1、第第9章章園區網安全設計園區網安全設計 銳捷認證網絡工程師RCNA2園區網安全隱患園區網安全隱患 交換機端口安全交換機端口安全 如何在路由器配置訪問控制列表如何在路由器配置訪問控制列表ACL 防火墻基礎防火墻基礎 本章內容3園區網常見安全隱患 非人為或自然力造成的硬件故障、電源故障、軟件錯誤、火災、水災、風暴和工業事故等。 人為但屬于操作人員無意的失誤造成的數據丟失或損壞；。 來自園區網外部和內部人員的惡意攻擊和破壞。4威脅人自然災害惡意非惡意不熟練的員工（外部）黑客威脅（內部）不滿的員工（外部）戰爭5漏洞物理自然硬件軟件媒介通訊人External attackerCorporate Asse

2、tsInternal attackerIncorrect permissionsVirus6網絡安全的演化第一代第一代引導性病毒引導性病毒第二代第二代宏病毒宏病毒DOS電子郵件電子郵件有限的黑客有限的黑客攻擊攻擊第三代第三代網絡網絡DOS攻擊攻擊混合威脅（混合威脅（蠕蟲蠕蟲+病毒病毒+特洛伊）特洛伊）廣泛的系統廣泛的系統黑客攻擊黑客攻擊下一代下一代網絡基礎網絡基礎設施黑客設施黑客攻擊攻擊瞬間威脅瞬間威脅大規模蠕大規模蠕蟲蟲DDoS破壞有效破壞有效負載的病負載的病毒和蠕蟲毒和蠕蟲波及全球的波及全球的網絡基礎架網絡基礎架構構地區網絡地區網絡多個網絡多個網絡單個網絡單個網絡單臺計算機單臺計算機周周天

3、天分鐘分鐘秒秒影響的目標影響的目標和范圍和范圍1980s1990s今天今天未來未來安全事件對我們的安全事件對我們的威脅威脅越來越快越來越快7現有網絡安全現有網絡安全防御體制防御體制現有網絡安全體制IDS68%殺毒軟件殺毒軟件99%防火墻防火墻98%ACL71%8常見解決安全隱患的方案 交換機端口安全配置訪問控制列表ACL在防火墻實現包過濾 9交換機端口安全通過限制允許訪問交換機上某個端口的MAC地址以及IP（可選）來實現嚴格控制對該端口的輸入。當你為安全端口打開了端口安全功能并配置了一些安全地址后，則除了源地址為這些安全地址的包外，這個端口將不轉發其它任何包。此外，你還可以限制一個端口上能包含

4、的安全地址最大個數，如果你將最大個數設置為1，并且為該端口配置一個安全地址，則連接到這個口的工作站（其地址為配置的安全地址）將獨享該端口的全部帶寬。為了增強安全性，你可以將 MAC地址和IP地址綁定起來作為安全地址。 10交換機端口安全如果一個端口被配置為一個安全端口，當其安全地址的數目已經達到允許的最大個數后，如果該端口收到一個源地址不屬于端口上的安全地址的包時，一個安全違例將產生。 當安全違例產生時，你可以選擇多種方式來處理違例：Protect：當安全地址個數滿后，安全端口將丟棄未知名地址（不是該端口的安全地址中的任何一個）的包。RestrictTrap：當違例產生時，將發送一個Trap通

5、知。Shutdown：當違例產生時，將關閉端口并發送一個Trap通知。 11配置安全端口 interface interface-id進入接口配置模式。switchport mode access設置接口為access模式（如果確定接口已經處于access模式，則此步驟可以省略）。switchport port-security打開該接口的端口安全功能switchport port-security maximum value 設置接口上安全地址的最大個數，范圍是1128，缺省值為128。switchport port-security violationprotect| restrict |

6、 shutdown設置處理違例的方式當端口因為違例而被關閉后，你可以在全局配置模式下使用命令errdisable recovery 來將接口從錯誤狀態中恢復過來。switchport port-security mac-address mac-address ip-address ip-address手工配置接口上的安全地址。ip-address: 可選IP 為這個安全地址綁定的地址。12端口安全配置示例下面的例子說明了如何使能接口gigabitethernet1/3上的端口安全功能，設置最大地址個數為8，設置違例方式為protect。Switch# configure terminal Sw

7、itch（config）# interface gigabitethernet 1/3 Switch（config-if）# switchport mode access Switch（config-if）# switchport port-security Switch（config-if）# switchport port-security maximum 8 Switch（config-if）# switchport port-security violation protect Switch（config-if）# end13驗證命令Switch# show port-security

8、 address Vlan Mac Address IP Address Type Port Remaining Age（mins） - - - - - - 1 00d0.f800.073c 02 Configured Gi1/3 8 1 00d0.f800.3cc9 Configured Gi1/1 7 14驗證命令Switch#show port-security Secure Port MaxSecureAddr（count） CurrentAddr（count） Security Action - - - Gi1/1 128 1 Res

9、trict Gi1/2 128 0 Restrict Gi1/3 8 1 Protect15訪問控制列表標準訪問控制列表擴展訪問控制列表ISPIP Access-list：訪問列表或訪問控制列表，簡稱：訪問列表或訪問控制列表，簡稱IP ACL當網絡訪問流量較大時當網絡訪問流量較大時,需要對網絡流量進行管理需要對網絡流量進行管理 為什么要使用訪問列表17 為什么要使用訪問列表公網互聯網用戶對外信息服務器員工上網拒絕信息服務器不能在上班時間進行QQ,MSN等聊天訪問權限控制訪問權限控制18 為什么要使用訪問列表可以是路由器或三層交換機或防火墻網絡安全性網絡安全性19 路由器應用訪問列表對流經它的數

10、據包進行限制路由器應用訪問列表對流經它的數據包進行限制1.入棧應用入棧應用2.出棧應用出棧應用E0S0是否允許是否允許?源地址源地址目的地址目的地址協議協議 訪問列表的應用以以ICMP信息通知源發送方信息通知源發送方NY選擇出口選擇出口S0路由表中是否路由表中是否存在記錄存在記錄?NY查看訪問列表查看訪問列表的陳述的陳述是否允許是否允許?Y是否應用是否應用訪問列表訪問列表?NS0S0 訪問列表的出棧應用Y拒絕拒絕Y是否匹配是否匹配測試條件測試條件1?允許允許N拒絕拒絕允許允許是否匹配是否匹配測試條件測試條件2?拒絕拒絕是否匹配是否匹配最后一個最后一個測試條件測試條件?YYNYY允許允許被系統隱

11、被系統隱含拒絕含拒絕N 一個訪問列表多個測試條件22IP ACL的基本準則一切未被允許的就是禁止的一切未被允許的就是禁止的。路由器或三層交換機缺省允許所有的信息流通過; 而防火墻缺省封鎖所有的信息流，然后對希望提供的服務逐項開放。按規則鏈來進行匹配按規則鏈來進行匹配使用源地址、目的地址、源端口、目的端口、協議、時間段進行匹配從頭到尾，至頂向下的匹配方式從頭到尾，至頂向下的匹配方式匹配成功馬上停止匹配成功馬上停止立刻使用該規則的立刻使用該規則的“允許、拒絕允許、拒絕”源地址源地址TCP/UDP數據數據IPeg.HDLC1-99 號列表號列表 IP標準訪問列表目的地址目的地址源地址源地址協議協議端

12、口號端口號100-199號列表號列表 TCP/UDP數據數據IPeg.HDLC IP擴展訪問列表 0表示檢查相應的地址比特表示檢查相應的地址比特 1表示不檢查相應的地址比特表示不檢查相應的地址比特00111111128643216842100000000000011111111110011111111 反掩碼1.定義標準定義標準ACL編號的標準訪問列表編號的標準訪問列表Router(config)#access-list permit|deny 源地址源地址 反掩碼反掩碼命名的標準訪問列表命名的標準訪問列表ip access-list standard namedenysource sourc

13、e-wildcard|hostsource|any orpermit source source-wildcard|hostsource|any2.應用應用ACL到接口到接口Router(config-if)#ip access-group |name in | out IP標準訪問列表的配置27access-list 1 permit 55(access-list 1 deny 55)interface fastethernet 0ip access-group 1 outinterface fastether

14、net 1ip access-group 1 outF0S0F1 IP標準訪問列表配置實例2.應用應用ACL到接口到接口Router(config-if)#ip access-group in | out 1.定義擴展的定義擴展的ACL編號的擴展編號的擴展ACLRouter(config)#access-list permit /deny 協議協議 源地址源地址 反掩碼反掩碼 源端口源端口 目的地址目的地址 反掩碼反掩碼 目的端口目的端口 命名的擴展命名的擴展ACLip access-list extended name deny|p

15、ermit protocolsource source-wildcard |host source| anyoperator port destination destination-wildcard |host destination |anyoperator port IP擴展訪問列表的配置下例顯示如何創建一條下例顯示如何創建一條Extended IP ACLExtended IP ACL，該，該ACLACL有一條有一條ACEACE，用于允許指定網絡（，用于允許指定網絡（68.x.xx.x）的所有主機）的所有主機以以HTTPHTTP訪問服務器訪問服務器172.16

16、8.12.3，但拒絕其它所有主機，但拒絕其它所有主機使用網絡。使用網絡。 Switch Switch （configconfig）# ip# ip access-list extended access-list extended allow_0 xc0a800_to_ allow_0 xc0a800_to_ Switch Switch （config-std-naclconfig-std-nacl）# permit tcp # permit tcp 55 host 172.168

17、.12.3 eq 55 host eq www www Switch Switch （config-std-naclconfig-std-nacl）#end #end Switch # show access-listsSwitch # show access-lists IP擴展訪問列表配置實例30擴展訪問列表的應用access-list 115 deny udp any any eq 69 access-list 115 deny tcp any any eq 135access-list 115 deny udp any

18、any eq 135access-list 115 deny udp any any eq 137access-list 115 deny udp any any eq 138access-list 115 deny tcp any any eq 139access-list 115 deny udp any any eq 139access-list 115 deny tcp any any eq 445access-list 115 deny tcp any any eq 593access-list 115 deny tcp any any eq 4444access-list 115

19、permit ip any any interface ip access-group 115 in ip access-group 115 out 31顯示全部的訪問列表顯示全部的訪問列表Router#show access-lists顯示指定的訪問列表顯示指定的訪問列表Router#show access-lists 顯示接口的訪問列表應用顯示接口的訪問列表應用Router#show ip interface 訪問列表的驗證32InternetInternetAccess DeniedUnauthorized ServiceUnauthorized Service(http, ftp, telnet)(http, ftp, telnet)Fir