（中职）中小型网络构建与管理综合实训教程项目六　构建安全的网络教学课件

1、YCF正版可修改PPT（中职）中小型网络构建与管理综合实训教程项目六构建安全的网络教学课件项目六构建安全的网络任务一保障网络设备的安全任务二保障网络区域的安全任务三提高整个网络的安全返回任务一保障网络设备的安全.任务分析为了保证网络接入设备安全,可以在接入交换机端口上对网络中所有接入用户认证,保证网络中只有合法用户才可以接入内部网络.在接入设备上启动端口安全功能,将特定主机MAC地址和IP绑定在端口上,并配置交换机端口最大连接数,限制在交换机端口下主机的接入台数.另外,在每台设备上设置管理员登录口令,防止非管理员用户登录到网络查看设备配置信息.下一页返回任务一保障网络设备的安全.知识准备.交换

2、机端口安全知识二层交换机安全主要表现在端口安全上,在交换机端口上检查所有接入计算机的合法性,如图所示.利用交换机端口安全功能,防止局域网内部攻击,如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等.另外,还可以实施交换机其他安全,例如病毒防护、入侵检测等.通过交换机某个端口上限制接入设备的MAC地址或IP地址,将MAC和IP地址与交换机端口绑定,设置安全接入地址,控制对该端口的接入访问.交换机配置安全端口功能,并配置安全地址,如果该端口发现主机MAC地址与交换机上指定的MAC地址不同,交换机产生一个安全违例,相应端口将关闭,不转发该数据包.上一页下一页返回任务一保障网络设备的安全.配置交换机

3、端口安全. 端口安全最大连接数配置(1)interface interface- id/进入接口配置模式(2)switchport port- security/打开该接口的端口安全功能(3)switchport port- security maximum value/设置接口上安全地址的最大个数,范围是1128,缺省值为128(4)switchport port- security violationprotect|restrict |shutdown/设置处理违例的方式上一页下一页返回任务一保障网络设备的安全注意:端口安全功能只能在Access端口上进行配置.当端口因为违例而被关闭后,在

4、全局配置模式下使用命令errdisable recovery来将接口从错误状态中恢复过来. 端口的安全地址绑定(1)switchport port- security/打开该接口的端口安全功能(2)switchport port- security mac- address mac- addressip- address ip- address/手工配置接口上的安全地址上一页下一页返回任务一保障网络设备的安全.配置交换机控制台密码安全交换机的控制台是管理交换机的入口,通过管理交换机的console控制台端口登录权限,实现对交换机的安全控制和管理.配置交换机控制台安全操作如下:()配置交换机的登

5、录密码.Switch(config)# enable secret level 1 0 sec/表示输入的明文形式的口令,为分配等级.()配置交换机的特权密码.Switch(config)# enable secret level 15 0 SEC/表示输入的明文形式的口令,为分配等级.上一页下一页返回任务一保障网络设备的安全.任务实施.任务场景某公司要求对网络进行严格控制.为了防止公司内部用户的IP地址冲突,防止公司内部的网络攻击和破坏行为,为每一位员工分配了固定的IP地址,并且限制只允许公司员工主机可以使用网络,不得随意连接其他主机.如图所示.设备与环境锐捷交换机RGS台、计算机台、网线若

6、干.上一页下一页返回任务一保障网络设备的安全.操作步骤步骤:配置交换机端口的最大连接数限制.SW(config)# inter rang f0/1 24/进行一组端口的配置模式SW(config- if- range)# switchportport- security/开启交换机的端口安全功能步骤:查看PC、PC的IP和MAC地址信息.在主机上打开CMD命令提示符窗口,执行ipconfig/all命令.如图所示.步骤:配置交换机端口的地址绑定.上一页下一页返回任务一保障网络设备的安全步骤:在PC、PC上相互ping对方,如图所示.步骤:在F/接口上做MAC地址绑定.步骤:把PC连接到F/接口

7、上.注意事项交换机端口安全功能只能在Access接口进行配置,不能对于Trunk接口进行配置.交换机最大连接数限制取值范围是,默认是.交换机最大连接数限制默认的处理方式是protect.上一页返回任务二保障网络区域的安全.任务分析为了解决上述网络问题,可以在路由器上作适当设置,通过配置ACL,过滤掉非法访问的数据包.知识准备.访问控制列表技术.ACL概述访问控制列表(Access Control Lists,ACL)是控制流入、流出路由器数据包的一种方法,它通过在数据包流出或流入路由器时读取包头中的信息,如源地址、目的地址、源端口、目的端口及上层协议等,根据预先定义的规则决定哪些数据包可以接收

8、、哪些数据包需要拒绝,从而实现控制网络数据流量、流向的作用.下一页返回任务二保障网络区域的安全早期仅在路由器上支持ACL技术,近年来已经扩展到三层交换机,现在有些最新的二层交换机也开始支持ACL技术.当数据包经过路由器时,都可以利用ACL来允许或拒绝对某一个网络或子网的访问.ACL在网络中的使用如图所示.ACL的工作原理ACL由一系列的表项组成,我们称之为接入控制列表表表项(Access Control Entry,ACE).这些表项主要定义了数据包进入路由器接口或通过路由器转发和流出路由器接口的行为,过滤流入或流出路由器上的数据包.如图所示.无论是否使用了ACL,处理过程的开始都是一样的.当

9、一个数据包进入路由器的某一个接口,路由器首先检查该数据包是否可路由或可桥接.上一页下一页返回任务二保障网络区域的安全.ACL的作用ACL的主要作用有:一是保护资源节点,阻止非法用户对资源节点的访问,例如限制一些用户只能访问万维网和电子邮件服务,其他的服务如Telnet则禁止;二是限制特定的用户结点所具备的访问权限.如图所示,只允许主机A 访问财务部,而禁止主机B访问.访问控制列表分类根据控制网络的程度的不同,ACL技术分为标准ACL (Standard IP ACL)和扩展ACL (Extended IP ACL)两种. 标准ACL标准ACL只检查可以被路由的数据包的源地址,从而允许或拒绝基于

10、网络、子网或主机IP地址的某一协议通过路由器.其工作过程如图所示.上一页下一页返回任务二保障网络区域的安全. 扩展ACL扩展ACL更具灵活性,安全控制范围更为广阔,处理方式更为多样化,控制功能也更强,使用更为广泛.它基于分组的源地址、目的地址、协议类型、端口号和应用来决定允许或拒绝访问.其工作流程如图所示. 命名ACL标准ACL和扩展ACL使用数字编号来标识,命名ACL一般使用字符串来代替数字,方便用户识别其功能和记忆.与编号ACL相比,命名ACL没有ACL编号范围限制,同时可以自由删除ACL中一条语句,而不必删除整个ACL.命名ACL也分为标准ACL和扩展ACL两种.上一页下一页返回任务二保

11、障网络区域的安全.配置访问控制列表. 配置ACL的步骤配置ACL的过程可以分为两步:第一步:在全局配置模式下,使用accesslist命令创建ACL过滤规则;第二部:在接口配置模式下,使用accessgroup命令,把配置好的ACL规则应用到某一端口上.该端口将检查指定方向上通过的数据包. 配置标准ACL标准ACL对IP数据包中的源IP地址进行控制,所有标准ACL规则的编制都是在全局模式下生成的.上一页下一页返回任务二保障网络区域的安全()生成标准ACL规则的格式.access- list list numberpermit|deny address wildcard- mask其中:List

12、number是标准ACL的数字编号,范围为;Permit和deny表示允许或禁止满足该规则的数据包通过;Address是源地址,wildcardmask为反掩码.()在接口上应用编制好的访问控制规则.Router(config- if)# ip access- group access- list- numberin|out其中,in和out参数可以控制接口中不同方向的数据包,缺省为out.上一页下一页返回任务二保障网络区域的安全. 配置扩展ACL扩展ACL不仅可以对数据包中的源IP地址进行控制,还可以对目的地址、协议及端口号进行控制.()编制扩展ACL的检查规则.Access- list l

13、istnumber permit|deny protocol source source- wild-card- mask destination destination- wildcard- maskoperator operand其中:listnumber为;protocol是指定的协议,如TCP、UDP、IP等;operator和operand用于指定端口号范围,默认为全部端口号,只有TCP和UDP协议需要指定端口范围.上一页下一页返回任务二保障网络区域的安全()在接口上应用编制好的访问控制规则.与标准ACL相同,例如把上述配置好的ACL应用在接口Fa/上,配置命令为:Router# c

14、onfigureRouter(config)# interface Fastethernet 0/1Router(config- if)# ip access- group1 in/在Fa0/1 上应该改规则Router(config- if)# no shutdown. 配置命名ACL()创建标准命名ACL.在全局配置模式下,通过如下命令,创建一个标准命名ACL.上一页下一页返回任务二保障网络区域的安全()创建扩展命名ACL.在全局配置模式下,通过如下命令创建一个扩展的命名ACL,其配置命令如下:ip access- list extended namedeny |permit protoc

15、ol source source- wildcard | host source | any operator port ()将编制好的规则应用于指定端口.ip access- group namein | out上一页下一页返回任务二保障网络区域的安全.任务实施.任务场景一如图所示为公司财务部与销售部网络连接场景图,运用标准ACL技术,禁止销售部访问财务部网络;某些安全性要求比较高的主机或网络需要进行访问控制,其他的很多应用都可以使用访问控制列表提供操作条件,在本例中禁止./ (销售)对PC (财务)的访问.设备与环境锐捷路由器台、计算机台、网线根、串口线根.上一页下一页返回任务二保障网络区

16、域的安全.操作步骤步骤:基本配置.步骤:路由配置,保证网络的连通性.步骤:PC能与PC连通.如图所示.步骤:配置访问控制列表禁止PC所在网段对PC的访问.步骤:将访问控制列表应用在相应的接口.步骤:验证.步骤:测试.如图所示.上一页下一页返回任务二保障网络区域的安全.任务场景二实验拓扑图如图所示,应用扩展ACL禁止销售部主机访问财务部网络;可以针对目标IP地址进行控制,针对某些服务进行控制,可以针对某些协议进行控制,本例中禁止PC (销售)telnet到PC (财务),但能Ping.设备与环境锐捷路由器台、计算机台、网线根、串口线根.操作步骤步骤:对路由器进行基本配置,并加路由保证网络是连通的

17、,此配置请参照标准访问控制列表.步骤:在R上设置扩展访问控制列表.上一页下一页返回任务二保障网络区域的安全步骤:查看访问列表.步骤:验证.如图所示.注意事项:扩展访问控制列表通常放在离源比较近的地方.扩展访问控制列表可以基于源、目标IP、协议、端口等条件过滤.上一页返回任务三提高整个网络的安全.任务分析为了限制外部网络非法对企业网内部资源的访问,在网络接入Internet接口处安装防火墙.知识准备.认识防火墙. 防火墙概述防火墙(Firewall)是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间实现访问控制的一个或一组硬件或软件系统,英文名字为“Firewall”.它

18、是一道“门槛”,能有效地把互联网与内部网隔开,如图所示,从而保护内部网免受非法用户的入侵.在某种意义上,防火墙就像一个私人俱乐部的看门人,他检查每个人的ID,并确保只有俱乐部会员才能通过该门进入,如图所示.下一页返回任务三提高整个网络的安全一般来说,防火墙包括几个不同的组成部分(如图所示).过滤器(filter)(有时也称屏蔽)用于阻断一定类型的通信传输.网关是一台或一组机器,它提供中继服务,以补偿过滤器的影响.驻有网关的网络常被叫作非军事区(Demilitarized Zone,DMZ).DMZ中的网关有时还由一个内部网关(internal gateway)协助工作. 防火墙功能无论什么类型

19、的防火墙,都有一些基本功能.防火墙主要的功能如下:()管理和控制网络流量:通过检查报文监控已经存在的连接,根据报文检查结果和检测到的连接来过滤以达到该目的.上一页下一页返回任务三提高整个网络的安全()认证连接:防火墙用一系列机制执行认证,首先,尝试初始化一个连接的用户在防火墙允许建立连接之前可以被提示需要一个用户名和密码;其次,可以使用证书和公共密钥实现认证机制.通过实施认证,确保连接是否被允许.()担当中间媒介:防火墙可以通过配置担当两条主机进行通信的媒介,可以称之为代理.代理的职能就是伪装成需要被保护的主机,发送或接收报文,确保外部主机不能直接和被保护的主机通信来隔离被保护的主机,以免其遭

20、受威胁.()保护资源:通过使用接入访问控制规则、状态化报文检查、应用代理或结合以上所有方法去阻止被保护的主机被恶意访问或者恶意流量感染.上一页下一页返回任务三提高整个网络的安全()记录和报告事件:防火墙日志可以被查询以用来确定在一个安全时间中发生了什么,也可以被用于防火墙排错,来帮助确定导致问题发生的原因.它还有一种报警机制,当策略被违反的时候通知管理员以便做出相应的决定.防火墙种类按照形态来分,防火墙分成两种:软件防火墙和硬件防火墙.软件防火墙仅获得Firewall软件,需要准备额外的OS平台,其安全性依赖底层的OS.另外,软件防火墙的网络适应性较差,主要以路由模式工作.但它的网络稳定性高,

21、软件分发、升级比较方便.硬件防火墙包括硬件设备和防火墙软件,使用专用的OS平台,其安全性完全取决于专用的OS.硬件防火墙的网络适应性强,支持多种接入模式,稳定性较高,但升级、更新不够灵活.上一页下一页返回任务三提高整个网络的安全按照保护对象来分,防火墙又分为:网络防火墙和单机防火墙,如图、图所示.单机防火墙只能保护单台主机,安全策略相对分散,安全功能也比较简单,普通用户就可以维护,安全隐患较大,但策略设置灵活;网络防火墙保护的是整个网络,其安全策略集中,安全功能复杂多样,专业管理员进行维护,安全隐患小,策略设置较为复杂.单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的

22、保护功能.根据防火墙实现技术不同,又可以分为包过滤防火墙、应用代理防火墙和复合型防火墙等几种.)包过滤防火墙.包过滤型防火墙是第一代的防火墙,作用于网络层和传输层之间,基于路由器并提供数据包过滤的功能,所以路由器一般都有集成第一代的防火墙.上一页下一页返回任务三提高整个网络的安全)应用代理防火墙.应用代理型防火墙也被称为代理服务器,工作在应用层,其关键技术是应用代理技术.代理型防火墙分为两代,第一代是应用网关型代理防火墙.)复合型防火墙.第二代代理型防火墙称为自适应代理防火墙,它结合了代理型防火墙的安全性和包过滤防火墙的高性能特点,可以在毫不影响安全性的前提下将代理型防火墙的性能提高倍以上.由

23、于它结合了代理型和包过滤型防火墙的两样技术,因此称为自适应代理服务器和动态包过滤器.上一页下一页返回任务三提高整个网络的安全.任务实施.任务场景根据公司网络的安全要求在混合模式下配置防火墙,公司的安全要求:仅有少量公网地址.LAN、WAN和DMZ为私有地址,且在同一子网.禁止外网到内网和WAN的连接.限制内网到外网的连接,即只开放有限的服务,比如浏览网页、收发邮件、下载文件、DNS、ping等.限制内网到WAN的连接,只允许访问FTPSer的FTP服务.上一页下一页返回任务三提高整个网络的安全限制DMZ到WAN的连接,只允许Mail Ser访问Data Ser的SQL (TCP)服务.DMZ区对内外网提供服务,比如WWW 服务、邮件服务等.IP地址分配.LAN、DMZ、WAN 网段:./; 防火墙虚拟设备br 接口IP:.;WAN 网段:./.通过防火墙划分不同等级的安全区域,默认不同安全区域互相不能访问,根据安