安全生产_企业内网安全控制课程

企业内网安全控制 学习情境2 复杂程度 Internet飞速增长 时间 第一代引导性病毒 第二代宏病毒DOS电子邮件有限的黑客攻击 第三代网络DOS攻击混合威胁 蠕虫 病毒 特洛伊 广泛的系统黑客攻击 下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫 波及全球网络基础架构地区网络多个网络单个网络单台计算机 周 天 分钟 秒 影响目标 1980s 1990s 今天 未来 安全事件对我们的威胁越来越快 网络安全的演化 VLAN 北京总部 广州分公司 上海分公司 VLAN VLAN VLAN VLAN VLAN VLAN 情景二 构建企业交换式局域网 情景三 企业内部路由配置情景四 企业内网安全控制 情景五 企业广域网接入配置 课程综合项目 Center公司网络改造项目 Internet 情景一 网络设备选型 课程项目进度 本章目标 了解网络安全的基础知识掌握网络互联设备的安全控制保护措施掌握交换机端口的安全知识学习访问控制列表技术区别不同的访问控制列表技术 任务分解 3 配置扩展访问控制列表访问安全技术 任务进度 2 1网络安全概述 安全威胁窃听 重传 篡改 拒绝服务攻击 行为否认 电子欺骗 非授权访问 传播病毒网络攻击方法获取口令放置木马程序WWW的欺骗技术电子邮件攻击通过一个节点来攻击其他节点网络监听寻找系统漏洞利用帐号进行攻击偷取特权 手段多样的网络攻击 网络攻击的防御技术 身份认证技术加解密技术边界防护技术访问控制技术主机加固技术安全审计技术检测监控技术 2 2管理设备控制台安全 对于大多数企业内部网来说 连接网络中各个节点的互联设备 是整个网络规划中最需要重要保护的对象 大多数网络都有一 二个主要的接入点 对这个接入点的破坏 直接造成整个网络瘫痪 如果网络互相设备没有很好的安全防护措施 来自网络内部的攻击或者恶作剧式的破坏 将对网络的打击是最致命的 因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一 据国外调查显示 80 的安全破坏事件都是由薄弱的口令引起的 因此为网络互联设备 配置一个恰当口令 是保护网络不受侵犯最根本保护 保护设备控制台的安全措施 通过一根配置线缆连接到交换机的配置端口 Console 另一端连接到配置计算机的串口 通过如下命令 配置登入交换机控制台特权密码Switch Switch configureterminalSwitch config enablesecretmypassword 配置特权密文密码Switch config login 配置登陆时需要验证密码 配置线缆 配置交换机的连接模式 配置线缆 配置交换机远程登录的安全措施 除通过Console端口与设备直接相连管理设备之外 用户还可以通过Telnet程序和交换机RJ45口建立远程连接 以方便管理员对网络设备进行远程管理 配置交换机远程登录密码过程如下 路由器远程登录密码的配置与之相同 Switch Switch configureterminalSwitch config linevty04 开启Telnet线路Switch config line passwordmypassword 配置Telnet登录密码Switch config line login 配置登陆时需要验证密码 2 3交换机端口安全 端口安全概述大部分网络攻击行为都采用欺骗源IP或源MAC地址的方法 对网络的核心设备进行连续的数据包攻击 如典型的ARP攻击 MAC攻击和DHCP攻击等 这些针对交换机端口产生的攻击行为 可以通过启用交换机端口安全功能特性加以防范 FF FF FF FF FF FF 广播MAC地址 00 d0 f8 00 07 3c 前3个字节 IEEE分配给网络设备制造厂商的 后3个字节 网络设备制造厂商自行分配的 不重复 生产时写入设备 MAC地址 链路层唯一标识 接入交换机 MACPortA1B2C3 MAC地址表 空间有限 MAC攻击 攻击 MAC地址表空间是有限 MAC攻击会占满交换机地址表 使得单播包在交换机内部也变成广播包 向所有端口转发 每个连在端口上客户端都可以收到该报文 交换机变成了一个Hub 用户的信息传输也没有安全保障了 MAC攻击 端口安全配置方式 配置安全地址 当开启交换机端口安全功能并为交换机端口配置安全MAC地址 则这个端口将不转发除安全源MAC地址外的其他任何数据帧 配置安全地址数 交换机安全端口不仅可以配置安全MAC地址 也可以设置安全地址数目 也就是说 一个安全端口可以配置多个安全MAC地址 配置安全违例处理方式 当发生安全违规事件时 可以指定不同的处理方式 配置老化时间和处理方式 可以为安全端口设置老化时间和处理方式 可以清除长时间不活动的安全MAC地址 将IP地址绑定到MAC地址 可以在交换机上将IP地址绑定到MAC地址 以实现在特定端口上允许特定的IP终端接入 端口安全的配置和维护 配置安全端口的过程包括启用端口安全 设置安全MAC地址的最大数量 配置安全地址 设置违例发生后的处理方式 配置老化时间和将MAC地址与IP地址绑定等 对于Cisco交换机 需要注意的是 Cisco系列交换机可以做基于2层的端口安全 即MAC地址与端口进行绑定 Cisco3550以上交换机均可做基于2层和3层的端口安全 即MAC地址与端口绑定以及MAC地址与IP地址绑定 交换机端口安全功能 交换机的端口安全功能 防止网内部攻击 如MAC地址攻击 ARP攻击 IP MAC欺骗等 交换机端口安全的基本功能1 端口安全地址绑定 解决网中IP地址冲突 ARP欺骗例 在学校宿舍网内端口地址绑定 可以解决学生随意更改IP地址 造成IP地址冲突 或者学生利用黑客工具 进行ARP地址欺骗 2 限制端口最大连接数 控制恶意扩展接入例 学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络 对网络造成破坏 配置端口安全MAC地址 下面以以Cisco交换机为例 来介绍端口安全地址绑定 MAC地址与端口绑定可以实现两种应用 1 设定一端口只接受第一次连接该端口的计算机MAC地址 当该端口第一次获得某计算机MAC地址后 其他计算机接入到此端口所发送的数据帧则认为非法 做丢弃处理 Switch configterminalSwitch config interfaceinterface id 进入端口Switch config if switchportmodeaccess 配置端口为交换模式Switch config if switchportport security 打开端口安全模式Switch config if switchportport securityviolationprotect 设置违例处理 配置端口安全MAC地址 2 设定一端口只接受某一特定计算机MAC地址 其他计算机均无法接入到此端口 Switch configterminalSwitch config interfaceinterface idSwitch config if switchportmodeaccessSwitch config if switchportport securitySwitch config if switchportport securityviolationprotect 以上步骤与第一种应用相同Switch config if switchportport securitymac addressmac address 将端口绑定到特定的MAC地址 设置安全端口最大连接数 可以通过MAC地址来限制端口流量 以下配置允许一接口最多通过100个MAC地址 超过100时 来自新主机的数据帧将丢失 具体配置如下 Switch configterminalSwitch config interfacefastEthernet0 1Switch config SwitchportmodeaccessSwitch config if switchportport securitymaximum100 允许通过的最大MAC地址数目为100Switch config if switchportport securityviolationprotect 当主机MAC地址数超过100时 交换机继续工作 但来自新主机的数据帧将丢失 配置安全违例 当交换机端口配制成安全端口后 以下情况发生时就产生了一个安全违例事件 端口安全地址数已达最大安全数目 这时 如果有一个安全MAC地址表外的MAC地址试图访问这个端口 如果一个站点试图访问这个端口 而这个站点的源MAC地址已被配置为其他的端口的安全地址 配置安全违例 当安全违例产生时 可以选择多种方式来处理违例 protect 当MAC地址的数量达到了这个端口所最大允许的数目 带有未知的源地址的数据帧就会被丢弃 直到删除了足够数量的MAC地址为止 restrict 当安全违例发生时 产生一个Trap消息并将 安全违规 计数器增加1 shutdown 一旦违例发生 马上关闭该端口 并且发送Trap消息 安全端口由于违例被关闭后处在error disable状态 如要恢复该端口 必须敲入全局命令errdisablerecoverycausepsecure violation 或者手动的shutdown然后再noshutdown恢复该端口 这个是Cisco交换机端口安全违例的默认处理方式 配置安全端口与IP地址绑定 MAC地址与IP地址绑定基本原理是 在交换机内建立MAC地址和IP地址映射的ARP表 端口获得的IP和MAC地址将匹配该表 不符合则丢弃该端口发送的数据帧 具体实现方法如下 Switch configureterminalSwitch config arpip地址mac地址arpa如下命令建立ip地址1 1 1 1和mac地址0001 0001 1111绑定 Switch config arp1 1 1 10001 0001 1111arpa注意 需要将网段内所有IP都建立MAC地址映射 没有使用的IP地址可以与0000 0000 0000建立映射 否则该绑定对于网段内没有建立映射的IP地址无效 配置端口安全老化 当为端口指定最大安全MAC地址数时 交换机可以不断学习到新MAC地址 并将它添加到该端口的安全MAC地址表中 这时 安全MAC地址表中可能会有一些MAC地址长期处于不活动状态 为了保障此端口能够得以充分利用 可以采用设置端口安全老化时间和模式的方式 使系统能够自动删除长时间不活动的MAC地址 从而减少网络维护的工作量 配置端口安全老化的过程如下 Switch config interfaceinterface id 指定欲配置端口安全老化的接口Switch config if switchportport securityagingtimeaging time 为安全端口配置老化时间Switch config if switchportport securityagingtype absolute inactivity 为安全端口设置老化类型 查看端口安全设置 在完成端口安全相关设置后 可用下列命令查看端口安全配置 Switch showport security 查看哪些接口启用了端口安全Switch showport securityaddress 查看安全端口mac地址绑定关系Switch showport securityinterfacef0 x 配置交换机端口安全 某公司拓扑如图所示 为了防止局域网内部用户的IP地址冲突 防范内部网络攻击行为 公司要求网络中心管理员为财务部中每一台计算机配置固定IP地址 并限制只允许局域网内部员工的电脑才可以使用网络 不得随意连接其他主机 此外 公司还需限制业务部的最大连接数目为2 阶段总结 网络安全概述安全威胁 网络攻击方法 网络攻击的防御技术管理设备控制台安全保护设备控制台的安全措施 配置交换机远程登录的安全措施交换机端口安全端口安全概述 端口安全的配置和维护 任务进度 ISP 1 什么是访问列表 ACL对经过设备的数据包 根据一定的规则 进行数据包的过滤 FTP RG S2126 RG S3512G RG S4009 RG NBR1000 Internet RG S2126 不同部门所属VLAN不同 技术部VLAN20 财务部VLAN10 隔离病毒源 隔离外网病毒 2 为什么要使用访问列表 ACL的功能 通过灵活地应用访问控制列表 可以把ACL作为一种网络控制的有力工具 用来实现以下功能 提供对通讯流量的控制手段 提供网络访问的基本安全手段 在路由器接口处 决定哪种类型的通讯流量被转发 哪种类型的流量被丢弃 ACL检查数据包 交换机支持的访问控制列表 交换机支持三种访问控制列表的应用过滤传输 端口访问控制列表 也称MAC访问控制列表 对进入二层接口的通信实施访问控制 交换机不支持外出访问的访问控制列表 在三层接口可以应用IP访问控制列表和端口访问控制列表 路由访问控制列表 对VLAN之间以及三层接口之间通信实施访问控制 并且可以控制进 出双向通信 VLAN访问控制列表 也称VLAN映射 对所有包实现访问控制 在同一VLAN的设备之间 可以采用VLANACL实施访问控制 VLAN访问控制列表的配置与访问控制均基于IP地址 不支持基于MAC地址的访问控制 访问控制列表的类型 访问控制列表的分类 1 标准 2 扩展 3 命名 标准 扩展 访问控制列表工作过程 配置标准访问控制列表 标准ACL的工作过程标准ACL只检查可以被路由的数据包的源地址 从而允许或拒绝基于网络 子网或主机IP地址的所有流量通过路由器 从路由器某一接口进来的数据包经过检查其源地址和协议类型 并且与ACL条件判断语句相匹配 如果匹配 则执行允许或拒绝 如果该数据包被允许通过 就从路由器的出口转发出去 如果该数据包被拒绝通过 就丢弃它 当网络管理员要允许或阻止来自某一网络的所有通信流量 可以使用标准ACL来实现这一目标 标准访问列表只根据源IP地址 进行数据包的过滤 学生网段 校领导网段 教研网段 标准列表规则定义 源地址 TCP UDP 数据 IP eg HDLC 1 99号列表 IP标准访问列表 1 定义标准ACLRouter config access list permit deny 源地址 反掩码 Switch config Ipaccess list permit deny 源地址 反掩码 2 应用ACL到接口Router config if ipaccess group name in out 0表示检查相应的地址比特1表示不检查相应的地址比特 0 0 0 0 0 0 0 0 反掩码 通配符 通配符掩码是一个32比特位 其中0表示 检查相应的位 1表示 不检查相应的位 在IP子网掩码中 数字1和0用来决定是网络 还是主机的IP地址 通配符掩码与子网掩码工作原理是不同的 如表示172 16 0 0这个网段 使用通配符掩码应为0 0 255 255 在通配符掩码用255 255 255 255表示所有IP地址 全为1说明所有32位都不检查 这是可以用any来取代 0 0 0 0的通配符掩码则表示所有32位都要进行匹配 这样只表示一个IP地址 可以用host表示 access list1permit172 16 3 00 0 0 255 access list1deny0 0 0 0255 255 255 255 interfaceserial0ipaccess group1out 172 16 3 0 172 16 4 0 F0 S0 F1 Internet172 17 0 0 IP标准访问列表配置 只允许172 16 3 0网络中的计算机访问互联网络 IP标准访问列表配置技术 阻止192 168 0 45主机通过E0访问网络 而允许其他的机器访问Router config access list1denyhost192 168 0 45Router config access list1permitanyRouter config interfaceethernet0Router config if ipaccess group1in 配置标准访问控制列表 拓扑如图所示 要实现网络一和网络二隔离 可以在路由器R2上做标准ACL技术控制 以实现网络之间的隔离 访问控制列表概述 访问表 accesslist 是一个有序的语句集 它通过匹配报文中信息与访问表参数 来允许报文通过或拒绝报文通过某个接口 访问控制列表概述 访问控制列表总的说起来有下面三个作用 安全控制流量过滤数据流量标识 ACL工作原理及规则 ACL语句有两个组件 一个是条件 一个是操作条件 一个组的规则操作 当ACL语句条件与比较的数据包内容匹配时 可以采取允许和拒绝两个操作 ACL工作原理及规则 入站ACL ACL工作原理及规则 出站ACL ACL工作原理及规则 基本规则 准则和限制ACL语句按名称或编号分组 每条ACL语句都只有一组条件和操作 如果需要多个条件或多个行动 则必须生成多个ACL语句 如果一条语句的条件中没有找到匹配 则处理列表中的下一条语句 如果在ACL组的一条语句中找到匹配 则不再处理后面的语句 如果处理了列表中的所有语句而没有指定匹配 不可见到的隐式拒绝语句拒绝该数据包 由于在ACL语句组的最后隐式拒绝 所以至少要有一个允许操作 否则 所有数据包都会被拒绝 语句的顺序很重要 约束性最强的语句应该放在列表的顶部 约束性最弱的语句应该放在列表的底部 ACL工作原理及规则 基本规则 准则和限制一个空的ACL组允许所有数据包 空的ACL组已经在路由器上被激活 但不包含语句的ACL 要使隐式拒绝语句起作用 则在ACL中至少要有一条允许或拒绝语句 只能在每个接口 每个协议 每个方向上应用一个ACL 在数据包被路由到其它接口之前 处理入站ACL 在数据包被路由到接口之后 而在数据包离开接口之前 处理出站ACL 当ACL应用到一个接口时 这会影响通过接口的流量 但ACL不会过滤路由器本身产生的流量 ACL工作原理及规则 ACL放置在什么位置 只过滤数据包源地址的ACL应该放置在离目的地尽可能近的地方 过滤数据包的源地址和目的地址以及其他信息的ACL 则应该放在离源地址尽可能近的地方 只过滤数据包中的源地址的ACL有两个局限性 即使ACL应用到路由器C的E0 任何用户A来的流量都将被禁止访问该网段的任何资源 包括数据库服务器 流量要经过所有到达目的地的途径 它在即将到达目的地时被丢弃 这是对带宽的浪费 ACL的种类 两种基本的ACL 标准ACL和扩展ACL标准IPACL只能过滤IP数据包头中的源IP地址扩展IPACL可以过滤源IP地址 目的IP地址 协议 TCP IP 协议信息 端口号 标志代码 等 访问控制列表 标准ACL 标准ACL只能过滤IP数据包头中的源IP地址标准ACL通常用在路由器配置以下功能 限制通过VTY线路对路由器的访问 telnet SSH 限制通过HTTP或HTTPS对路由器的访问 过滤路由更新 标准ACL 通过两种方式创建标准ACL 编号或名称使用编号使用编号创建ACL在接口上应用In 当流量从网络网段进入路由器接口时Out 当流量离开接口到网络网段时 Router config access listlistnumber permit deny address wildcard mask Router config if ipaccess group id name in out 允许 拒绝 标准ACL 使用命名定义ACL名称定义规则在接口上应用 Router config ipaccess liststandardname Router config std nacl deny permit sourcewildcardany Router config if ipaccess group id name in out 配置标准ACL示例 192 168 1 254 210 1 1 254 访问控制列表 实习项目 配置标准访问列表控制网络流量 工作任务 如图所示的网络拓扑是某大学计算机科学技术学院学院学生网和行政办公网网络工作场景 要实现学生网 172 16 3 0 和行政办公网 172 16 1 0 的隔离 可以在其中R1路由器上做标准ACL技术控制 以实现网络之间的隔离 项目设备 路由器 2台 网线 若干 测试PC 2台 实施过程 阶段总结 ACL简介访问列表功能 交换机支持的访问控制列表 访问控制列表的类型 访问控制列表工作过程配置标准访问控制列表标准ACL的工作过程 配置标准ACL 任务进度 3 配置扩展访问控制列表访问安全技术 扩展型访问控制列表 扩展型访问控制列表 ExtendedIPACL 在数据包的过滤和控制方面 增加了更多的精细度和灵活性 具有比标准的ACL更强大数据包检查功能 扩展ACL不仅检查数据包源IP地址 还检查数据包中目的IP地址 源端口 目的端口 建立连接和IP优先级等特征信息 利用这些选项对数据包特征信息进行匹配 ACL分类 扩展访问列表 扩展ACL可以根据数据包内的源 目的地址 应用服务进行过滤 邮件server WEBserver 目的地址 源地址 协议 端口号 100 199号列表 TCP UDP 数据 IP eg HDLC IP扩展访问列表 1 扩展访问控制列表 可以通过两种方式为扩展ACL语句分组 通过编号或名称编号的扩展ACL创建扩展ACL接口上应用 Router config access listlistnumber permit deny protocolsourcesource wildcard maskdestinationdestination wildcard mask operatoroperand Router config if ipaccess group id name in out 扩展访问控制列表 命名的标准ACL定义扩展ACL名称定义规则在接口上应用 Router config ipacess listextendedname Router config if ipaccess group id name in out Router conig ext nacl deny permit protocol sourcesource wildcard hostsource any operatorport 验证ACL配置 显示所有协议的所有ACL查看接口应用的ACL情况 Router showaccess lists Router showipaccess group 冲击波 MSBlaster 病毒 蠕虫病毒 大量ICMP扫描 导致网络阻塞利用ACL关闭ICMP服务 以及相应端口 益处 抑制蠕虫攻击 控制蠕虫蔓延 保证网络带宽 配置示例 access list101denytcpanyanyeq135阻止感染病毒的PC向其它正常PC的135端口发布攻击代码 access list101denyudpanyanyeqtftp限制目标主机通过tftp下载病毒 access list101denyicmpanyany阻断感染病毒的PC向外发送大量的ICMP报文 防止其堵塞网络 接入交换机RG S2126G防病毒配置RG 2126G 2 config ipaccess listextendeddeny wormsRG 2126G 2 config ext nacl denytcpanyanyeq135RG 2126G 2 config ext nacl denytcpanyanyeq136RG 2126G 2 config ext nacl denytcpanyanyeq137RG 2126G 2 config ext nacl denytcpanyanyeq138RG 2126G 2 config ext nacl denytcpanyanyeq139RG 2126G 2 config ext nacl denytcpanyanyeq445RG 2126G 2 config ext nacl denyudpanyanyeq135RG 2126G 2 config ext nacl denyudpanyanyeq136RG 2126G 2 config ext nacl denyudpanyanyeqnetbios nsRG 2126G 2 config ext nacl denyudpanyanyeqnetbios dgmRG 2126G 2 config ext nacl denyudpanyanyeqnetbios ssRG 2126G 2 config ext nacl denyudpanyanyeq445RG 2126G 2 config ext nacl permitipanyanyRG 2126G 2 config ext nacl exitRG 2126G 2 config interfacerangefa0 1 24RG 2126G 2 config if range ipaccess groupdeny wormsin 配置扩展ACL示例 配置扩展ACL示例 项目 配置扩展访问列表保护服务器安全 工作任务 如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景 要实现教师网 172 16 1 0 和学生网 172 16 3 0 之间的互相连通 但不允许学生网访问教师网中的FTP服务器 可以在路由器R2上做扩展ACL技术控制 以实现网络之间的隔离 项目设备 路由器 2台 网线 若干 测试PC 2台 实施过程 配置扩展访问控制列表 扩展ACL的工作过程 扩展型访问控制列表 扩展型访问控制列表 ExtendedIPACL 在数据包的过滤和控制方面 增加了更多的精细度和灵活性 具有比标准的ACL更强大数据包检查功能 扩展ACL不仅检查数据包源IP地址 还检查数据包中目的IP地址