锐捷认证网络工程师RCNA-第9章 园区网安全设计.ppt

第9章 园区网的安全设计,锐捷认证网络工程师rcna,本章内容,网络安全隐患 交换机端口安全 ip访问列表,课程议题,网络安全隐患 交换机端口安全 ip访问列表,复杂程度,internet 技术的飞速增长,时间,网络安全风险,安全需求和实际操作脱离 内部的安全隐患 动态的网络环境 有限的防御策略 安全策略和实际执行之间的巨大差异,针对网络通讯层的攻击,针对操作系统的攻击,针对应用服务的攻击,应用服务程序,web服务器 数据库系统 内部办公系统 网络浏览器 erp 系统 办公文件程序 ftp smtp pop3,oracle,dmz e-mail file transfer http,intranet,企业网络,生产部,工程部,市场部,人事部,路由,internet,中继,外部个体,外部/组织,内部个体,内部/组织,额外的不安全因素,网络的普及使学习网络进攻变得容易,全球超过26万个黑客站点提供系统漏洞和攻击知识 越来越多的容易使用的攻击软件的出现,第一代 引导性病毒,第二代 宏病毒 dos 电子邮件 有限的黑客攻击,第三代 网络dos攻击 混合威胁（蠕虫+病毒+特洛伊） 广泛的系统黑客攻击,下一代 网络基础设施黑客攻击 瞬间威胁 大规模蠕虫 ddos 破坏有效负载的病毒和蠕虫,波及全球的网络基础架构 地区网络 多个网络 单个网络 单台计算机,周,天,分钟,秒,影响的目标和范围,1980s,1990s,今天,未来,安全事件对我们的威胁越来越快,网络安全的演化,现有网络安全 防御体制,ids 68%,杀毒软件 99%,防火墙 98%,acl 71%,现有网络安全体制,vpn 虚拟专用网,防火墙,包过滤,防病毒,入侵检测,课程议题,网络安全隐患 交换机端口安全 ip访问列表,交换机端口安全,利用交换机的端口安全功能可以防止局域网大部分的内部攻击对用户、网络设备造成的破坏。如mac地址攻击、arp攻击、ip/mac地址欺骗等。 交换机端口安全的基本功能 限制交换机端口的最大连接数 端口的安全地址绑定,交换机端口安全,如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后; 如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。 当安全违例产生时，你可以选择多种方式来处理违例： protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。 restricttrap：当违例产生时，将发送一个trap通知。 shutdown：当违例产生时，将关闭端口并发送一个trap通知。,配置安全端口,端口安全最大连接数配置 switchport port-security 打开该接口的端口安全功能 switchport port-security maximum value 设置接口上安全地址的最大个数，范围是1128，缺省值为128。 switchport port-security violationprotect| restrict | shutdown 设置处理违例的方式,注：1、端口安全功能只能在access端口上进行配置。 2、当端口因为违例而被关闭后，在全局配置模式下使 用命令errdisable recovery 来将接口从错误状态 中恢复过来。,配置安全端口,端口的安全地址绑定 switchport port-security 打开该接口的端口安全功能 switchport port-security mac-address mac-address ip-address ip-address 手工配置接口上的安全地址。,注：1、端口安全功能只能在access端口上进行配置。 2、端口的安全地址绑定方式有:单mac、单ip、mac+ip,端口安全配置示例,下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。 switch# configure terminal switch(config)# interface gigabitethernet 1/3 switch(config-if)# switchport mode access switch(config-if)# switchport port-security switch(config-if)# switchport port-security maximum 8 switch(config-if)# switchport port-security violation protect switch(config-if)# end,端口安全配置示例,下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机mac为00d0.f800.073c，ip为02 switch# configure terminal switch(config)# interface fastethernet 0/3 switch(config-if)# switchport mode access switch(config-if)# switchport port-security switch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02 switch(config-if)# end,验证命令,查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等。 switch#show port-security secure port maxsecureaddr（count） currentaddr（count） security action - - - - gi1/3 8 1 protect,验证命令,查看安全地址信息。 switch# show port-security address vlan mac address ip address type port remaining age(mins) - - - - - - 1 00d0.f800.073c 02 configured fa0/3 8 1,课程议题,网络安全隐患 交换机端口安全 ip访问列表,isp,什么是访问列表,ip access-list：ip访问列表或访问控制列表，简称ip acl ip acl就是对经过网络设备的数据包根据一定的规则进行数据包的过滤。,为什么要使用访问列表,网络安全性,可以是路由器或三层交换机或防火墙,接入层交换机 rg-s2126,核心交换机 rg-s3512g /rg-s4009,服务器群,路由器 rg-nbr1000,internet,交换机堆叠,接入层交换机 rg-s2126,不同部门所属vlan不同,技术部 vlan20,财务部 vlan10,隔离病毒源,隔离外网病毒,www email ftp,为什么要使用访问列表,访问列表的组成,定义访问列表的步骤 第一步，定义规则（哪些数据允许通过，哪些数据不允许通过） 第二步，将规则应用在路由器（或交换机）的接口上 访问控制列表的分类： 1、标准访问控制列表 2、扩展访问控制列表 访问控制列表规则元素 源ip、目的ip、源端口、目的端口、协议,访问列表规则的应用,路由器应用访问列表对流经接口的数据包进行控制 1.入栈应用（in） 2.出栈应用（out）,访问列表的入栈应用,n,y,是否允许 ?,y,是否应用 访问列表 ?,n,查找路由表 进行选路转发,以icmp信息通知源发送方,以icmp信息通知源发送方,n,y,选择出口 s0,路由表中是否 存在记录 ?,n,y,查看访问列表 的陈述,是否允许 ?,y,是否应用 访问列表 ?,n,s0,s0,访问列表的出栈应用,ip acl的基本准则,一切未被允许的就是禁止的。 路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。 按规则链来进行匹配 使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”,y,拒绝,y,是否匹配 测试条件1 ?,允许,n,拒绝,允许,是否匹配 测试条件2 ?,拒绝,是否匹配 最后一个 测试条件 ?,y,y,n,y,y,允许,被系统隐 含拒绝,n,一个访问列表多个测试条件,访问列表规则的定义,标准访问列表 根据数据包源ip地址进行规则定义 扩展访问列表 根据数据包中源ip、目的ip、源端口、目的端口、协议进行规则定义,源地址,tcp/udp,数据,ip,eg.hdlc,1-99 号列表,ip标准访问列表,目的地址,源地址,协议,端口号,100-199号列表,tcp/udp,数据,ip,eg.hdlc,ip扩展访问列表,0表示检查相应的地址比特 1表示不检查相应的地址比特,0,0,0,0,0,0,0,0,反掩码（通配符）,ip标准访问列表的配置,1.定义标准acl 编号的标准访问列表 router(config)#access-list permit|deny 源地址 反掩码 命名的标准访问列表 ip access-list standard name deny source source-wildcard|host source|any or permit source source-wildcard|host source|any 2.应用acl到接口 router(config-if)#ip access-group |name in | out ,access-list 1 permit 55 (access-list 1 deny 55) interface serial 0 ip access-group 1 out,,,f0,s0,f1,,ip标准访问列表配置实例,ip扩展访问列表的配置,1.定义扩展的acl 编号的扩展acl router(config)#access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 命名的扩展acl ip access-list extended name deny|permit protocol source source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port 2.应用acl到接口 router(config-if)#ip access-group |name in | out ,ip扩展访问列表配置实例,下例显示如何创建一条extended ip acl，该acl有一条ace，用于允许指定网络（192.168.xx）的所有主机以http访问服务器，但拒绝其它所有主机使用网络。 switch (config)# ip access-list extended abc switch (config-ext-nacl)# permit tcp 55 host eq www switch (config-ext-nacl)#end switch # show access-lists,access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135 access-list 115 deny udp any any eq 135 access-list 115 deny udp any any eq 137 access-list 115 deny udp any any eq 138 access-list 115 deny tcp any any eq 139 access-list 115 deny udp any any eq 139 access-list 115 deny tcp any any eq 445 access-list 115 deny tcp any any eq 593 access-list 115 deny tcp