网络互联技术PPT第5章网络安全技术.ppt

第五章网络安全技术 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年 具备完整应用体系和物理架构 但在使用过程中 网络安全面临很多隐患 需要经行安全规划 新规划学院网络安全的实施整体规划 通过在交换机设备上增加访问控制列表技术 实现学院内部网络设备之间安全防范 并增加防火墙设备增加学院网络的整体安全建设规划 工程任务 保护园区网络安全 组件一 网络攻击行为 保护园区网络安全 组件二 管理设备控制台安全 组件三 交换机端口安全技术 组件四 访问控制列表安全技术 组件一 网络攻击行为 保护园区网络安全 复杂程度 Internet飞速增长 时间 第一代引导性病毒 第二代宏病毒DOS电子邮件有限的黑客攻击 第三代网络DOS攻击混合威胁 蠕虫 病毒 特洛伊 广泛的系统黑客攻击 下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫 波及全球网络基础架构地区网络多个网络单个网络单台计算机 周 天 分钟 秒 影响目标 1980s 1990s 今天 未来 安全事件对我们的威胁越来越快 网络安全的演化 网络安全隐患 网络安全隐患是指借助计算机或其他通信设备 利用网络开放性和匿名性的特征 在进行网络交互操作时 进行的窃听 攻击或其它破坏行为 具有侵犯系统安全或危害系统资源的危险 企业内部网络安全隐患包括的范围更广泛 如自然火灾 意外事故 人为行为 如使用不当 安全意识等 黑客行为 内部泄密 外部泄密 信息丢失 电子监听 信息流量分析 信息窃取等 和信息战等 一般根据网络安全隐患源头可分为以下几类 1 非人为或自然力造成的硬件故障 电源故障 软件错误 火灾 水灾 风暴和工业事故等 2 人为但属于操作人员无意的失误造成的数据丢失或损坏 3 来自企业网外部和内部人员的恶意攻击和破坏 常见网络管理中存在的安全问题 1 机房安全 机房是网络设备运行的控制中心 经常发生的安全问题 如物理安全 火灾 雷击 盗贼等 电气安全 停电 负载不均等 等情况 2 病毒的侵入 Internet开拓性的发展 使病毒传播发展成为灾难 据美国国家计算机安全协会 NCSA 最近一项调查发现 几乎100 的美国大公司都曾在他们的网络中经历过计算机病毒的危害 3 黑客的攻击 得益于Internet的开放性和匿名性 也给Internet应用造成了很多漏洞 从而给别有用心的人有可乘之机 来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患 4 管理不健全造成的安全漏洞 网络安全不仅仅是技术问题 更是一个管理问题 它包含管理机构 法律 技术 经济各方面 网络安全技术只是实现网络安全的工具 要解决网络安全问题 必须要有综合的解决方案 网络攻击行为 常见的攻击措施主要有 获取网络口令放置特洛伊木马程序WWW欺骗技术电子邮件攻击通过一个节点来攻击其他节点拒绝服务攻击DDOS网络监听寻找系统漏洞利用账号进行攻击偷取特权 手段多样的网络攻击 攻击不可避免 攻击工具体系化 网络进攻简单化 全球超过26万黑客站点 提供系统漏洞和攻击知识越来越多易使用攻击软件出现年轻人对网络攻击好奇心年轻人的叛逆心理 大量的攻击工具随手拾来 攻击工具更加 人性化 现有网络安全防御体制 入侵检测系统IDS68 杀毒软件99 防火墙98 ACL71 现有网络安全体制 VPN虚拟专用网 防火墙 包过滤 防病毒 入侵检测 现有网络安全技术 保护园区网络安全 组件二 管理设备控制台安全 管理交换机控制台安全 对于大多数企业内部网来说 连接网络中各个节点的互联设备 是整个网络规划中最需要重要保护的对象 大多数网络都有一 二个主要的接入点 对这个接入点的破坏 直接造成整个网络瘫痪 如果网络互联设备没有很好的安全防护措施 来自网络内部的攻击或者恶作剧式的破坏 对网络的打击将是最致命的 因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一 据国外调查显示 80 的安全破坏事件都是由薄弱的口令引起的 因此为网络互联设备 配置一个恰当口令 是保护网络不受侵犯最根本的保护 配置交换机的登陆密码S2126G config enablesecretlevel10star 0 表示输入的是明文形式的口令 1为分配等级配置交换机的特权密码S2126G config enablesecretlevel150Star 0 表示输入的是明文形式的口令 15为分配等级等级1分配给特权模式 等级15分配给全局模式 登级2 14分配给不同的命令 保护交换机控制台的安全措施 配置交换机远程登录的安全措施 Switch config enablesecretlevel10star 配置远程登陆密码Switch config enablesecretlevel150star 配置进入特权模式密码Switch config interfacevlan1 配置远程登录地址Switch config if noshutdownSwitch config if ipaddress192 168 1 1255 255 255 0Switch config if end 注 两个密码缺一不可 路由器控制台安全 保护路由器控制台的安全措施配置路由器控制台密码Router config lineconcole0Router config line loginRouter config line passwordstar配置路由器的特权登录密码 Router config enablepasswordstarRouter config enablesecretstar password 表示输入的是明文形式的口令 secret 为密文形式的口令 密文有最高优先级别 保护路由器远程登陆登录的安全措施Router configureterminalRouter config Router config lineVTY04Router config line loginRouter config line passwordstar 保护园区网络安全 组件三 交换机端口安全技术 FF FF FF FF FF FF 广播MAC地址 00 d0 f8 00 07 3c 前3个字节 IEEE分配给网络设备制造厂商的 后3个字节 网络设备制造厂商自行分配的 不重复 生产时写入设备 MAC地址 链路层唯一标识 接入交换机 MACPortA1B2C3 MAC地址表 空间有限 MAC地址 攻击 MAC地址表空间是有限 MAC攻击会占满交换机地址表 使得单播包在交换机内部也变成广播包 向所有端口转发 每个连在端口上的客户端都可以收到该报文 交换机变成了一个Hub 用户的信息传输也没有安全保障了 MAC地址攻击 交换机端口安全功能 交换机的端口安全功能 可以防止网络内部攻击 如MAC地址攻击 ARP攻击 IP MAC欺骗等 交换机端口安全的基本功能1 限制端口最大连接数 控制恶意扩展接入例 学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络 对网络造成破坏 2 端口安全地址绑定 解决网中IP地址冲突 ARP欺骗例 在学校宿舍网内端口地址绑定 可以解决学生随意更改IP地址 造成IP地址冲突 或者学生利用黑客工具 进行ARP地址欺骗 交换机端口安全内容 安全端口收到不属于端口上安全地址包时 一个安全违例将产生 当安全违例产生时 可以选择多种方式来处理违例 Protect 安全端口将丢弃未知地址的包 不是该端口的安全地址中的任何一个 RestrictTrap 当违例产生时 将发送一个Trap通知 Shutdown 当违例产生时 将关闭端口并发送一个Trap通知 配置端口的最大连接数 配置fa1 3端口安全功能 设置最大地址个数为8 违例方式为protect Switch config interfacefa1 3Switch config if switchportport securitySwitch config if switchportport securitymaximum8Switch config if switchportport securityviolationprotect 绑定端口安全地址 配置fa0 3安全功能 绑定MAC为00d0 f800 073c IP为192 168 12 202Switch config interfacefa0 3Switch config if switchportport securitySwitch config if switchportport securitymac address00d0 f800 073cip address192 168 12 202 验证命令 查看接口安全信息Switch showport securitySecurePortMaxSecureAddr count CurrentAddr count SecurityAction fa0 381Protect 查看安全地址信息Switch showport securityaddressVlanMacAddressIPAddressTypePortRemainingAge mins 100d0 f800 073c192 168 12 202ConfiguredFa0 381 实习项目 配置交换机端口安全 工作任务 如图所示 模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突 防止学院内部的网络攻击行为 学院领导要求网络中心的管理员 为学院中每一台电脑分配固定IP地址 如为某位老师分配的IP地址是172 16 1 55 24 该主机的MAC地址是00 06 1B DE 13 B4 并限制只允许学院内部的员工才可以使用网络 并不得随意连接其他主机 项目设备 交换机 1台 PC 1台 网线 1条 实施过程 arp绑定运行 cmdtelnet172 16 1 251输入用户名uuuuuu输入密码mmmmmmshowiparp显示ARP状况en进入编辑configt进入配置编辑状态showmac 显示mac号后处的交换口arpip地址mac地址arpagi0 4绑定某IP的mac地址于交换机4口上end结束编辑wr写入配置文件中exit退出noarpip解开绑定 保护园区网络安全 组件四 访问控制列表技术 ISP 1 什么是访问列表 ACL对经过设备的数据包 根据一定的规则 进行数据包的过滤 FTP RG S2126 RG S3512G RG S4009 RG NBR1000 Internet RG S2126 不同部门所属VLAN不同 技术部VLAN20 财务部VLAN10 隔离病毒源 隔离外网病毒 2 为什么要使用访问列表 3 访问列表的组成 定义访问列表的步骤第一步 定义规则 哪些数据允许通过 哪些不允许 第二步 将规则应用在设备接口 上 访问控制列表规则元素源IP 目的IP 源端口 目的端口 协议 服务 4 访问列表规则的应用 访问列表对流经接口的数据包进行控制 1 入栈应用 in 2 出栈应用 out 5 ACL的基本准则 一切未被允许的就是禁止的路由器缺省允许所有的信息流通过 防火墙缺省封锁所有的信息流 对希望提供的服务逐项开放 按规则链来进行匹配使用源地址 目的地址 源端口 目的端口 协议 时间段进行匹配 从头到尾 至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的 允许 拒绝 Y 拒绝 Y 是否匹配测试条件1 允许 N 拒绝 允许 是否匹配测试条件2 拒绝 是否匹配最后一个测试条件 Y Y N Y Y 允许 被系统隐含拒绝 N 6 一个访问列表多个测试条件 标准访问列表根据数据包源IP地址进行规则定义 扩展访问列表根据数据包中源IP 目的IP 源端口 目的端口 协议进行规则定义 7 ACL分类 标准访问列表只根据源IP地址 进行数据包的过滤 学生网段 校领导网段 教研网段 8 标准列表规则定义 1 定义标准ACLRouter config access list permit deny 源地址 反掩码 Switch config Ipaccess list permit deny 源地址 反掩码 反掩码是一个32比特位 其中0表示 检查相应的位 1表示 不检查相应的位 255 255 255 255表示所有IP地址 全为1说明所有32位都不检查 可以用any来取代 0 0 0 0表示所有32位都要进行匹配 这样只表示一个IP地址 可以用host表示 2 应用ACL到接口Router config if ipaccess group in out access list1permit172 16 3 00 0 0 255access list1deny0 0 0 0255 255 255 255interfaceserial0ipaccess group1out 172 16 3 0 172 16 4 0 F0 S0 F1 Internet172 17 0 0 IP标准访问列表配置实例1 只允许172 16 3 0网络中的计算机访问互联网络 IP标准访问列表配置实例2 阻止192 168 0 45主机通过E0访问网络 而允许其他的机器访问Router config access list1denyhost192 168 0 45Router config access list1permitanyRouter config interfaceethernet0Router config if ipaccess group1in 实习项目 配置标准访问列表控制网络流量 工作任务 如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景 要实现学生网 172 16 3 0 和行政办公网 172 16 1 0 的隔离 可以在其中R1路由器上做标准ACL技术控制 以实现网络之间的隔离 项目设备 路由器 2台 网线 若干 测试PC 2台 实施过程 9 扩展型访问控制列表 扩展型访问控制列表 ExtendedIPACL 在数据包的过滤和控制方面 增加了更多的精细度和灵活性 具有比标准的ACL更强大的数据包检查功能 扩展ACL不仅检查数据包源IP地址 还检查数据包中目的IP地址 源端口 目的端口 建立连接和IP优先级等特征信息 利用这些选项对数据包特征信息进行匹配 IP扩展访问列表的配置 1 定义扩展的ACLRouter config access list permit deny 协议源地址反掩码 源端口 目的地址反掩码 目的端口 2 应用ACL到接口Router config if ipaccess group in out IP扩展访问列表配置实例 允许网络192 168 0 0内所有主机访问HTTP服务器172 168 12 3 拒绝其它主机使用网络 Switch config access list111permittcp192 168 0 00 0 255 255host172 168 12 3eqwwwSwitch config access list111denyipanyanySwitch showaccess lists 项目 配置扩展访问列表保护服务器安全 工作任务 如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景 要实现教师网 172 16 1 0 和学生网 172 16 3 0 之间的互相连通 但不允许学生网访问教师网中的FTP服务器 可以在路由器R2上做扩展ACL技术控制 以实现网络之间的隔离 项目设备 路由器 2台 网线 若干 测试PC 2台 实施过程 10 命名访问控制列表 命名ACL不使用编号而使用字符串来定义规则 在网络管理过程中 随时根据网络变化修改某一条规则 调整用户访问权限 通过字符串组成的名字直观地表示特定ACL 不受编号ACL中100条限制 可以方便的对ACL进行修改 无需删除重新配置 命名访问控制列表的配置 1 定义命名ACL ipaccess list standard extended name deny permit protocolsourcewildcarddestinationwildcard operatorport 2 应用ACL到接口Router config if ipaccess groupname in out 配置命名标准访问控制列表 Switch configureterminalSwitch config ipaccess liststandarddeny host 192 168 l2 xSwitch config std nacl deny192 168 12 00 0 0 255Switch config std nacl permitan