网络安全控制培训讲义

1、 什么是ACL ACL是对经过路由器与交换机的数据进行过滤的一种强大的访问控制工具 ACL的作用 拒绝、允许特定的数据流通过网络设备 防止攻击 访问控制 节省带宽 对特定的数据流、报文、路由条目等进行匹配和标识，以用于其它目的 路由过滤 QoS Route-map 根据过滤层次 基于IP的ACLIP ACL 基于MAC的ACLMAC ACL 专家ACLExpert ACL 根据过滤字段元素 标准ACL标准IP ACL 扩展ACL扩展IP ACL、MAC ACL、专家ACL 根据命名规那么 编号ACL 名称ACL ACL的工作机制 由一组访问控制规那么组成ACL规那么 网络设备根据ACL规那么检

2、查收到或发送的报文，并采取相应操作 ACL规那么匹配顺序 从上至下 当报文匹配某条规那么后，将执行操作，跳出匹配过程 任何ACL的默认操作是“拒绝所有 定义ACL 定义ACL规那么 将ACL应用到网络设备的接口 ACL的应用规那么 接口的一个方向只能应用一个ACL In方向：对接口收到的数据进行检查 Out方向：对从接口发送出去的数据进行检查 ACL不对本地生成的外出的数据进行检查！ 编号规那么 199和13001399 过滤元素 仅源IP地址信息 用于简单的访问控制、路由过滤等 配置ACL规那么access-list access-list-number permit | deny any

3、| source source-wildcard time-range time-range-name Router(config)# 应用ACLip access-group access-list-number in | out Router(config-if)# 编号规那么 100199和20002699 过滤元素 源IP地址、目的IP地址、协议、源端口、目的端口 用于高级的、精确的访问控制 配置ACL规那么access-list access-list-number deny | permit protocol any | source source-wildcard operato

4、r port any | destination destination-wildcard operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment Router(config)# 应用ACLip access-group access-list-number in | out Router(config-if)# 配置标准名称ACLip access-list standard name | access-list-number Router(config)# 应用ACL

5、ip access-group access-list-number in | out Router(config-if)# 配置ACL规那么 permit | deny any | source source-wildcard time-range time-range-name Router(config-std-nacl)# 配置扩展名称ACLip access-list extended name | access-list-number Router(config)# 应用名称ACLip access-group name in | out Router(config-if)# 配置

6、ACL规那么 permit | deny protocol any | source source-wildcard operator port any | destination destination-wildcard operator port time-range time-range-name dscp dscp fragment Router(config-ext-nacl)# 标识方式 编号：700799 名称 过滤元素 源MAC地址、目的MAC地址、以太网类型 配置MAC ACLmac access-list extended name | access-list-number

7、 Switch(config)# 应用MAC ACLmac access-group name | access-list-number in | out Switch(config-if)# 配置ACL规那么 permit | deny any | host source-mac-address any | host destination-mac-address ethernet-type time-range time-range-name Switch(config-mac-nacl)# 标识方式 编号：27002899 名称 过滤元素 源MAC地址、目的MAC地址、以太网类型、源IP

8、地址、目的IP地址、协议、源端口、目的端口 用于复杂的、高级的访问控制 配置专家ACLexpert access-list extended name | access-list-number Switch(config)# 应用MAC ACLexpert access-group name | access-list-number in | out Switch(config-if)# 配置ACL规那么 permit | deny protocol | ethernet-type VID vid any | source source-wildcard host source-mac-add

9、ress | any operator port any | destination destination-wildcard host destination-mac-address | any operator port precedence precedence tos tos time-range time-range-name dscp dscp fragment Switch(config-exp-nacl)# 基于时间的ACL 对于不同的时间段实施不同的访问控制规那么 在原有ACL的根底上应用时间段 任何类型的ACL都可以应用时间段 时间段 绝对时间段absolute 周期时间段

10、periodic 混合时间段 配置时间段time-range time-range-nameRouter(config)# 配置绝对时间absolute start time date end time date | end time date Router(config-time-range)# 配置周期时间periodic day-of-the-week hh:mm to day-of-the-week hh:mm periodic weekdays | weekend | daily hh:mm to hh:mm Router(config-time-range)# 应用时间段 在ACL

11、规那么中使用time-range参数引用时间段 只有配置了time-range的规那么才会在指定的时间段内生效，其它未引用时间段的规那么将不受影响 确保设备的系统时间的正确！ 传统编号ACL的修改问题 新规那么添加到ACL的末尾 删除所有ACL规那么重新编写 导出配置文件进行修改 将ACL规那么复制到编辑工具进行修改 ACL配置模式 使用ip access-list命令进入ACL配置模式 可以删除特定的ACL规那么 在任意位置插入新的ACL规那么 添加ACL规那么sequence-number permit | deny Router(config-ext-nacl)# 删除ACL规那么no

12、sequence-numberRouter(config-ext-nacl)#ip access-list resequence name | access-list-number starting-sequence-number increment-numberRouter(config)#mac access-list resequence name | access-list-number starting-sequence-number increment-numberexpert access-list resequence name | access-list-number sta

13、rting-sequence-number increment-numbershow running-configRouter#show access-lists name | access-list-number 查看ACL配置信息 查看ACL配置信息例如show access-group interface interface Router# 查看所有ACL的应用信息show ip access-group interface interface Router# 查看IP ACL的应用信息show mac access-group interface interface Router# 查

14、看MAC ACL的应用信息show expert access-group interface interface Router# 查看专家ACL的应用信息 ARP的作用 将IP地址映射到MAC地址 ARP的弱点 ARP无验证机制，请求者不能判断收到的ARP应答是否合法 ARP中间人攻击 攻击者不但伪造网关，而且进行数据重定向 ARP检查的作用 防止ARP欺骗 基于端口平安 检查ARP报文中的IP地址是否合法，假设不合法，那么丢弃报文 手工恢复端口状态port-security arp-checkSwitch(config)# 启用端口平安switchport port-securitySwi

15、tch(config-if)# 配置平安IP地址switchport port-security mac-address mac-address ip-address ip-addressSwitch(config-if)# 查看ARP检查状态show port-security arp-checkSwitch# 查看ARP检查例如 DHCP的弱点 DHCP无验证机制 DHCP攻击 攻击者使用伪DHCP效劳器为网络分配地址 攻击者可以发动一个DHCP DoS攻击 DHCP Snooping的作用 过滤伪非法DHCP效劳器发送的DHCP报文 DHCP Snooping的工作机制 信任Trust端

16、口 允许所有DHCP报文通过 非信任Untrust端口 只允许DHCP Discovery、DHCP Request报文通过，过滤DHCP Offer报文 建立DHCP监听数据库 包含客户端的IP地址、MAC地址、连接的端口、VLAN号、地址租用期限等信息 信任Trust端口 用于连接合法的DHCP效劳器和上行链路端口 非信任Untrust端口 用于连接DHCP客户端和其它接入端口 启用DHCP Snoopingip dhcp snoopingSwitch(config)# 配置端口为信任端口ip dhcp snooping trustSwitch(config-if)# 手工配置DHCP S

17、nooping表项ip dhcp snooping binding mac-address vlan vlan-id ip ip-address interface interfaceSwitch(config)# 将DHCP Snooping数据库写入到Flash文件ip dhcp snooping database write-to-flashSwitch(config)# 配置自动写入DHCP Snooping绑定信息ip dhcp snooping database write-delay secondsSwitch(config)# 配置验证Untrust端口检查DHCP报文的源MA

18、C地址ip dhcp snooping verify mac-addressSwitch(config)# 查看DHCP Snooping配置信息show ip dhcp snoopingSwitch# 查看DHCP Snooping数据库信息show ip dhcp snooping bindingSwitch# 去除DHCP Snooping数据库clear ip dhcp snooping bindingSwitch# DAIDynamic ARP Inspection 与ARP检查一样，用于防止ARP欺骗 ARP检查需要静态配置平安地址 不适用于动态IP地址环境 不适用与移动环境 DAI依赖于DHCP Snooping数据库 要使用DAI，需要部署DHCP环境 DAI Trust端口 不检查ARP报文 DAI Untrust端口 检查所有收到的ARP报文 Trust端口 连