 锐捷认证网络工程师rcna 本章内容 网络安全隐患 交换机端口安全 ip访问列表 课程议题 网络安全隐患 交换机端口安全 ip访问列表 复杂程度 internet 技术的飞速增长 internet email web 浏览 intranet 站点 电子商务 电子政务 电子交易 时间 网络安全风险 安全需求和实际操作脱离 内部的安全隐患 动态的网络环境 有限的防御策略 安全策略和实际执行之间 的巨大差异 针对网络通讯层的攻击 通讯 如果该端口收到一个源地址不属于端口上的安全地址的包 时，一个安全违例将产生。 当安全违例产生时，你可以选择多种方式来处理违例： lprotect：当安全地址个数满后，安全端口将丢弃未知名地址（ 不是该端口的安全地址中的任何一个）的包。 lrestricttrap：当违例产生时，将发送一个trap通知。 lshutdown：当违例产生时，将关闭端口并发送一个trap通知 。 配置安全端口 端口安全最大连接数配置 l switchport port-security打开该接口的端口安全 功能 l switchport port-security maximum value设 置接口上安全地址的最大个数，范围是1128，缺省 值为128。 l switchport port-security violationprotect| restrict | shutdown设置处理违例的方式 注：注：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。 2 2、当端口因为违例而被关闭后，在全局配置模式下使、当端口因为违例而被关闭后，在全局配置模式下使 用命令用命令errdisableerrdisable recovery recovery 来将接口从错误状态来将接口从错误状态 中恢复过来。中恢复过来。 配置安全端口 端口的安全地址绑定 l switchport port-security 打开该接口的端口安全功 能 l switchport port-security mac-address mac- address ip-address ip-address手工配置接口上的 安全地址。 注：注：1 1、端口安全功能只能在、端口安全功能只能在accessaccess端口上进行配置。端口上进行配置。 2 2、端口的安全地址绑定方式有、端口的安全地址绑定方式有: :单单macmac、单、单ipip、mac+ipmac+ip 端口安全配置示例 下面的例子是配置接口gigabitethernet1/3上的端 口安全功能，设置最大地址个数为8，设置违例方 式为protect。 l switch# configure terminal l switch(config)# interface gigabitethernet 1/3 l switch(config-if)# switchport mode access l switch(config-if)# switchport port-security l switch(config-if)# switchport port-security maximum 8 l switch(config-if)# switchport port-security violation protect l switch(config-if)# end 端口安全配置示例 下面的例子是配置接口fastethernet0/3上的端口 安全功能，配置端口绑定地址，主机mac为 00d0.f800.073c，ip为02 l switch# configure terminal l switch(config)# interface fastethernet 0/3 l switch(config-if)# switchport mode access l switch(config-if)# switchport port-security l switch(config-if)# switchport port-security mac- address 00d0.f800.073c ip-address 02 l switch(config-if)# end 验证命令 查看所有接口的安全统计信息，包括最大安全地 址数，当前安全地址数以及违例处理方式等。 l switch#show port-security secure port maxsecureaddr（count） currentaddr（count） security action - - - - gi1/3 8 1 protect 验证命令 查看安全地址信息。 l switch# show port-security address vlan mac address ip address type port remaining age(mins) - - - - - - 1 00d0.f800.073c 02 configured fa0/3 8 1 课程议题 网络安全隐患 交换机端口安全 ip访问列表 isp 什么是访问列表 ip access-list：ip访问列表或访问控制列表，简称 ip acl ip acl就是对经过网络设备的数据包根据一定的规 则进行数据包的过滤。 为什么要使用访问列表 网络安全性网络安全性 可以是路由器或三 层交换机或防火墙 接入层交换机 rg-s2126 核心交换机 rg-s3512g /rg -s4009 服务器群 路由器 rg-nbr1000 internet 交 换 机 堆 叠 接入层交换机 rg-s2126 不同部门所属vlan不同 12221112 技术部 vlan20 财务部 vlan10 隔离病毒源 隔离外网病毒 www email ftp 为什么要使用访问列表 访问列表的组成 定义访问列表的步骤 l 第一步，定义规则（哪些数据允许通过，哪些数据 不允许通过） l 第二步，将规则应用在路由器（或交换机）的接口 上 访问控制列表的分类： l 1、标准访问控制列表 l 2、扩展访问控制列表 访问控制列表规则元素 l 源ip、目的ip、源端口、目的端口、协议 访问列表规则的应用 路由器应用访问列表对流经接口的数据包进行控 制 l 1.入栈应用（in） l 2.出栈应用（out） 访问列表的入栈应用 n y 是否允许 ? y 是否应用 访问列表 ? n 查找路由表 进行选路转发 以icmp信息通知源发送方 以icmp信息通知源发送方 n y 选择出口 s0 路由表中是否 存在记录 ? n y 查看访问列表 的陈述 是否允许 ? y 是否应用 访问列表 ? n s0 s0 访问列表的出栈应用 ip acl的基本准则 一切未被允许的就是禁止的。 l 路由器或三层交换机缺省允许所有的信息流通 过; 而防火墙缺省封锁所有的信息流，然后对希望 提供的服务逐项开放。 按规则链来进行匹配 l 使用源地址、目的地址、源端口、目的端口、 协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝” y 拒绝 y 是否匹配 测试条件1 ? 允许 n 拒绝允许 是否匹配 测试条件2 ? 拒绝 是否匹配 最后一个 测试条件 ? yy n yy 允许 被系统隐 含拒绝 n 一个访问列表多个测试条件 访问列表规则的定义 标准访问列表 l 根据数据包源ip地址进行规则定义 扩展访问列表 l 根据数据包中源ip、目的ip、源端口、目的端口、 协议进行规则定义 源地址 tcp/udp 数据 ipeg.hdlc 1-99 号列表 ip标准访问列表 目的地址 源地址 协议 端口号 100-199号列表 tcp/udp 数据 ipeg.hdlc ip扩展访问列表 0表示检查相应的地址比特 1表示不检查相应的地址比特 00111111 1286432168421 00000000 00001111 11111100 11111111 反掩码（通配符） ip标准访问列表的配置 1.定义标准acl l 编号的标准访问列表 router(config)#access-list permit|deny 源地址 反掩码 l 命名的标准访问列表 ip access-list standard name deny source source-wildcard|host source|any or permit source source-wildcard|host source|any 2.应用acl到接口 l router(config-if)#ip access-group |name in | out access-list 1 permit 55 (access-list 1 deny 55) interface serial 0 ip access-group 1 out f0 s0 f1 ip标准访问列表配置实例 ip扩展访问列表的配置 1.定义扩展的acl l 编号的扩展acl router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反 掩码 目的端口 l 命名的扩展acl ip access-list extended name deny|permit protocol source source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port 2.应用acl到接口 l router(config-if)#ip access-group |name l in | out ip扩展访问列表配置实例 下例显示如何创建一条extended ip acl，该acl 有一条ace，用于允许指定网络（192.168.xx）的 所有主机以http访问服务器，但拒绝 其它所有主机使用网络。 l switch (config)# ip access-list extended abc l switch (config-ext-nacl)# permit tcp 55 host eq www l switch (config-ext-nacl)#end l switch # show access-lists access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 access-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp any any eq 4444 access-list