RCNA09 园区网安全设计

1、第第9章章园区网安全设计园区网安全设计 锐捷认证网络工程师RCNA2园区网安全隐患园区网安全隐患 交换机端口安全交换机端口安全 如何在路由器配置访问控制列表如何在路由器配置访问控制列表ACL 防火墙基础防火墙基础 本章内容3园区网常见安全隐患 非人为或自然力造成的硬件故障、电源故障、软件错误、火灾、水灾、风暴和工业事故等。 人为但属于操作人员无意的失误造成的数据丢失或损坏；。 来自园区网外部和内部人员的恶意攻击和破坏。4威胁人自然灾害恶意非恶意不熟练的员工（外部）黑客威胁（内部）不满的员工（外部）战争5漏洞物理自然硬件软件媒介通讯人External attackerCorporate Asse

2、tsInternal attackerIncorrect permissionsVirus6网络安全的演化第一代第一代引导性病毒引导性病毒第二代第二代宏病毒宏病毒DOS电子邮件电子邮件有限的黑客有限的黑客攻击攻击第三代第三代网络网络DOS攻击攻击混合威胁（混合威胁（蠕虫蠕虫+病毒病毒+特洛伊）特洛伊）广泛的系统广泛的系统黑客攻击黑客攻击下一代下一代网络基础网络基础设施黑客设施黑客攻击攻击瞬间威胁瞬间威胁大规模蠕大规模蠕虫虫DDoS破坏有效破坏有效负载的病负载的病毒和蠕虫毒和蠕虫波及全球的波及全球的网络基础架网络基础架构构地区网络地区网络多个网络多个网络单个网络单个网络单台计算机单台计算机周周天

3、天分钟分钟秒秒影响的目标影响的目标和范围和范围1980s1990s今天今天未来未来安全事件对我们的安全事件对我们的威胁威胁越来越快越来越快7现有网络安全现有网络安全防御体制防御体制现有网络安全体制IDS68%杀毒软件杀毒软件99%防火墙防火墙98%ACL71%8常见解决安全隐患的方案 交换机端口安全配置访问控制列表ACL在防火墙实现包过滤 9交换机端口安全通过限制允许访问交换机上某个端口的MAC地址以及IP（可选）来实现严格控制对该端口的输入。当你为安全端口打开了端口安全功能并配置了一些安全地址后，则除了源地址为这些安全地址的包外，这个端口将不转发其它任何包。此外，你还可以限制一个端口上能包含

4、的安全地址最大个数，如果你将最大个数设置为1，并且为该端口配置一个安全地址，则连接到这个口的工作站（其地址为配置的安全地址）将独享该端口的全部带宽。为了增强安全性，你可以将 MAC地址和IP地址绑定起来作为安全地址。 10交换机端口安全如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的安全地址的包时，一个安全违例将产生。 当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包。RestrictTrap：当违例产生时，将发送一个Trap通

5、知。Shutdown：当违例产生时，将关闭端口并发送一个Trap通知。 11配置安全端口 interface interface-id进入接口配置模式。switchport mode access设置接口为access模式（如果确定接口已经处于access模式，则此步骤可以省略）。switchport port-security打开该接口的端口安全功能switchport port-security maximum value 设置接口上安全地址的最大个数，范围是1128，缺省值为128。switchport port-security violationprotect| restrict |

6、 shutdown设置处理违例的方式当端口因为违例而被关闭后，你可以在全局配置模式下使用命令errdisable recovery 来将接口从错误状态中恢复过来。switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。ip-address: 可选IP 为这个安全地址绑定的地址。12端口安全配置示例下面的例子说明了如何使能接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protect。Switch# configure terminal Sw

7、itch（config）# interface gigabitethernet 1/3 Switch（config-if）# switchport mode access Switch（config-if）# switchport port-security Switch（config-if）# switchport port-security maximum 8 Switch（config-if）# switchport port-security violation protect Switch（config-if）# end13验证命令Switch# show port-security

8、 address Vlan Mac Address IP Address Type Port Remaining Age（mins） - - - - - - 1 00d0.f800.073c 02 Configured Gi1/3 8 1 00d0.f800.3cc9 Configured Gi1/1 7 14验证命令Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - Gi1/1 128 1 Res

9、trict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect15访问控制列表标准访问控制列表扩展访问控制列表ISPIP Access-list：访问列表或访问控制列表，简称：访问列表或访问控制列表，简称IP ACL当网络访问流量较大时当网络访问流量较大时,需要对网络流量进行管理需要对网络流量进行管理 为什么要使用访问列表17 为什么要使用访问列表公网互联网用户对外信息服务器员工上网拒绝信息服务器不能在上班时间进行QQ,MSN等聊天访问权限控制访问权限控制18 为什么要使用访问列表可以是路由器或三层交换机或防火墙网络安全性网络安全性19 路由器应用访问列表对流经它的数

10、据包进行限制路由器应用访问列表对流经它的数据包进行限制1.入栈应用入栈应用2.出栈应用出栈应用E0S0是否允许是否允许?源地址源地址目的地址目的地址协议协议 访问列表的应用以以ICMP信息通知源发送方信息通知源发送方NY选择出口选择出口S0路由表中是否路由表中是否存在记录存在记录?NY查看访问列表查看访问列表的陈述的陈述是否允许是否允许?Y是否应用是否应用访问列表访问列表?NS0S0 访问列表的出栈应用Y拒绝拒绝Y是否匹配是否匹配测试条件测试条件1?允许允许N拒绝拒绝允许允许是否匹配是否匹配测试条件测试条件2?拒绝拒绝是否匹配是否匹配最后一个最后一个测试条件测试条件?YYNYY允许允许被系统隐

11、被系统隐含拒绝含拒绝N 一个访问列表多个测试条件22IP ACL的基本准则一切未被允许的就是禁止的一切未被允许的就是禁止的。路由器或三层交换机缺省允许所有的信息流通过; 而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。按规则链来进行匹配按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾，至顶向下的匹配方式从头到尾，至顶向下的匹配方式匹配成功马上停止匹配成功马上停止立刻使用该规则的立刻使用该规则的“允许、拒绝允许、拒绝”源地址源地址TCP/UDP数据数据IPeg.HDLC1-99 号列表号列表 IP标准访问列表目的地址目的地址源地址源地址协议协议端

12、口号端口号100-199号列表号列表 TCP/UDP数据数据IPeg.HDLC IP扩展访问列表 0表示检查相应的地址比特表示检查相应的地址比特 1表示不检查相应的地址比特表示不检查相应的地址比特00111111128643216842100000000000011111111110011111111 反掩码1.定义标准定义标准ACL编号的标准访问列表编号的标准访问列表Router(config)#access-list permit|deny 源地址源地址 反掩码反掩码命名的标准访问列表命名的标准访问列表ip access-list standard namedenysource sourc

13、e-wildcard|hostsource|any orpermit source source-wildcard|hostsource|any2.应用应用ACL到接口到接口Router(config-if)#ip access-group |name in | out IP标准访问列表的配置27access-list 1 permit 55(access-list 1 deny 55)interface fastethernet 0ip access-group 1 outinterface fastether

14、net 1ip access-group 1 outF0S0F1 IP标准访问列表配置实例2.应用应用ACL到接口到接口Router(config-if)#ip access-group in | out 1.定义扩展的定义扩展的ACL编号的扩展编号的扩展ACLRouter(config)#access-list permit /deny 协议协议 源地址源地址 反掩码反掩码 源端口源端口 目的地址目的地址 反掩码反掩码 目的端口目的端口 命名的扩展命名的扩展ACLip access-list extended name deny|p

15、ermit protocolsource source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port IP扩展访问列表的配置下例显示如何创建一条下例显示如何创建一条Extended IP ACLExtended IP ACL，该，该ACLACL有一条有一条ACEACE，用于允许指定网络（，用于允许指定网络（68.x.xx.x）的所有主机）的所有主机以以HTTPHTTP访问服务器访问服务器172.16

16、8.12.3，但拒绝其它所有主机，但拒绝其它所有主机使用网络。使用网络。 Switch Switch （configconfig）# ip# ip access-list extended access-list extended allow_0 xc0a800_to_ allow_0 xc0a800_to_ Switch Switch （config-std-naclconfig-std-nacl）# permit tcp # permit tcp 55 host 172.168

17、.12.3 eq 55 host eq www www Switch Switch （config-std-naclconfig-std-nacl）#end #end Switch # show access-listsSwitch # show access-lists IP扩展访问列表配置实例30扩展访问列表的应用access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any

18、any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115

19、permit ip any any interface ip access-group 115 in ip access-group 115 out 31显示全部的访问列表显示全部的访问列表Router#show access-lists显示指定的访问列表显示指定的访问列表Router#show access-lists 显示接口的访问列表应用显示接口的访问列表应用Router#show ip interface 访问列表的验证32InternetInternetAccess DeniedUnauthorized ServiceUnauthorized Service(http, ftp, telnet)(http, ftp, telnet)Fir