网络安全技术.PPT

1、 中北大学计算机科学技术学院新整合的校园网络是在原来分院网络基础上整合各分院信息化建设也历经多年，具备完整应用体系和物理架构。但在使用过程中，网络安全面临很多隐患，需要经行安全规划。新规划学院网络安全的实施整体规划，通过在交换机设备上增加访问控制列表技术，实现学院内部网络设备之间安全防范，并增加防火墙设备增加学院网络的整体安全建设规划。 工程任务：保护园区网络安全组件一：网络攻击行为 保护园区网络安全组件二：管理设备控制台安全 组件三：交换机端口安全技术 组件四：访问控制列表安全技术 组件一：网络攻击行为 保护园区网络安全复杂程度复杂程度Internet飞速增长Internet EmailWe

2、b 浏览Intranet 站点电子商务电子商务 电子政务电子政务电子交易电子交易时间时间第一代引导性病毒第二代宏病毒DOS电子邮件有限的黑客攻击第三代网络DOS攻击混合威胁（蠕虫+病毒+特洛伊）广泛的系统黑客攻击下一代网络基础设施黑客攻击瞬间威胁大规模蠕虫DDoS破坏有效负载的病毒和蠕虫波及全球网波及全球网络基础架构络基础架构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天天分钟分钟秒秒影响目标影响目标1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快网络安全的演化网络安全隐患 网络安全隐患是指借助计算机或其他通信设备，利用网

3、络开放性和匿名性的特征，在进行网络交互操作时，进行的窃听、攻击或其它破坏行为，具有侵犯系统安全或危害系统资源的危险。企业内部网络安全隐患包括的范围更广泛，如自然火灾、意外事故、人为行为（如使用不当、安全意识差等）、黑客行为、内部泄密、外部泄密、信息丢失、电子监听（信息流量分析、信息窃取等）和信息战等。一般根据网络安全隐患源头可分为以下几类：（1）非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。（2）人为但属于操作人员无意的失误造成的数据丢失或损坏。（3）来自企业网外部和内部人员的恶意攻击和破坏。常见网络管理中存在的安全问题 （1）机房安全。机房是网络设备运行的控

4、制中心，经常发生的安全问题，如物理安全（火灾、雷击、盗贼等）、电气安全（停电、负载不均等）等情况。 （2）病毒的侵入。Internet开拓性的发展，使病毒传播发展成为灾难。据美国国家计算机安全协会（NCSA）最近一项调查发现，几乎100%的美国大公司都曾在他们的网络中经历过计算机病毒的危害。（3）黑客的攻击。得益于Internet的开放性和匿名性，也给Internet应用造成了很多漏洞，从而给别有用心的人有可乘之机，来自企业网络内部或者外部的黑客攻击都给目前网络造成了很大的隐患。（4）管理不健全造成的安全漏洞。从网络安全的广义角度来看，网络安全不仅仅是技术问题，更是一个管理问题。它包含管理机构

5、、法律、技术、经济各方面。网络安全技术只是实现网络安全的工具。要解决网络安全问题，必须要有综合的解决方案。网络攻击行为 常见的攻击措施主要有： 获取网络口令 放置特洛伊木马程序 WWW欺骗技术 电子邮件攻击 通过一个节点来攻击其他节点 拒绝服务攻击 网络监听 寻找系统漏洞 利用账号进行攻击 偷取特权 0%10%20%30%40%50%60%70%80%90%100%病毒/网络蠕虫病毒/网络蠕虫针对网络服务器漏洞的攻击针对网络服务器漏洞的攻击拒绝服务攻击拒绝服务攻击基于缓冲区溢出的攻击基于缓冲区溢出的攻击与Active Code相关的攻击与协议弱点相关的攻击与协议弱点相关的攻击与不完全的密码相关

6、的攻击攻击不可避免攻击工具体系化攻击工具体系化网络进攻简单化 全球超过26万黑客站点, 提供系统漏洞和攻击知识 越来越多易使用攻击软件出现 年轻人对网络攻击好奇心 年轻人的叛逆心理大量的攻击工具随手拾来大量的攻击工具随手拾来攻击工具更加“人性化”现有网络安全现有网络安全防御体制防御体制入侵检测系统IDS68%杀毒软件杀毒软件99%防火墙防火墙98%ACL71%现有网络安全体制现有网络安全技术保护园区网络安全组件二：管理设备控制台安全 保护交换机控制台的安全措施保护交换机控制台的安全措施 对于大多数企业内部网来说，连接网络中各个节点的互联设备，是整个网络规划中最需要重要保护的对象。大多数网络都有

7、一、二个主要的接入点，对这个接入点的破坏，直接造成整个网络瘫痪。如果网络互连设备没有很好的安全防护措施，来自网络内部的攻击或者恶作剧式的破坏，将对网络的打击是最致命的。因此设置恰当的网络设备防护措施是保护网络安全的重要手段之一。 据国外调查显示，80%的安全破坏事件都是由薄弱的口令引起的，因此为网络互联设备，配置一个恰当口令，是保护网络不受侵犯最根本保护 交换机控制台安全措施 配置交换机的登陆密码配置交换机的登陆密码S2126G(config)#enable secret level 1 0 star “0”“0”表示输入的是明文形式的口令，表示输入的是明文形式的口令，1 1为分配等级为分配等

8、级 配置交换机的特权密码配置交换机的特权密码S2126G(config)#enable secret level 15 0 Star “0”“0”表示输入的是明文形式的口令，表示输入的是明文形式的口令， 1 1为分配等级为分配等级等级等级1 1分配给特权模式分配给特权模式; ; 等级等级1515分配给全局模式，等级分配给全局模式，等级2-142-14分配给不同的命令分配给不同的命令; ;配置TELNET方式管理交换机Switch(config)#enable secret level 1 0 star ！配置远程登陆密码 Switch (config)#enable secret level

9、15 0 star ！配置进入特权模式密码Switch (config)#interface vlan 1 ！配置远程登录地址Switch (config-if)#no shutdownSwitch (config-if)#ip address Switch (config-if)#end路由器控制台安全措施 保护路由器控制台的安全措施 配置路由器控制台密码Router （config） # line concole 0Router （config-line） # loginRouter （config-line） # password sta

10、r 配置路由器的特权登录密码：Router （config） # enable password starRouter （config） # enable secret star “password ”表示输入的是明文形式的口令，表示输入的是明文形式的口令， “secret”为密文形式的口令，密文有最高优先级别。为密文形式的口令，密文有最高优先级别。 保护路由器远程登陆登录的安全措施 Router # configure terminalRouter （config） #Router （config） # line VTY 0 4Router （config-line） # loginRout

11、er （config-line） # password star 保护园区网络安全组件三：交换机端口安全技术 FF.FF.FF.FF.FF.FF广播广播MAC地址地址 00.d0.f8. 00.07.3c前前3个字节：个字节：IEEE分配给网分配给网络设备制造厂商络设备制造厂商的的后后3个字节：网个字节：网络设备制造厂商络设备制造厂商自行分配的，不自行分配的，不重复，生产时写重复，生产时写入设备入设备MAC地址：链路层唯一标识地址：链路层唯一标识接入交换机接入交换机MAC Port A 1 B 2 C 3 MAC地址表：空间有限地址表：空间有限 MAC地址表空间是有限，地址表空间是有限，MAC

12、攻击会占满交换机地址表攻击会占满交换机地址表; 使得单播包在交换机内部也变成广播包使得单播包在交换机内部也变成广播包, 向所有端口转发，向所有端口转发，每个连在端口上客户端都可以收到该报文每个连在端口上客户端都可以收到该报文; 交换机变成了一个交换机变成了一个Hub，用户的信息传输也没有安全保障，用户的信息传输也没有安全保障了了交换机端口安全功能交换机的端口安全功能，防止网内部攻击, 如MAC地址攻击、ARP攻击、IP/MAC欺骗等。 交换机端口安全的基本功能1、限制端口最大连接数 ,控制恶意扩展接入例：学校宿舍网可以防止学生随意购买小型交换机或HUB扩展网络，对网络造成破坏。2、端口安全地址

13、绑定, 解决网中IP地址冲突、ARP欺骗例：在学校宿舍网内端口地址绑定，可以解决学生随意更改IP地址，造成IP地址冲突，或者学生利用黑客工具，进行ARP地址欺骗。交换机端口安全内容 安全端口收到不属于端口上安全地址包时，一个安全违一个安全违例将产生。例将产生。 当安全违例产生时，可以选择多种方式来处理违例：Protect：安全端口将丢弃未知名地址的包（不是该端口的安全地址中的任何一个）。RestrictTrap：当违例产生时，将发送一个Trap通知,等候处理。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。端口安全配置示例 配置fa1/3端口安全功能， 设置最大地址个数为8，

14、违例方式为protect。Switch(config)# interface fa1/3 Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 8 Switch(config-if)# switchport port-security violation protect 端口安全配置示例 配置fa0/3安全功能，绑定MAC为00d0.f800.073c，IP为02Switch(config)# interface fa 0/3 Swi

15、tch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02验证命令 查看接口安全信息Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - - fa0/3 8 1 Protect验证命令 查看安全地址信息。Switch# show port-

16、security addressVlan Mac Address IP Address Type Port Remaining Age(mins)- - - - - - 1 00d0.f800.073c 02 Configured Fa0/3 8 1实习项目：实习项目：配置交换机端口安全配置交换机端口安全 【工作任务】 如图所示，模拟是中北大学中北大学计算机科学技术学院为了防止学院内部用户的IP地址冲突，防止学院内部的网络攻击行为，学院领导要求网络中心的管理员，为学院中每一台电脑分配固定IP地址（如为某位老师分配的IP地址是5/24，该主机的MAC地

17、址是00-06-1B-DE-13-B4），并限制只允许学院内部的员工才可以使用网络，并不得随意连接其他主机。【项目设备】交换机（1台），PC(1台)、网线（1条）【实施过程】Switch#configure terminalSwitch(config)# interface range fa0/1-23 Switch(config-if-range)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security

18、 violation shutdownSwitch(config)# interface fa 0/3 Switch(config-if)# switchport port-securitySwitch(config-if)# switchport port-security mac-address 00d0.f800.073c ip-address 02保护园区网络安全组件四：访问控制列表安全技术 ISP1、什么是访问列表 ACL(Access Control List)对经过设备的数据包，根据一定的规则，进行数据包的过滤。FTP2、为什么要使用访问列表提供网络安全控

19、制的基本手段过滤数据流限制网络访问流量,从而提高网络性能RG-S2126RG-S3512G /RG-S4009RG-NBR1000InternetRG-S2126不同部门所属不同部门所属VLAN不同不同12221112技术部技术部VLAN20财务部财务部VLAN10隔离病毒源隔离病毒源隔离外网病毒隔离外网病毒2、为什么要使用访问列表3、访问列表的组成 定义访问列表的步骤第一步：定义规则（哪些数据允许通过，哪些不允许）第二步：将规则应用在设备接口上 访问控制列表的分类：1、标准2、扩展3、命名（标准扩展） 访问控制列表规则元素源IP、目的IP、源端口、目的端口、协议、服务 4、访问列表规则的应用

20、 访问列表对流经接口的数据包进行控制： 1. 入栈应用（in） 2. 出栈应用（out）5、ACL的基本准则 一切未被允许的就是禁止的。 路由器缺省允许所有的信息流通过; 防火墙缺省封锁所有的信息流，对希望提供的服务逐项开放。 按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配 从头到尾，至顶向下的匹配方式 匹配成功马上停止 立刻使用该规则的“允许、拒绝”Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐被系统隐含拒绝含拒绝

21、N 6、一个访问列表多个测试条件 标准访问列表 根据数据包源IP地址进行规则定义，编号为1-99 扩展访问列表 根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义，编号为100-1997、ACL分类 标准访问列表 只根据源IP地址，进行数据包的过滤。8、标准列表规则定义源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表（2） 1、定义标准ACLRouter(config)# access-list permit |deny 源地址 反掩码Switch(config)# Ip access-list permit |deny 源地址 反掩码

22、 2、应用ACL到接口Router(config-if)#ip access-group |name in | out 0表示检查相应的地址比特 1表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111 反掩码（通配符）通配符掩码是一个32比特位。其中0表示“检查相应的位”，1表示“不检查相应的位”。在IP子网掩码中，数字1和0用来决定是网络，还是主机的IP地址。通配符掩码与子网掩码工作原理是不同的。如表示这个网段，使用通配符掩码应为55。在通配符掩码用5

23、5表示所有IP地址，全为1说明所有32位都不检查，这是可以用any来取代。的通配符掩码则表示所有32位都要进行匹配，这样只表示一个IP地址，可以用host表示。access-list 1 permit 55(access-list 1 deny 55)interface serial 0ip access-group 1 outF0S0F1Internet IP标准访问列表配置只允许网络中的计算机访问互联网络IP标准访问列表

24、配置技术 阻止5主机通过E0访问网络，而允许其他的机器访问Router（config） # access-list 1 deny host 5Router（config） # access-list 1 permit anyRouter（config） # interface ethernet 0Router（config-if） # ip access-group 1 in 实习项目：配置标准访问列表控制网络流量实习项目：配置标准访问列表控制网络流量 【工作任务】 如图所示的网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要

25、实现学生网（）和行政办公网（）的隔离，可以在其中R1路由器上做标准ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；静态路由805图/8S0/8B//8ABS054/8E0E054/8PC1PC2给主机分配IP地址Pc1Ip /ip ip /dg 54Pc2Ip /ip ip /dg 54Route A Routeren Router#con

26、f t Router(config)#interface e0 Router(config-if)#ip add 54 Router(config-if)#no shut Router(config-if)#exit Router(config)#interface s0 Router(config-if)# ip add Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#router rip Router(config-rout

27、er)#version 2 Router(config-router)#network Router(config-router)#network Router#show ip routeRoute B Routeren Router#conf t Router(config)#interface e0 Router(config-if)#ip add 54 Router(config-if)#no shut Router(config-if)#exit Router(config)#interface s0 Router(co

28、nfig-if)# ip add Router(config-if)#no shut Router(config-if)#exit Router(config)#router rip Router(config-router)#version 2 Router(config-router)#network Router(config-router)#network Router#show ip route此时PC1能PING通PC2Router 1Router(config)#access-list 10 deny 3.0.0

29、 .0 55Router(config)#access-list 10 permit anyRouter(config)#interface e0Router(config-if)#ip access-group 10 out扩展型访问控制列表扩展型访问控制列表（Extended IP ACL ）在数据包的过滤和控制方面，增加了更多的精细度和灵活性，具有比标准的ACL更强大数据包检查功能。扩展ACL不仅检查数据包源IP地址，还检查数据包中目的IP地址，源端口，目的端口、建立连接和IP优先级等特征信息。利用这些选项对数据包特征信息进行匹配 。ACL分类-扩展访问列表 扩展A

30、CL可以根据数据包内的源、目的地址，应用服务进行过滤。目的地址目的地址源地址源地址协议协议端口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表（1）IP扩展访问列表的配置（2） 1、定义扩展的ACLRouter(config)# access-list permit /deny 协议 源地址 反掩码 源端口 目的地址 反掩码 目的端口 2、应用ACL到接口Router(config-if)#ip access-group |name in | out IP扩展访问列表配置实例（3） 允许网络内所有主机访问HTTP服务器172.

31、168.12.3，拒绝其它主机使用网络。 Switch (config)# access-list 111 permit tcp 55 host eq www Switch # show access-lists 扩展ACL应用场景 如图所示企业网络内部结构路由器（一般为三层交换机）连接了二个子网段，地址规划分别为/24，/24。其中在/24网段中有一台服务器提供WWW服务，其IP地址为3。需要进行网络管理任务是：为保护网络中心

32、/24网段安全，禁止其它网络中的计算机访问子网络网络，不过可以访问在网络中搭建的WWW服务器 Switch (config)# access-list 101 permit tcp any 3 eq wwwSwitch (config)# access-list 101 deny ip any anySwitch (config)# interface Fa0/1Switch (config-if)#ip access-group 101 in access-list 115 deny udp any any eq 6

33、9 access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny tcp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 137access-list 115 deny udp

34、any any eq 138access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 445access-list 1

35、15 deny tcp any any eq 593access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115 deny tcp any any eq 4444access-list 115 permit ip any anyaccess-list 115 permit ip any any interface interface ip access-group 115 in ip access-group 115 in ip access-group 115 ou

36、tip access-group 115 out 扩展访问列表的应用（4）项目：配置扩展访问列表保护服务器安全项目：配置扩展访问列表保护服务器安全 【工作任务】 如图所示网络拓扑是中北大学计算机科学技术学院学院学生网和行政办公网网络工作场景，要实现教师网（）和学生网（）之间的互相连通，但不允许学生网访问教师网中的FTP服务器，可以在路由器R2上做扩展ACL技术控制，以实现网络之间的隔离【项目设备】路由器（2台）；网线（若干）；测试PC（2台）；【实施过程】命名访问控制列表 命名ACL不使用编号而使用字符串来定义规则。在网络管理过程中，随时根据网络变化修改

37、某一条规则，调整用户访问权限。 通过字符串组成的名字直观地表示特定ACL； 不受编号ACL中100条限制； 可以方便的对ACL进行修改，无需删除重新配置 命名访问控制列表1、定义命名的扩展ACL ip access-list extended name deny | permit protocolsource wildcard destination wildcard operator port 2、应用ACL到接口Router(config-if)#ip access-group name in | out 配置命名访问控制列表Switch # configure terminalSwitc

38、h（config）# ip access-list standard deny-host-192.168.l2.x Switch（config-std-nacl）# deny 55 Switch（config-std-nacl）# permit anySwitch（config-std-nacl）# end Switch # show access-list deny-host-192.168.l2.x在在3550-24上连着提供上连着提供WWW和和FTP的服务器，还连接学生宿的服务器，还连接学生宿舍楼网络和教工宿舍楼舍楼网络和教工宿舍楼网络网络学校规定

39、学生只能对服务器进行学校规定学生只能对服务器进行FTP访问，不能进行访问，不能进行WWW访问，教工则没有此限制。访问，教工则没有此限制。/24/24/24 配置命名扩展IP访问控制列表3550-24(config) # ip access-list extended denystudentwww 3550-24(config-ext-nacl)# deny tcp 55 55 eq www 3550-24(config-ext-nacl)# p

40、ermit ip any any 把访问控制列表在接口下应用(交换机上只有IN方向)3550-24(config)# int vlan 30 (VLAN是双向的)3550-24(config-if)# ip access-group denystudentwww in 冲击波（冲击波（MS BlasterMS Blaster）病毒）病毒 蠕虫病毒，大量蠕虫病毒，大量ICMPICMP扫描，导致网络阻塞扫描，导致网络阻塞 利用利用ACLACL关闭关闭ICMPICMP服务，以及相应端口。服务，以及相应端口。 益处：抑制蠕虫攻击，控制蠕虫蔓延，保证网络带宽。益处：抑制蠕虫攻击，控制蠕虫蔓延，保证网络带

41、宽。 配置示例：配置示例： access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 135 阻止感染病毒的阻止感染病毒的PCPC向其它正常向其它正常PCPC的的135135端口发布攻击代码。端口发布攻击代码。 access-list 101 deny udp any any eq tftp access-list 101 deny udp any any eq tftp 限制目标主机通过限制目标主机通过tftptftp下载病毒。下载病毒。 access-list 101 deny icmp any anyaccess-list 101 deny icmp any any 阻断感染病毒的阻断感染病毒的PCPC向外发送大量的向外发送大量的ICMPICMP报文，防止其堵塞网络。报文，防止其堵塞网络。 接入交换机接入交换机RG-S2126G防病毒配置防病毒配置RG-